医師が暗号化されたX線を別の医師に送信するための良い方法は何でしょうか？

あなたはあなたの国（アメリカのHIPAA）の医療セキュリティとプライバシー法を満たさなければならないので、そのような医療情報を送ることは非常にトリッキーです。 PGPのようなものを使用して電子メールを暗号化でき、これは合法的に罰金を科せられる場合があります（ただし、私は弁護士ではありません）。 PGPを介して実装された暗号化は、電子メールクライアントでかなり優れたサポートを提供するため、データを共有するほとんどの場所で機能します。ただし、これは非常に使いにくいソリューションです。私はそのようなPHIに電子メールを送る必要がないほうがはるかによいでしょう。それでも、データへのアクセスの監査と適切なアクセス制御について心配する必要があります。

本当に必要なのは、2つの医療提供者間のコラボレーションを可能にするソフトウェアです。これはあなたの組織にあなたが現在持っているものよりも多くの力を与えるでしょう。このソフトウェアは、2つの医療行為の間の安全な通信を処理します。また、このデータを標準ベースのはるかに簡単な方法で共有することもできます。

補足として、私は Healthcare Industry Stack Exchangeの提案 を始めました。このような質問に興味がある人は、参加を検討してください。

電子メールを使用する場合は、暗号化された電子メールが必要です。 2つの標準的なソリューションがあります： S/MIME および OpenPGP 。前者はすでに多くの電子メールアプリケーションでサポートされており、X.509証明書を使用しています。後者にはいくつかのアドオンが必要です。これらは多くのアプリケーションに存在し、使用するのにそれほど難しくありません。

しかし、あなたは電子メールを使いたいですか？ X-Rayの写真はかさばる場合が多く、電子メールの信頼性は思ったほど高くありません。特に、ファイルは医師が使用する電子メールサーバーに保存されるため、サーバーの構成に応じて、バックアップが作成されるか、バックアップが作成されません。また、話す価値のある分類やインデックスはありません。最後に重要なことですが、機密であると想定されている医療データの配布は、管理され、監査可能であることが想定されています。対処すべき法的詳細がたくさんあります。

現在、医療データを処理し、関係する医師間で共有するためのシステムとネットワークをセットアップしようとしている国（しかし、他の誰も！）は、それが大変な作業であり、多くの思考と手順を必要としていることに気づいています。私の経験では、電子メールではなく、集中型アーキテクチャが推奨されます（つまり、X-Ray画像はスマートカードを使用したアクセス制御で中央データベースに保存されます）。

私が勤務している大規模な病院（従業員が10000人以下）（ユーザー名にもかかわらず医師ではありません）には、この厄介な問題に使用する安全なファイル転送Webアプリケーションがあります。

ワークフローは https://transfer.examplehospital.org に行く医者を送ることで機能します

病院の資格情報を使用してサインインし、ファイルをアップロードして、1人以上の受信者を指定し、場合によってはメッセージを追加します。ファイルはWebアプリケーション内で暗号化されて保存されます。

相手Aがexamplehospital.org、ここへのリンクをクリックしてください。新しいユーザーの場合は、アカウントを作成します。彼らは電子メールで有効期間の短い登録トークンを取得し、それをクリックして、パスワードを設定できます。これで、ユーザーはアプリケーションにログインし、https（暗号化）経由で画像をダウンロードできます。

同様に、別の機関の医師は、ログインしてアカウントを作成し、画像をアップロードして、その機関の医師に送信することで、暗号化されたPHIを送信できます。 （ただし、送信者または受信者のいずれかが所属機関にいる必要があります）。

病院はこのサービスを自分で作成しませんでした。下部のロゴは、それが加速によって行われたことを示し、多くの類似の競合製品が存在する可能性があります。 （私は、セットアップ/メンテナンスのコスト/使いやすさについては詳しくありません。ユーザーの観点から見ると、比較的簡単に使用できることを除けば、侵害された電子メールアカウントにPHIを送信することに注意する必要があります）。しかし、このような製品は存在し、うまく機能します。 「secure file transfer hipaa」のようなものを検索します。

編集：私は明確にする必要があります、これは通常のファイル転送には使用しないでください。ただし、メールで送信する必要があると感じる可能性があるファイルのタイプのみ（たとえば、これまでに一度も作業したことがないリモートクリニックに転送する患者の場合など）。日常的なケースでは、関連機関の一部の医師/患者がリモートPACSに画像を便利な方法でプッシュできるワークフローをセットアップする必要があります。

製品の推奨事項をお伝えすることはできませんが、この種のコラボレーションをサポートするソフトウェアを設計している場合、私が検討する1つのオプションは、それをWebサービスとして実行することです。Webサイトにログインし、ファイルをアップロードできます。他の医師にファイルをダウンロードさせます。これにより、特別なソフトウェアが不要になります。一方、ファイルが非常に大きい場合、アップロードとダウンロードに時間がかかりすぎる可能性があります。

今のところ、これは通常、ファイルをDVDに焼き付けてから、そのDVDを他の医師に運ぶか、郵送でDVDを送ることによって行われているという、表面的な印象があります。これは、特定の落とし穴（DVDでの自動実行の使用など）を回避する限り、かなり合理的なアプローチのようです。

たとえば、Jeremy Epsteinによる 医者のところに行き、サイバーセキュリティについて心配する を参照してください。 （そこでもコメントを読んでください。）

誰もこれを提供しなかったことは興味深いです：なぜSFTPまたはFTPSサーバーを使用せず、IPアドレスでアクセスをロックし、ユーザーは暗号化されたドライブに保存されている自分のホームフォルダーのみに制限されていますか？私は中規模の病院で働いており、この設定を使用してHIPAA情報を毎日転送しています。システム管理者が最初に設定し、IPアクセスリストを最新の状態に保つ（特にエンドユーザーがdhcpで接続している場合）には、毎週少し時間がかかりますが、すべての準備が整うと、非常に時間がかかります。ケンが探しているもののための簡単で許容できるソリューション。

このようなソリューションを取得する方法の詳細が必要な場合はお知らせください。詳細をお知らせいたします。