この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序章
0.1 一般
個人の健康情報は、あらゆる種類の個人情報の中で最も機密性が高いと見なされており、ケア対象者のプライバシーを維持するためには、その機密性を保護することが不可欠です。健康情報の一貫性を保つためには、そのライフサイクル全体が完全に監査可能であることも重要です。健康記録は、その内容の完全性と機密性を保証し、記録の作成、使用、および維持方法を対象者による正当な管理をサポートする方法で作成、処理、および管理する必要があります。
電子医療記録の信頼には、物理的および技術的なセキュリティ要素と、データの完全性要素が必要です。個人の健康情報と記録の完全性を保護するためのすべてのセキュリティ要件の中で最も重要なものは、監査とログに関連するものです。これらは、情報を電子医療記録 (EHR) システムに委ねる医療対象者の説明責任を確保するのに役立ちます。また、これらのシステムのユーザーに、これらのシステムの使用に関する組織のポリシーに準拠する強いインセンティブを提供するため、記録の完全性を保護するのにも役立ちます。
効果的な監査とログ記録は、EHR システムまたは EHR データの誤用を発見するのに役立ち、組織やケア対象者がアクセス権限を悪用するユーザーに対して救済を得るのに役立ちます。監査が効果的であるためには、さまざまな状況に対処するのに十分な情報が監査証跡に含まれている必要があります (付録 A を参照)
監査ログは、アクセス制御を補完します。監査ログは、組織のアクセス ポリシーへの準拠を評価する手段を提供し、ポリシー自体の改善と改善に貢献できます。しかし、そのようなポリシーは不測の事態や緊急事態の発生を予測する必要があるため、監査ログの分析は、これらの場合のアクセス制御を確保するための主要な手段になります。
この国際規格の範囲は、イベントのログ記録に厳密に限定されています。 EHR のフィールドのデータ値の変更は、監査ログではなく、EHR データベース システム自体に記録されると想定されます。 EHR システム自体には、すべてのフィールドの以前の値と更新された値の両方が含まれていると想定されます。これは、現代のポイント イン タイム データベース アーキテクチャと一致しており、監査ログ自体には、識別子とレコードへのリンク以外の個人の健康情報は含まれていないと想定されています。
個人の電子医療記録は、組織内または管轄区域内および境界を越えて、多くの異なる情報システムに存在する場合があります。特定の治療対象に関する記録に関連するすべてのアクションを追跡するには、共通のフレームワークが前提条件となります。この国際規格は、そのようなフレームワークを提供します。異なるドメイン間で監査証跡をサポートするには、アクセス制御ルールや保存期間など、ドメイン内の要件を指定するポリシーへの参照をこのフレームワークに含めることが不可欠です。ドメイン ポリシーは、監査ログ ソースの識別によって暗黙的に参照される場合があります。
0.2この国際規格を使用する利点
電子健康記録へのアクセスに関する監査証跡の標準化は、次の 2 つの目標を目指しています。
- 監査ログに記録された情報が、電子健康記録の内容を形作った出来事の詳細な年表を明確に再構築するのに十分であることを保証し、
- 組織のドメイン間であっても、ケア対象者の記録に関連するアクションの監査証跡を確実にたどることができるようにします。
この国際規格は、健康情報のセキュリティまたはプライバシーを監督する責任者、および監査証跡に関するガイダンスを求める医療機関およびその他の健康情報の管理者と、そのセキュリティ アドバイザー、コンサルタント、監査人、ベンダー、およびサード パーティのサービス プロバイダーを対象としています。
0.3電子カルテの監査証跡に関する関連規格との比較
この国際規格は、監査および監査証跡に関する限り、ISO 27799:2008 の要件に準拠しています。
一部の読者は、Internet Engineering Task Force (IETF) Request for Comment (RFC) 3881 に精通している可能性があります。 [13] (IETF RFC 3881 にまだ精通していない読者は、このドキュメントを理解するのに精通している必要はないので、そのドキュメントを参照する必要はありません。 International Standard.) Informational RFC 3881, 日付は 2004-09 で、IETF データベースにアクティブとしてリストされなくなりました。これは、ヘルスケアの監査ログの内容を指定する初期の有用な試みでした。可能な限り、この国際標準は、EHR へのアクセスに関して RFC 3881 で開始された作業に基づいて構築され、一貫しています。
0.4用語に関する注記
いくつかの密接に関連する用語が条項 3 で定義されています。監査ログは、監査記録の時系列シーケンスです。各監査レコードには、プロセスまたはシステム機能の実行に直接関連し、その結果として生じる証拠が含まれています。 EHR システムはシステムとデータベースの複雑な集合体である可能性があるため、治療対象の EHR を変更したシステム イベントに関する情報を含む複数の監査ログが存在する場合があります。監査証跡と監査ログの用語はしばしば同じ意味で使用されますが、この国際規格では、監査証跡という用語は、特定の診療対象または特定の電子医療記録を参照する 1 つまたは複数の監査ログからのすべての監査記録の収集を指します。または特定のユーザー。監査システムは、1 つ以上の監査ログを維持するために必要なすべての情報処理機能を提供します。
Introduction
0.1General
Personal health information is regarded by many as among the most confidential of all types of personal information and protecting its confidentiality is essential if the privacy of subjects of care is to be maintained. In order to protect the consistency of health information, it is also important that its entire life cycle be fully auditable. Health records should be created, processed and managed in ways that guarantee the integrity and confidentiality of their contents and that support legitimate control by subjects of care in how the records are created, used and maintained.
Trust in electronic health records requires physical and technical security elements along with data integrity elements. Among the most important of all security requirements to protect personal health information and the integrity of records are those relating to audit and logging. These help to ensure accountability for subjects of care who entrust their information to electronic health record (EHR) systems. They also help to protect record integrity, as they provide a strong incentive to users of such systems to conform to organizational policies on the use of these systems.
Effective audit and logging can help to uncover misuse of EHR systems or EHR data and can help organizations and subjects of care obtain redress against users abusing their access privileges. For auditing to be effective, it is necessary that audit trails contain sufficient information to address a wide variety of circumstances (see Annex A).
Audit logs are complementary to access controls. The audit logs provide a means to assess compliance with organizational access policy and can contribute to improving and refining the policy itself. But as such a policy has to anticipate the occurrence of unforeseen or emergency cases, analysis of the audit logs becomes the primary means of ensuring access control for those cases.
This International Standard is strictly limited in scope to logging of events. Changes to data values in fields of an EHR are presumed to be recorded in the EHR database system itself and not in the audit log. It is presumed that the EHR system itself contains both the previous and updated values of every field. This is consistent with contemporary point-in-time database architectures.The audit log itself is presumed to contain no personal health information other than identifiers and links to the record.
Electronic health records on an individual person may reside in many different information systems within and across organizational or even jurisdictional boundaries. To keep track of all actions that involve records on a particular subject of care, a common framework is a prerequisite. This International Standard provides such a framework. To support audit trails across distinct domains it is essential to include references in this framework to the policies that specify the requirements within the domain, such as access control rules and retention periods. Domain policies may be referenced implicitly by identification of the audit log source.
0.2Benefits of using this International Standard
Standardization of audit trails on access to electronic health records aims at two goals:
- ensuring that information captured in an audit log is sufficient to clearly reconstruct a detailed chronology of the events that have shaped the content of an electronic health record, and
- ensuring that an audit trail of actions relating to a subject of care’s record can be reliably followed, even across organizational domains.
This International Standard is intended for those responsible for overseeing health information security or privacy and for healthcare organizations and other custodians of health information seeking guidance on audit trails, together with their security advisors, consultants, auditors, vendors and third-party service providers.
0.3Comparision with related standards on electronic health record audit trails
This International Standard conforms to the requirements of ISO 27799:2008, insofar as they relate to auditing and audit trails.
Some readers may be familiar with Internet Engineering Task Force (IETF) Request for Comment (RFC) 3881.[13] (Readers not already familiar with IETF RFC 3881 need not refer to that document, as familiarity with it is not required to understand this International Standard.) Informational RFC 3881, dated 2004-09 and no longer listed as active in the IETF database, was an early and useful attempt at specifying the content of audit logs for healthcare. To the extent possible, this International Standard builds upon, and is consistent with, the work begun in RFC 3881 with respect to access to the EHR.
0.4A note on terminology
Several closely related terms are defined in Clause 3. An audit log is a chronological sequence of audit records; each audit record contains evidence of directly pertaining to and resulting from the execution of a process or system function. As EHR systems can be complex aggregations of systems and databases, there may be more than one audit log containing information on system events that have altered a subject of care’s EHR. Although the terms audit trail and audit log are often used interchangeably, in this International Standard the term audit trail refers to the collection of all audit records from one or more audit logs that refer to a specific subject of care or specific electronic health record or specific user. An audit system provides all the information processing functions necessary to maintain one or more audit logs.