HIPAA とは？

HIPAAのセキュリティ規則は、カバーエンティティとそのビジネスアソシエイトに対して、電子PHI（ePHI）の機密性、完全性、可用性を確保するための管理的、物理的、技術的保護措置を実施することを要求します。技術的保護措置にはアクセス制御、監査制御、完全性制御、転送セキュリティが含まれており、暗号化は保存中と転送中の両方のデータに対する対処可能な実装仕様として記載されています。

プライバシー規則は誰がどのような状況でPHIにアクセスできるかを規制し、「最小限必要」の基準を確立します。これは最小権限の医療版です。組織は特定の目的に必要なもののみへのPHIアクセスを制限しなければなりません。違反は深刻なペナルティを招きます。罰金は違反1件あたり100ドルから50,000ドル（違反カテゴリーごとに年間最大150万ドル）の範囲で、故意の怠慢は刑事告発につながる可能性があります。

実際のHIPAAコンプライアンスは、医療組織が機密情報をどのように共有するかを（内部的にも外部パートナーとも）慎重に制御することを要求します。医療システムの暗号化されていないクレデンシャルをメールで送ったり、データベースパスワードを平文で共有したり、永続的なチャットチャネルにアクセスキーを残したりすることは、すべてコンプライアンスリスクを生み出します。暗号化とアクセス制御の要件は、ePHIに触れるすべてのシステムにわたって拡張されており、これらのシステムへのアクセスに使用するクレデンシャルも含まれます。

Vaulted における HIPAA の使われ方

VaultedはHIPAAコンプライアンスが必要な医療環境でクレデンシャルと機密データを安全に共有するためのチャネルを提供します。ITチームがePHIを含むシステムのデータベースクレデンシャル、システムパスワード、またはAPIキーを共有する必要がある場合、VaultedのクライアントサイドAES-256-GCM暗号化により、データはブラウザを離れる前に暗号化されます。ゼロナレッジサーバーは決して平文を見ず、自己消滅リンクは最小限必要の原則に沿った時間制限付きアクセスを適用し、オプションのパスフレーズ保護は追加のアクセス制御レイヤーを追加します。