HIPAA 違反事例は、執行努力の強化にもかかわらず、非常によくあることです。 HIPAA に違反しないようにする方法や、従業員に HIPAA に準拠した手順や行動を導入する必要性についてよく話題になりますが、HIPAA 違反の後に起こりうる結果についても認識しておくことが重要です。 一般に、HIPAA違反のケースは、米国保健社会福祉省の市民権局(OCR)によって調査・追求されます。 これらの調査は、従業員や患者から違反の報告があった場合、あるいはデータ侵害がOCRに報告された場合に行われます。
Financial Penalties
近年、金銭的な罰則につながる HIPAA 違反の事例が増加しています。 その多くは、和解という形で解決しています。 2018年1月末時点で、保健福祉省は173,000件を超えるHIPAA違反の苦情を受け取っています。 このうち17万件近くがOCRによって解決されています。 是正措置や技術支援によって解決された25,000件以上に対して、罰金や和解に至ったのは53件のみですが、医療機関が支払った金額は合計7,500万ドル以上、金銭的解決1件あたり平均約150万ドルです。
OCRは全国チェーンから個人のクリニックまであらゆる組織を調査しているので、こうしたペナルティは深刻な影響を与えたり、完全に事業を閉鎖することもあり得ます。
Most Common Issues
OCRが調査する違反のうち、最も頻繁に報告されるものは以下のとおりです。
- Impermissible uses and disclosures of protected health information
- Lack of safeguards of protected health information
- Lack of patient access to their protected health information.
- Impermissible applications of protected health information.
- Impermissible applications of protected health information;
- Lack of administrative safeguards of electronic protected health information
- Use or disclosure of more than the minimum necessary protected health information
Recent Violation Cases
OCR websiteで取り上げられている最近の違反事例には、倒産した会社の管財人が和解金を支払わなければならなかったものや医療サービス会社が違反に伴い数百万ドルを支払った事例、一患者のPHIが破損し約40万ドルの和解金につながった事例が含まれています。
Filefax は、HIPAA対象事業者のために医療記録を保存、管理、配送していた会社ですが、OCRの調査が進むと同時に閉鎖されました。 資産を清算するために管財人が任命されました。 OCRの調査は、PHIが無施錠の車両に放置され、無許可の個人によって輸送され、ファイルファックス社の施設の外に安全が確保されないまま放置されたことにより、不注意に扱われたと結論付けています。 これらの違反は許されない開示であり、2,150人に影響を与えた。
これらの行為により、同社はもはや運営されていないにもかかわらず、同社の管財人は10万ドルの和解金を支払うことに同意し、ファイルファックス施設にまだ存在するPHIをHIPAAに準拠した方法で処分することを引き受けた。
Fresenius Medical Care North America(FMCNA)は、透析施設、外来心臓・血管ラボ、緊急ケアセンターのネットワークを運営しているが、そのうちの5施設での違反を受けて、350万ドルの和解金の支払いに同意した。 OCRによる調査の結果、FMCNAは「すべてのePHIの機密性、完全性、可用性に対する潜在的なリスクと脆弱性について正確かつ徹底したリスク分析を行わなかった」こと、および「プライバシー規則で認められていない目的のために不正なアクセスを提供し、患者のePHIを不当に開示した」ことが判明しました
FMCNAでは金銭和解を支払うだけではなく、多くの問題を是正するための修正行動計画を実行しなければなりません。 FMCNAとFilefaxの和解はいずれも2018年2月に発表され、その金額は上記の7500万ドルの金銭的罰則に上乗せすることができます。
聖ルカ・ルーズベルト病院センター株式会社は、一人の個人に影響を与えた違反に続いて、PHIを正しく伝送することの重要性について強い注意喚起を受けています。 OCRは、St. Luke’s の事業体の一つが「患者のPHIを、要求された個人の私書箱に送るのではなく、彼の雇い主にファクスで送るという不当な行為をした」と裁定した。 送られた記録には、「HIVの状態、医療、性感染症、投薬、性的指向、精神衛生診断、身体的虐待に関する機密情報」が含まれていました。 また、調査の結果、以前にも関連する違反が発生していたことが判明しましたが、このような許されない開示を防止することを目的としたコンプライアンスプログラムによって、この問題が適切に対処されていなかったことが判明しました。
The Importance of Compliance
これら3つの最近の事例からわかるように、HIPAA違反は、個人だけでなく、カバーされる企業にとっても実際の影響を及ぼします。 PHI を手紙で送る代わりにファックスで送るというような単純なミスは、悲惨な結果を招く可能性があります。 より大きな規模では、正しい手順を設計し、実施することに失敗すると、医療施設のネットワーク全体とその患者に影響を与える可能性があります。 ファイルファクス社の事件は、PHIがシュレッダーとリサイクル施設に運ばれ放置されたことに端を発している。
リスク評価、トレーニング、およびHIPAA規則の認識はすべて、HIPAA対象事業者にとって高い優先度で繰り返し行う必要がある。 そうでなければ、OCR のディレクターである Roger Severino が Filefax 事件の後に述べたように、大変な目に遭う危険性があります。 OCRは、HIPAAの執行に全力を尽くします。 HIPAAガイドの全文はこちら
。