この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序章
0.1 一般
個人の健康情報は、あらゆる種類の個人情報の中で最も機密性が高いと見なされており、その機密性を保護することは、ケア対象者のプライバシーを維持するために不可欠です。健康情報の一貫性を保つためには、そのライフサイクル全体が完全に監査可能であることも重要です。健康記録は、その内容の完全性と機密性を保証し、記録の作成、使用、および維持方法を対象者による正当な管理をサポートする方法で作成、処理、および管理する必要があります。
電子医療記録の信頼には、物理的および技術的なセキュリティ要素と、データの完全性要素が必要です。個人の健康情報と記録の完全性を保護するためのすべてのセキュリティ要件の中で最も重要なものは、監査とログに関連するものです。これらは、情報を電子医療記録 (EHR) システムに委ねる医療対象者の説明責任を確保するのに役立ちます。また、これらのシステムのユーザーに、これらのシステムの使用に関する組織のポリシーに準拠する強いインセンティブを提供するため、記録の完全性を保護するのにも役立ちます。
効果的な監査とログ記録は、EHR システムまたは EHR データの誤用を発見するのに役立ち、組織やケア対象者がアクセス権限を悪用するユーザーに対して救済を得るのに役立ちます。監査が効果的であるためには、さまざまな状況に対処するのに十分な情報が監査証跡に含まれている必要があります (付録 A を参照)
監査ログは、アクセス制御を補完します。監査ログは、組織のアクセス ポリシーへの準拠を評価する手段を提供し、ポリシー自体の改善と改善に貢献できます。しかし、そのようなポリシーは不測の事態や緊急事態の発生を予測する必要があるため、監査ログの分析は、これらの場合のアクセス制御を確保するための主要な手段になります。
このドキュメントの範囲は、イベントのログ記録に厳密に限定されています。 EHR のフィールドのデータ値の変更は、監査ログではなく、EHR データベース システム自体に記録されると想定されます。 EHR システム自体には、すべてのフィールドの以前の値と更新された値の両方が含まれていると想定されます。これは、最新のポイント イン タイム データベース アーキテクチャと一致しています。監査ログ自体には、識別子と記録へのリンク以外の個人の健康情報は含まれていないと推定されます。
個人の電子医療記録は、組織内または管轄区域の境界内および境界を越えて、さまざまな情報システムに存在する可能性があります。特定の治療対象に関する記録に関連するすべてのアクションを追跡するには、共通のフレームワークが前提条件となります。このドキュメントは、そのようなフレームワークを提供します。異なるドメイン間で監査証跡をサポートするには、アクセス制御ルールや保存期間など、ドメイン内の要件を指定するポリシーへの参照をこのフレームワークに含めることが不可欠です。ドメイン ポリシーは、監査ログ ソースの識別によって暗黙的に参照される場合があります。
0.2 このドキュメントを使用する利点
電子健康記録へのアクセスに関する監査証跡の標準化は、次の 2 つの目標を目指しています。
- 監査ログに記録された情報が、電子健康記録の内容を形作った出来事の詳細な年表を明確に再構築するのに十分であることを保証する;
- 組織のドメイン間であっても、ケア対象者の記録に関連するアクションの監査証跡を確実にたどることができるようにします。
このドキュメントは、健康情報のセキュリティまたはプライバシーを監督する責任者、および監査証跡に関するガイダンスを求めている医療機関およびその他の健康情報の管理者と、そのセキュリティ アドバイザー、コンサルタント、監査人、ベンダー、およびサード パーティのサービス プロバイダーを対象としています。
0.3 電子カルテの監査証跡に関する関連規格
このドキュメントは、EHR へのアクセスに関して RFC 3881 で開始された作業に基づいており、一貫しています。また、このドキュメントは、ISO/TS 21089:2018 の内容に基づいて作成され、一貫しています。
Introduction
0.1 General
Personal health information is regarded by many as among the most confidential of all types of personal information and protecting its confidentiality is essential to maintain the privacy of subjects of care. In order to protect the consistency of health information, it is also important that its entire life cycle be fully auditable. Health records should be created, processed and managed in ways that guarantee the integrity and confidentiality of their contents and that support legitimate control by subjects of care in how the records are created, used and maintained.
Trust in electronic health records requires physical and technical security elements along with data integrity elements. Among the most important of all security requirements to protect personal health information and the integrity of records are those relating to audit and logging. These help to ensure accountability for subjects of care who entrust their information to electronic health record (EHR) systems. They also help to protect record integrity, as they provide a strong incentive to users of such systems to conform to organizational policies on the use of these systems.
Effective audit and logging can help to uncover misuse of EHR systems or EHR data and can help organisations and subjects of care obtain redress against users abusing their access privileges. For auditing to be effective, it is necessary that audit trails contain sufficient information to address a wide variety of circumstances (see Annex A).
Audit logs are complementary to access controls. The audit logs provide a means to assess conformity with organizational access policy and can contribute to improving and refining the policy itself. But as such a policy needs to anticipate the occurrence of unforeseen or emergency cases, analysis of the audit logs becomes the primary means of ensuring access control for those cases.
This document is strictly limited in scope to logging of events. Changes to data values in fields of an EHR are presumed to be recorded in the EHR database system itself and not in the audit log. It is presumed that the EHR system itself contains both the previous and updated values of every field. This is consistent with contemporary point-in-time database architectures. The audit log itself is presumed to contain no personal health information other than identifiers and links to the record.
Electronic health records on an individual person can reside in many different information systems within and across organisational or even jurisdictional boundaries. To keep track of all actions that involve records on a particular subject of care, a common framework is a prerequisite. This document provides such a framework. To support audit trails across distinct domains, it is essential to include references in this framework to the policies that specify the requirements within the domain, such as access control rules and retention periods. Domain policies may be referenced implicitly by identification of the audit log source.
0.2 Benefits of using this document
Standardization of audit trails on access to electronic health records aims at two goals:
- ensuring that information captured in an audit log is sufficient to clearly reconstruct a detailed chronology of the events that have shaped the content of an electronic health record;
- ensuring that an audit trail of actions relating to a subject of care’s record can be reliably followed, even across organizational domains.
This document is intended for those responsible for overseeing health information security or privacy and for healthcare organizations and other custodians of health information seeking guidance on audit trails, together with their security advisors, consultants, auditors, vendors and third-party service providers.
0.3 Related standards on electronic health record audit trails
This document builds upon, and is consistent with, the work begun in RFC 3881 with respect to access to the EHR. This document also builds upon and is consistent with the content in ISO/TS 21089:2018.