HIPAA Explainedの記事では、医療保険の相互運用性と説明責任に関する法律(HIPAA)に関する情報、2013年の最新の法律の変更、法律の条項が現在患者、医療業界全体、およびその中で働く個人に与える影響について解説しています。
HIPAA Simplified History
もともとは、労働者が職を越えて保険と医療の権利を繰り越せるようにするために1996年に提案されましたが、HIPAA Simplified Historyでは、その後、健康保険詐欺や医療貯蓄口座の税制規定も管理し、既存の疾患を持つ労働者を職業医療保険スキームに確実に受け入れるための法律法に拡大していることを紹介しています。 しかし、HIPAAは主に患者の健康情報のプライバシーとセキュリティに関係している。
HIPAAは(HITECH法を介して)医療業界に紙の記録のコンピュータ化を奨励するためにも使われた。 このため、「保護されるべき健康情報」(PHI)の不正な開示に対する懸念が生じ、2013年にさらなるプライバシーおよびセキュリティに関する規制が策定されました。
HIPAA規則は、米国保健省&人権擁護局によって施行されますが、州の司法長官もHIPAAを遵守していないことが判明した当事者に対して措置を講じることができます。 市民権局は、違反者が患者の健康情報が漏洩した可能性が低いことを証明できない限り、PHIの漏洩に対して対象事業者及びビジネス・アソシエイトに罰金を課す権限を有する。
HIPAA Explained in Simple Terms
すべてのHIPAA Administrative Simplification RegulationsのテキストがHHSによって115ページの1文書にまとめられ、非常に長くなっていますが、HIPAAを数文で要約して簡単にHIPAAについて説明することは可能です。
HIPAA は、ヘルスケアの効率を高め、無駄をなくし、不正と戦い、個人を特定できるような健康情報を保護し、個人情報と機密を保持することを確実にするための、議会による試みでした。 医療情報の交換を容易にするために標準コードと識別子が作成され、医療提供者、医療保険者、およびその業務提携者は、データを効率的に交換できるように、電子取引に同じコードを使用することが義務づけられました。 5624>
HIPAA は、健康情報の許容される使用と開示について規定し、誰がどのような状況で健康情報にアクセスすることを許可されるかを制限している。 HIPAAは、アメリカ人に、自分の健康記録に誤りがないか確認するために健康データのコピーを入手する権利と、自分の記録を希望する相手と共有する権利を与えた。
HIPAA for Dummies
この記事の一部を「HIPAA for Dummies」と題するのは不親切かもしれませんが、患者の健康情報が「保護」されていることを知らない人がまだいるようです。 保護されるべき健康情報」とは何かを明確にするため、以下に、単独で、または他の個人識別子とリンクして、個人の身元、病歴、支払い履歴を明らかにできる18の「個人識別子」をリストアップしました。
| 氏名または氏名の一部 | その他固有の識別特性 |
| 地理的識別子 | 日時 個人に直接関連するもの |
| 電話番号 | ファックス番号 |
| 電子メールアドレス | 社会保障番号 |
| カルテ番号 | 健康保険受給者番号 |
| 口座番号 | 証明書または免許証番号 |
| デバイスの識別子とシリアル番号 | |
| ウェブURL | IPアドレス |
| 指紋, 網膜および声紋 | 顔全体またはそれに相当する写真画像 |
HIPAAが適用される対象者は誰か。
HIPAA の説明を始める前に、この法律が誰に適用されるかを明確にしておくとよいでしょう。 実質的にすべてのヘルス プラン、ヘルスケア クリアリングハウス、ヘルスケア プロバイダー、およびメディケア処方薬割引カードの承認スポンサーは、この法律の下で「HIPAA 対象事業者」とみなされます。 通常、これらは保護されるべき医療情報に定期的に接触する事業体である。
「業務提携者」もまた、HIPAA の対象事業者である。 これらは、保護されるべき健康情報を作成、受領、維持、または伝送することを本業としないが、対象事業者のために第三者サービスおよび活動を提供する事業者で、その過程でPHIに接することになる。 対象事業者のためにサービスまたは活動を行う前に、業務提携者は、アクセスするすべてのPHIの完全性を保証する業務提携契約に署名しなければならない。 HIPAAでは、雇用者は、その事業の性質がCovered Entityとなる基準に該当しない限り、Covered Entityではないとしている(例えば、雇用する医療センターはCovered Entityとなる)。
HIPAA Explained Post 2013
注意:2013年以前のHIPAAに関する情報および2009年のHITECH Actとの関係については、「HIPAA History」ページを参照してください。
2013年にHIPAAに新しい規則を制定したFinal Omnibus Ruleの導入以来、医療関連環境においてPHIがどのようにアクセスされ伝達されなければならないかについての新しいガイドラインが発行されています。 改正法は、患者に自分の健康情報がどのように使用されるかを知り、管理する権利をさらに与え、HIPAAの対象となる事業体およびビジネス・アソシエイトに対する管理を、患者情報へのアクセスおよび通信の方法にまで拡大しています。
HIPAAの対象となる事業体およびビジネス・アソシエイトは、情報の流れをプライベートネットワーク内に制限する仕組みを実装し、ネットワーク上の活動を監視して、ネットワークの境界を越えたPHIの不正な開示防止措置を取らなければなりません。 HIPAA セキュリティ規則の改訂は、HIPAA に準拠した ePHI の保管および通信のために設けなければならない条件 (「セーフガード」) を規定するものである。 これらの「保護措置」は、HIPAAセキュリティ規則において、「必須」または「対処可能」のいずれかで記述されています。 実際には、次のセクションで説明するように、どのように記述されているかに関係なく、すべてのセーフガードは一般的に必須です。
The Office for Civil Rights(公民権局)は、HIPAA の対象事業者に対して監査を行い、規制を遵守しているかどうかを確認しています。
The Required and Addressable Safeguards of HIPAA Explained
HIPAA の一部で混乱を招いているのは、「必須(required)」と「対処可能(addressable)」の保護措置の違いです。 HIPAA のすべてのセーフガードは、セーフガードを実施しない正当な理由があるか、セーフガードに代わる同じ目的を達成する適切な代替手段が実施されていない限り、事実上「必須」です。
Addressable セーフガードの実施が不要なシナリオは、電子メールの暗号化です。 PHI を含む電子メール(本文または添付ファイル)は、ファイアウォールで保護された内部サーバを越えて送信される場合のみ、暗号化される必要がある。 もし医療機関が電子メールを内部コミュニケーションとしてのみ使用し、あるいは患者から情報を暗号化せずに送信する許可を得ているなら、このアドレス指定可能な保護手段を導入する必要はありません。
電子メールの暗号化を導入しないという決定は、リスク評価によって裏付けられ、文書で記録されなければならないでしょう。 また、組織のリスク軽減戦略やPHIの完全性を保護するために導入された他のセーフガードも考慮されなければならないかもしれない。 HIPAA のこの特定のセクションの脚注に説明があるように、静止時および転送時の PHI の暗号化が推奨されている。
患者にとっての HIPAA の意味
患者にとっての HIPAA の意味は、患者のヘルスケア情報がより敏感に扱われ、医療従事者がより迅速にアクセスできるようになることである。 電子的に保存された健康情報は、紙の記録よりも保護されており、HIPAA の規制に準拠する仕組みを導入した医療機関は、効率の向上を目の当たりにしています。
一方、医療機関は、個々の患者に提供できる医療水準だけにこだわっているわけではありません。 医療機関は、自分たちが提供できるサービスを増やしたい、ケアの質を上げたい、研究を通じて患者の安全を向上させたいと考えています。 しかし、研究はHIPAAによって制限されており、PHIへのアクセスの制限は、ヘルスケアにおける改善の速度を遅くする可能性があります。
また、データセキュリティの改善には代償が必要で、Meaningful Useプログラムの制定は、医療提供者が紙の記録をコンピュータ化する際の金銭的インセンティブとなりましたが、ePHIを安全にするのに必要なコントロールを実装するにはかなりの費用がかかる可能性があります。
患者へのHIPAA説明方法
医療機関は、プライバシーポリシーの通知を患者に行うことが法律で義務付けられたため、患者がポリシーのコピーを受け取ったことを示すために署名しなければならないので、HIPAAについて説明することが必要になります。 患者にHIPAAを説明する最善の方法は、プライバシー・ポリシーに関連情報を記載し、そのポリシーの内容の概要を患者に説明することである。 例えば、次のように患者に説明します。
- 患者はいつでも自分の医療記録を請求する権利があります。
- 患者は適切な場合に自分の医療記録を修正することを要求する権利があります。
- 患者は自分の個人健康情報にアクセスする人を制限する権利があります。
- 患者には、医療従事者がどのように患者とコミュニケーションをとるかを選択する権利があります。
- 患者はまた、PHIの不正な開示について苦情を言う権利があります。
患者がPHIの不正な開示により身体的または金銭的損害を受けない限り、過失当事者に対して民事訴訟を提起することはできません。 しかし、個人的な利益、偽りの口実、またはその他の個人的な利益のためにHIPAAに違反した対象事業者とビジネス・アソシエイトは、公民権局から最高10年の禁固刑を科される可能性があります。
医療組織に対するHIPAAの影響
データのプライバシーとセキュリティが対処されていない場合、公民権局はコンプライアンス違反に対して罰金を課することが可能です。 予防可能なデータ侵害には、相当な金銭的ペナルティが課される可能性があります。 HITECH によって導入された罰則の仕組みでは、違反すると、OCR によって最高 150 万ドルの罰金が科され、弁護士と、前述のようにデータ侵害の被害者の両方が訴訟を起こすことができます。
医療組織がサイバー犯罪者のターゲットになる可能性は高く、データ侵害への対処 (侵害通知書の発行、クレジット監視サービスの提供、OCR の罰金の負担) には法外なコストがかかるため、完全準拠を実現するにははるかに費用がかかりすぎるのです。 しかし、患者データを保護するために必要な技術的、物理的、管理的な安全対策への投資の初期費用は高いかもしれませんが、その改善により、効率が向上する結果、長期的にはコスト削減につながる可能性があります。
HIPAA を遵守するための仕組みをすでに導入している組織では、従業員のワークフローが効率化され、「電話番」をして無駄にする時間が減り、従業員の生産性が向上しています。 HIPAAを遵守するために、対象事業者およびビジネス・アソシエイトは、従業員に対するプライバシーおよびセキュリティの方針、ならびに要件を遵守しない従業員に対する制裁方針をまとめなければならない。 そのため、従業員に対してHIPAAをより詳細に説明する必要がある。
従業員にHIPAAを説明する最善の方法は、特別なコンプライアンス・トレーニング・セッションの中で行うことである。 HIPAA規則では、トレーニングは毎年行うべきとされていますが、個人健康情報のセキュリティとプライバシーに関して従業員が考慮すべきことは非常に多いため、コンプライアンス・トレーニング・セッションは短期間で頻繁に行うべきであると提案します。 4時間のトレーニングでHIPAAを説明しようとしても、うまくいかない可能性が高い。
説明の多くは、PHIの完全性の維持を中心に展開されますが、これをどのように実施するかは、従業員自身にも影響を及ぼすと思われます。 例えば、従業員は、通信が暗号化されていない限り、モバイルデバイスを介して患者のヘルスケアについて話し合うことができなくなります。 BYODポリシーを導入している医療施設が多いため、従業員は安全な通信アプリを個人のモバイルデバイスにダウンロードしなければならないことになります。
新技術とHIPAAプライバシーおよびセキュリティ規則
PHIの完全性を保護するための新技術は、常に開発されています。 Webフィルタリング、安全な電子メールアーカイブ、安全なメッセージソリューションなどの技術革新により、HIPAAプライバシーおよびセキュリティ規則の遵守は日々容易になっています。
Webフィルタリングは、マルウェア、特にキーストロークを記録してユーザー名やパスワードを入手する監視マルウェアによるリスクを軽減する優れたメカニズムです。 最近のいくつかのデータ侵害は、マルウェアのダウンロードの結果であり、そのうちのいくつかは、Web フィルタリング機構を実装していれば発生しなかったものです。
安全な電子メール アーカイブは、医療機関がオンライン セキュリティ体制を改善できるもう 1 つの分野です。 6年分の電子メールを維持することは、ストレージの問題を引き起こす可能性があります。 しかし、サードパーティの安全な電子メール アーカイビング サービスを使用することにより、医療機関は、HIPAA プライバシーおよびセキュリティ規則を遵守しながら、自社の IT 構造内のリソースを解放できます。
この HIPAA 解説記事で以前述べたように、HIPAA に対する最新の変更の一部は、BYOD (Bring Your Own Device) ポリシーによるリスクを考慮しています。 一部の医療機関は、安全なメッセージング・ソリューションを導入することで、このリスクを排除しています。
すべてのサードパーティサービスプロバイダと同様に、ビジネスアソシエイトがHIPAAに準拠していることを確認する責任は、医療機関にあります。 以下のHIPAAに関する説明のインフォグラフィックが示すように、コンプライアンスを確保できない場合のコストは相当なものになる可能性があります
。