表1にはPHIがあり、暗号化されています。表2にはPHIがなく、暗号化されておらず、表1への外部キーがあります。
最強のセキュリティをお勧めしたいです。 HIPAAに要件がある場合、それはオプションではなく、実行する必要があります。 ISO/IEC 27001のような標準化団体の一部である場合は、その標準に準拠するために行う必要があります。それがベストプラクティスである場合、それは理想的ですが、パフォーマンスへの影響に対してベストプラクティスを説得するのは困難です。
1)HIPAAには、表2の表1への外部キーに関する要件がありますか?
2)表2の表1への外部キーの要件があるISO/IEC 27001のような規格はありますか?
3)表2の表1の外部キーをカバーするベストプラクティスまたは同様のものはありますか?
ポイントに従ってあなたの質問に答えるために:
1)純粋な意味ではありません。 PHIとは、臨床データ(診断、CPTコード、テスト結果など)と組み合わせた識別可能な患者情報(名前、住所、社会保障番号など)を意味します。外部キー自体はPHIではありません。
2)HIPAAについて私が知っているわけではありません-HIPAAは、明確で明確な基準というよりも、より一般的なガイドラインです。
3)はい!特定のデータのリリースが会社や顧客に問題を引き起こしたり、特にHIPAA違反通知をトリガーしたりする可能性があることを心配する場合は、暗号化してください。 HIPAAを使用する場合は、暗号化の側面を誤ることが常に最善です。適切に暗号化されたデータが危険にさらされた場合、これはレポート要件をトリガーしません。これは会社の命を救うことができます-特に小さな会社です。
免責事項:私はHIPAAの基本的な理解しか持っていません。
暗号化されたデータが暗号化されていない形式でアクセスできない限り、外部キーを介してそれは許容できると思います。外部キーが特定のPHIとは関係のない何らかのIDである場合、キーを暗号化する必要はありません。