HIPAAとは? HIPAAに準拠していることを確認する方法は次のとおりです

公開: 2023-01-23

誰も健康と安全に妥協すべきではありません。これが HIPAA が保証するものです。

健康保険の携行性と説明責任に関する法律 (HIPAA) は、患者が自分の健康情報にアクセスしやすくし、その保護を規制するために、1996 年に制定されました。 長年にわたり、HIPAA はデータ侵害通知要件を作成し、それが適用されるエンティティを決定するように進化してきました。

ヘルスケアの仕事をしていると、よく HIPAA について話しますが、それは何ですか? また、その要件を満たすにはどうすればよいでしょうか?

健康保険の携行性と説明責任に関する法律とは何ですか?

医療保険の相互運用性と説明責任に関する法律 (HIPAA) では、保護された医療情報 (PHI) の適切な使用と開示、保護方法、違反が発生した場合の対処法について説明しています。 保健社会福祉省 (HHS) は HIPAA を規制し、公民権局 (OCR) はコンプライアンスを施行します。

コンプライアンス違反の苦情が医療機関に対して提出されると、OCR はその組織を調査して、その主張が真実かどうかを判断します。 組織が HIPAA に違反していることが判明した場合、罰金および是正措置が課される場合があります。

医療保険の相互運用性と説明責任に関する法律の 3 つのルール

HIPAA 規制は、3 つの主要な規則で構成されています。 HIPAA プライバシー、セキュリティ、違反通知規則は、医療機関が情報を共有し、患者の機密情報を保護し、違反に対応して報告するためのガイドラインを提供します。

HIPAA プライバシー規則

HIPAA プライバシー ルールは、主に保護された医療情報の使用と開示に焦点を当てています。 PHI の使用と開示は、治療、支払い、医療などの特定の理由でのみ許可されます。 その他の使用または開示には、患者からの事前の書面による同意が必要です。

HIPAA の最低基準では、PHI へのアクセスを制限することも求めています。 PHI へのアクセスは、業務上必要な従業員にのみ許可する必要があります。 また、このアクセスは、職務を遂行するために必要な情報に限定する必要があります。

たとえば、管理アシスタントは、予約をスケジュールするために一部の患者情報にアクセスする必要がある場合があります。 この従業員は、患者の名前、連絡先、保険情報、および場合によっては、予約の期間を決定するための基本的な手順情報を知る必要があります。 完全な患者ファイルにアクセスする必要はありません。

プライバシー慣行通知 (NPP) では、組織が患者情報を使用および開示する方法を明確に説明する必要があります。 また、情報に関する患者の権利についても議論する必要があります。 患者には、摂取時に確認するために NPP を提供する必要があります。

患者の権利 (HIPAA アクセス権) についても、プライバシー規則で詳しく説明されています。 HIPAA アクセス権標準では、医療提供者は、要求に応じて患者が自分の医療記録にアクセスできるようにする必要があります。 要求された記録は、要求から 30 日以内に患者が利用できるようにしなければなりません。 患者はまた、該当する場合、要求した形式で記録を受け取る権利を有します。

HIPAA セキュリティ ルール

HIPAA セキュリティ ルールでは、PHI の機密性、完全性、および可用性を維持する必要があります。 これは基本的に、医療機関が PHI のプライバシーを保護し、許可なく改ざんや破壊を防ぐ必要があることを意味します。 HIPAA セーフガードは、最適なデータ セキュリティの実現に役立ちます。

HIPAA セーフガードとは何ですか?

HIPAA セーフガードは、PHI の不正アクセス、使用、または開示を防止するために講じられる管理上、技術上、および物理的な手段です。

管理上のセーフガードは、PHI を適切に使用および開示するためのガイドラインを従業員に提供するポリシーおよび手順です。 また、従業員向けの HIPAA トレーニングとセキュリティ リスク評価の要件についても概説しています。

技術的セーフガードは、電子 PHI (ePHI) を保護する手段です。 技術的なセーフガードの一般的な例には、暗号化、ユーザー認証、アクセス制御、および監査制御が含まれます。

  • 暗号化:許可されていないエンティティが情報を読み取ることができないように、データをエンコードします。
  • ユーザー認証:組織のネットワークにアクセスするための一意のユーザー ID を各ユーザーに提供します。
  • 監査制御:管理者は、ユーザーが疑わしい場所からネットワークにアクセスしたり、個々のユーザーが何度もログインに失敗したりするなど、ネットワーク上の疑わしいアクティビティを簡単に監視できます。
  • アクセス制御:管理者は、従業員の職務に基づいて、患者情報へのさまざまなアクセス レベルを指定できます。

ロックや警報システムなどの物理的な保護手段は、組織の物理的な場所を保護します。

HIPAA違反通知ルール

HIPAA 違反通知規則では、対象となる企業およびビジネス アソシエートが PHI 違反を報告する必要があります。

すべてのインシデントが違反であるとは限りません。 侵害の一般的な例には、ハッキング事件、PHI への不正アクセス、権限のない当事者への PHI の開示、紙の記録の盗難または紛失、暗号化されていない携帯電子デバイスの盗難または紛失が含まれます。

たとえば、暗号化されたラップトップの盗難または紛失は、情報にアクセスできないため、違反にはなりません。 ラップトップ上の情報が保護されておらず、許可されていない人がアクセスできるようになった場合、それは違反になります。

患者データの侵害は報告が義務付けられています。 違反した組織は、インシデントの発見から 60 日以内に、影響を受けた患者に書面で通知する必要があります。 組織はまた、違反を保健社会福祉省 (HHS) に報告する必要があります。

インシデントが 500 人未満の患者に影響を与えた場合、組織は暦年の終わりから最大 60 日以内に HHS に報告する必要があります。 インシデントが 500 人以上の患者に影響を与える場合、組織は発見から 30 日後に HHS に報告する必要があります。 500 人以上の患者に影響する違反も、メディアに報告する必要があります。

HIPAA はどのような情報を保護しますか?

HIPAA は、Protected Health Information (PHI) として知られる患者情報を保護します。 PHI は、過去、現在、または将来の医療提供に関連する個人を特定できる健康情報として定義されます。

電子的に保護された医療情報 (ePHI) は、ラップトップや電子医療記録プラットフォームなどの電子形式で保存される PHI です。 ePHI も HIPAA で保護する必要があります。

18個のHIPAA識別子

保健社会福祉省 (HHS) は、保護された健康情報を 18 の一意の識別子に分類します。 医療サービスの提供に関連付けられている場合、18 個の識別子のそれぞれが PHI と見なされます。

18個のHIPAA識別子

出典:コンプライアンス グループ

以下は、18 の HIPAA 識別子です。

  1. 患者名
  2. 住所、都市、郡、郵便番号などの地理的要素
  3. 生年月日、入院日、退院日、死亡日、または 89 歳以上の患者の正確な年齢を含む、個人の健康または身元に関連する日付
  4. 電話番号
  5. ファックス番号
  6. メールアドレス
  7. 社会保障番号
  8. カルテ番号
  9. 健保受給者番号
  10. 口座番号
  11. 証明書またはライセンス番号
  12. 車両識別子
  13. デバイス属性またはシリアル番号
  14. ウェブサイトの URL などのデジタル識別子
  15. IPアドレス
  16. 指、網膜、声紋などの生体認証要素
  17. 全身写真画像
  18. その他の識別番号またはコード

HIPAA に準拠する必要があるのは誰ですか?

よくある誤解は、医療情報がアクセスまたは開示されるときに HIPAA が適用されるというものです。 HIPAA は PHI の使用と開示を制限しますが、HIPAA は治療、支払い、または医療業務に関与する組織にのみ適用されます。 これらの組織は、「対象事業者」および「ビジネス アソシエート」と呼ばれます。

PHI または ePHI にアクセスする可能性のある組織は、HIPAA に準拠している必要があります。

対象事業体

対象となる事業体には、医療提供者、保険会社、手形交換所が含まれます。 医師、歯科医、メンタルヘルスの専門家、カイロプラクター、健康保険会社はすべて対象となります。

ビジネスパートナー

ビジネス アソシエートは、PHI にアクセスできる可能性がある対象事業体によって契約されたベンダーです。 電子医療記録 (EHR) プラットフォーム、電子メール サービス プロバイダー、オンライン予約スケジューラ、マネージド サービス プロバイダーは、ビジネス アソシエートの一般的な例です。

HIPAA に準拠する方法

HIPAA コンプライアンスには、いくつかの手順が含まれます。 むしろ合格か不合格か。 あなたは準拠しているか、準拠していません。 HIPAA に準拠するには、各ステップの要件を満たし、これらの要件の一部を毎年完了する必要があります。

Hipaa コンプライアンス

出典:コンプライアンス グループ

セキュリティ リスク評価を実施し、ギャップを特定し、修復計画を組み込む

セキュリティ リスク評価 (SRA) は、HIPAA 要件を満たすために不可欠です。 HIPAA に準拠するには、HIPAA セキュリティ リスク評価を毎年完了する必要があります。 これは、SRA が HIPAA 標準に対する現在の保護を測定するためです。 現在の作業が HIPAA 基準を満たすのに十分でない場合、ギャップが発生します。

「ギャップ」とは、HIPAA 違反や違反につながる可能性がある欠陥です。 ここで、修復計画の出番です。 是正計画は、コンプライアンスのギャップを埋めるための実行可能な手順を作成します。 改善計画を効果的にするには、ギャップを埋めるために何を行うか、誰が改善の責任者であるか、改善のタイムラインを含めて、具体的な改善計画を立てる必要があります。

ポリシーと手順の実装

ポリシーと手順は、3 つの HIPAA ルールを念頭に置いて設計する必要があります。 ポリシーと手順は、組織の種類と規模に適応し、有効になるように毎年見直して更新する必要があります。

ポリシーと手順の概要:

  • 組織と従業員による PHI の適切な使用と開示
  • 組織が PHI を保護する方法
  • 違反または違反の疑いがある場合の対処方法

これまで、組織はポリシーと手順に HIPAA マニュアルを使用してきました。 ただし、HIPAA マニュアルはすぐに使用できるものであるため、組織の運用方法のニュアンスに対応できていません。

小規模な医療行為に適した方針と手順は、大規模な病院グループには有効ではない可能性があります。これは、対象事業体向けに作成された方針と手順がビジネス アソシエートに適用できない場合があるのと同じです。

従業員向けの HIPAA トレーニングの実施

PHI または ePHI にアクセスする可能性のある従業員は、毎年トレーニングを受ける必要があります。 トレーニングには、HIPAA のベスト プラクティス、組織のポリシーと手順の概要、およびサイバーセキュリティのベスト プラクティスを含める必要があります。

HIPAA は、従業員は採用時にトレーニングを受ける必要があるとアドバイスしているため、年に 1 回トレーニング コースを開催するだけでは十分ではありません。 柔軟な HIPAA 従業員トレーニング プログラムは、トレーニングのニーズを満たすために不可欠です。

これを達成するには、オンライン トレーニング ツールを使用するのが最善の方法です。 オンライン トレーニング プログラムを使用すると、従業員は必要に応じてトレーニングを受け、自分のペースでトレーニングを完了することができ、管理者は従業員の進捗状況を追跡できます。

ヒント:スタンドアロンの HIPAA トレーニング プログラムを使用すると、一部の HIPAA トレーニング要件を満たすのに役立ちますが、従業員が組織のポリシーと手順についてもトレーニングを受けていることを確認してください。

ビジネス アソシエート契約に署名する

HIPAA ビジネス アソシエイト契約 (HIPAA BAA) は、対象となるエンティティとそのビジネス アソシエイト (または 2 つのビジネス アソシエート) の間で署名する必要がある法的な契約です。 HIPAA BAA は、PHI または ePHI を交換する前に署名する必要があります。 すべてのベンダーがビジネス アソシエートとして行動する意思がある、または行動できるわけではありません。 プロバイダーが BAA に署名しない場合、ビジネス アソシエイトの義務を果たすことはできません。

患者が自分で予約できるオンライン予約スケジューラーを探しているとしましょう。 管理上のニーズを満たすベンダーを見つけましたが、そのベンダーはアフィリエイト契約に署名することを望んでいません。 BAA に署名するまで、患者のスケジューリングについてこのプロバイダーと契約することはできません。

インシデント管理と対応

HIPAA コンプライアンスの一部は、テスト済みのインシデント対応計画を実装することです。 インシデント対応計画を使用して、インシデントを迅速に特定、対応、および報告できます。 テスト済みのインシデント対応計画を持つ組織は、コストを削減しながら、インシデントからの復旧にかかる時間を大幅に短縮します。

HIPAA 違反と罰金

多くの違反は HIPAA 違反につながりますが、違反自体が企業に罰金を科す理由にはなりません。 HIPAA 違反は、組織が HIPAA 標準に準拠していない場合に発生します。 違反の重大度に基づいて、HIPAA の罰金が科される場合があります。

Hipaa 違反

出典:コンプライアンス グループ

HIPAA 違反の一般的な例には、次のような失敗が含まれます。

  • 正確かつ徹底したリスク評価の実施
  • 患者が自分の医療記録にタイムリーにアクセスできるようにする
  • オンラインの患者レビューに適切に対応する
  • ビジネス アソシエイトとビジネス アソシエイト契約を結んでいる
  • 患者のカルテを適切に処分する

では、組織が違反に対して罰金を科されるのはいつでしょうか?

HIPAA の罰金は、認識された過失のレベルに基づいて発行されます。

  • Tier 1は、重大度の低い違反です。 Tier 1 の罰則は、対象事業体またはビジネス関係者が違反した規則に気づかなかったために HIPAA 違反が発生した場合に課せられます。 ティア 1 ペナルティの資格を得るには、組織が HIPAA に準拠するために合理的な注意を払っていたとしても回避できなかった違反である必要があります。 このレベルの罰金は、違反ごとに 120 ドルから 60,226 ドルの範囲です。
  • 第 2 段階の違反は、対象となる事業体またはビジネス アソシエイトが犯した違反に気付いた場合に発生します。 Tier 2 違反とみなされるには、その違反は、合理的な程度の注意を払っていても回避できた可能性がある違反です。 この段階の罰金は、違反ごとに $12,045 から $60,226 の範囲です。
  • ティア 3の違反は、ティア 1 またはティア 2 よりも深刻であると見なされ、より高額な罰金が科せられます。 Tier 3 違反は、HIPAA を故意に無視したことに起因します。 ティア 3 違反者と見なされるためには、組織はデュー デリジェンスを実施する際に HIPAA に違反したことを認識している必要があります。 これらの違反は、Tier 3 違反として認定されるために 30 日以内に修正する必要があります。 このレベルの罰金は、違反ごとに $1,205 から $12,045 の範囲です。
  • Tier 4違反には、HIPAA ルールの故意の無視が含まれます。 OCR は、対象となる事業体または業務提携者が違反の是正を試みなかった場合、Tier 4 の罰則を課します。 このレベルの罰金は、違反ごとに $60,226 から $1,806,757 の範囲です。

HIPAA に違反していることが判明した組織は、多くの場合、OCR の監視と是正措置の対象となります。 組織が欠陥を特定した場合、HIPAA 違反の調査が完了すると、OCR によって是正措置計画が作成されます。 これらは、組織のコンプライアンス プログラムを HIPAA 標準に合わせることで、さらなる違反やインシデントを防ぐように設計されています。

コンプライアンスを維持します。 安全を保つ

健康保険の携行性と説明責任に関する法律は、医療に携わるすべての組織 (対象となる事業体または事業関係者) にとって最優先事項です。 簡単に言えば、ヘルスケアで働くには、HIPAA に準拠している必要があります。

HIPAA を使用しないと、患者データは不正使用や開示に対して脆弱になります。 違反が発生すると、患者は組織が自分の機密情報を保護する能力に対する信頼を失うだけでなく、HIPAA 違反や高額な罰金を科される可能性もあります。

すべての HIPAA 基準を満たす効果的な HIPAA コンプライアンス プログラムを実装することで、全体的なセキュリティ体制を改善し、侵害や違反の可能性を減らします。

患者は、HIPAA とその権利をより意識するようになりました。 HIPAA コンプライアンスにより、機密情報を信頼できるという安心感が得られます。

プライバシー管理は、1 つの種類のコンプライアンスを取得するだけでは終わりません。 データのプライバシー管理と組織のセキュリティ維持に関するすべてを理解してください。