私は病院で働いており、保険がその義務を支払った後、サービスが提供される前に、サービスに対する患者の総経済的責任を見積もる方法を開発しました. 多くの患者が見積もりを求めており、私は患者の要求に応じてそれらの結果を電子メールで送信する安全な方法を見つけたいと考えていました.
生成された見積もりからすべての患者情報を削除することを検討しているため、セキュリティ上の懸念はありませんが、電子メールを暗号化して送信し、患者の電子メール クライアントが電子メールを復号化できるようにする方法を見つけたいと考えています。
セキュリティ証明書の使用方法がわかりませんが、証明書のインターネット向けホスティングへのアクセスを許可するには、企業の面倒な手続きを踏まなければならないにもかかわらず、セキュリティ証明書が最善の選択肢かもしれません。電子メール以外のすべてのアプリケーションは病院です。サイドのみ。
また、生成されたレターから PDF を作成し、PDF を暗号化して、ソーシャルの最後の 4 つ、または見積もり生成プロセス中に共有されたその他の個人情報をパスワードとして割り当てることも検討しています。
すべての情報を含む SSL 暗号化サイトへのリンクを送信することをお勧めします。クライアント側で追加のソフトウェアを必要とせず、誰がアクセスしているかをもう少し制御およびアカウンティングできるようになります。
もちろん、何らかのユーザー名/パスワードで保護する必要があります。社会保障と電子メールで送信された生成されたハッシュを使用することもできます. ハッシュは、ユーザーがランダムな ssn を推測するのを防ぎます。
米国の病院に勤務している場合は、保護された健康情報を電子メールで送信しようとしないほうがよいでしょう。(他の国でも同様のことが言えます。) メッセージから患者の名前を消し去ったとしても、メッセージには間違いなく患者のメール アドレスが含まれています (当たり前!)。ほとんどの場合、診断、生年月日、提案された治療の日付、医療記録番号、または口座番号を持っています。それはすべて保護されたデータです。悪い。悪い。厳格な規制については、こちらを参照してください。
http://www.hhs.gov/ocr/privacy/hipaa/understanding/summary/index.html
これを行うには、TLS (https) セキュリティを使用する必要があります。また、安全な Web サイトにログインしている人物が本人であることを確認するためにも、アクセスをログに記録する必要もあります。
仕事と普通預金口座を大切にする場合は、PHI を含む電子メールを送信する前に、病院のプライバシー担当者に確認してください。ARRA 2009 法では、個人が企業で働いている場合でも、違反に対して個人的に責任を負います。さらに、あなたの病院は、ここでその名前を明かしたくありません。
http://www.hhs.gov/ocr/privacy/hipaa/administrative/breachnotificationrule/postedbreaches.html
暗号化されていない部分 (件名など) に「要求された情報はこちらです」などとだけ書かれていれば、暗号化された電子メールを使用できます。しかし、ご存知のように、医療を求める多くの人は、メール クライアント ソフトウェアへの複雑なアドインに対処することができません。
PGP 社は、一部の PHI 患者が使用する暗号化された電子メール ゲートウェイ システムを提供しています。
http://www.pgp.com/products/universal_gateway_email/index.html
ただし、プライバシー担当者に確認する必要があります。
私の知る限り、受信者も同じ電子メールクライアントを使用していない限り、これは本質的に不可能です。問題は、自分の側で暗号化しても、復号化する機能がないという理由だけで、受信者がガベージメッセージを受信することです。
私がこれを入力している間、TomWilsonFLは可能な暗号化方法に関する情報を投稿しましたが、それでも受信者にデータを復号化するためのアプリケーションを提供する必要があります。