web-dev-qa-db-ja.com

HIPAA準拠の電子メールの送信

小規模オフィスでは、クライアントの人事部門がHIPAAの対象となる資料に関して一部のベンダーと連絡を取る必要があります。ほとんどの企業は、HIPAAに関する電子メールの安全な送信にどのように対処していますか。ベンダーに安全なメッセージングサーバーへのログインを要求するのではなく、電子メール自体を暗号化したいのですが、これが一般的かどうかはわかりません

6
Brett G

データをエンドツーエンドで暗号化する必要があります。 TLSを使用して、システムに電子メールを送信できます。他の会社がHIPAAおよびhitechに準拠していない限り、他の会社に電子メールを送信することはできないことに注意してください。それらのePHIはすでに暗号化された形式で保存されている必要があるため、送信前にデータを暗号化することを心配する必要はありません。メッセージの暗号化はアドレス可能なセキュリティ対策であるため、これが不合理である理由を示す必要があります。また、電子メールの宛先となる人だけが電子メールを開くことができるようにする必要があります。最も簡単な解決策は、Outlook機能を使用してメッセージに署名および暗号化し、受信者に証明書を送信することです(最初に署名されたメッセージを相互に送信します)。

安全を確保するために多くのインフラストラクチャが必要になるため、Webサイトベースの個別のメールはお勧めしません。これは、エンドユーザーがパスワードを共有するなどのことをした場合にも責任を負う可能性があります。相手にセキュリティの責任を負わせるのが最善です。

5
Jim B

最も一般的な方法は、プレーンテキストの電子メールを送信することだと思います(iPhone、Androidなどで読み取られる可能性があるため-電子メールの復号化が組み込まれていないデバイス)。 OTOH、すべてのデバイスはHTTPSを理解します。したがって、プレーンテキストの電子メールには、「医療提供者からの安全なメッセージがあります。このリンクをクリックしてログインし、メッセージを表示してください」のようになります。

5
jftuga