アプリを HIPAA に準拠するように構築していますが、アクセス トークンをリモート サーバーに保存したり、ローカル SQL で暗号化されたローカル データベース (SQLCipher など) を使用したりするにはどうすればよいでしょうか。
HIPAA 要件の性質を考慮すると、キーの適切な場所はサーバー上のみであり、モバイル デバイス上のローカルではないと結論付けることができます。
HIPAA 標準のセクション §164.312 には、次のように記載されています。
(a)(1) 標準: アクセス制御。§164.308(a)(4) で指定されているように、アクセス権が付与された人またはソフトウェア プログラムのみにアクセスを許可するために、電子的に保護された健康情報を維持する電子情報システムの技術ポリシーと手順を実装します。
ですから、より具体的に言うと、
1) 電話にアクセスできる人が最終的にキー/アクセス トークンを抽出できると仮定すると、ローカルのキー ストレージは HIPAA に準拠していないということですか?
2) メッセージング アプリを HIPAA に準拠させるにはどうすればよいですか? ユーザーはアプリを開くたびにパスワードの入力を求められるわけではないため、アクセス トークンは電話のローカルのどこかに保存されます。