シナリオ 次の質問に答えてください:あなたは、米国のある州の大都市にある大病院HealthCoの最高個人情報保護責任者である。
A. HealthCoは、10万人以上の患者に医療サービスを提供するHIPAA対象事業体である。第三者のクラウド・コンピューティング・サービス・プロバイダーであるCloudHealthは、HealthCoに代わって、これらの個人の電子的保護医療情報(ePHI)を保管・管理している。CloudHealthはデータを州の
B. HealthCoのCloudHealthとの業務提携契約(BAA)の一部として、HealthCoはCloudHealthに対し、データを適切に保護するために、業界標準の暗号化慣行を含むセキュリティ対策を実施することを要求している。しかし、HealthCoは契約を結ぶ前にCloudHealthのデューデリジェンスを行わず、CloudHealthのセキュリティ対策の監査も行っていない。CloudHealthの従業員が最近フィッシング攻撃の被害者となった。その従業員が不審な電子メールのリンクを意図せずクリックしたところ、10,000人以上のHealthCo患者のPHIが漏洩した。その後、この情報はオンラインで公開されました。HealthCoのサイバーセキュリティ・チームは、犯人が他の病院にも同様の攻撃を仕掛け、有名人や政治家を含む一般人のPHIを流出させたことがある有名なハッカーであることをすぐに突き止めた。調査の過程で、HealthCoはCloudHealthが契約条件に従ってPHIを暗号化していないことを発見した。さらに、CloudHealthは従業員にプライバシーやセキュリティのトレーニングを行っていない。法執行機関は、HealthCoに情報漏洩の調査報告書と影響を受けた個人のPHIのコピーを提出するよう要求した。情報漏えいの影響を受けた患者は、同社が個人のePHIを適切に保護しておらず、流出したデータの結果、実質的な損害を被ったとして、HealthCo社を提訴した。患者の弁護士は、情報漏えいで漏えいしたePHIの証拠開示請求を提出しました。米国保健社会福祉省(HHS)がHealthCoにペナルティを課す可能性がある最も重大な理由は何ですか?
A. HealthCoはCloudHealthに対し、ePHIを保護するための適切な物理的・管理的措置を実施するよう要求しなかったため
B. HealthCoは、CloudHealthのセキュリティ対策を検証または監視するためのデューデリジェンスを実施しなかったため、以下のような結果となった。
C. HIPAAでは、このような大規模なデータ漏洩が発生した場合、罰金を科すことを義務付けている。
D. CloudHealthは、ePHIを暗号化しなかったことにより、HealthCoとの契約に違反した。
Telegram 学習グループに参加する ▷