HIPAAの対象となる可能性のある新しいWebサイトを構築しています。しかし、私は通常、データにアクセスする必要はありません。個人を特定できる部分を暗号化するか、何らかの方法でエンコードして、ユーザーだけがそれらを復号化またはデコードできるようにした場合でも、HIPAAは適用されますか?
これは HIPAAの回避に関する他の質問 に関連しています。
編集:私の当初のアイデアは、必要がないため、各ユーザーに独自のデータを保存させることでした。私が彼らのためにそれを保存することを考えている唯一の理由は、彼らがどこからでも簡単にアクセスできるようにするためです。
簡単な答えは「いいえ」だと私はかなり確信しています。データの暗号化はデータを公開から保護する方法ですが、スコープの定義は変わりません。
ユーザーが復号化できる場合、実際にはアプリケーションが復号化でき、少なくとも原則として、攻撃者がシステムを破壊して、アクセスしてはならない情報を表示/復号化する可能性があることを考慮してください。これを別の見方をすると、「ユーザーだけが...」と言うことは防御できないということです。ユーザーは、コンピューター上のソフトウェアによって促進されないことは何もできません。サードパーティによる復号化キーへのアクセスを許可する何らかの方法でシステムがハッキングされるリスクは常にあります。 HIPAAのスコープ内にデータを保持している場合、データを暗号化してもスコープから削除されません。