投稿日:2015年2月1日|改訂:2015年2月1日
- はじめに
- HIPAAとは何ですか?
a。 HIPAAの簡単な歴史
b。健康情報に適用される唯一の法律はHIPAAですか? - HIPAAに準拠する必要があるのは誰ですか?
a。対象事業体
b。ビジネスアソシエイト
c。下請け業者
d。ハイブリッドエンティティ - HIPAAに準拠する必要がないのは誰ですか?
- HIPAAはどのような情報を対象としていますか?
a.HIPAAプライバシールールはどのような情報に適用されますか?
b。HIPAAセキュリティルールはどのような情報に適用されますか? - HIPAAプライバシールールの対象とならない情報は何ですか?
a。雇用記録の健康情報
b。教育記録の健康情報(ほとんどの場合)
c。 50年以上死亡した人の健康情報
d。匿名化されたデータ - 米国保健社会福祉省(HHS)はHIPAAをどのように実施していますか?
a。 HHSはいつ苦情を調査しますか?
b。 HHSは違反に対するペナルティをどのように決定しますか?
c。金銭的な罰則がある場合、苦情を申し立てた個人は金銭を受け取りますか?
d。個人はHIPAAに基づいて訴訟を起こすことができますか? - リソース
1。はじめに
ほぼすべての人が、健康および医療情報の機密性を認識しています。ただし、医療情報のプライバシーとセキュリティは、患者と医療専門家の両方にとってナビゲートする複雑なトピックです。
医療情報のプライバシーとセキュリティを管理する連邦規制は、医療保険の相互運用性と説明責任に関する法律でHIPAAと呼ばれています。それらを義務付けました。患者として、HIPAAの範囲と制限を理解することが重要です。このガイドでは、HIPAAの適用対象者や対象となる情報など、HIPAAの基本に関する情報を提供します。
2。HIPAAとは何ですか。
医療保険の相互運用性と説明責任に関する法律(HIPAA)は、医療情報の基本的なプライバシーとセキュリティの基準を規定する連邦法です。米国保健福祉省(HHS)は、規則の作成を担当する連邦機関です。 HIPAAを実装し、HIPAAを実施します。
a。HIPAAの簡単な歴史
- 1996 –議会は医療保険の相互運用性と説明責任に関する法律(HIPAA)を可決しました。
ほとんどの人は医療のプライバシーとセキュリティに関する法律としてHIPAAに精通していますが、HIPAAの当初の目的は、電子医療データを送信するための基準を設定し、転職または失業した後も医療保険を転送して継続できるようにすることでした。
実際、2003年まで、国家のプライバシー基準はありませんでした。 HIPAAに基づく医療情報。すべての保護は州法に基づいていました。
- 2003 –米国保健社会福祉省(HHS)は、HIPAAプライバシー規則、HIPAAセキュリティ規則、およびHIPAAを発行して採用しました。施行規則。
2003年、HHSはHIPAAに基づく最初の国内データプライバシーおよびセキュリティルールを発行しました。
プライバシールールは、保護された健康情報(PHI)に関する個人の権利を付与します。また、対象となるエンティティ(HIPAAに準拠する必要があるエンティティ)がPHIを使用および開示する方法についても説明します。
セキュリティルールは、電子PHIを保護するための基準を設定します。
施行規則は、HIPAAプライバシー規則およびセキュリティ規則の違反に対するコンプライアンス、調査、および潜在的な罰則に対応しています。 HHS内の公民権局(OCR)は、HIPAA規制を施行する責任があります。
- 2009 –経済的および臨床的健康のための医療情報技術(HITECH)法が署名されました法律。 HITECH法は、米国復興再投資法(AARA)のタイトルXIIIです。
2003年から2009年の間に、テクノロジーは医療のプライバシー環境を変えました。電子医療記録が紙のファイルに取って代わり始めました。患者は、電子メールやオンラインポータルを通じて医師とコミュニケーションを取り始めました。薬局は処方箋を電子的に処理し始めました。
HITECH法は、医療提供者と保険会社が電子医療記録に移行し続けるための金銭的インセンティブを生み出し、不正アクセスやデータを含む医療情報の電子送信に関連するプライバシーとセキュリティの懸念にも対処しました。違反。
- 2013 – HHS “Office for CivilRightsがHIPAAオムニバスルールを発行しました。
HHS”オムニバスルールにより、HIPAAのプライバシー、セキュリティ、施行にいくつかの重要な変更が加えられました。ルール。それはHITECH法の多くの規定を実施しました。違反通知ルールを変更して確定しました。また、2008年の遺伝情報無差別法(GINA)で要求されるHIPAAプライバシールールの変更も実装しました。
b。健康情報に適用される法律はHIPAAだけですか?
いいえ。医療情報に適用される法律は、医療保険の相互運用性と説明責任に関する法律(HIPAA)だけではありません。
特定の種類の健康情報(または健康情報を含む記録)に適用される連邦法があります。たとえば、遺伝情報、学校記録の健康情報、連邦政府によって維持されている個人の識別可能な情報、特定のアルコール、原薬乱用記録、および医学研究に関連する情報。
さらに、HIPAAは州がより強力な法律を作成できるベースラインを設定するため、州は健康情報を保護するために独自の法律を制定する場合があります。州法の詳細については、HealthInfoLaw.org(ジョージワシントン大学のHirsh Health Law and Policy Programのプロジェクト)を参照してください。
3.HIPAAに準拠する必要があるのは誰ですか。
HIPAAは、すべての健康情報を保護するわけではありません。また、健康情報を表示または使用する可能性のあるすべての人に適用されるわけでもありません。HIPAAは、対象となる事業体とその取引先にのみ適用されます。
a。対象となる事業体
HIPAAの対象となる事業体には3つのタイプがあります。
- 医療提供者は医療を提供するために報酬を受け取ります。医師、歯科医、病院、養護施設、薬局、緊急医療クリニックなど支払いと引き換えに医療を提供する事業体はプロバイダーの例です。
医療プロバイダーは、対象となる取引に関連して医療情報を電子的に送信する場合にのみHIPAAに準拠する必要があります。ほとんどのプロバイダーは、請求の処理などの機能を実行するために情報を電子的に送信します。したがって、ほとんどのprov iderはHIPAAの対象となります。 - 医療プランは医療費を支払います。
HIPAAの対象となる健康プランの例は次のとおりです。健康保険会社、健康維持機関(HMO)、グループ健康プラン雇用主、メディケアやメディケイドなどの政府資金による健康保険、および医療費を支払う他のほとんどの企業や取り決めによって後援されています。 - 医療保険会社は、標準形式で送信できるように情報を処理します。対象となるエンティティ間。クリアリングハウスは、多くの場合、医療提供者と医療計画の間の仲介役として機能します。つまり、患者と直接やり取りすることはめったにありません。たとえば、クリアリングハウスは医師から情報を取得し、保険の目的で使用できる標準のコード化された形式に変換する場合があります。
エンティティがHIPAAの対象であるかどうかの詳細については、HHSが役立つチャートを提供しています。
b。ビジネスアソシエイト
ビジネスアソシエイトとは何ですか?ヘルスケアプロバイダー、ヘルスプラン、およびヘルスケアクリアリングハウスは、ヘルスケアビジネスのプレーヤーのほんの一部です。対象となる事業体は、多数のサービスを実行するために人や企業を雇用または契約します。
「ビジネスアソシエイト」は、対象となる事業体または下請け業者として機能する別のビジネスアソシエイトに代わって、保護された健康情報(PHI)を作成、受信、維持、または送信します。
ビジネスアソシエイトの定義については、45CFR§160.103を参照してください。
ビジネスアソシエイトは何をしますか?ビジネスアソシエイトは、以下を含む(ただしこれらに限定されない)対象エンティティに対してさまざまなサービスを実行できます。
- 法務
- 実際の
- 会計
- コンサルティング
- データ集約
- 管理
- 管理認定
- クレームの処理または管理
- データ分析
- データ送信
- 使用率レビュー
- 品質保証
- 特定の患者の安全活動
- 請求
- 利益管理
- 実践管理
- リプライシング。
ビジネスアソシエイトは、患者とのやり取りを伴わないサービスを実行することがよくあります。ただし、ビジネスアソシエイトの患者がやり取りする可能性のある一般的な例は、対象となる事業体に代わって個人に個人健康記録(PHR)を提供する会社です。
ビジネスアソシエイトにはどのような責任がありますか?対象となる事業体は、HIPAA基準に従ってPHIを確実に保護するために、ビジネスアソシエイトと書面による契約を締結する必要があります。ビジネスアソシエイトは、ビジネスアソシエイトと見なすことができる下請け業者と同じことを行う必要があります。 HHSのWebサイトには、ビジネスアソシエイトの関係に関する詳細情報が含まれており、ビジネスアソシエイト契約のサンプル条項も提供されています。
ビジネスアソシエイトは、対象となる事業体との契約に準拠する必要があります。さらに、ビジネスアソシエイトは、HIPAAセキュリティルールおよびHIPAAプライバシールールの多くの規定の違反に対して直接責任を負います。つまり、ビジネスアソシエイトは、対象となるエンティティに適用されるのと同じプライバシーおよびデータセキュリティ基準のほとんどの対象となり、HHS監査およびペナルティの対象となる可能性があります。
c。下請け業者
ビジネスアソシエイトに代わって保護された健康情報(PHI)を作成、維持、または送信する下請け業者は、HIPAAに基づくビジネスアソシエイトと同じ法的責任を負います。言い換えれば、プライバシーとセキュリティに関連する法的責任は、ビジネスアソシエイトの仕事をしている下請け業者に「下流」で流れます。
たとえば、病院のビジネスアソシエイトは、外部の会社を雇って、 PHIまたはデータを保存するためのクラウドサービスを提供する場合。どちらの場合も、外部の会社(下請け業者)は、ビジネスアソシエイトとしてほとんどのHIPAAルールに準拠する必要があります。また、ビジネスアソシエイトとの契約に拘束されます。対象となるエンティティ(またはこの例では病院)。
d。ハイブリッドエンティティ
ハイブリッドエンティティは、ビジネスの一環として、HIPAAの対象となる機能と対象外の機能の両方を実行します。従業員向けの自己保険付きの健康プランを持っている企業は、ハイブリッドエンティティとして扱われることを選択できます。他の例としては、医療センターのある大学や薬局のある食料品店があります。
組織の場合ハイブリッドエンティティとして扱われることを選択します。対象となるエンティティ(ヘルスケアコンポーネントと呼ばれる)である会社は、HIPAAの対象となります。ハイブリッドエンティティは、ヘルスケアコンポーネントが保護された健康情報をビジネスのカバーされていない別のコンポーネントに開示しないようにする必要があります。また、電子的に保護された健康情報を保護する必要があります。
4。誰がHIPAAに準拠する必要がないのですか?
多くの企業や人々はHIPAAに準拠する必要がなく、これらの人々や企業が健康情報を利用できる場合が多いことを忘れないでください。 。HIPAAは、対象となる事業体とそのビジネスアソシエイトにのみ適用されます。
HIPAAの対象ではないが、健康情報を処理する可能性のある人の例を次に示します。
- 生命保険会社および長期保険会社
- 労働者」の補償保険会社、行政機関、または雇用主(他の方法で対象事業体と見なされない限り)
- 社会保障および福祉の利益を提供する機関
- 医療給付を含む自動車保険プラン
- 健康または医療情報を提供し、対象事業体によって運営されていない検索エンジンおよびWebサイト
- マーケティング担当者
- ジムとフィットネスクラブ
- 消費者向け(DTC)遺伝子検査会社
- 多くのモバイルアプリケーション(アプリ)の使用d健康とフィットネスの目的で
- 薬局、ショッピングセンター、ヘルスフェア、またはその他の公共の場所で血圧、コレステロール、脊椎のアライメント、およびその他の状態のスクリーニングを実施する人
- 特定の代替医療従事者
- ほとんどの学校と学区
- 医療提供者から直接健康データを取得する研究者
- ほとんどの法執行機関
- 子供の保護サービスのような多くの州の機関
- 健康情報がケースにとって重要である裁判所
誰がカバーされているか(またはカバーされていないか)についてもっと知るためHIPAA、消費者向けのHHSガイダンス資料を参照してください。
5。 HIPAAはどのような情報をカバーしていますか?
HIPAAが特定の種類の健康情報を保護しているかどうかを判断するには、まず、法律を遵守しなければならない対象のエンティティまたはビジネスアソシエイトがいるかどうかを判断するのが最も簡単です。
HIPAAでは、「健康情報」とは、医療提供者、健康計画、公的医療機関、雇用主、生命保険会社、学校または大学、または健康によって作成または受信される情報(遺伝情報を含む)です。ケアクリアリングハウスであり、
- 人の過去、現在、または将来の身体的または精神的な健康または状態に関連する;
- 人に提供される治療;または
- 個人が受け取るヘルスケアの過去、現在、または将来の支払い。
ヘルス情報は、紙、電子、口頭など、あらゆる形式または媒体で存在できます。
対象となるエンティティが、個人を特定する、または特定に使用できる健康情報を作成または受信する場合、HIPAAはそれを「個人を特定する」と呼びます。個人を特定できる健康情報には、名前、住所、生年月日、社会保障番号など、個人を特定する人口統計情報やその他の情報が含まれます。
この用語の正確な定義についてはセクションについては、45CFR§160.103を参照してください。
a。 HIPAAプライバシールールはどのような情報に適用されますか?
HIPAAプライバシールールは、任意の形式または媒体で送信または維持されるすべての「個人を特定できる健康情報」を含む「保護された健康情報」(PHI)に適用されます。
これは、患者と医師の間の会話が手書きまたは電子メモと同じプライバシー保護を備えていることを意味します。
HIPAAプライバシー規則の詳細については、HIPAAプライバシー規則を参照してください。 :対象となる事業体はどのように健康情報を使用および開示できますか?
b。 HIPAAセキュリティルールはどのような情報に適用されますか?
HIPAAセキュリティルールでは、対象となるエンティティは、「電子保護医療情報」(ePHI)と呼ばれる電子形式で維持されるPHIに対してのみデータセキュリティ対策を確立する必要があります。セキュリティルールは、口頭または書面で送信されるPHIには適用されません。
HIPAAセキュリティルールの詳細については、プライバシー権クリアリングハウスのファクトシート8d:医療情報の保護:HIPAAセキュリティおよび違反通知を参照してください。ルール。
6。 HIPAAプライバシールールの対象外の情報は何ですか?
a。雇用記録の健康情報
HIPAAは、記録に医療情報が含まれている場合でも、雇用記録には適用されません。対象事業体が雇用主としての役割で保持している雇用記録が含まれます。ただし、医療提供者の従業員がその提供者の患者になると、HIPAAが適用されます。
職場の医療情報の詳細については、 HHSの「職場の雇用者と健康情報」を参照してください。
b。教育記録の健康情報(ほとんどの場合)
家族教育の権利とプライバシー法(FERPA)の対象となる教育記録の健康情報は、HIPAAでは保護された健康情報(PHI)とは見なされません。たとえば、学校の看護師の訪問に関する情報を含む子供のK-12レコードは、HIPAAの対象ではありません。
健康情報とHIPAAに関連するFERPAの詳細については、「共同ガイダンス」を参照してください。家族教育の権利とプライバシーに関する法律(FERPA)と1996年の医療保険の相互運用性と説明責任に関する法律(HIPAA)の学生の健康記録と学生のプライバシー101への適用:学校の健康プライバシー–どの法律が適用されますか?
c。50年以上死亡した人の健康情報
保護された健康情報(PHI)には、50年以上前に亡くなった人の健康情報は含まれません。
亡くなった個人の健康情報の詳細については、HHSのWebサイトを参照してください。
d。匿名化されたデータ
匿名化されたデータは、18の特定の健康情報です。識別子が削除されたため、情報の対象である個人が単一になると見なされます識別可能。つまり、匿名化されたデータは、PHIおよび対象となるエンティティがより広く使用および開示できるため、HIPAAプライバシールールでは保護されません。
匿名化されたデータは、個人を再識別できる可能性があるため、しばしば議論の対象になります。 Latanya Sweeney教授は、再識別の分野でかなりの量の作業を行ってきました。
匿名化の詳細については、45 CFR164.514およびHHSの匿名化方法に関するガイダンスを参照してください。 HIPAAプライバシールールに従って保護された健康情報。
7。 HHSはHIPAAをどのように施行しますか?
HIPAA施行規則により、米国保健社会福祉省(HHS)の公民権局(OCR)は、潜在的なHIPAA違反を調査し、違反。州の司法長官には、HIPAA規則を施行する権限もあります。個人にはHIPAAに基づく私的な行動の権利がなく、違反を訴えることはできません。
OCRは、潜在的なHIPAAプライバシーまたはセキュリティルール違反の調査を開始することにより、施行プロセスを開始します。 OCRは個々の苦情に対応しますが、他の方法(監査の実施など)でもHIPAA違反を発見する可能性があります。調査後、OCRは、違反がないと判断するか、責任者と解決契約を結ぶか、当事者が違反していることを確認して罰則を評価することにより、問題を解決できます。
HIPAAの詳細施行については、OCRがHIPAAのプライバシーとセキュリティのルール、施行データ、施行のハイライト、HIPAA施行を施行する方法をご覧ください。
a。 HHSはいつ苦情を調査しますか?
個人がHIPAA違反の可能性に気付いた場合、HHSの公民権局(OCR)に苦情を申し立てることができます。調査の対象となるには、苦情が次の基本的な基準を満たしている必要があります。
- 苦情がプライバシールール違反の可能性に関するものである場合、アクションは2003年4月以降に発生している必要があります。セキュリティルール違反の場合、アクションは2005年4月以降に発生している必要があります。
- 個人は、HIPAAの対象となる個人、組織、またはその他のエンティティに対して苦情を申し立てる必要があります。
- 苦情は、HIPAA規則に違反する何かを主張する必要があります。
- 個人は、違反の可能性について知った(または知っているべきだった)時間から180日以内に苦情を申し立てる必要があります。
OCRが苦情にメリットがあると判断した場合、代理店は苦情を申し立てた人と関係する対象事業体に連絡して、相互の解決に努めます。一部の問題は、行政法判事の前の公聴会に付託される場合があります。
b。 HHSは違反に対するペナルティをどのように決定しますか?
2009年以降に発生した違反については、HHSは違反者の責任に基づいてHIPAA違反に対するペナルティを決定します。最小のペナルティはさまざまですが、同じHIPAA条項に違反した場合、最大のペナルティは年間150万ドルです。
4段階の民事罰の構造は次のとおりです。
不明とは、対象となる事業体が違反を知らず、合理的な注意を払うことで知らなかったことを意味します。
合理的な原因とは、対象となる事業体が合理的な注意を払うことで違反を知っていることを意味します。
意図的な怠慢の修正とは、対象となる事業体が意図的にHIPAAに違反したか、無謀な無関心で行動したが違反を修正したことを意味します。発見から30日以内。
故意の怠慢-未修正とは、対象となる事業体が意図的にHIPAAに違反したか、無謀な無関心で行動したが、発見から30日以内に違反を修正しなかったことを意味します。
c 。 「金銭的ペナルティがある場合、苦情を申し立てた個人は金銭を受け取りますか?
いいえ。HHSが徴収するペナルティからの金銭は、米国財務省に支払われます。
d。できますか個人はHIPAAに基づいて訴訟を起こしますか?
いいえ。個人にはHIPAAに基づいて訴訟を起こす権利はありません。ただし、HIPAAは、州が保護を強化する法律を可決することを妨げません。ジョージワシントン大学にはガイド、健康情報、および州法に関する情報を含む法律。
8。リソース
連邦法
経済および臨床医療のための医療情報技術(HITECH)法、公的機関法律111-5、2009
2008年の遺伝情報無差別法(GINA)、(公法110-223、122Stat。881)
連邦規制
2003年のHIPAAプライバシールールとその後の変更
HHSオムニバスルール、78連邦登録、2013年1月25日
州法と医療プライバシー
ジョージワシントン大学、医療情報および法律
全米保険監督官協会
保健社会福祉省、公民権局
消費者向けガイダンス資料
健康情報プライバシーの特別トピック
ビジネスアソシエイト契約
承認
対象事業体
職場の雇用者と健康情報