HIPAAとは何か、そしてそれが私にどのように影響するのか？

HIPAAとは何か、そしてHIPAAのセキュリティルール、オムニバスルール、プライバシールールが私や私のビジネスにどのように適用されるのか？続きを読んで確認してください。

HIPAAは何の略称ですか？HIPAAは医療保険の相互運用性と説明責任に関する法律の略です。

HIPAAとは何か？

医療保険の相互運用性と説明責任に関する法律（HIPAA）は、1996年に議会で可決され、クリントン大統領によって署名された連邦法で、患者情報の管理、保護、共有に関する一連の基準を作成するためのものです。具体的には、この法律は、医療提供者とそのビジネスパートナーが、保護された健康情報（PHI）をいつ、どのように、どのような状況で開示できるかを規定しています。この法律は、以下を含むいくつかのサポートを提供することにより、医療システム内の患者を支援することを目的としています：

• 異なるプライマリケア提供者（病院、医師、保険会社）間での医療情報とカバレッジの管理と転送
• 情報盗難とアイデンティティ詐欺の削減
• 州を超えた記録保持とセキュリティ基準の標準化
• すべての患者記録とPHIのプライバシーと機密性の維持

HIPAAは、米国保健福祉省市民権局（HHS）によって管理されており、組織のコンプライアンスと規制違反やシステム侵害に対する請求を管理しています。HHSは、HIPAA規制の開発と実施を担当しており、法律の下で患者の権利と提供者の責任を概説する5つの主要なセクションまたは「ルール」を制定しました：

1. プライバシールール
2. セキュリティルール
3. トランザクションルール
4. 識別子ルール
5. 執行ルール

HIPAAは何をカバーしているのか？

HIPAAは最終的に、保護された健康情報（PHI）のプライバシーとセキュリティをカバーしています。PHIは、診断、薬歴、保険請求などの身体的および精神的健康記録を含む、個人を特定できる健康情報であり、医療提供者、健康プラン、および健康関連サービスを扱う他の組織によって収集および維持されます。

HIPAAはまた、保険のポータビリティをカバーしており、個人が職を変えたり、解雇や結婚などの大きな人生の出来事を経験した場合でも、健康保険のカバレッジを維持できるようにします。

さらに、HIPAAは、医療サービスのコーディングと請求における電子トランザクションとトランザクションの基準を設定しています。

最後に、HIPAAのプライバシールールは、医療提供者と組織が個人の健康情報を保護するために特定のプライバシーポリシーと手順を持つことを義務付けることにより、個人のPHIを保護します。対照的に、セキュリティルールは、対象となる事業体がPHIの誤用や不正アクセスから保護するために適切な措置を講じることを要求しています。

HIPAAの下でPHIと見なされるものは何か？

HIPAAの下での保護された健康情報（PHI）は、あらゆる形式または媒体の個人を特定できる健康情報（IIHI）です。これには、個人の過去、現在、または将来の身体的または精神的健康状態、個人への医療提供、または個人への医療提供のための過去、現在、または将来の支払いに関連する情報が含まれます。

PHIは、名前、住所、社会保障番号、医療記録番号、医療履歴、薬物、治療計画、検査結果、保険情報など、特定の人物を識別するために使用できる情報です。PHIには、遺伝情報や年齢、人種、民族、出身国などの人口統計情報も含まれることがあります。一般的に、PHIは安全に保たれ、個人は自分のPHIを閲覧およびコピーすることが許可されなければなりません。

プライバシールール

HIPAAのプライバシールールは、おそらく最も認識されているものでしょう。患者、保護されたデータ、および提供者の義務の一般的な定義と期待を示しています。このセクションでは、HIPAAの基礎が明確にされています：医療機関とそのビジネスパートナーは、PHIおよびその他の医療記録を不正な開示から保護しなければなりません。

プライバシールールの下でHIPAAの管轄下にある事業体は「対象事業体」（CEs）として知られており、これには限られた組織が含まれます。医師、病院、薬局、保険会社、健康維持組織（HMOs）、および関連する提供者の選択されたグループです。ほとんどのCEsは、ビジネスおよび医療機能を第三者のベンダーやパートナーにアウトソーシングしているため、これらの事業体のために「ビジネスパートナー」（BAs）という二次カテゴリーが作成され、HIPAAもこれを管理しています。

プライバシールールは、PHIを法的に定義しています。HIPAAの下では、PHIは以下に関連する情報です：

• 患者の身体的または精神的状態に関する過去、現在、または将来の情報
• 患者への医療提供、精神的または身体的のいずれか
• その患者への医療提供に関連する財務情報または支払い情報、過去、現在、または将来のいずれか

最後に、プライバシールールは、患者が組織によって保持されているすべてのPHIにアクセスし、検査、修正、またはアーカイブの目的でアクセスする権利を持っていることを規定しています。

セキュリティルール

セキュリティルールは、プライバシールールに基づいて、PHIを保護するための基準、要件、および方法を追加します。セキュリティルールの下では、組織は患者情報のプライバシーと機密性を保護するためにセキュリティ対策を実施しなければなりません。特に電子PHI（ePHI）を保護するために、セキュリティルールは3つのコンテキストにわたるセキュリティの期待レベルに関するガイドラインを提供しています：

1. 技術的: このカテゴリにリストされているセキュリティコントロールは、サイバーセキュリティを考えるときに通常考えるものを反映しています：暗号化プロトコル、データサーバーのファイアウォール、アンチマルウェアアプリケーションなど。クラウドベースのソフトウェア・アズ・ア・サービス（SaaS）プログラムの普及に伴い、HIPAAはCEsとBAs間の通信を保護するための明確なセキュリティ対策、クラウドサーバーのセキュリティ対策、およびシステムバックアップを要求しています。
2. 物理的: ePHIは技術的にはデジタル資産ですが、物理的なインフラストラクチャ内に存在します。ePHIの物理的な保護策は、ロック、カメラ、制御パネルを通じてデータセンターへの物理的アクセスを保護し、ワークステーションやモバイルデバイスへのアクセスを制限または排除することに焦点を当てています。
3. 管理的: HIPAAコンプライアンスは、CEまたはBAの従業員からの勤勉さと理解を要求します。管理的なセキュリティ対策には、適切なHIPAAとセキュリティトレーニング、データガバナンス、リスク管理ポリシー、明確な文書化、および組織的な報告が含まれ、規制された組織から期待されています。

これらのセキュリティの側面を考慮に入れると、セキュリティルールでは、CEsとBAsがePHIの整合性、機密性、および可用性を確保する必要があることが指定されています。また、セキュリティ脅威を検出し、軽減し、不正なデータ開示を防ぎ、組織全体でコンプライアンスを認証する必要があります。

トランザクションルール

トランザクションルールは、医療システム内のePHIトランザクションのコーディングと識別を標準化します。このルールは、地方コードや市、州、または民間規模で使用されていた組織基準を排除しました。これらの基準は、医療記録、財務記録、およびPHIに該当すると判断されたものに適用されます。これらのコードは、いくつかの異なるコードセットに基づいています：

• 国際疾病分類、第9版
• 現在の手続き用語、アメリカ医師会によって発行された第4版
• HCFA共通手続きコードシステム（HCPCS）
• 歯科手続きと命名法のコード、アメリカ歯科協会から入手可能、第2版
• 国立医薬品コード、食品医薬品局（FDA）によって発行されています

識別子ルール

組織は、内国歳入庁（IRS）の規制に基づいて、プライバシー目的で医療機関の一貫した識別をサポートするために、ユニークな識別番号を使用しなければなりません。これらの識別子は、すべてのHIPAAトランザクションに存在しなければなりません。これには、以下の識別子が含まれます： 

• 国立プロバイダー識別子（NPI）: すべての管理および財務トランザクションで使用される医療提供者のユニークな識別子。
• 雇用者識別番号（EIN）: 財務トランザクションで識別として使用される雇用者のユニークな番号。

国立健康プラン識別子（HPID、健康プラン提供者を識別するためのユニークなID番号）およびその他のエンティティ識別子（OEID）を含む追加の識別子は、HHSの裁定により使用され、その後の実践から削除されました。

執行ルール

HITECH法の一部として実施されたこのルールは、HIPAAの下での非コンプライアンスに対する罰則を変更し、具体化しています。2020年現在、執行ルールは異なるタイプのHIPAA違反を指定しています：

• 知らない違反、CEまたはBAが違反を知らず、合理的に予想できなかった場合。罰金は違反ごとに100ドルから59,000ドルで、同一の違反に対する年間最大罰金は25,000ドルです。
• 知らない違反、CEまたはBAが違反を知らなかったが知っているべきだった場合。罰金は違反ごとに1,000ドルから50,000ドルで、同一の違反に対する年間最大罰金は100,000ドルです。
• 是正措置を伴う故意の怠慢、CEまたはBAが違反を知っていて対処しなかったが、その後対処しようとした場合。罰金は違反ごとに10,000ドルから50,000ドルで、同一の違反に対する年間最大罰金は250,000ドルです。
• 是正措置を伴わない故意の怠慢、CEまたはBAが故意に違反を無視または怠慢し、修正しようとしなかった場合。罰金は最低50,000ドルで、同一の違反に対する年間最大罰金は1.5百万ドルです。

さらに、PHIの盗難から利益を得る意図や特定の意図なしに、プライバシールールに違反したとされる個人は、刑事告発の対象となる可能性があります。刑事罰には以下が含まれます：

1. 合理的な理由または違反の無知による違反：最大1年の懲役
2. 虚偽の口実でPHIを取得：最大5年の懲役
3. 悪意または個人的利益のためにPHIを取得：最大10年の懲役

HIPAAコンプライアンスにおいて重要な役割を果たす2つの追加ルールがあります：

侵害通知ルール

このルールは、侵害が発生した場合にCEsとBAsが持つ義務を述べています。異なるコンテキストでは異なるアプローチが求められますが、一般的には、侵害後に組織が取るべきステップは次のとおりです：

• CEsとBAsは、保護されていないPHIに影響を与える場合にのみ侵害を報告しなければなりません。PHIが暗号化されていない、保護されていない、または使用不能にされていない場合、それは保護されていません。
• コンプライアンス組織は、侵害を発見してから60日以内に書面またはメールで影響を受けた患者に侵害を報告しなければなりません。組織が10人以上の影響を受けた患者の連絡先情報を持っていない場合、ウェブサイトに通知を掲載し、影響を受けた患者が電話できるフリーダイヤルの連絡先番号を提供しなければなりません。通知と電話番号は少なくとも90日間アクティブで表示され続けなければなりません。
• 単一の州または管轄内で500人以上の患者に影響を与える侵害は、その州または管轄内の主要なメディアを通じて通知を提供しなければなりません。このメディア通知は、侵害を発見してから60日以内に行われなければなりません。
• 侵害が500人以上に影響を与える場合、組織は、侵害報告フォームを通じて保健福祉省長官に60日以内に通知しなければなりません。

オムニバスルール

2013年に可決されたHIPAAのオムニバスルールは、プライバシールールとセキュリティルールの言語を洗練し、現代のePHI技術と2009年のHITECH法で推進された電子記録への移行をよりよく補完するようにしています。

おそらく最も重要なのは、オムニバスルールがビジネスパートナーとその義務に関する言語を変更したことです。新しいルールの下では、BAsは対象事業体と同様にHIPAA違反とシステム侵害に対して同等の責任を負い、CEsと同じ法律を遵守しなければなりません。さらに、BAの定義には、CEとの作業の一環としてPHIに触れるすべての組織が含まれるようになりました。

最後に、CEsはオムニバスルールの下で、患者情報を同意なしに販売することが禁止されており、マーケティング目的での患者情報の使用に対してより厳しい制限があります。

HIPAAの下で許可されるPHIの開示は何か？

これらのルールと規制のすべてにおいて、プロバイダーが直接の許可なしにPHIを開示できる条件の選択セットがあります。これには以下が含まれます：

• 患者への開示: CEsとBAsは、報告の対象である個人に属する情報を開示することができます。
• 治療のための内部開示: 組織は、治療、運用、および支払いプロセスの一部としてデータを内部で開示することができます。
• 最善の利益: 非公式または緊急時に、CEsとBAsは、施設ディレクトリにある情報を家族に通知するために（かなり制限された方法で）開示することができます。
• 偶発的開示: PHIが許可された開示中に偶然に露出し、CEまたはBAがそのような開示を防ぐために合理的な手段を講じた場合、組織はプライバシールールの下で罰則を受けません。
• 公共の利益: CEまたはBAは、12の国家優先目的の下で許可なしに患者情報を開示することができます：
  • 公衆衛生活動：パンデミック、薬物および医薬品のテスト、症状のテスト、職場の病気や怪我の管理など。
  • 虐待: CEsは、虐待、ネグレクト、暴力を暴露する情報を政府当局に開示することができます。
  • 監視: プライバシールールで定義された機関への監視活動の一環として情報を開示することができます。 
  • 司法手続き: 特定の裁判所命令がPHIの開示を許可することがあります。
  • 法執行: 特定の状況下で、PHIは法的命令、容疑者または行方不明者の識別、または警察への死亡通知のために法執行機関に開示されることがあります。
  • 故人: PHIは、身元確認や死因の特定を支援するために検死官または医療検査官に開示されることがあります。
  • 寄付: PHIは、臓器寄付と移植を促進するために開示されることがあります。
  • 研究: 特定の状況下で、PHIは特定の種類の許可された保護された研究のために開示されることがあります。
  • 公共の安全: PHIは、特定の状況下で個人に危害を加えることを防ぐために開示されることがあります。患者自身への脅威を含む。
  • 政府の機能: 軍事機能の実行、情報任務、または国家安全保障に関連するその他の活動は、PHIの開示に許可を必要としません。
  • 労働者補償: PHIは、労働者補償請求および給付の訴訟のために法的許可の下で開示されることがあります。 
  • 法律で要求される場合: これらの法律で要求されるPHIの開示は、法律、規制、または裁判所命令によって含まれています。

HIPAAコンプライアンスを達成し、患者のプライバシーを保護する

HIPAAコンプライアンスに関しては、組織のITおよびデータ管理インフラストラクチャが、患者とチームメンバーを保護するためのタスクに対応できることが重要です。統一された、ログが記録され、追跡され、安全なシステムは、報告および監視可能な管理可能なコンプライアンスを提供するだけでなく、患者のプライバシーが保護され続けることを保証するための基盤的なツールを提供します。

最後に、HIPAAコンプライアンスを維持することは、外部世界から自分を遮断することを意味しません。セキュアなファイル共有、セキュアなメールリンク、コンプライアントなデータサービス、プライベートクラウドインフラストラクチャなどの適切なツールを使用することで、使いやすさや顧客満足度を犠牲にすることなく、セキュリティとコンプライアンスを優先することができます。

Kiteworksのカスタムデモをスケジュールして、PIIを送信および共有する際に、組織がどのようにHIPAAに準拠できるかを発見してください。

 

リスクとコンプライアンス用語集に戻る