正直なところ、HIPAAコンプライアンスはPCIコンプライアンスによく似ています。したがって、システムまたはプラットフォームは、準拠するように設計されていても、正しくセットアップまたは維持されていないと、非準拠になる可能性があります。
ここでまだ誰も言及していないが、HIPAAコンプライアンスで非常に重要なことは、PHI(保護された健康情報)の概念です。
PHIは、概して、医療提供者、医療計画、雇用主または医療情報センターによって収集、作成、または受信された、個人を特定できる健康情報(人口統計情報を含む)として定義されます。
HIPAAの下では、クレジットカードデータがPCIの条件に基づいているため、すべてのPHIはほぼ同じ要件とセキュリティ対策で扱われる必要があります。これには、実際の通知要件が含まれます-PHIが侵害された場合、影響を受ける個人に通知するための要件が、クレジットカードデータがWebサイトから盗まれた場合と同じ(またはそれ以上)になる可能性があります。
PHIは裁判所によって患者の名前でさえ含むように非常に広く解釈されました。したがって、ヘルスケアのeコマースプラットフォームをセットアップする場合、患者の名前まで、保存するほとんどすべてのものを暗号化する必要があることを考えています。これは、Magentoまたはその他のeコマースプラットフォームがデフォルトで行うことではありません。
良いニュースは-それはそれほど難しいことではありません。暗号化して保護する必要があるものを理解したら、それを処理するMagento拡張機能を設計できます。正直なところ、最も難しい部分は、セキュリティで保護して暗号化する必要のあるさまざまなデータのすべてに頭を抱えることです。そのリストを入手したら、適切な保護を設定する作業に取り掛かります。
Magento Enterpriseがこのようなプロジェクトのより良い基盤を提供することになると私は言います。エンタープライズに組み込まれているPCIコンプライアンス要素の一部、特に管理アクション/監査ログのようなものは、HIPAAに準拠するために大いに役立ちます。
90年代にさかのぼる私の最初のプログラミングギグは医療業界にあり、HIPAAが最初に公開されたとき(楽しい時間)に私はそこにいました。したがって、他にHIPAAに関する質問がある場合はお知らせください。私は弁護士ではありませんが、興味があれば、HIPAA準拠のeコマースプラットフォームの構築に向けて正しい方向に向けるお手伝いをします。