HIPAA（技術的セーフガード）とは何ですか？

HIPAA（米国医療情報保護法）のセキュリティルールにおける技術的な保護要件。アクセス制御・監査ログ・暗号化など5分野を規定し、電子的に扱う医療情報を守る。

HIPAA（技術的セーフガード）のポイントは？

アクセス制御・監査ログ・完全性保護・送信セキュリティ・認証の5要件が柱。PHI（保護医療情報）を電子的に扱う全システムに適用義務がある。違反には最大190万ドル/年の罰則があり、ビジネスアソシエイトも対象。「Required（必須）」と「Addressable（対応可）」の2段階で実装の柔軟性がある

【ヒパア（ぎじゅつてきセーフガード）】

HIPAA（技術的セーフガード）とは？

💡 患者データを守る5つの鍵束——HIPAA技術的セーフガードは病院のITセキュリティ通知表

📌 このページのポイント

アクセス制御・監査ログ・完全性保護・送信セキュリティ・認証の5要件が柱
PHI（保護医療情報）を電子的に扱う全システムに適用義務がある
違反には最大190万ドル/年の罰則があり、ビジネスアソシエイトも対象
「Required（必須）」と「Addressable（対応可）」の2段階で実装の柔軟性がある

HIPAA技術的セーフガードの5要件がPHIを守るイメージ

ひよこ

HIPAAって何？医療系のセキュリティの話なの？

ペンギン先生

そうだよ。HIPAAは米国の医療情報保護法で、患者の電子カルテや健康情報（PHIって呼ぶよ）をどう守るか定めているんだ。技術的セーフガードはその中のIT要件のまとまりだよ。

ひよこ

具体的にどんなことをしなきゃいけないの？

ペンギン先生

5つの柱があるよ。①アクセス制御（必要な人だけがデータを見られる）、②監査ログ（誰がいつ何を見たか記録する）、③完全性保護（データが改ざんされていないか確認する）、④送信セキュリティ（通信を暗号化する）、⑤個人認証（本人確認をしっかりする）だよ。

ひよこ

全部必ずやらなきゃいけないの？

ペンギン先生

RequiredとAddressableの2種類があってね。Requiredは必ず実装しなきゃいけない。Addressableは自社の状況に合わせて代替手段を選べるんだ。でも「やらなくていい」という意味じゃないから注意が必要だよ。

ひよこ

違反したらどうなるの？

ペンギン先生

最大190万ドル（約3億円）の罰金が年間で科される可能性があるんだ。しかも病院だけじゃなく、医療データを扱う開発会社やクラウドサービス（ビジネスアソシエイトと呼ぶ）も対象になるよ。

ひよこ

日本企業でも関係あるの？

ペンギン先生

米国向けの医療アプリやSaaSを開発・運用するなら関係があるよ。たとえば電子カルテのクラウドサービスを米国の病院に提供するなら、HIPAA準拠は必須条件として契約に入ってくることが多いんだ。

ひよこ

AWSとかは対応してるの？

ペンギン先生

AWS・GCP・Azureはすべて医療業界向けにBAA（ビジネスアソシエイト契約）を提供しているよ。ただしクラウド基盤がHIPAA対応でも、その上で動くアプリの設計は開発者が責任を持たなきゃいけないから、責任共有モデルをちゃんと理解することが大事だよ。

まとめ：ざっくりこれだけ覚えればOK！

「HIPAA技術的セーフガード」って出てきたら「米国の医療データを守るITセキュリティ義務」と思えればだいたいOK！

📖 おまけ：英語の意味

「HIPAA Technical Safeguards」＝医療情報の携帯と責任に関する法律の技術的保護措置

💬 HIPAAはHealth Insurance Portability and Accountability Actの頭字語だよ。1996年に制定された米国の連邦法で、技術的セーフガードはそのセキュリティルール（2003年制定）の一部だよ

← 用語集にもどる

HIPAA（技術的セーフガード） とは？

HIPAA（技術的セーフガード）とは？