HIPAA準拠のモバイルアプリケーションを開発する方法に関する起業家ガイド
公開: 2020-06-12ヘルスケア業界と交流したことがある場合は、 HIPAA準拠のアプリについて聞いたことがある可能性が高いです。 また、それがヘルスケアアプリケーションの開発の前提条件である方法を聞いたことがあるはずです。 この記事では、HIPAAアプリ作成の開発プロセスの基本的な洞察を提供し、ヘルスケアのデジタルトランスフォーメーションの旅を開始するのに役立てます。
私たちが現在住んでいる時代は、データが金であるという1つの単純な公式の下で機能します。 ユーザーのデータ(機密性があるかどうかに関係なく)を扱う業界を調べると、業界をより安全にすることを目的としたコンプライアンスが実施されていることもわかります。
ヘルスケアセクターも、このモバイルファーストの時代にユーザーのデータが悪用されるのを防ぐための厳格なコンプライアンスの必要性に影響を受けていません。
コンプライアンスは国によって異なりますが、多くの理由で普遍的になっているのは、 HIPAA –医療保険の相互運用性と説明責任に関する法律です。
アプリケーションがコンプライアンスの要件に合格するように開発されていることを確認する、 HIPAA準拠のアプリ開発のプロセスを見てみましょう。
HIPAA法とは何ですか?
HIPAA法は、特にソフトウェアプラットフォームで、患者データを処理および保存するときに異常がないことを保証します。 また、医療患者の請求および医療保険の補償範囲に関連する情報の共有も含まれます。
モバイルアプリHIPAAコンプライアンスを開発するというアイデアは、患者のデータの保護を規制し、医療費を削減し、失業または転職した人々に健康保険を提供するために1996年に開始されました。 ただし、開発者として、またアプリの起業家として私たちが関心を持っている行為の一部は、アプリがユーザーをデータ詐欺から確実に保護するための要件です。
HIPAA規制コンプライアンスの理解と実装の最初の部分は、ヘルスケアソフトウェアドメインが相互作用するデータの種類を知ることです。
- PHI(Protected Health Information)—この一連の情報は、医師の請求書、MRIスキャン、電子メール、検査結果、およびその他の医療情報で構成されています。 また、テリトリー内の誰かのジオロケーションの詳細もPHIとしてカウントされます。
- CHI(消費者の健康情報)—これらの情報は、フィットネストラッカーから収集できるデータで構成されています。たとえば、消費カロリー数、心拍数の測定値、歩数などです。
モバイルアプリのHIPAAコンプライアンスを理解する過程で、HIPAAルールが重要である理由についてはまだ多くの混乱があります。 次のように答えましょう。
HIPAAコンプライアンスが重要な理由は何ですか?
HIPAA規制は、医療機関と患者の両方を支援するために制定された包括的な法律です。 したがって、 HIPAA準拠のソフトウェアを構築する際には、両方の利害関係者にとってなぜそれが重要であるかを理解する必要があります。
患者の場合:
- いかなるエンティティも、同意なしに患者情報を転送することはできません– HIPAAコンプライアンスの下では、医療専門家のみが患者の情報を利害関係者と共有できます。 また、ヘルスケア業務に参加する利害関係者のみがPHIの対象となり、これにより、高い機密性とプライバシーレベルが保証されます。
- 請求の専門家や処方箋ベンダーは患者の情報を転送することはできません–上記の点で述べたように、他の利害関係者は患者の情報を転送することを許可されていません。
- 事業体は患者に違反を通知する必要があります–患者は自分の医療の詳細について完全な権利を持っています。 これにより、複数の医療機関間でのデータ共有のスムーズな流れが可能になります。
病院の場合:
病院でモバイルアプリのHIPAAコンプライアンスを遵守することの重要性は、遵守しなかった場合に何が起こるかを理解することにあります。 従わないコンプライアンスの場合、病院は多額の罰金を支払う義務があります。 個々のデータ侵害のケースは、罰金として100ドルから50,000ドルに達する可能性があります。
病院がHIPAAコンプライアンスに違反した場合、財政的およびイメージ的理由の両方で、病院がどれほど費用がかかるかを示す実例が数多くあります。 たとえば、2015年、マサチューセッツ州の病院は、ファイル共有アプリケーションがHIPAAのセキュリティ要件を満たしていないという理由だけで、500人を超える患者のデータを危険にさらすために218,000ドルの罰金を支払う必要がありました。
HIPAA準拠のモバイルアプリを作成する方法は?
HIPAA準拠のヘルスケアアプリの開発は、特に機能と設計の両方で多くの変更を要求するため、ヘルスケアアプリの開発者にとって課題となる場合があります。
70以上のmHealthソリューションを開発した経験は、ソフトウェア開発用のHIPAAコンプライアンスチェックリストの作成に役立ちました。 ここにそれをのぞき見します–
HIPAA準拠の電話アプリを作成するには、次の4つの主要なルールが必要です。
- プライバシー
- 安全
- 執行
- 違反
アプリの起業家として、4つのルールすべてを調べる必要があります。私たちのようなヘルスケアアプリ開発会社が、ソフトウェアをHIPAAに準拠させる方法に答えるときに主に回避するのは、 HIPAAのプライバシーとセキュリティのルールです。 それらは主に物理的および技術的な保護手段で構成されています。
物理的な保護手段
これには、バックエンド、データ転送用のネットワーク、およびAndroidまたはiOS上にあるデバイスの保護が含まれ、それらが危険にさらされたり、紛失したり、盗まれたりしないようにします。 アプリケーションのセキュリティを確保するには、認証を実施すると同時に、認証なしでアプリにアクセスできないようにする必要があります。これは、多要素認証システムによって実現できます。
技術的な保護手段
サーバーやデバイスに転送または保存できるデータを完全に暗号化することに重点を置いています。 技術的なセーフガードの実践には、次のものがあります。
- 緊急アクセスプロセス
- 一意のユーザーID
- 自動ログオフ
この点に関する別のベストプラクティスは、最低限の必要性の要件に従うことです。必要以上のデータを収集したり、実際に作業に必要な時間より長くデータを保存したりしないでください。 さらに、プッシュ通知でのPHIデータの送信を避けたり、ログやバックアップの情報を漏らしたりしないでください。
HIPAA準拠のアプリを作成する手順
モバイル向けのHIPAA準拠アプリを作成するための主な手順は次のとおりです。
- 専門家の助けを借りる:HIPAA準拠のアプリ開発のプロセス全体は複雑です。 したがって、十分な経験がない場合は、ガイダンスなしですべてのHIPAA要件を満たそうとしないでください。 評判の高いHIPAA準拠のソフトウェア開発会社に連絡することをお勧めします。 経験豊富なヘルスケアアプリ開発者の助けを借りて準拠アプリケーション開発を行うと、タスクが簡単になり、準備が改善されます。 専門家を雇うことは、新興企業と大手ヘルスケア企業の両方にとって有益です。
- 患者データの評価:どの医療機関も機密の患者データにアクセスできます。 このデータは、モバイルアプリを介して保存、共有、維持できます。 PHIの範囲内にあるものを分析して特定する必要があります。 これを行ったら、モバイルアプリを介した保存や転送を回避できるPHIデータを確認してください。
- HIPAA準拠のサードパーティソリューションを見つける:アプリにHIPAA準拠を提供するには、非常に費用がかかります。 このような状況では、HIPAA準拠のモバイルアプリを最初から開発するのではなく、すでにHIPAAに準拠しているインフラストラクチャとソリューションを使用することをお勧めします。 これはIaaS—サービスとしてのインフラストラクチャと呼ばれます。 たとえば、アマゾンウェブサービスとTrueVaultはHIPAAに準拠しており、データセキュリティを担当しています。
PHIデータの保存と管理にサードパーティのソリューションプロバイダーを使用している場合は、サードパーティ企業とのビジネスアソシエイト契約に署名し、それらが信頼できることを確認する必要があります。
- 機密データの保護:患者の機密データを保護するために、最善のセキュリティ対策を使用してください。 いくつかのレベルの暗号化を使用し、セキュリティ違反がないことを確認します。
- アプリのセキュリティを維持およびテストする:アプリのテストは非常に重要です。 更新のたびに実行してください。 アプリに問題がある場合は、すぐに修正できます。
メンテナンスは、アプリを安全に保つために従う必要のある一定のプロセスです。 HIPAA準拠のアプリを作成したら、定期的に更新する必要があります。 そうしないと、セキュリティ違反が発生する可能性があります。
HIPAA準拠のアプリケーションの一般的な機能
他のモバイルアプリセクターと同様に、2つのヘルスケアアプリケーションも同じではありません。 ただし、 mHealthアプリケーション開発ガイドでも説明しているように、 HIPAA準拠のすべてのヘルスケアアプリケーション開発プロセスに共通する機能がいくつかあります。
ユーザーID:ユーザーの認証には、PINまたはパスワードの入力を求めるのが最善の方法です。 生体認証とスマートカードを実装することで、この機能を一段と高めることもできます。
緊急時のアクセス:自然の緊急事態の場合、ネットワークの状態と重要なサービスが中断に直面する可能性があります。 これらのインスタンスを手配することは直接の要件ではありませんが、これらの問題に対処するための規定を意識的に持つことは良い決断です。
暗号化:保存または送信されるデータは暗号化する必要があります。 Transport Layer Security 1.2を実行するGoogleCloudやAWSなどのサービスを使用すると、エンドツーエンドの暗号化が自動的に実施されます。 TLSで十分な場合もありますが、AES暗号化でTLSをさらに強化することは良い動きです。
どのヘルスケアアプリがHIPAAルールに準拠する必要がありますか?
HIPAAプライバシールールに準拠する必要性に対してアプリケーションを評価する場合、主に3つの基準を考慮して、HIPAA準拠のアプリケーションを定義します。
実在物
アプリケーションが病院、医師、医療保険プロバイダーなどの対象エンティティによって使用される場合、それらはHIPAA準拠のソフトウェア開発要件に準拠する可能性があります。
たとえば、患者と医師のやり取りを容易にするアプリケーションを設計する場合、病院と医師の両方が対象となるエンティティであるため、HIPAAルールに準拠する必要があります。 一方、投薬スケジュールに従うのに役立つだけのアプリケーションでは、対象となるエンティティが関与していないため、必ずしもHIPAAプライバシールールに従う必要はありません。
エンティティについて話すときは、プライバシールールを調べることが重要です。 このルールは、PIの詳細が開示されないようにする責任を誰が負うかを定義しながら、保護されたヘルスデータとは何かを扱います。
プライバシールールによると、HIPAA法の遵守の対象となる組織には2つのタイプがあります。
- ビジネスアソシエイト:対象となるエンティティに代わってPHIを収集、保存、処理、送信するエンティティです。
- 対象となるエンティティ:これらは、一部の管理および財務トランザクションを電子的に実行する医療機関、プロバイダー、クリアリングハウスなどです。 それらの取引のいくつかには、資金移動、電子請求などが含まれます。
データ
モバイルアプリHIPAAコンプライアンスは、主に保護された医療情報に集中しています。これは、医療機関が診断や治療などのサービスを管理していたときに作成、利用、または開示されたデータとともに、個人を特定するために使用できる医療情報です。 。
PHIは、個人を特定できる情報と医療データの2つのセクションで構成されています。 ここで重要なのは、個人を特定できる情報が医療データとリンクしている場合にのみ、その情報がPHIになるということです。
たとえば、匿名の写真を研究することによって医師が皮膚病を診断するのに役立つアプリケーションは、どのPHIとも相互作用しません。 ただし、患者さんの名前や住所を言うと、PHIになります。
要約すると、アプリケーションで共有または保存されている情報を個別に識別できる場合は、HIPAA法に準拠している必要があります。 機密データがサードパーティのサーバーに保存されている場合も、同じルールが適用されます。
ソフトウェアのセキュリティ
ヘルスケアアプリの開発がHIPAAルールに該当するかどうかを特定するのに役立つ最後の要素は、採用されているテクノロジーに関連しており、電子保護医療情報(ePHI)の保護とアクセスの制御に適用される複数の標準で構成されています。
これらの標準は、主に整合性、監査、およびアクセス制御で構成されています。
AppinventivがHIPAA準拠のアプリケーションを作成するために従う手順
Appinventivでは、常に安全第一のモバイルアプリ開発アプローチに重点を置いています。 Fintechアプリケーションを開発する場合でも、オンデマンドソフトウェアを開発する場合でも、すべての条件下でユーザーのデータを確実に保護することが常に優先されます。
HIPAA準拠のモバイルアプリを作成する場合、カスタムヘルスケアソフトウェア開発会社としての役割で遵守する必要のある要件がいくつかあります。 それらを見てみましょう。
1.トランスポート暗号化
HIPAA準拠のソフトウェアを構築する場合、送信時にヘルスデータを暗号化しておく必要があります。 これを実現するための最初のステップは、HTTPプロトコルとSSLを使用することです。 クライアント/サーバーデータ転送の場合、POSTリクエストの本文でデータを送信する必要がある場合は、最初に送信者側で暗号化し、次に受信者側で復号化します。 これは、man-in-the-middle攻撃の防止に役立ちます。 さらに、データの侵害を防ぐために、パスワードをハッシュ値で送信および保存します。
2.バックアップ
私たちが提携しているホスティングプロバイダーは、リカバリおよびバックアップサービスを提供します。これにより、緊急時や事故の際にデータが失われることはありません。 たとえば、Webソフトウェアがデータを他の場所に送信する場合、メッセージはバックアップされ、安全に保存され、許可されたスタッフがアクセスできるようになります。
3.承認
mHealthアプリの専門家チームは、承認が十分に保護されるように医療アプリを構築およびアップグレードします。 これを行う方法のいくつかは次のとおりです。アクセス制御を監査し、ログインを保護して、許可された担当者のみがデータにアクセスできるようにします。
4.誠実さ
HIPAA準拠のモバイルアプリを開発するときは、情報の収集、保存、転送が安全であり、意図的または誤って変更されないようにするインフラストラクチャを設定することが重要です。
この点に関する最初のステップは、ごくわずかな情報が変更された場合でも、システムが不正なデータの改ざんを検出して報告できるようにすることです。 インフラストラクチャへの物理的アクセスの制限に加えて、暗号化、定期的なバックアップ、アクセス許可、適切に定義されたユーザーの役割と特権などの手段は、HIPAA準拠のアプリケーションを作成する際に必須の要素になります。
5.ストレージの暗号化
PHIを扱う際のルールは、許可された担当者のみが利用できるようにすることです。 このルールでは、ソフトウェアシステムに保存されているすべてのデータ(バックアップ、データベース、ログ)を対象としています。 当社の専門家は、強力なキーを使用したRSAおよびAESアルゴリズムを使用して、業界が支援する暗号化を適用します。 バックエンドにデータを安全に保存するために、SQLCipherなどの暗号化されたデータベースも利用しています。
6.廃棄
期限切れになったアーカイブデータとバックアップデータを永久に破棄することが最も重要です。 未使用のデータはすべて、安全で取得できない方法で処分するための措置を講じています。
PHIの収集、送信、および保管の管理方法
PHI管理プロセスを計画するときは、次の3つの状況を検討します。
- 情報がデバイスとサーバーの間で転送されているとき、移動中のデータを管理するために最新の暗号スイートとTLSを利用します。 デバイスがパブリックWi-Fiなどの信頼できないネットワークで動作する場合は、証明書のピン留めプロセスを利用します
- 情報がサーバー側にある場合–データがサーバーストレージに入力されると、キーローテーション、キー管理、暗号化されたバックアップ、監査ログなどに関する準備が行われます。
- 情報がデバイスに保存されている場合– iOSおよびAndroidは通常、ネットワークがオフラインのときにそのデータをディスクに保存する傾向があります。 これにより、重い罰金や罰金が科せられる可能性があります。 したがって、データが適切に暗号化されていることが重要です。
結論
コロナウイルスのパンデミックがヘルスケアセクターに与える影響に後押しされて、私たちはまもなくデジタルヘルスケアの変革が新しい標準となる段階に入ります。 これは、今後、コンプライアンスの遵守に重点を置くようになることを意味します。 コンプライアンスのニュアンスを理解し、今日の医療ソフトウェアにそれらを実装することになるヘルスケアデジタルトランスフォーマーは、最も成功するでしょう。
[また読む:ヘルスケアコンプライアンスへのポケットガイド]