私は医療請求とEHRソフトウェアを開発しています。完了したら、ホスティングにAWSを使用してSAASを提供することを計画しています。
HIPAAコンプライアンスを維持するために、MySQLデータベースを暗号化する必要がありますか?保存データのHIPAA要件は知っていますが、Amazon Webサービスにどのように適用されるのかわかりません。
HIPAAに準拠するためにMySQLデータベースを暗号化する必要がありますか?
システム全体の構築方法によっては必要ない場合もありますが、暗号化していただければ幸いです。
最初に、システムに存在するPHI(保護された健康情報)と、それがシステムをどのように移動するかを特定する必要があります。クライアントがあなたに送信されたデータをすでに匿名化または匿名化していない限り、受け取るデータのeveryはPHIであることが適切な前提です。
レコードに含まれる勤務日と患者の名(または姓)により、そのレコードがPHIになります。
暗号化せずにデータベース内のPHIを保護できると思われる場合は、PHIに他の十分な保護機能があることを示す適切なセキュリティ引数を提供できる必要があります。あなたがその主張をすることができたとしても、徹底的な防御の原則は、主要な保護が失敗した場合に備えて、追加の保護(暗号化など)を奨励します。
HIPAAは法律であり、HIPAA要件に準拠しないと、民事および犯罪者になる可能性があるため、会社の法務チームと話し合う必要があります(== --- ==)犯罪者ペナルティ