MySQL データベースのセキュリティ強化に取り組んでいます。具体的には、データベースにはクライアントの患者の健康情報 (いわゆる PHI) が保存されており、患者の名前やその他の識別情報を健康データから分離したいと考えています。この問題へのいくつかのアプローチは何でしょうか?
私は 1 つのアイデアを考えました: さまざまな識別データを結び付けるための 1 つのキーと、健康情報をリンクするための別のキーを維持します。これらは、臨床ユーザーがログインしている場合にのみ使用できる特別な「コード化されたキー」を使用して互いにマッピングされます。そのアプローチについて考えている人はいますか?
個人を特定できる情報と健康情報 (dx、症状、プロバイダー、支払いなど) を組み合わせることは PHI です。ここでは、PHI の詳細について説明します。PIIにはあらゆる種類のものを含めることができます
PHI の保護に関して、HIPAA はそれについて規定していません。これは HIPAA の主要な問題の 1 つであり、HITRUST が業界で人気を博している理由でもあります。セキュリティの観点からのあなたの推論は非常に理にかなっていますが、最終的にセキュリティはコンプライアンスとは異なります.
Catalyzeでは、HIPAA 監査を 2 回、 HITRUST監査/評価を 1 回受けており、すべてサードパーティの監査人を使用しています。私たちは、あなたが説明した方法と同様に、PII と健康データをセグメント化するように API を設計しました。私たちの監査人は、セグメンテーションは不要であるという Ollie の意見に同意しましたが、PHI 違反のリスクを軽減するための追加の方法であると感じました。結局のところ、私たちはプラットフォーム上のすべてのデータを PHI として扱い、それに応じて保護しているため、準拠するためにデータをセグメント化することは問題ではありませんでした。最終監査レポートでは、医療データから PII をセグメント化することは、HIPAA の特定の要件に対応していませんでしたが、全体的なセキュリティ体制の一部として言及されていました。
それが役立つことを願っています!