HIPAA Journalに寄せられた質問に答える形で、HIPAAの最も基本的な要素に答える記事を連載してきましたが、今回は「PHIとみなされるもの」
What is PHI, PII, and IIHA?
ヘルスケアでは、PHIやPIIといった用語がよく使われますが、これらは何を意味し、どのような情報を含むのでしょうか。
PHIはProtected Health Informationの頭字語、PIIはPersonally Identifiable Informationの頭字語にあたります。 これらの用語を説明する前に、まず、保護されるべき健康情報の一部である健康情報とは何を意味するのかを説明することが有用です。
健康情報とは、医療の提供者、公衆衛生当局、医療クリアリングハウス、ヘルスプラン、HIPAA対象事業者の業務提携先、学校/大学または雇用主が作成または受領する、医療の提供または医療サービスに対する支払いに関する情報のことを指します。
健康情報は、ヘルスケアサービスの提供またはそれらのサービスに対する支払いに関連する過去、現在、未来の健康状態または身体的/精神的健康に関連しています。
個人識別情報(PII)または個人識別健康情報(IIHI)は、患者を識別できる健康情報のことです。 例えば、健康診断(例えば喘息)は、その情報を特定の患者に結びつける識別子を含むとき、またはその情報が患者の識別に使用できると信じる合理的な根拠があるときにPIIになります
PHIとみなされるものは何か?
保護されるべき健康情報とは、電子的な形式で保存され、HIPAA対象事業体またはHIPAA対象事業体の業務提携者によって電子的に送信され、あるいはフィルム、チャート、その他の紙の記録を含むあらゆる形式で送信および維持される、個人を特定できる健康情報のことである。 PHIはHIPAAの対象事業体に関係するが、教育記録や雇用記録は含まれない
では、HIPAAでは何がPHIとみなされるのか。 PHI には、EHR/EMR などの健康記録、ラボ検査結果、健康歴、診断、治療情報、保険情報、アレルギーリストなどが含まれ、固有の識別子や人口統計情報も PHI と見なされます。 HIPAA適用事業者が個人にケアを提供する過程で情報を作成、使用、または開示する場合、あるいはケアの支払いと関連して使用する場合、それはPHIとみなされ、許可された使用と開示について厳格な管理の対象となる。
Allowable Uses and Disclosures of PHI
HIPAA Privacy RuleはPHIの許された使用と開示について詳述している。 HIPAA の適用を受ける事業者は、治療または医療業務の目的のためにのみ、患者から情報開示の許可を得ずに PHI を共有することが許可されている。 治療および医療業務の定義は、45 CFR 164.501.に記載されている。
Obtaining Copies of PHI
HIPAA Privacy Ruleは、患者が対象事業者が保有するPHIのコピーを取得することも認めている。 この場合、指定された記録セットに保管されているPHIのコピーを提供するよう、対象事業者に要求しなければならない。 指定された記録セットには、治療の提供またはケアの支払いのために対象事業者が使用する情報、患者に関する決定を行うために対象事業者が保有し使用する情報、または登録、支払い、請求判定、またはヘルスプランの場合には症例または医療管理記録システム内の情報
が含まれる。