HIPAA の概要

1996 年に制定された健康保険の携帯性と責任に関する法律(Health Insurance Portability and Accountability Act, HIPAA)は、患者の医療データおよび健康情報を保護することを目的とした米国の法律で、医師、病院、医療サービス提供者、その他の医療データを扱う事業体に適用されます。

HIPAA は、パスワード管理が HIPAA コンプライアンス計画の一部であることを要求しています。45 CFR §164.308(a)(5)に従って、該当する事業体は「パスワードの作成、変更、および保護のための手順」を実施しなければなりません。パスワード管理とパスワードマネージャーは同じものではないことに注意してください。パスワード管理はパスワードを管理する行為を指し、パスワードマネージャーはパスワード管理を支援するソフトウェアです。したがって、HIPAA はパスワード管理を義務付けていますが、その具体的な方法については明示していません。

パスワードマネージャーの HIPAA 要件

パスワードマネージャー自身は保護された医療情報(PHI)を保存しないため、HIPAA 準拠である必要はありません。ビジネスアソシエイト契約やビジネスアソシエイト下請け契約について心配する必要はありません。ただし、パスワードをどのように作成、保存、変更、および保護しているかを監査人に示す必要があります。

具体的には、次の質問に答える必要があります:

  • 誰がそのパスワードを使用したのか?
  • 誰がそのパスワードにアクセスできるのか?
  • 最後にパスワードを変更したのはいつか?
  • パスワードポリシーは何か?
  • あなたのユーザーはパスワードポリシーに従っているか?
  • パスワードを保護するためにどのようなセキュリティ対策を講じているか?
  • パスワードが危殆化したことをどうやって検出するか?
  • ユーザーのオンボーディングおよびオフボーディングのプロセスにどのように組み込まれているか?

したがって、パスワードマネージャーは HIPAA に厳密には言及されていませんが、HIPAA 遵守を行い適切な実践を監査人に示すために必要なツールです。

Psono がこれらの質問に答える方法

Psono は最高クラスのパスワードマネージャーの 1 つです。軍用グレードのセキュリティとエンタープライズレベルの管理機能を提供し、ユーザーの生産性向上を目指しています。

  • 誰がそのパスワードを使用したのか?

Psono Enterprise Edition には詳細な監査ログがあり、ユーザー名や IP アドレスなどのメタデータと共に全てのシークレットへのアクセスを記録します。監査ログはテンプル回避のために別のサーバーに送信されます。

  • 誰がそのパスワードにアクセスできるのか?

すべてのパスワードの権限を確認し、どのユーザーがアクセスできるかを確認できます。グループに基づいたアクセスを監査するオプションにより、監査プロセスが簡単になります。完全な管理権限を持ち、監査人に遵守状況を簡単に示すことができます。

  • 最後にパスワードを変更したのはいつか?

パスワードの履歴全体が追跡され、パスワードが最後に変更された日時も記録されます。完全な履歴はパスワードが実際に変更されたことを示します。

  • パスワードポリシーは何か?

ブルートフォース攻撃に耐えうる強力なランダムパスワードを強制し、特定の長さと複雑さの要件を備えたパスワードを作成できます。

  • あなたのユーザーはパスワードポリシーに従っているか?

組み込みのセキュリティレポートにより、監査人は実際のパスワードを公開せずにユーザーの一般的な遵守状況を確認できます。ポリシーの全体的な受け入れ率は確認され、個別のユーザーおよびパスワードにまで掘り下げてチェックできます。

  • パスワードを保護するためにどのようなセキュリティ対策を講じているか?

Psono はデータを転送中および保存時に保護するために強力な暗号化を使用しています。さらに、システム全体のセキュリティを高めるために、さまざまな第二要素を強制することができます。Psono をオンプレミスでホストするオプションにより、ネットワーク制限や VPN アクセスなどの追加のセーフガードを実装できます。

  • パスワードが危殆化したことをどうやって検出するか?

Psono の侵害検出機能を使用して、10,000,000,000 以上のアカウントがデータベースに登録されている最大のデータ侵害プロバイダーである haveibeenpwned.com の公共サービスに対してすべてのパスワードをチェックできます。

  • ユーザーのオンボーディングおよびオフボーディングのプロセスにどのように組み込まれているか?

Psono は LDAP、SAML、または OIDC プロバイダーとの接続機能を備えており、中央でアクセスを管理できます。ユーザーは自分のアカウントで自動的にオンボーディングされ、グループに基づいてアクセスが許可され、会社を退職するときには追加の手間や時間をかけずに無効化されます。

次のステップに進む準備ができたらsales@psono.comにご連絡ください。私たちがどのようにお手伝いできるかをさらに学びましょう。

March 07, 2021 に Sascha Pfeiffer によって執筆された
Psonoドキュメント

もっとお探しですか?

ここで最新の記事をチェックしてください!