BAAの満足のいく保証要件
HIPAAのプライバシールールは、対象となる団体(病院、健康保険プラン、医療クリアリングハウス)が、保護された健康情報にアクセス、使用、または作成するすべてのベンダーとビジネスアソシエイト契約を締結することを要求します。BAAには、ビジネスアソシエイトがPHIを保護するために適切な保護措置を実施するという「満足のいく保証」が含まれている必要があります。具体的には、45 CFR 164.308、164.310、164.312の管理的、物理的、技術的保護要件です。
「満足のいく保証」の基準は、規制内で具体的に定義されていません。OCRの執行ガイダンスは、保証は契約上の声明だけでなく、文書化された証拠に基づく必要があることを示しています。ビジネスアソシエイトが実際に必要な保護措置を実施しているという証拠を取得せずにBAAに署名する対象団体は、ビジネスアソシエイトがその後BAAを違反した場合に適切な注意義務を示すことができません。
ISACAの2024年の統一管理フレームワーク分析によると、ISO 27001の認証は医療監査の重複を**60%**削減します。これは、ISO 27001の管理がHIPAAのセキュリティ要件にどの程度マッピングされているかを反映しています。このマッピングは完璧ではありません(HIPAAにはISO 27001が扱っていない医療特有の要件が含まれています)が、BAAの適切な注意義務が要求する技術的および組織的保護の大部分をカバーしています。
管理のマッピング
ISO 27001附属書Aの管理は、3つの保護カテゴリーにわたるHIPAAセキュリティルールの要件にマッピングされています:
管理的保護(164.308): ISOの管理A.5(情報セキュリティポリシー)、A.6(情報セキュリティの組織)、A.7(人的資源のセキュリティ)、A.8(資産管理)は、セキュリティ管理プロセス、割り当てられたセキュリティ責任、労働力のセキュリティ、情報アクセス管理、セキュリティ意識、緊急時対応計画に関するHIPAAの要件に対処しています。
物理的保護(164.310): ISOの管理A.11(物理的および環境的セキュリティ)は、施設のアクセス制御、ワークステーションのセキュリティ、デバイスおよびメディアの制御に対処しています。
技術的保護(164.312): ISOの管理A.9(アクセス制御)、A.10(暗号化)、A.12(運用セキュリティ)、A.13(通信セキュリティ)は、アクセス制御、監査制御、整合性制御、伝送セキュリティに対処しています。
地域医療システムのユースケース
大規模な地域医療システムのコンプライアンスオフィスは、PHIの非特定化サービスを提供するビジネスアソシエイトからのBAAに基づく「適切な保護措置」の証拠を要求しています。コンプライアンスオフィサーは、ISO 27001の証明書と管理要約を要求します。証明書は、管理クロスウォーク文書内のHIPAA 164.308、164.310、および164.312の要件にマッピングされています。コンプライアンスオフィサーは、BAAファイルに満足のいく保証を文書化し、カスタム150質問のセキュリティ評価を必要とせずにOCR監査要件を満たす証拠を提供します。
出典: