新しい HHS ガイドラインに従う: Google アナリティクス後のヘルスケア マーケティング

公開: 2023-10-26

保健福祉省 (HHS) は、オンライン追跡に関する HIPAA ガイダンスの変更を導入し、ヘルスケアおよびウェルネス ブランドのマーケティング キャンペーンの実施方法に直接的な変化をもたらしました。 Google Analytics が廃止されたことで、マーケティング スタックを迅速に再調整する必要性が大幅に高まりました。 この変化する環境において、Improvado は、ブランドが新しい規制に妥協することなく詳細なマーケティング洞察にアクセスし続けることができるように、カスタマイズされたソリューションを提供します。

2022 年の HIPAA 規制では何が変わりましたか?

最近の法律の更新により、医師、心理学者、診療所、歯科医、カイロプラクター、老人ホーム、薬局、健康保険会社、および医療処理を扱う仲介業者を含む、HIPAA によって規制されている団体による Google Analytics などの追跡テクノロジーの使用に影響がありました。データ。 ウェルネスベンダーがグループの健康プランと連携して事業を行っている場合や、そのサービスに健康情報の取り扱いが含まれている場合には、多くのウェルネスビジネスや代替医療従事者もヘルスケアプロバイダーのカテゴリーに該当する可能性があります。

新しい規制では、規制対象企業は、適切な許可なしに、または個人健康情報 (PHI) の無許可の開示につながる方法で追跡テクノロジーを使用することを許可されません。

HHS の追跡テクノロジーの定義では、次のように述べられています。 追跡テクノロジーとは、ユーザーが Web サイトまたはモバイル アプリを操作するときにユーザーに関する情報を収集するために使用される、Web サイトまたはモバイル アプリ上のスクリプトまたはコードです。追跡テクノロジーを通じて Web サイトやモバイル アプリから情報が収集された後、その情報は Web サイトやモバイル アプリの所有者、または第三者によって分析され、ユーザーのオンライン活動に関する洞察が作成されます。

この法律は PHI と ePHI の取り扱いについてのみ述べているため、HIPAA アップデートは Web サイト上のさまざまなページに異なる影響を与えます。

  • ユーザー認証された Web ページ: これらのページでは、ユーザーは Web ページにアクセスする前にサインインし、追跡ツールは通常、電子メール、IP アドレス、予約日、さらには診断などの個人の健康情報を表示できます。 PHI が HIPAA に従って保護されていることを確認することが必須です。
  • 認証されていない Web ページ: これらのページは誰でも公開されています。 ここでの追跡ツールは通常、PHI を認識しません。そのため、このような追跡テクノロジーの使用は HIPAA によって規制されていません。 ただし、認証されていない Web ページ上の追跡テクノロジーが PHI にアクセスできる場合は、HIPAA への準拠が必須です。
  • モバイル アプリケーション: デバイス固有のデータを含むユーザーの詳細を収集する HIPAA 規制下の団体からのアプリは、常に HIPAA ガイドラインに準拠する必要があります。

HIPAA に準拠した追跡ソフトウェアの使用に関する 4 つの基本ルール

新しい規制に基づいて、HIPAA エンティティおよび追跡テクノロジー ベンダーは、PHI を処理する際にコンプライアンスを維持するために、次の 4 つのルールに従って行動する必要があります。

ルール 1: HIPAA によって許可されている場合にのみ、追跡テクノロジー ベンダーと患者情報を共有します。

注:あなたの会社が追跡技術の存在についてプライバシー ポリシー、通知、または利用規約で個人に通知しているという事実は、追跡ベンダーに PHI を開示することが許可されることを意味するものではありません。

HIPAA で規制されているページまたはアプリケーションで追跡テクノロジーを使用するには、次の 3 つの条件のいずれかを満たしている必要があります。

  1. PHI を追跡ベンダーと共有する前に、企業は患者の明確な許可を必要とします。 ユーザーに Web サイトの Cookie を受け入れるよう求めるだけでは、適切な許可とはみなされません。
  2. 共有は、特定の HIPAA ルールによって許可されているか、追跡ベンダーが会社のビジネス関係者であるかによって許可されています。 ルール 2 を参照してください。
  3. 追跡テクノロジーのベンダーは、ベンダーがあなたの会社の取引先ではない場合、または HIPAA によって許可されている場合、受信した情報から PHI を単純に削除したり、保存する前に PHI を匿名化したりすることはできません。

簡単に言うと、個人の健康情報を扱う行為は、HIPAA によって許可された場合にのみ許可されます。 ベンダーがあなたの取引先である場合。 または、患者が会社にデータを処理する明確な許可を与えた場合。

ルール 2: 追跡テクノロジー ベンダーと業務提携契約 (BAA) を確立します。

追跡技術ベンダーが患者情報を扱う場合は、そのベンダーと書面による業務提携契約 (BAA) を締結する必要があります。 この契約では、ベンダーがデータを保護する方法と、そのデータに対して何が許可されるかを概説する必要があります。

2 つの重要な注意事項:

  1. 追跡テクノロジーは、取引先の定義を満たしている必要があります。
  2. 追跡テクノロジーまたは企業が BAA に署名できない、または署名したくない場合、PHI を開示するには個人の承認が必要です。

HHS の業務提携者の定義は次のとおりです。業務提携者とは、対象となる事業体に代わって、保護された医療情報の使用または開示を伴う特定の機能または活動を実行する、または対象事業体にサービスを提供する個人または事業体です。対象となる事業体の従業員のメンバーはビジネス関係者ではありません。

ルール 3: 管理的、物理的、技術的な安全策を含むリスク分析とリスク管理プロセスを確立する。

PHI の安全性を確保するには、HIPAA 対象事業体と追跡ベンダーの両方が堅牢なセキュリティ対策を採用する必要があります。

  • 追跡テクノロジー ベンダーに送信される ePHI を暗号化します。
  • 適切な認証を有効にして使用します。
  • データ ガバナンス慣行 (アクセス制御、アクセス ログなど) を確立します。
  • 追跡テクノロジーを使用するリスクを定期的に確認し、評価してください。

ルール 4: 違反通知システムを導入する。

追跡テクノロジーが原因で患者情報が不正に共有された場合は、影響を受ける患者および関連当局に通知する必要があります。

Google Analytics が HIPAA に準拠しなくなったのはなぜですか?

2022 年の規制変更前でさえ、Google アナリティクスはそのままでは HIPAA 準拠のツールではありませんでした。 コンプライアンスを維持するには、多くの調整とユーザー入力データから個人を特定できる情報の削除が必要でした。

2022 年から、Google は Google アナリティクスが新しい HIPAA 要件を満たしていないことを公然と宣言し、HIPAA の対象となる企業に対し、HIPAA の対象外のページでのみ Google アナリティクスを使用するようアドバイスしました。 Google は、サービスに関連する業務提携契約を提供していません。これは、HHS が規定する中核的なデータ セキュリティ基準の 1 つに違反します。

ソリューション: Improvado を使用した HIPAA セーフなマーケティング分析

患者データの収集と管理に関する規制はますます厳しくなっていますが、データの分析が妨げられるわけではありません。

Improvado は、データ管理パイプライン、マーケティング支出、ROI 分析を含む、HIPAA 準拠のマーケティング分析スイートを提供します。

Improvado ソリューションは、医療マーケティング担当者に次のような質問への答えを提供します。

  • どのチャネルが最良の結果をもたらしますか?
  • 患者からの問い合わせや予約が最も多いのはどのマーケティング キャンペーンまたはチャネルですか?
  • 患者の獲得、エンゲージメント、維持に貢献するマーケティングのタッチポイントはどれですか?
  • ブログ、予定のリマインダー、健康チェックインなど、視聴者の共感を呼ぶものはどれでしょうか?

Improvado のヘルスケアとウェルネス向けのマーケティング分析は、Google Analytics の終焉によって生じた空白を完全に埋める HIPAA 準拠の追跡ソリューションである Mixpanel に基づいています。 このソリューションは、ユーザーが Web サイトやモバイル アプリケーションとどのようにやり取りするかを追跡します。 Improvado は、このデータを CRM システム、ソーシャル メディア ネットワーク、電子メール マーケティング プラットフォームなどの他のソースからの情報と結び付けて、カスタマー ジャーニー全体をマッピングし、コンバージョンを正確に属性化し、各タッチポイントが収益の成長に与える影響を確認します。 マーケティング担当者は、すべて 1 つのダッシュボードで粒度のレベルを調整し、チャネルまたは地域全体のパフォーマンスを調査し、入札戦略とチャネル全体の ROI を分析できます。

自己分析を強化し、臨時のマーケティング問い合わせに取り組むために、Improvado は AI アシスタントを導入しました。 このマーケティング分析コパイロットを使用すると、医療マーケティング担当者はデータ アナリストを必要とせずにパフォーマンスに関する洞察を得ることができます。 AI アシスタントに平易な英語で質問することで、マーケティング担当者はクロスチャネル分析を詳しく調べ、予算ペースを監視し、データをより適切に操作できるようになります。

最終的に、Improvado を活用することで、マーケティング チームは、ソーシャル メディア広告、電子メール マーケティング、または有料検索キャンペーンからの予定を追跡し、HIPAA プライバシー規制を満たすリマーケティング キャンペーンを開始し、マーケティング パフォーマンスを継続的に向上させるための HIPAA 準拠のソリューションを手に入れることができます。

Improvado は HIPAA コンプライアンスにどのように対応しますか?

Improvado は、次のような堅牢なデータ セキュリティ フレームワークを備えた HIPAA 準拠のソリューションです。

  • データ転送中と保存中の両方で強固な暗号化が行われているため、たとえデータが傍受されたり、許可なくアクセスされたとしても、データを読み取ることができないため、侵入者にとっては役に立たないことが保証されます。
  • PHI 保護に関する手順と責任の概要を定めた業務提携契約 (BAA) に署名する準備ができていること。 通常、契約の概要はクライアントから提供されますが、サポートが必要な場合には、Improvado の情報セキュリティおよびプライバシー チームがテンプレートを提供できます。
  • 定期的な監査とリスク評価
  • 侵害が発生した場合に、クライアントに即座にインスタンスを通知し、潜在的な損害を軽減するための侵害通知手順
  • 不要になったデータを処理するための安全なデータ廃棄プロトコル。

Mixpanel はそれぞれ、改訂された規制の下でも HIPAA 準拠を維持するために、前述のすべての規則に従います。

  • Mixpanel は業務提携契約 (BAA) を提供しています。
  • データ ガバナンス権限が組み込まれているため、アカウント管理者はデータ アクセスと開示を制限することができます。
  • このプラットフォームはデータ マスキングをサポートしています。つまり、個人を特定できる情報や個人の医療情報データを一般的な識別子に置き換えることでマスキングできます。
  • 転送中のデータは暗号化され、データが保存されている場合には強力な暗号化ルールが適用されます。
  • PII または PHI は、そもそも Mixpanel への送信から除外できます。 このプラットフォームはユーザーレベルのデータエクスポート制御をサポートしています。つまり、マーケティングアナリストはどのデータをユーザーごとにMixpanelに送信するかを定義できます。
  • Mixpanel は、侵害の疑いがある場合、72 時間以内に顧客に電子メールで通知する侵害通知システムを導入しています。

Improvado は、ヘルスケアおよびウェルネス ブランドが Google アナリティクス データに基づいて構築された分析から軸足を移し、安全で洞察に満ちた効率的なデータ分析の力を活用し続け、ヘルスケア マーケティング戦略を成功に導くのを支援します。 Improvado がお客様のニーズに準拠した効率的なソリューションをどのように提供できるかについて話し合うための通話をスケジュールしてください。

HIPAA に準拠したマーケティング分析ソリューションをお探しですか? Improvado を使用して、医療データの洞察と規制上の対応のバランスをとります。

ありがとう! あなたの提出物は受領されました!
おっとっと! フォームの送信中に問題が発生しました。