私たちのクライアント (薬局) は、HIPAA 準拠サービスである API に送信するフォームを Web サイトに用意したいと考えています。私たちはデータを保存せず、送信するだけです。私たちのサーバー/システムは HIPAA に準拠している必要がありますか?
答え1
コンプライアンスはそうやって機能するわけではありません。サービスを使用したり、サーバーを保護したりして、HIPPA 準拠のボックスにチェックを入れるだけではだめなのです。
例えばセキュリティルールに関するHHSのメモ対象となる医療協会またはビジネス関係者のいずれかが、保護された医療情報を保護するためのプロセスを維持する必要があります。送信中だけでなく、保存時にも保護されます。
これは技術的な制御よりも広範囲です。当然、HTTPS リクエストなどの暗号化されたトラフィックのみを許可します。ディスクを暗号化するのは良い考えでしょう。また、従業員に適切な手順をトレーニングして、業務に必要なことだけを確認し、違反を報告するようにします。一般的に、正式なリスク軽減プロセスを実装します。
万が一、侵入され、このフォームの送信データが流出した場合、患者のプライバシーが侵害され、場合によっては責任も問われることになります。
送信される PHI の内容と、それに対する責任についてコンプライアンス担当者に回答を求めます。PHI が対象範囲に含まれる場合、担当者から質問を受けることになります。