1996年の医療保険の相互運用性と説明責任に関する法律 (Health Insurance Portability and Accountability Act of 1996: HIPAA) は、米国保健社会福祉省の一部である公民権局によって施行されています。私たちの視点からみると、医療業界におけるデータのサニタイズを含むデータセキュリティを強制する米国の規制です。
義務付けられているデータセキュリティに関する規制を遵守しなかった場合には、多額の罰金と罰則が科せられます。違反した組織には25万ドル以下の罰金と責任者に10年以下の懲役を科せられる可能性があります。
Blanccoは組織がHIPAAへの準拠を支援する製品を提供しています。Blancco消去ソフトウェアがカバーする規制の要素は、電子的に保護された医療情報の削除と監査に関するものです。特に以下のCFR 45 PART 164の規約は、データの消去要件を明確に定義しています:
§ 164.310 物理的な保護
(d)(1) 標準: デバイスおよびメディアの制御電子的に保護された医療情報が含まれたハードウェアおよび電子メディアの施設への搬入と搬出、および施設内でのこれらのアイテムの移動を管理するポリシーと手順を実施する。
(2) 実装の仕様:
(i) 廃棄(必須項目)。電子的に保護された医療情報、および/またはその情報が保存されているハードウェアまたは電子メディアの最終的な廃棄に対処するためのポリシーと手順を実装する。
(ii) メディアの再利用(必須項目)。メディアが再利用可能になる前に、電子メディアから電子的に保護された医療情報を削除するための手順を実施する。
(iii) 説明責任 (Addressable: 選択項目)。ハードウェアおよび電子メディアの移動とその責任者の記録を保持する。
このデータ消去に関する規約の要件は、電子的に保護された医療情報を含むすべてのメディア上でBlanccoのソフトウェアを使用することで実現できます。更に、Blancco製品のレポートおよび監査機能は、少なくとも §164.310(d)(2)(iii) で定義されている説明責任を実施するための解決策を提供しています。
Blanccoのソフトウェアは、次の要件で定義されているデータ消去の要件に準拠するためにも使用できます:
- 個人情報保護および電子文書法 (Personal Information Protection and Electronic Documents Act: PIPEDA)
- 2003年 公正及び正確信用取引法 (The Fair and Accurate Credit Transactions Act of 2003: FACTA)
- ペイメントカード業界データセキュリティ基準 (Payment Card Industry Data Security Standards: PCI DSS)
- 1995年 EUデータ保護指令 (EU data protection directive of 1995)
- 企業改革法 (Sarbanes-Oxley Act: SOx)
- グラム リーチ ブライリー法 (Gramm-Leach-Bliley Act: GLBA)
- カリフォルニア州上院法案 1386 (California Senate Bill 1386)
関連情報へのリンク: