HIPAA と HITECH Act

マイクロソフトは Health Insurance Portability & Accountability Act Business Associate Agreements (BAA) を提供しています。

マイクロソフトと HIPAA と HITECH Act

HIPAA の規制により、対象となる法人とそのビジネス アソシエート (マイクロソフトが対象となる法人にクラウド サービスなどのサービスを提供している場合はマイクロソフト) が、ビジネス アソシエートが PHI を適切に保護するように契約を締結することが義務付けられています。これらの契約または BBA では、ビジネス アソシエートが PHI をどのように扱うかを明確にし制限していて、HIPAA と HITECH Act に定められているセキュリティ規定とプライバシー規定をそれぞれの関係者が順守することを定めています。BAA が実施されると、マイクロソフトのお客様 (対象となる法人) はマイクロソフト サービスを使用して PHI を処理および格納できるようになります。

現時点では HIPAA または HITECH Act に関して正式なコンプライアンス認証はありません。ただし、BAA の対象であるマイクロソフト サービスは、マイクロソフトの ISO/IEC 27001 認定を取得するために公認の独立した監査人による監査を受けています。

マイクロソフト エンタープライズ クラウド サービスも、FedRAMP の評価が実施されています。Microsoft Azure と Microsoft Azure Government は FedRAMP Joint Authorization Board により P-ATO (暫定的運用権限)、Microsoft Dynamics 365 U.S. Government は US Department of Housing and Urban Development により Agency Authority to Operate、Microsoft Office 365 U.S. Government は US Department of Health and Human Services により Agency Authority to Operate の認定を受けています。

Microsoft Cloud における HIPAAとHITECH のメリットをご確認ください。

Zwanger - Pesiri Radiology のお客様事例を読む

対象となるマイクロソフトのクラウド サービス

  • Azure および Azure Government 詳細リスト
  • Cloud App Security
  • Microsoft Health Bot Service
  • Microsoft Stream
  • マイクロソフト プロフェッショナル サービス: Azure、Dynamics 365、Intune、Office 365 の Medium Business および Enterprise のお客様への Premier およびオンプレミス サービス
  • Dynamics 365 および Dynamics 365 U.S. Government 詳細リスト
  • Microsoft Flow クラウド サービス (スタンドアロン サービス、または Office 365 および Dynamics 365 ブランド プランあるいはスイートに搭載されているサービス)
  • Intune
  • Office 365、Office 365 U.S. Government、Office 365 U.S. Government Defense 詳細リスト
  • Power Apps クラウド サービス (スタンドアロン サービス、または Office 365 および Dynamics 365 ブランド プランあるいはスイートに搭載されているサービス)
  • Power BI クラウド サービス (スタンドアロン サービス、または Office 365 および Dynamics 365 ブランド プランあるいはスイートに組み込まれているサービス)
  • Azure DevOps Services

Azure で HIPAA/HITRUST ソリューションのデプロイメントを加速させる

「Azure のセキュリティとコンプライアンスのブループリント - HIPAA/HITRUST のヘルス データと AI」によって、ヘルス データ ソリューションにクラウドのメリットを活用する点で一歩リードしましょう。このブループリントには、HIPAA/HITRUST ソリューションの構築を今すぐ始めるためのツールとガイダンスが用意されています。

Azure HIPAA/HITRUST ブループリントを使い始める

HIPAA と HITECH Act の概要

Health Insurance Portability and Accountability Act (医療保険の携行性と責任に関する法律) (HIPAA) は、個人を特定できる医療情報の使用、開示、および保護に関する要件を策定する米国の医療に関する法律です。この法律は、患者の保護医療情報 (PHI) へのアクセス権を持つ対象となる法人 (医院、病院、医療保険会社、および他の医療関連会社) だけでなく、代理で PHI を処理するクラウド サービス プロバイダーや IT プロバイダーなどのビジネス アソシエートにも適用されます(対象となる法人のほとんどは請求やデータ処理を自身で行わずに、ビジネス アソシエートに任せています)。

この法律では、以下の 4 つの一般的な分野で PHI の使用と配布が規制されています。

  • プライバシー: 患者の機密性を対象としています。
  • セキュリティ: 物理的、技術的、および管理上の保護などの情報の保護を扱います。
  • 識別情報: 研究目的で収集される場合に公表できない情報です。
  • 資格、保険金請求、支払いなどの、医療関連のトランザクションでのデータの電子送信のコード。

HIPAA の対象範囲は、Health Information Technology for Economic and Clinical Health (HITECH) Act の制定によって拡張されました。HIPAA と HITECH Act の規則には次の項目があります。

  • HIPAA Privacy Rule: 個人が自分の個人情報の使用を制御する権利に焦点を当てていて、PHI の機密性を対象とし、PHI の使用と開示を制限しています。
  • HIPAA Security Rule: 未承認のアクセス、使用、および開示から電子 PHI を保護するための、管理上、技術的、および物理的な保護の基準を制定しています。組織上の要件も Business Associate Agreements (BAA) として含まれています。

HITECH Breach Notification Final Rule: 保護されていない PHI の違反が発生した場合には個人と政府に通知することを要求しています。

コンプライアンスを一元管理する

Compliance Manager により、マイクロソフトのクラウド サービスを利用する際、リアルタイムのリスク評価を実施し、実用的なインサイトを提供して、コンプライアンス プロセスを簡素化することができます。

Compliance Manager を今すぐ試すセキュリティ、プライバシー、コンプライアンスに関するブログを読む

よく寄せられる質問

すべて展開

マイクロソフトは、対象のマイクロソフト サービスをカバーする BBA を資格のある企業またはそのサプライヤーに提供しています。

  • マイクロソフト クラウド サービスの場合: HIPAA の対象となる法人またはビジネス アソシエートであるすべてのお客様に既定で、オンライン サービス条件により HIPAA Business Associate Agreement を提供しています。この BAA でカバーされるクラウド サービスの一覧については、この Web ページの「対象になるマイクロソフトのクラウド サービス」を参照してください。

マイクロソフト法人サポート サービスの場合: マイクロソフト サービスの営業担当者に要請していただくことで、対象のマイクロソフト法人サポート サービスの HIPAA Business Associate Amendment を入手できます。

いいえ。BAA の提供によってマイクロソフトはお客様の HIPAA 準拠を支援しますが、マイクロソフト サービスを使用すること自体でそれを達成することはありません。お客様がご自身の責任で、適切なコンプライアンス プログラムと内部プロセスを実施して、マイクロソフト サービスの特定の使用を HIPAA と HITECH Act に準拠させる必要があります。

マイクロソフト サービスはすべてのお客様に同じ内容で提供されるサービスであり、全員に対して同じ手続きに従う必要があるため、マイクロソフトは HIPAA BAA を修正することはできません。ただし、マイクロソフトの HIPAA 規制対象のお客様とそのサービス用の BAA を作成するために、マイクロソフトは一部の米国の主な医学校および HIPAA プライバシー顧問および民間部門と公共部門の他の HIPAA 対象となる法人と連携していました。

Service Trust Portal では、中立的な監査によるコンプライアンス レポートを提供しています。監査人がマイクロソフト クラウド サービスの結果と顧客の法的規制要件を比較できるように、このポータルを使用して監査レポートを要求できます。

お客様の作業を支援するために、マイクロソフトは以下のガイドを公開しています。