ペイメントカード業界（PCI）と同様の、保護された健康情報セキュリティの明確な基準はありますか？

Question

クレジット情報の取り扱いについては、以下を参照してください。

https://www.pcisecuritystandards.org/security_standards/

PHIにも同様の基準がありますか？開発中ですか？

Arien Malec · Accepted Answer

全体的な目的を確立するHIPAAセキュリティルールがあります。

http://www.hhs.gov/ocr/privacy/hipaa/administrative/securityrule/index.html

これに加えて、相互運用性と信頼の追加条件を確立する必要がある今後のONC NwHINガバナンス規則があり、私は、たとえば、セキュリティ標準の優れたモデルとしてPCIを指摘しました。（そのガバナンス規則はNwHIN認定エンティティに適用されますが、HHS公民権局はHIPAAに該当するすべての組織に適用される規則を確立します）。

私は、医療計画と病院による一般的な「HIPAA」監査（OCRアクション以外には、公式のHIPAA認定または監査と呼ぶことができるものがないため、怖い引用符）とPCIコンプライアンス監査を経験しました。PCIコンプライアンスははるかに厳しいプロセス。

一般に、PCIに準拠している場合（リスクの違いによる賢明な調整-カード会員データの開示とPHIの開示）、HIPAA対象エンティティとBAの通常の慣行をはるかに上回ります。

Marshall Anschutz · Answer

HIPAAは、従うべきいくつかのポリシーを（大まかに）説明しており、HITECH法は、それらの規定のいくつかをさらに定義しています。これらの規定の詳細については、 Wikipedia HIPAAの記事を参照してください。

これらの規定は米国で義務付けられていますが、他の国についてはよくわかりません。ヘルスケアは国によって異なる方法で扱われる傾向があるため、PCIのようなグローバルスタンダードはありません。

Jeff Ferland · Answer

PCIには、包括的な要件（目的）とそれらを達成する方法（制御）に関する詳細があります。 HIPAAは包括的な要件に限定されており、セキュリティ準拠として認定されるための監査の具体的な詳細を指定していません。

HIPAAセキュリティコンプライアンスの世界では、情報の不適切な開示を防ぐためのベストプラクティスを実装することが重要です。