게시일 : 2015 년 2 월 1 일 | 개정 : 2015 년 2 월 1 일
- 소개
- HIPAA 란 무엇입니까?
a. HIPAA의 간략한 역사
b. HIPAA가 건강 정보에 적용되는 유일한 법률입니까? - 누가 HIPAA를 준수해야합니까?
a. 적용 대상
b. 비즈니스 동료
c. 하청 업체
d. 하이브리드 엔티티 - HIPAA를 준수 할 필요가없는 사람은 누구인가요?
- HIPAA는 어떤 정보를 다루나요?
a. HIPAA 개인 정보 보호 규칙은 어떤 정보에 적용 되나요?
b. HIPAA 보안 규칙이 적용되는 정보는 무엇입니까? - HIPAA 개인 정보 보호 규칙이 적용되지 않는 정보는 무엇입니까?
a. 고용 기록의 건강 정보
b. 교육 기록의 건강 정보 (대부분)
c. 50 년 이상 사망 한 사람의 건강 정보
d. 익명화 된 데이터 - 미국 보건 복지부 (HHS)는 HIPAA를 어떻게 시행합니까?
a. HHS는 언제 불만을 조사합니까?
b. HHS는 위반에 대한 벌금을 어떻게 결정합니까?
c. 금전적 벌금이있는 경우 불만을 제기 한 사람이 돈을 받게됩니까?
d. 개인이 HIPAA에 따라 소송을 제기 할 수 있습니까? - 자료
1. 소개
거의 모든 사람들이 건강 및 의료 정보의 민감한 특성을 인식하고 있습니다. 그러나 건강 정보 프라이버시 및 보안은 환자와 의료 전문가 모두에게 탐색하기위한 복잡한 주제입니다.
건강 정보 프라이버시 및 보안을 관리하는 연방 규정은 HIPAA로 알려져 있습니다. 그들을 의무화했습니다. 환자로서 HIPAA의 범위와 제한 사항을 이해하는 것이 중요합니다.이 안내서는 HIPAA가 적용되는 대상 및 다루는 정보와 같은 HIPAA 기본 사항에 대한 정보를 제공합니다.
2. HIPAA 란 무엇입니까?
HIPAA (Health Insurance Portability and Accountability Act)는 의료 정보에 대한 기본 개인 정보 보호 및 보안 표준을 제공하는 연방법입니다. 미국 보건 복지부 (HHS)는 규칙 작성을 담당하는 연방 기관입니다. HIPAA를 구현하고 HIPAA를 시행합니다.
a. HIPAA의 간략한 역사
- 1996 – 의회는 HIPAA (Health Insurance Portability and Accountability Act)를 통과했습니다.
대부분의 사람들은 의료 프라이버시 및 보안법으로 HIPAA에 대해 잘 알고 있습니다. 그러나 HIPAA의 초기 목적은 전자 건강 데이터 전송에 대한 표준을 설정하고 사람들이 이직 또는 실직 후에도 건강 보험을 양도하고 계속할 수 있도록하는 것이 었습니다.
In 사실, 2003 년까지는 HIPAA에 따른 의료 정보. 모든 보호는 주법을 기반으로했습니다.
- 2003 – 미국 보건 복지부 (HHS)에서 HIPAA 개인 정보 보호 규칙, HIPAA 보안 규칙 및 HIPAA를 발행하고 채택했습니다. 시행 규칙.
2003 년 HHS는 HIPAA에 따라 최초의 국가 데이터 개인 정보 보호 및 보안 규칙을 발표했습니다. 또한 적용 대상 (HIPAA를 준수해야하는 대상)이 PHI를 사용하고 공개 할 수있는 방법에 대해서도 설명합니다.
보안 규칙은 전자 PHI를 보호하기위한 표준을 설정합니다.
시행 규칙은 HIPAA 개인 정보 보호 규칙 및 보안 규칙 위반에 대한 규정 준수, 조사 및 잠재적 인 처벌을 다룹니다. HHS 내의 시민권 사무소 (OCR)는 HIPAA 규정을 시행 할 책임이 있습니다.
- 2009 – 경제 및 임상 건강을위한 건강 정보 기술 (HITECH) 법이 체결되었습니다. 법. HITECH Act는 American Recovery and Reinvestment Act (AARA)의 Title XIII입니다.
2003 년과 2009 년 사이에 기술은 의료 프라이버시 환경을 변화 시켰습니다. 전자 의료 기록이 종이 파일을 대체하기 시작했습니다. 환자들은 이메일과 온라인 포털을 통해 의사와 소통하기 시작했습니다. 약국은 처방전을 전자적으로 처리하기 시작했습니다.
HITECH 법은 의료 서비스 제공 업체와 보험사가 전자 의료 기록으로 계속 전환 할 수 있도록 재정적 인센티브를 제공했으며, 무단 액세스 및 데이터를 포함한 건강 정보의 전자 전송과 관련된 개인 정보 보호 및 보안 문제를 해결했습니다. 위반.
- 2013 – HHS “민권 사무소에서 HIPAA 옴니버스 규칙을 발표했습니다.
HHS”옴니버스 규칙은 HIPAA 개인 정보 보호, 보안 및 집행에 몇 가지 중요한 변경 사항을 적용했습니다. 규칙. 그것은 HITECH Act의 많은 조항을 구현했습니다. 위반 통지 규칙을 수정하고 확정했습니다. 또한 2008 년 유전자 정보 차별 금지법 (GINA)에서 요구하는 HIPAA 개인 정보 보호 규칙에 대한 변경 사항도 구현했습니다.
b. HIPAA가 건강 정보에 적용되는 유일한 법입니까?
아니요. HIPAA (Health Insurance Portability and Accountability Act)는 건강 정보에 적용되는 유일한 법률이 아닙니다.
유전 정보, 학교 기록의 건강 정보, 연방 정부가 관리하는 개인에 대한 식별 가능한 정보, 특정 알코올 및 기타 정보와 같은 특정 유형의 건강 정보 (또는 건강 정보가 포함 된 기록)에 적용되는 연방법이 있습니다. 약물 남용 기록 및 의료 연구와 관련된 정보.
또한 HIPAA가 주가 더 강력한 법률을 만들 수있는 기준을 설정하기 때문에 주에서는 건강 정보를 보호하기 위해 자체 법률을 제정 할 수 있습니다. 주법에 대한 자세한 내용은 HealthInfoLaw.org (George Washington University의 Hirsh 건강법 및 정책 프로그램 프로젝트)를 참조하십시오.
3. 누가 HIPAA를 준수해야합니까?
HIPAA는 모든 건강 정보를 보호하지 않습니다. 건강 정보를 보거나 사용할 수있는 모든 사람에게도 적용되지 않습니다. HIPAA는 해당 대상과 그 사업 동료에게만 적용됩니다.
a. 해당 대상
HIPAA에는 세 가지 유형의 보장 대상이 있습니다.
- 의료 서비스 제공 업체는 의료 서비스 제공 비용을받습니다. 의사, 치과 의사, 병원, 요양원, 약국, 긴급 진료 클리닉 및 기타 지불 대가로 의료 서비스를 제공하는 주체가 제공자의 예입니다.
의료 서비스 제공자는 보장되는 거래와 관련하여 건강 정보를 전자적으로 전송하는 경우에만 HIPAA를 준수해야합니다. 대부분의 제공자는 청구 처리와 같은 기능을 수행하기 위해 정보를 전자적으로 전송합니다. 따라서 대부분의 prov iders는 HIPAA에 따라 보장됩니다. - 건강 플랜은 의료 비용을 지불합니다.
다음은 HIPAA에 따라 보장되는 건강 플랜의 예입니다. 건강 보험 회사, 건강 관리 기관 (HMO), 그룹 건강 플랜 고용주, Medicare 및 Medicaid와 같은 정부 지원 건강 플랜, 의료 비용을 지불하는 대부분의 다른 회사 또는 계약이 후원합니다. - 의료 정보 센터는 정보가 표준 형식으로 전송 될 수 있도록 정보를 처리합니다. 적용 대상 사이. 정보 센터는 종종 의료 제공자와 의료 보험 사이를 오가는 역할을하므로 환자와 직접 거래하는 경우는 거의 없습니다. 예를 들어, 정보 센터는 의사로부터 정보를 받아 보험 목적으로 사용할 수있는 표준 코드 형식으로 저장할 수 있습니다.
기업이 HIPAA의 적용을 받는지 여부에 대한 자세한 정보를 위해 HHS는 유용한 차트를 제공합니다.
b. 비즈니스 파트너
비즈니스 파트너 란 무엇입니까? 건강 관리 제공자, 건강 보험 및 건강 관리 정보 센터는 건강 관리 사업의 일부에 불과합니다. 해당 대상은 다양한 서비스를 수행하기 위해 사람 및 회사를 고용하거나 계약합니다.
“비즈니스 동료”는 해당 대상 또는 하도급자 역할을하는 다른 비즈니스 동료를 대신하여 보호 대상 건강 정보 (PHI)를 생성, 수신, 유지 또는 전송합니다.
비즈니스 동료의 정의는 45 CFR § 160.103을 참조하십시오.
비즈니스 동료는 무엇을합니까? 비즈니스 동료는 다음을 포함하여 (이에 국한되지 않음) 적용 대상 법인을 위해 다양한 서비스를 수행 할 수 있습니다.
- 법적
- 계리 적
- 회계
- 컨설팅
- 데이터 집계
- 관리
- 행정 인증
- 클레임 처리 또는 관리
- 데이터 분석
- 데이터 전송
- 활용 검토
- 품질 보증
- 특정 환자 안전 활동
- 청구
- 혜택 관리
- 실무 관리
- 복제.
비즈니스 동료는 종종 환자 상호 작용을 포함하지 않는 서비스를 수행합니다. 그러나 비즈니스 동료 환자와 상호 작용할 수있는 일반적인 예로는 적용 대상을 대신하여 개인에게 개인 건강 기록 (PHR)을 제공하는 회사가 있습니다.
비즈니스 동료에게는 어떤 책임이 있습니까? 해당 법인은 HIPAA 표준에 따라 PHI를 보호하기 위해 비즈니스 동료와 서면 계약을 체결해야합니다. 비즈니스 동료는 비즈니스 동료로 간주 될 수있는 하청 업체와 동일하게해야합니다. HHS 웹 사이트에는 비즈니스 제휴 관계에 대한 자세한 정보가 포함되어 있으며 비즈니스 제휴 계약에 대한 샘플 조항도 제공됩니다.
비즈니스 제휴사는 해당 법인과 서명 한 계약을 준수해야합니다. 또한 비즈니스 동료는 HIPAA 보안 규칙 및 HIPAA 개인 정보 보호 규칙의 여러 조항을 위반 한 경우 직접 책임을집니다. 즉, 비즈니스 동료는 해당 법인에 적용되는 대부분의 동일한 개인 정보 보호 및 데이터 보안 표준을 따르며 HHS 감사 및 처벌을받을 수 있습니다.
c. 하도급 업체
비즈니스 동료를 대신하여 보호 대상 건강 정보 (PHI)를 생성, 유지 관리 또는 전송하는 하청 업체는 HIPAA에 따른 비즈니스 동료와 동일한 법적 책임을집니다.즉, 개인 정보 보호 및 보안 관련 법적 책임은 비즈니스 동료를 위해 작업을 수행하는 하도급 업체에게 “다운 스트림”으로 전달됩니다.
예를 들어 병원의 비즈니스 동료는 외부 회사를 고용하여 문서를 파쇄 할 수 있습니다. PHI 또는 데이터 저장을위한 클라우드 서비스 제공. 두 경우 모두 외부 회사 (하도급 업체)는 비즈니스 동료로서 대부분의 HIPAA 규칙을 준수해야합니다. 또한 비즈니스 동료가 아닌 비즈니스 동료와의 계약에 구속됩니다. 적용 대상 (또는이 예에서는 병원)
d. 하이브리드 엔터티
하이브리드 엔터티는 비즈니스의 일부로 HIPAA 적용 및 비 보장 기능을 모두 수행합니다. 직원을위한자가 보험 의료 보험을 보유한 기업은 하이브리드 법인으로 취급되도록 선택할 수 있습니다. 다른 예로는 의료 센터가있는 대학이나 약국이있는 식료품 점이 있습니다.
조직 하이브리드 엔티티로 취급하기로 선택합니다. 보험 대상인 회사 (건강 관리 구성 요소라고 함)는 HIPAA의 적용을받습니다. 하이브리드 주체는 의료 서비스 구성 요소가 보호 대상 의료 정보를 비즈니스의 다른 비 보장 구성 요소에 공개하지 않도록해야합니다. 또한 전자 보호 건강 정보를 보호해야합니다.
4. HIPAA를 준수 할 필요가없는 사람은 누구입니까?
많은 회사와 사람들이 HIPAA를 준수 할 필요가 없으며 이러한 사람들과 회사에서 건강 정보를 사용할 수있는 경우가 많습니다. . HIPAA는 해당 법인과 그 사업 동료에게만 적용됩니다.
다음은 HIPAA의 적용을받지 않지만 건강 정보를 취급 할 수있는 사람들의 몇 가지 예입니다.
- 생명 및 장기 보험 회사
- 노동자 “보상 보험사, 행정 기관 또는 고용주 (달리 보장 대상으로 간주되지 않는 경우)
- 사회 보장 및 복지 혜택을 제공하는 기관
- 건강 혜택을 포함하는 자동차 보험 플랜
- 건강 또는 의료 정보를 제공하고 해당 대상이 운영하지 않는 검색 엔진 및 웹 사이트
- 마케팅 담당자
- 체육관 및 피트니스 클럽
- 소비자 (DTC) 유전자 검사 회사에 직접 연결
- 많은 모바일 애플리케이션 (앱) 사용 d 건강 및 피트니스 목적
- 약국, 쇼핑 센터, 건강 박람회 또는 기타 공공 장소에서 혈압, 콜레스테롤, 척추 정렬 및 기타 상태에 대한 검사를 실시하는 사람들
- 확인 대체 의학 실무자
- 대부분의 학교 및 학군
- 의료 서비스 제공 업체로부터 직접 건강 데이터를 얻는 연구원
- 대부분의 법 집행 기관
- 아동 보호 서비스와 같은 많은 주 기관
- 건강 정보가 사건에 중요한 법원
li>
누군가에 대해 자세히 알아보기 HIPAA, 소비자를위한 HHS 지침 자료 참조.
5. HIPAA는 어떤 정보를 보장합니까?
HIPAA가 특정 유형의 건강 정보를 보호하는지 여부를 확인하려면 먼저 법을 준수해야하는 해당 법인 또는 사업 동료가 있는지 파악하는 것이 가장 쉽습니다.
p>
HIPAA에 따라 “건강 정보”는 의료 제공자, 건강 플랜, 공중 보건 당국, 고용주, 생명 보험 회사, 학교 또는 대학 또는 건강에 의해 생성 또는 수신되는 모든 정보 (유전 정보 포함)입니다. 케어 정보 센터이며
- 개인의 과거, 현재 또는 미래의 신체적 또는 정신적 건강 또는 상태,
- 개인에게 제공되는 치료
- 개인이받는 의료에 대한 과거, 현재 또는 미래의 지불.
와 관련이 있습니다.
건강 정보는 종이, 전자 또는 구두를 포함하여 모든 형태 또는 매체로 존재할 수 있습니다.
적용 대상이 개인을 식별하거나 식별하는 데 사용할 수있는 건강 정보를 생성하거나 수신하는 경우 HIPAA는이를 “개별적으로 식별 개인 식별이 가능한 건강 정보에는 이름, 주소, 생년월일, 사회 보장 번호와 같이 개인을 식별하는 인구 통계 및 기타 정보가 포함됩니다.
이 용어에 대한 정확한 정의 섹션, 45 CFR § 160.103 참조.
a. HIPAA 개인 정보 보호 규칙은 어떤 정보에 적용됩니까?
HIPAA 개인 정보 보호 규칙은 모든 형식 또는 매체로 전송되거나 유지되는 모든 “개인 식별 가능한 건강 정보”를 포함하는 “보호 된 건강 정보”(PHI)에 적용됩니다.
환자와 의사 간의 대화는 손으로 쓴 메모 나 전자 메모와 동일한 개인 정보 보호가 적용된다는 것을 의미합니다.
HIPAA 개인 정보 보호 규칙에 대한 자세한 내용은 HIPAA 개인 정보 보호 규칙을 참조하십시오. : 해당 대상이 건강 정보를 어떻게 사용하고 공개 할 수 있습니까?
b. HIPAA 보안 규칙은 어떤 정보에 적용됩니까?
HIPAA 보안 규칙은 적용 대상이 “ePHI (electronic protected health information)”라고하는 전자 형식으로 유지되는 PHI에 대해서만 데이터 보안 조치를 설정하도록 요구합니다. 보안 규칙은 구두 또는 서면으로 전송되는 PHI에는 적용되지 않습니다.
HIPAA 보안 규칙에 대해 자세히 알아 보려면 개인 정보 보호권 정보 센터 사실 자료 8d : 건강 정보 보호 : HIPAA 보안 및 위반 통지를 참조하십시오. 규칙.
6. HIPAA 개인 정보 보호 규칙이 적용되지 않는 정보는 무엇입니까?
a. 고용 기록의 건강 정보
HIPAA는 의료 정보가 포함 된 기록이라도 고용 기록에 적용되지 않습니다. 적용 대상 주체가 고용주로서의 역할에서 보유하고있는 고용 기록을 포함합니다. 그러나 의료 제공자의 직원이 해당 제공자의 환자가되면 HIPAA가 적용됩니다.
직장에서의 의료 정보에 대해 자세히 알아 보려면, 직장에서 HHS “고용주 및 건강 정보를 참조하십시오.
b. 교육 기록의 건강 정보 (대부분)
가족 교육 권리 및 개인 정보 보호법 (FERPA)의 적용을받는 교육 기록의 건강 정보는 HIPAA에 따라 보호되는 건강 정보 (PHI)로 간주되지 않습니다. 예를 들어, 학교 간호사 방문에 대한 정보가 포함 된 아동의 K-12 기록은 HIPAA의 적용을받지 않습니다.
건강 정보 및 HIPAA와 관련된 FERPA에 대한 자세한 정보는 다음을 참조하십시오. 가족 교육 권리 및 개인 정보 보호법 (FERPA) 및 1996 년 건강 보험 이동성 및 책임법 (HIPAA)을 학생 건강 기록 및 학생 개인 정보 보호 101에 적용 : 학교의 건강 개인 정보 보호 – 어떤 법률이 적용됩니까?
c. 50 년 이상 사망 한 사람에 관한 건강 정보
보호 대상 건강 정보 (PHI)에는 50 년 이상 전에 사망 한 사람에 대한 건강 정보가 포함되지 않습니다.
사망 한 개인의 건강 정보에 대한 자세한 내용은 HHS 웹 사이트를 참조하십시오.
d. 익명화 된 데이터
비 식별 화 된 데이터는 18 개의 특정 정보가있는 건강 정보입니다. 식별자가 제거되었으므로 정보의 주체 인 개인을 단일화하는 것으로 간주됩니다. 식별 가능. 즉, 익명화 된 데이터는 PHI 및 해당 주체가 더 광범위하게 사용하고 공개 할 수 있으므로 HIPAA 개인 정보 보호 규칙에 따라 보호되지 않습니다.
비 식별 데이터는 개인을 재 식별 할 가능성 때문에 종종 논쟁의 대상이됩니다. Latanya Sweeney 교수는 재 식별 분야에서 상당한 작업을 수행했습니다.
비 식별 화에 대한 자세한 내용은 45 CFR 164.514 및 HHS의 비 식별 화 방법에 관한 지침을 참조하십시오. HIPAA 개인 정보 보호 규칙에 따라 보호되는 건강 정보.
7. HHS는 HIPAA를 어떻게 시행합니까?
HIPAA 시행 규칙에 따라 미국 보건 복지부 (HHS) 시민권 사무소 (OCR)는 잠재적 인 HIPAA 위반 사항을 조사하고 다음에 대한 민사상 벌금 (CMP)을 평가할 수 있습니다. 위반. 주 법무 장관도 HIPAA 규칙을 시행 할 권한이 있습니다. 개인은 HIPAA에 따른 사적인 조치 권한이 없으며 위반에 대해 소송을 제기 할 수 없습니다.
OCR은 잠재적 인 HIPAA 개인 정보 보호 또는 보안 규칙 위반에 대한 조사를 시작하여 집행 프로세스를 시작합니다. OCR은 개별 불만에 응답하지만 다른 방식 (예 : 감사 수행)으로 HIPAA 위반을 발견 할 수도 있습니다. 조사 후 OCR은 위반이 없음을 확인하고, 책임있는 당사자와 해결 계약을 체결하거나, 당사자가 위반하고 있음을 확인하고 처벌을 평가하여 문제를 해결할 수 있습니다.
HIPAA에 대해 자세히 알아보기 시행에 대해서는 OCR이 HIPAA 개인 정보 보호 및 보안 규칙, 시행 데이터, 시행 하이라이트, HIPAA 시행을 시행하는 방법을 참조하십시오.
a. HHS는 언제 불만을 조사합니까?
개인이 잠재적 인 HIPAA 위반을인지하면 HHS의 시민권 사무소 (OCR)에 불만을 제기 할 수 있습니다. 조사 대상으로 간주 되려면 불만 사항이 다음 기본 기준을 충족해야합니다.
- 불만 사항이 잠재적 인 개인 정보 보호 규칙 위반에 관한 것이라면 2003 년 4 월 이후에 조치를 취해야합니다. 불만 사항이 잠재적 인 문제에 관한 경우 보안 규칙 위반, 해당 조치는 2005 년 4 월 이후에 발생해야합니다.
- 개인은 HIPAA의 적용을받는 개인, 조직 또는 기타 법인에 대해 불만을 제기해야합니다.
- 신고서에는 HIPAA 규칙을 위반하는 내용이 포함되어야합니다.
- 개인은 잠재적 위반에 대해 알고 있거나 알았어 야했던 시점으로부터 180 일 이내에 신고해야합니다.
OCR이 불만 사항에 장점이 있다고 판단하면 기관은 불만을 제기 한 사람과 관련 대상 기관에 연락하여 상호 해결을 시도합니다.일부 문제는 행정법 판사 앞에서 심리에 회부 될 수 있습니다.
b. HHS는 위반에 대한 벌금을 어떻게 결정합니까?
2009 년 이후에 발생한 위반에 대해 HHS는 위반자의 과실을 기반으로 HIPAA 위반에 대한 벌금을 결정합니다. 최소 벌금은 다양하지만 동일한 HIPAA 조항 위반에 대한 최대 벌금은 연간 150 만 달러입니다.
4 단계 민사 벌금 구조는 다음과 같습니다.
모르는 것은 해당 주체가 위반 사실을 알지 못했고 합당한 근면을 통해 알지 못했음을 의미합니다.
p>
합리적인 원인은 해당 주체가 합리적인 근면을 통해 위반 사실을 알았을 것임을 의미합니다.
고의적 방치 시정은 해당 주체가 고의로 HIPAA를 위반했거나 무분별하게 행동했지만 위반 사항을 시정했음을 의미합니다. 발견 후 30 일 이내.
고의적 방치-시정되지 않음은 해당 대상이 고의로 HIPAA를 위반했거나 무모한 무관심으로 행동했지만 발견 후 30 일 이내에 위반 사항을 시정하지 않았 음을 의미합니다.
c . “금전적 벌금이있는 경우, 불만을 제기 한 개인이 돈을받을 수 있습니까?
아니요. HHS가 징수하는 벌금으로 인해 미국 재무부에 지급됩니다.
d. 개인이 HIPAA에 따라 소송을 제기합니까?
아니요. 개인은 HIPAA에 따라 소송을 제기 할 권리가 없습니다. 그러나 HIPAA는 주정부가 강화 된 보호를 제공하는 법률을 통과시키는 것을 막지는 않습니다. George Washington University에는 가이드, 건강 정보 및 주법에 대한 정보를 포함하는 법.
8. 자료
연방법
경제 및 임상 건강을위한 건강 정보 기술 (HITECH) 법, 공중 법률 111-5, 2009
2008 년 유전 정보 차별 금지법 (GINA), (공법 110-223, 122 Stat. 881)
연방 규정
2003 년 HIPAA 개인 정보 보호 규정 및 후속 수정
HHS Omnibus Rule, 78 Federal Register, 2013 년 1 월 25 일
주법 및 건강 개인 정보 보호
조지 워싱턴 대학교, 건강 정보 및 법률
National Association of Insurance Commissioners
Department of Health and Human Services, Office of Civil Rights
소비자를위한 지침 자료
건강 정보 개인 정보 보호에 관한 특별 주제
비즈니스 제휴 계약
승인
해당 기관
직장 내 고용주 및 건강 정보