HIPAA への準拠は、1996 年医療保険の相互運用性と責任に関する法律 (HIPAA) の基本的な側面であり、主に患者の同意や知識なしに機密の健康情報が開示されないようにすることに重点を置いた連邦法です。この法律は、米国国民の医療情報に対する基本的なプライバシーとセキュリティ基準を規定しています。
この基準は、患者健康情報 (PHI) のデジタル送信を伴う特定の取引に従事する医療情報交換所、雇用主主導の医療保険プラン、公的医療保険会社、医療提供者などの対象事業体とそのビジネス パートナーに適用されます。
HIPAA 規制は、セキュリティ ルール、プライバシー ルール、トランザクションおよびコード セット (TCS) ルール、固有識別子ルール、違反通知ルール、オムニバス最終ルールに分かれています。 HIPAA セキュリティ規則では、1) 管理的、2) 物理的、および 3) 技術的保護策の実装が必要です。さらに、この規則は組織に他の要件を課し、HIPAA セキュリティ規則と同様のプロセスを文書化する必要性を課します。
公民権局(OCR)は、対象となる事業体やビジネスパートナーの規模、能力、複雑さが異なるため、「特定のリスク分析手法」を提供できなかったと説明している。 OCR によると、HIPAA リスク評価の主な目標は次のとおりです。
+ コンサルタント、ベンダー、ビジネス パートナーと共有する PHI を含め、組織が作成、受信、保存、送信する PHI を特定します。
+ PHI の完全性に対する人間、自然、環境の脅威を特定します。人間の脅威には、意図的な脅威と非意図的な脅威の両方が含まれます。
+ PHI の完全性に対する脅威と「合理的に予見可能な」侵害の可能性を防ぐために実施されている対策を評価します。
+ PHI 侵害の潜在的な影響を判断し、発生の可能性と割り当てられた影響レベルの平均に基づいて、潜在的な発生ごとにリスク レベルを割り当てます。
+ 調査結果を文書化し、必要に応じて対策、手順、ポリシーを実施し、HIPAA 準拠チェックリストのボックスにチェックを入れて HIPAA 準拠を確保します。
+ HIPAA リスク評価、その後実施される対策、手順、政策の根拠、およびすべての政策文書は、少なくとも 6 年間保存する必要があります。
HIPAA 評価方法: 当社は、十分に文書化されたアプローチに従ってクライアントと連携し、クライアントのコンプライアンス目標の達成を支援します。これには、マイルストーンを特定した、十分に文書化された実装計画が必要です。
- ビジネスの理解: ビジネス プロセスと環境を評価して、スコープ要素を理解します。
- HIPAA スコープの最終決定: スコープ要素を最終決定し、必要な文書を準備します。
- HIPAA 準備状況評価: リクエストの実装中に発生する可能性のある潜在的な課題を特定します。
- HIPAA リスク評価: 情報セキュリティ体制におけるリスクを特定し、分析します。
- HIPAA データ フロー評価: 徹底的なシステム分析を実施して、データ フローと漏洩の可能性を評価します。
- HIPAA 文書サポート: 証拠の認証や収集に役立つポリシーと手順のリストを提供します。
- HIPAA 修復サポート: コンプライアンスの課題に対する解決策を推奨することでサポートします。
- HIPAA 意識向上トレーニング: 対象範囲に関与するチームおよび従業員向けに意識向上セッションを実施します。
- データと資産の分類: 堅牢なテストにより、システム内の重大な脆弱性を特定します。
- HIPAA 証拠レビュー: 収集した証拠を評価して、コンプライアンスと一致した有効性を評価します。
- 最終監査と認証: 監査が成功した後、監査チームによるコンプライアンスの認証をお手伝いします。
- 継続的なコンプライアンス サポート: ガイダンスを提供することで、コンプライアンスの維持を支援します。
よくある質問
HIPAA コンプライアンスをどのように維持していますか?
医療保険の相互運用性と責任に関する法律 (HIPAA) のコンプライアンスを維持することは、保護された医療情報 (PHI) を扱う組織にとって不可欠です。 HIPAA コンプライアンスを維持するために組織が実行できる手順としては、定期的なリスク評価の実施、管理上および技術的な安全対策の実施、物理的セキュリティの維持、トレーニングの実施、正規スタッフの作成、定期的な検査と監視の実施、文書の保管などが挙げられます。
HIPAA 違反に対する罰則は何ですか?
違反の場合は最高 25 万ドルの罰金、個人の健康情報の悪用または濫用を知っていた場合は最高 10 年の懲役が科せられる可能性があります。
保護された医療情報 (PHI) とは何ですか?
個人から収集した情報
個人の過去、現在、または将来の健康または状態に関連し、その個人を特定できる可能性がある、またはそのような情報が個人の特定、特定、または連絡に使用される可能性があると信じる理由がある対象事業体によるもの...およびしたがって、保護する必要があります。 PHI は PII のサブセットです。
HIPAA 法に準拠する必要があるのはどの企業ですか?
医療記録、請求書または送金記録を電子的に処理、保存、送信または受信する医療機関。
HIPAA セキュリティ ルールとプライバシー ルールの違いは何ですか?
HIPAA プライバシー規則は、医療機関による PHI の適切な開示と使用慣行に対処します。プライバシーを管理する同様の規則、規制、ポリシーは、必ずしもセキュリティ コードにも適用されるわけではありません。 HIPAA セキュリティ ルールは、PHI を保存または送信するシステムの保護を中心に展開しています。
HIPAA の責任者は誰ですか?
各個人(オフィスマネージャー、医師など)は、アクセスすべき、アクセスできる健康情報に対して責任を負います。個人および企業は、PHI の不正な取り扱いに対して独自に刑事告発を受ける可能性があります。
