web-dev-qa-db-ja.com

HIPAAとHTTPS

法的な運用要件の一部としての医療/製薬分野では、個人の医療情報を移動するために、全員がHIPAA標準( http://health.state.tn.us/hipaa/ )に準拠する必要があります。これは、たとえば、識別可能な個人情報で送信される電子メール通信を暗号化する必要があることを意味します。

X社が、MAAS360を搭載した特別に提供されたタブレットにロックダウンされた医師向けのアプリスイートを作成したとします。アプリ自体は、オンラインでも簡単にアクセスできますが、公に宣伝されていないWebポータルを経由します。 Webポータルがhttps://で保護されていない場合、医師が使用するときにこのスイートが患者データの保護においてHIPAAに準拠していない可能性があることが懸念されます。

私の質問は次のとおりです。

  1. システムがhttpsを使用していないが、プロセスの後半で何らかの非https暗号化を使用している場合でも、それは安全ですか? (私の推測は違いますか?)
  2. ...それはHIPAAにとって十分に安全ですか?
  3. ... HIPAAのセキュリティ要件は合理的な要件ですか、それともセキュリティの幻想を与えることを目的とした官僚的なナンセンスですか?
encryptiontlshipaa
1
sharedphysics
  1. 暗号化されていない場合は、準拠していません。たとえば、常にVPNを介している場合は、プレーンHTTPを使用できますが、ここではそうではありません。
  2. これに適切に答えるには、より詳細な情報が必要です。
  3. HIPAAは正しい考え方をしていると思います。特定のテクノロジーではなく、グッドプラクティスを指定します。もちろん、官僚的なナンセンスでほぼすべての要件を満たす余地は常にありますが、HIPAAでは要件を満たす必要はありません。
3
Jeff Ferland