米国の法律である健康保険の携行性と責任に関する法(HIPAA)は、保護された健康情報(PHI)のプライバシーとセキュリティを保護するための全国的な基準を定めています。これには、対象となるエンティティとそのビジネス ア関連付けが、電子メール、ペーパー、または代替形式全体で PHI の使用、公開、保護、アクセスの提供方法を管理するルールが含まれています。
注意
MongoDB Atlas共有責任モデルは、安全で回復力のあるデータ環境を維持するためのMongoDBとそのカスタマーの補完的な役割を定義します。このフレームワークの下、 MongoDB は基礎のプラットフォームのセキュリティと運用上の整合性を管理しますが、カスタマーは特定の配置の構成、管理、データ ポリシーに責任を負います。所有者セキュリティと運用上の優れ性の詳細な内訳については、 共有責任モデル を参照してください。
HIPAA の下:
MongoDBは ビジネス 関連付け です。つまり、対象エンティティに代わって PHI の使用や公開に関連する特定の機能やアクティビティを実行する、または 対象エンティティにサービスを提供するエンティティを指します。
MongoDB のカスタマーは通常、PHI を作成、受信、維持、または送信する、ヘルスプロバイダー、ヘルスプラン、ヘルスチェックポイントなどの 対象となりますが、MongoDB のカスタマーはビジネス関連付けにすることもできます。
保護医療情報(PHI)とは、対象組織またはビジネス関連者が保持する個別に識別可能な医療情報であり、例、住所、ソーシャル セキュリティ番号、医療レコード、テスト結果、保証情報などです。
HIPAA は、コンプライアンスのために次の主要ルールを確立します。
プライバシー ルール: 保護された医療情報(PHI)の使用および公開方法を管理し、個人情報を取得する権利を付与します
セキュリティ ルール: 対象エンティティとそのビジネス関連付けが個人の電子医療情報(ePHI)を保護する必要がある方法を決定します
違反通知ルール: 対象エンティティとそのビジネス関連付けが、安全でない PHI の違反が発生した後に通知を提供する方法を管理します
重要
MongoDB のプライバシーおよびデータ保護プログラム、ならびにデータ処理契約(Data Processing Agreement)に関する詳細は、以下をご参照ください。
MongoDB は、 HIPAA セキュリティ ルール へのコンプライアンスの独立した評価を完了しました。独立した実行者のレポートのコピーを取得するには、次の手順に従います。
既存のカスタマーは カスタマートラスト ポータル からコピーをリクエストできます
将来のお客様は、MongoDB セールスチームに連絡してアクセスをリクエストできます。
営業チームに接続して、ビジネス関連付け契約(BAA)をリクエスト。詳細については、 MongoDB信頼センターの「 HIPAA と Atlas For 政府 」ページを参照してください。
プライバシー ルール
MongoDB Atlas は、プライバシー ルールへのコンプライアンスをサポートする機能を提供します。
アクセスとレコード修正の個別の権限
プライバシー ルールは、ヘルスレコードのコピーを検査して取得し、必要に応じて修正をリクエスト権利など、自分の医療情報に関する権利を個人に付与します。
次のMongoDB Atlasの機能は、この領域におけるコンプライアンスをサポートしています。
Atlas UIとMongoDBドライバーを使用すると、承認されたユーザーはMongoDB Atlas配置に安全に接続し、ポリシーに従って個人のPHIを含むドキュメントを表示、作成、更新、または削除するできます。
Atlas の堅牢なクエリ機能により、権限を持つユーザーは、豊富なフィルターと集計機能を使用して個人のPHIを検索、取得できます。
データの保持と安全な破棄
プライバシー ルールは、対象となるエンティティが、PHI が不要で、安全に破棄する必要がある場合を含む、ライフサイクル全体にわたって PHI を保護する方法の標準を設定します。
以下の MongoDB Atlas Architecture Center の記事では、この分野のコンプライアンスをサポートする Atlas の機能について説明しています。
Atlasバックアップに関するガイダンス: 保持期間中にリカバリ目的でデータのバックアップを作成し、コンプライアンスポリシーを有効にしてバックアップが変更または削除されないようにし、不要になったバックアップは安全に削除します。
Atlas データ暗号化に関するガイダンス:暗号化機能を使用して、保管中、転送中、および削除時を含むライフサイクル全体で PHI を保護します。
必要最小標準(データ最小化)
プライバシー ルールの必要最低限の基準は、対象エンティティが の使用、公開、またはリクエストの意図を実行するために必要な最小限の PHI 量のみを使用、公開、リクエストするために適切な手順を実行しなければならないリクエストです。
以下の MongoDB Atlas Architecture Center の記事では、この分野のコンプライアンスをサポートする Atlas の機能について説明しています。
Atlas の監査とログのガイダンス: PHI へのアクセスに影響ユーザー認証の試行や権限の調整など、データベースイベントを監視、レコード、および確認します。
Atlas データ暗号化に関するガイダンス: クライアント側フィールドレベル暗号化(CSFLE) や Queryable Encryption などの使用技術で暗号化を適用し、機密 PHI データの露出を許可されたアプリケーションコンポーネントとユーザーのみに制限します。
セキュリティ ルール
MongoDB Atlas は、セキュリティ ルールへのコンプライアンスをサポートする機能を提供します。
暗号化と転送セキュリティ
セキュリティ ルールは、対象エンティティが、電子ネットワーク経由で送信される ePHI への不正アクセスを保護する技術的セキュリティ対策を実装するなど、 ePHI の機密性、整合性、可用性を確保する必要がある方法の標準を設定します。
MongoDB Atlasアーキテクチャセンターの次の記事では、この領域のコンプライアンスをサポートする Atlas の機能について説明しています。
Atlas データ暗号化に関するガイダンス: 転送中(TLS)、保存中(AES-256、BYEK、CMK、KMS、または TDE)、使用中(CSFLE、 ランダム暗号化、または queryable encryption)のデータ暗号化を確保します。
Atlas ネットワーク セキュリティに関するガイダンス: 転送中の暗号化、 IP アクセス リスト、ファイアウォール構成、プライベートエンドポイント、ネットワーク分離により、Atlas クラスターへのネットワーク アクセスを保護し、転送中に EPHI を保護します。
アクセス制御
セキュリティ ルールでは、承認されたユーザーのみが ePHI にアクセスできることを要求しています。
以下の MongoDB Atlas Architecture Center の記事では、この分野のコンプライアンスをサポートする Atlas の機能について説明しています。
Atlas 認証のガイダンス: IdP によるフェデレーティッド認証、 AWS IAM ロール認証、 多要素認証(MFA)などの認証メカニズムを使用して安全な ID マネジメントを実装し、Atlas データベースへのアクセスを制御します。
Atlas 承認に関するガイダンス: ロールベースのアクセス制御(RBAC) で安全なアクセス マネジメントを実装し、特定のジョブ機能と責任に基づいて承認されたユーザーのみが ePHI にアクセスできるようにします。
違反通知ルール
MongoDB Atlas は、違反通知ルールへのコンプライアンスをサポートする機能を提供します。
監査と情報システム アクティビティの検討
違反通知ルールは、対象となるエンティティとビジネス関連付けに、ePHI を含む情報システムまたは ePHI を使用する情報システムのアクティビティをレコードて検査するメカニズムを実装することを求めます。
以下の MongoDB Atlas Architecture Center の記事では、この分野のコンプライアンスをサポートする Atlas の機能について説明しています。
Atlas の監査とログのガイダンス: ユーザー認証の試行や権限の調整などのデータベースイベントを監視、レコード、レビューします。
Atlas のモニタリングとアラートに関するガイダンス: クラスターの健全性、パフォーマンス、運用メトリクスを追跡し、ePHI に関連する異常アクティビティが表示される可能性のあるアラートを構成します。
Atlas Stream Processing を活用して、 Kafkaトピック、 Kinesis 、 Atlas Change Streams などのリアルタイムデータストリーム上にカスタム データ処理パイプラインを構築できます。これはMongoDB のネイティブ機能で、変更イベントの順序付きストリーム(挿入、更新、削除する など)を公開します。MongoDBコレクション、データベース、またはクラスターから。You can integrate Atlas Stream Processing をサードパーティの監視およびロギング ツールと統合すると、ePHI を処理するアプリケーションのシステム アクティビティの包括的なビューを作成できます。
違反通知とインシデント応答
違反通知ルール は、対象となるエンティティとビジネス関連付けが、保護されていない PHI の違反が発生した後に通知を提供する方法の標準を設定します。
サードパーティ統合は、PagerDuty、Microsoft Teams、Prometheus などの SIEM ツールとのアラートルーティング、オンコール通知、調整されたインシデント応答ワークフローをサポートします。
コンテキスト プランニング:高可用性と障害復旧
MongoDB Atlas は、緊急イベントなど、ePHI を含むシステムに影響を与えるイベントが発生しイベントに、ePHI の可用性と回復可能性を確保するために、コンフィギュレーション計画をサポートする機能を提供します。
以下の MongoDB Atlas Architecture Center の記事では、この分野のコンプライアンスをサポートする Atlas の機能について説明しています。
Atlas 高可用性のガイダンス: 可用性のニーズを満たすクラスター構成を作成し、フェイルオーバーとデータレプリケーションの自動化で災害復旧を迅速化します。
Atlas バックアップに関するガイダンス: RPO と RTO の目的を満たすために、Atlas クラスターのバックアップを作成および管理します。
Atlas 障害復旧に関するガイダンス:停止時、プロビジョニング データの誤削除などが発生した場合に実行する手順を含む、障害復旧プランを作成します。