Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial KITEWORKSを探る

HITECH法コンプライアンス:医療提供者のためのステップバイステップガイド

ホーム 用語集 HITECH法コンプライアンス:医療提供者のためのステップバイステップガイド

HITECH法(Health Information Technology for Economic and Clinical Health Act)は、2009年に米国政府によって制定された包括的な医療関連法です。その主な目的は、国内の医療提供者による電子健康記録(EHR)の採用と有意義な利用を促進し、個人の健康情報のプライバシーとセキュリティを向上させることです。これは、1996年に制定された医療保険の相互運用性と説明責任に関する法律(HIPAA)の拡張版です。HITECHは、特に電子健康情報のプライバシーとセキュリティに関して、医療業界に大きな影響を与えています。本記事では、HITECHについて知っておくべきことと、医療提供者に与える影響について説明します。

HITECH法コンプライアンス:医療提供者のためのステップバイステップガイド

HITECHとは何か、なぜ制定されたのか?

HITECH法は、2009年のアメリカ復興・再投資法(ARRA)の一部であり、オバマ大統領によって署名され、経済成長を促進し、雇用を創出するために制定されました。HITECHは、電子健康記録のセキュリティとプライバシーの向上、および電子健康記録の相互運用性に関する基準の欠如に対処するために制定されました。

HITECH法は以下の目的を達成することを目指しています:

  • 医療提供者によるEHRの採用と利用を促進し、患者ケアの質と効率を向上させる
  • 新しい規制と基準の確立を通じて、電子健康情報のプライバシーとセキュリティを強化する
  • 健康情報技術(HIT)の分野での研究開発を奨励する

HITECH法は、EHRの「有意義な利用」を示す医療提供者に対して財政的インセンティブを提供します。「有意義な利用」とは、医療の質、安全性、効率に関連する特定の目的を達成するためのEHRの利用を指します。また、一定の期限までにEHRを採用し利用しない提供者には罰則が課されます。

HITECHの主な規定は何か?

HITECHには、医療提供者や組織に影響を与えるいくつかの主要な規定があります。これらの規定には以下が含まれます:

EHRの有意義な利用

HITECH法の主要な特徴の一つは、有意義な利用プログラムであり、認定されたEHR技術の有意義な利用を示す適格な提供者に対して財政的インセンティブを提供しました。このプログラムは3つの段階があり、それぞれの段階で有意義な利用の要件がますます厳しくなります。要件を満たさない提供者は、メディケアの払い戻しが減額されるという罰則を受けます。

プライバシーとセキュリティの要件

HITECHは、医療の質と効率を向上させると同時に、患者のプライバシーと情報を保護することを目的とした重要な法律です。そのセキュリティ要件は、医療機関が保護対象保健情報(PHI)を不正アクセスから保護するための重要な枠組みを提供します。

HITECHは、医療機関に対して患者のプライバシーを保護するためにPHIを保護するための対策を実施することを要求しています。これには、暗号化やアクセス制御などの技術的および非技術的なセキュリティ対策の実施、プライバシーとセキュリティプロトコルに関する従業員の訓練、PHIへのアクセスを必要とする個人に限定することが含まれます。

また、医療機関は、プライバシーとセキュリティの侵害の可能性を検出し、対応し、報告するための対策を講じることを要求されています。これには、潜在的な侵害に対応し調査するためのポリシーと手順を持ち、影響を受けた個人に通知することが含まれます。

さらに、HITECHは、医療機関がセキュリティ対策の有効性を定期的に評価し、必要に応じて更新するためのプロセスを持つことを要求しています。これには、パスワードの定期的な更新、スタッフの訓練、アクセスログのレビューなどの技術的および非技術的な対策が含まれます。

最後に、HITECHは、PHIが不要になったときに安全に廃棄するためのプロセスを持つことを医療機関に要求しています。これには、文書のシュレッダーや安全なデータ削除ソフトウェアの使用など、PHIが安全に破壊されることを保証するための対策を講じることが含まれます。

侵害通知要件

HITECH法の最も重要な規定の一つは、侵害通知ルールであり、保護されていないPHIの侵害が発生した場合、影響を受けた個人、保健福祉省(HHS)、および特定の場合にはメディアに通知を提供することを要求しています。

侵害通知ルールは、PHIを作成、受信、維持、または送信する個人または組織に適用されます。保護されていないPHIがアクセスされた、または取得されたと合理的に信じられる個人には、通知を提供する必要があります。通知は合理的な遅延なく提供される必要がありますが、侵害から60日以内に提供されなければなりません。

組織は、500人以上の個人が関与する侵害について、米国保健福祉省(HHS)に即時通知を提供し、事件から60日以内に侵害の詳細な説明を提供する必要があります。さらに、同じ州または管轄区域に500人以上の個人が関与する侵害が発生した場合、メディアに通知を提供する必要があります。

500人以下の個人が関与する侵害の場合、HHSが必要かつ適切と判断した場合、メディアへの通知が必要になることがあります。HHSはまた、侵害が信用報告機関への通知を必要とするかどうかを判断する責任を負っています。侵害通知ルールは、通知の内容に関する特定の要件も概説しており、事件の簡単な説明、関与したPHI、侵害に対応するために個人が取るべきステップ、組織の連絡先情報が含まれます。

HITECH法には、侵害通知ルールに従わない場合の重大な罰則が含まれています。違反した組織は、1件の違反につき最大50,000ドルの民事罰金を科される可能性があります。

健康情報交換

HITECH法には、医療提供者と医療機関間で患者の健康情報を安全に共有するための健康情報交換(HIE)の規定も含まれています。これにより、医療提供者は他の承認された提供者と患者の健康情報を安全に交換することができます。

この情報の交換は暗号化されており、医療の質を向上させ、コストを削減し、複数の提供者を受診する際の患者の体験を向上させるために行われます。HIEはまた、患者記録へのリアルタイムアクセスを提供し、提供者がケアをより良く調整し、エラーを減少させることを可能にします。

HIEはまた、医療提供者がベストプラクティスやエビデンスに基づくガイドラインを共有するためのプラットフォームを作成します。提供者はまた、集計データにアクセスして、人口健康イニシアチブを改善することができます。HIEは、患者が自分の健康記録にアクセスできる患者ポータルを提供するためにも使用されます。

HITECHに従わない場合の罰則

経済的および臨床的健康のための健康情報技術(HITECH)法に従わない場合の罰則は非常に厳しいものとなる可能性があります。米国保健福祉省(HHS)の市民権局(OCR)は、1件の違反につき最大150万ドルの民事罰金を科すことができ、個人識別可能な健康情報(IIHI)の不正開示に関与する違反には刑事罰も科される可能性があります。

さらに、HIPAAおよびHITECHに従わない場合、提供者の違反の公表、行政的な叱責、メディケアおよびメディケイドの請求特権の終了につながる可能性があります。規則に従わない組織や個人は、民事および刑事訴訟、重い罰金、投獄に直面する可能性もあります。HITECHコンプライアンスは、患者の健康情報を保護し、関連するすべての規制に従うことを目指す組織にとって必要不可欠です。

HITECHは医療提供者や組織にどのような影響を与えるのか?

HITECH法は、その制定以来、医療業界に大きな影響を与えてきました。医療提供者によるEHRの採用と利用が大幅に増加し、米国の病院の80%以上、医師の診療所の50%以上がEHRを使用しています。これにより、以下のような多くの利点が得られます:

  • 患者情報と意思決定支援ツールへのアクセスの向上による患者の安全性とケアの質の向上
  • ルーチンタスクとワークフローの自動化による医療提供者の効率と生産性の向上
  • 管理費用と医療エラーの削減によるコスト削減

HITECH法はまた、遠隔医療やモバイルヘルスアプリケーションなどの新しいHIT製品やサービスの開発の道を開き、患者が遠隔でより便利に医療サービスにアクセスできるようにしました。

HITECHは患者にどのような影響を与えるのか?

HITECHは患者にも大きな影響を与えます。患者はHITECHの下で自分の電子健康情報にアクセスし、管理する権利を持っています。患者はまた、自分の電子健康情報の開示の記録を要求し、自分の権利が侵害されたと信じる場合は苦情を申し立てることができます。

HITECHは医療技術ベンダーにどのような影響を与えるのか?

HITECHは医療技術ベンダーにも影響を与えます。医療技術ベンダーは、技術が相互運用性とセキュリティの特定の基準を満たしていることを確認するために、HITECHの認証要件に従わなければなりません。

HITECHの実施における課題

この法律には多くの利点がある一方で、EHRの実施と使用の高コストと複雑さ、データ侵害とプライバシー侵害の可能性に関する懸念など、課題や批判もあります。

HITECH法のもう一つの課題は、デジタルデバイドであり、限られたリソースと技術へのアクセスのために、サービスが行き届いていない地域や農村地域の医療提供者がEHRを採用し実施するのに苦労していることです。これに対処するために、HITECH法はこれらの提供者によるEHRの採用を支援するための助成プログラムを設立しました。

HIPAAとHITECHの違いは何か?

HIPAA(医療保険の相互運用性と説明責任に関する法律)とHITECHは、どちらも患者の健康情報のプライバシーとセキュリティを規定する米国の連邦法です。しかし、両者にはいくつかの重要な違いがあります:

範囲

HIPAAはすべての保護された健康情報(PHI)を対象としていますが、HITECHはHIPAAのプライバシーとセキュリティの規定を電子健康記録(EHR)に拡張しています。

施行

HIPAAは保健福祉省(HHS)の市民権局(OCR)によって施行されますが、HITECHはHIPAA違反に対する罰則を課すためにOCRの権限を拡大しています。

罰則

HIPAA違反は民事および刑事罰をもたらす可能性がありますが、HITECHはHIPAA違反に対する罰則を増加させました。単一の違反に対する最大罰金は現在150万ドルです。

侵害通知

HIPAAは、500人以上に影響を与える保護されていないPHIの侵害が発生した場合、患者とHHSに通知することを要求しています。HITECHは、侵害が500人以上に影響を与える場合、メディアへの通知を含む通知要件を拡大しています。

ビジネスアソシエイト

HIPAAは、PHIを扱うベンダーとビジネスアソシエイト契約(BAA)を締結することを要求しています。HITECHは、ビジネスアソシエイト自体に対しても同じHIPAAのプライバシーとセキュリティの要件を拡張し、違反に対する罰則を課しています。HITECHは、電子健康記録のプライバシーとセキュリティの保護を強化し、違反に対する罰則を増加させ、ビジネスアソシエイトを含む施行の範囲を拡大することによって、HIPAAを基盤としています。

HITECH法の将来

HITECH法は、医療業界の変化するニーズに適応し続けています。2020年、米国政府は21世紀治療法を導入し、HITECH法を基盤としてHITの革新を促進し、患者の医療サービスへのアクセスを改善することを目指しています。21世紀治療法は、HITの研究開発に追加の資金を提供し、相互運用性と健康情報への患者アクセスに関する規定を含んでいます。

将来を見据えると、HITECH法は、人工知能(AI)、遠隔医療、その他の革新的な技術の利用など、健康ITのさらなる進展の舞台を整えています。これらの新しい技術は、患者ケアのさらなる改善、効率の向上、コストの削減の可能性を秘めています。

しかし、新しい技術には、これらのツールを採用し使用することに伴う潜在的なリスクと課題もあります。医療提供者、政策立案者、患者が協力してこれらの課題に対処し、健康ITの利点を実現しつつ、潜在的なリスクを最小限に抑えることが重要です。

2023年におけるKiteworksを用いたHITECHコンプライアンスのナビゲート

HITECHおよびHIPAAの規制に準拠するためには、すべての保護対象保健情報(PHI)が安全に保存され、取り扱われることを保証する必要があります。さらに、すべてのPHIは、転送中および保存中の両方で暗号化され、定期的に不正アクセスがないか監視される必要があります。エンティティはまた、すべてのPHIが認可された人員のみがアクセスできるようにし、アクセスログを保持し、従業員の退職時にアクセス権を取り消すことを確認する必要があります。

さらに、エンティティは定期的に更新されるリスク評価プロセスを持ち、HITECHおよびHIPAAコンプライアンスに関する継続的な従業員の訓練と教育を提供する必要があります。最後に、データ侵害が発生した場合に対応する準備を整え、よく考えられたインシデント対応計画を持つ必要があります。これらのステップを踏むことで、エンティティは2023年におけるHITECHコンプライアンスを効果的にナビゲートすることができます。

Kiteworks Private Content Network(PCN)に依存する組織は、HITECHのようなデータプライバシー規制へのコンプライアンスを示すことができます。Kiteworksは、メール、ファイル共有、マネージドファイル転送、ウェブフォーム、アプリケーションプログラミングインターフェース(API)を含む機密コンテンツ通信を一つのプラットフォームで統合、追跡、制御、保護し、誰がコンテンツにアクセスし、編集し、共有し、送信したか、誰に送信されたか、どこに送信されたか、どのデバイスに共有されたかを示す包括的な監査証跡を持つレポートを簡単に生成できます。さらに、Kiteworksは、単一テナントクラウドのための100%オンプレミス展開を持つ唯一の機密コンテンツ通信プラットフォームであり、サイバーセキュリティ成熟度モデル認証(CMMC)2.0レベル2の実践管理策の約90%に準拠しています。

Kiteworksのカスタムデモをスケジュールして、HITECHおよびその他のデータプライバシー規制へのコンプライアンスを示す方法について詳しく学びましょう。

リスク&コンプライアンス用語集に戻る

追加リソース

ブログ投稿:

HIPAAコンプライアンス要件とは?【完全チェックリスト】

ケーススタディ:

NYC Health + Hospitalsの臨床医とスタッフがPHIを安全かつ効率的に共有

ブログ投稿:

HIPAA暗号化:要件、ベストプラクティス&ソフトウェア

ブリーフ:

Kiteworksの強化された仮想アプライアンスが複数のセキュリティ層を提供する理由

ブログ投稿:

最高裁判所のリーク調査が機密コンテンツガバナンスについて教えてくれること

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

デモを予約
担当者に相談
Share
Tweet
Share
Explore Kiteworks