HIPAA コンプライアンスとは何か、なぜ重要なのか?

公開: 2021-06-22

HIPAAとは何ですか?

HIPAA とは正確には何ですか?また、関連する規制の正しい側に留まるために企業として何をする必要がありますか?

HIPAA は、1996 年に議会を通過した医療保険の携行性と説明責任に関する法律の略です。

それ以来、HIPAA は更新され、構築されてきました。最も注目すべきは、2009 年の HITECH 法 (経済的および臨床的健康のための医療情報技術) と 2013 年のオムニバス規則です。

これらは共に、ビジネス アソシエートとその下請け業者に対する責任を拡大し、マーケティングと販売に関して PHI をどのように使用できるかについてより厳格な保護を提供しました。

HIPAA は、失業または転職した人々に対する医療保険や税金関連規定など、多くの分野に関係していますが、私たちが主に焦点を当てているのは、健康データの交換、セキュリティ、およびプライバシーに関する法律のタイトル II です。コンプライアンスに関して、大多数の企業が懸念していること。

では、HIPAA について知っておく必要があるすべてのことと、HIPAA コンプライアンスの成功の鍵は何かを見ていきましょう。

Impact ブログ バナーを購読する

HIPAA の目的は何ですか?

先ほど述べたように、HIPAA にはデータ保護以外にもいくつかの目的があります。具体的には、健康保険法の改正に関連しています。

ただし、HIPAA を研究しているほとんどの組織にとって、その主な目標は、その規制に準拠し続け、違反による罰金を回避するために何をする必要があるかを知ることです。

HIPAA のこの領域は、保護された医療情報 (PHI) の開示と使用に関連するデータ保護とプライバシーに関係しています。

HIPAA コンプライアンスと PHI のセキュリティは、今日の医療機関にとって重要です。

手を差し出し、その上に HIPAA という言葉を持つ男性の画像 | HIPAAとは?

HIPAA を遵守する必要があるのは誰ですか?

HIPAA コンプライアンスを順守する必要があるエンティティは、対象エンティティと呼ばれます。

対象となるエンティティは、PHI を保存、処理、および処理する個人または企業です。

対象となるエンティティは、HIPAA を遵守することに加えて、それに関連する違反を報告する責任もあります。

以下の個人および組織が対象事業体を構成しています。

医療提供者

  • 医師
  • 診療所
  • 心理学者
  • 歯科医
  • カイロプラクター
  • 養護施設
  • 薬局
  • 健康保険

健康保険会社

  • HMO
  • 会社の健康計画
  • 政府提供の医療計画

ヘルスケア クリアリングハウス

  • これらは、非標準の健康情報を標準のデータ要素に処理することを容易にするエンティティです。 これらは、事実上、医療提供者と保険支払者の間の仲介者です。

ビジネスパートナー

  • 「業務提携者」は、対象となる事業体または下請け業者として活動する別の業務提携者に代わって、保護医療情報 (PHI) を作成、受信、維持、または送信します。

下請業者

  • ビジネス アソシエイトに代わって保護医療情報 (PHI) を作成、維持、または送信する下請け業者は、HIPAA に基づくビジネス アソシエートと同じ法的責任を負います。 言い換えれば、プライバシーおよびセキュリティ関連の法的責任は、業務提携者のために仕事を行う下請け業者に「下流」に流れます。

ハイブリッド エンティティ

  • ハイブリッド エンティティは、事業の一環として、HIPAA の対象となる機能と対象外の機能の両方を実行します。 従業員のための自家保険の健康保険を持っている大企業は、ハイブリッド事業体として扱われることを選択するかもしれません。 他の例としては、医療センターのある大学や、薬局のある食料品店があります。

PHI には何が含まれますか?

個人の健康情報 (PHI) とは、患者、クライアント、またはその他のエンティティを識別するために使用できる人口統計情報を指します。

PHI と見なされる健康に関する情報を作成する 18 の識別子があります。 これらは:

  1. 名前
  2. 年を除く日付
  3. 地理データ
  4. FAX番号
  5. 社会保障番号
  6. メールアドレス
  7. カルテ番号
  8. 口座番号
  9. 健保受給者数
  10. 証明書/ライセンス番号
  11. ナンバー プレート番号を含む車両 ID とシリアル番号
  12. 電話番号
  13. Web URL
  14. デバイス識別子とシリアル番号
  15. インターネット プロトコル (IP) アドレス
  16. 正面写真と比較画像
  17. 生体認証識別子 (指紋など)
  18. 個人を一意に識別する番号またはコード

これらは、HIPAA 準拠を維持するために保護する必要があるデータと情報の種類です。

HIPAA 違反と見なされるものは何ですか?

HIPAA 違反は、エンティティがコンプライアンスを順守していない場合に発生します。個人や組織が HIPAA コンプライアンスに違反する可能性は文字通り何百もあります。

HIPAA の一般的な違反には、通常、次のいずれかが含まれます。

  • PHI の許可されていない、許可されていない、または不必要な開示
  • PHI への不正アクセス
  • PHI の不適切な廃棄
  • 企業による実施されたリスク評価の欠如
  • PHIに関するリスク管理の欠如
  • PHI へのアクセスを提供する際に、サードパーティとの間で HIPAA コンプライアンス契約を確立しない
  • HIPAA トレーニングのセキュリティ意識を従業員に提供していない
  • PHI盗難
  • 事前の許可なしに PHI を共有する
  • PHI の不適切な取り扱い/不当な郵送
  • 侵害の発見から 60 日以内に PHI に関連するセキュリティ インシデントを個人に通知しなかった場合
  • コンプライアンスのプロトコル、手順、および管理に関するドキュメントがない

HIPAA に違反するとどうなりますか?

HIPAA 違反は、HIPAA 標準および規定のいずれかの側面に違反した場合に発生します。

保健社会福祉省公民権局が公開しているすべての HIPAA 規制の完全な概要は、こちらで確認できます。

違反が報告された場合、対象となる事業体は、民事か刑事かを問わず罰則の対象となります。罰則は、違反によって大きく異なります。

通常、米国保健社会福祉省公民権局 (OCR) は違反を調査し、500 件を超える記録の違反を報告した対象となるすべてのエンティティを調査します。

OCR が特定の事件が民事ではなく刑事であると判断した場合、司法省に照会します。

ほとんどの場合、個人は違反ごとに 100 ドルを支払うことを期待できます。 違反を繰り返すと、最高 25,000 ドルの罰金が科される可能性があります。

個人が HIPAA 規制を故意に無視し、ポリシーと手順を修正しようとしなかった場合、最低 50,000 ドル、最高 150 万ドルの罰金が科せられる可能性があります。

刑事事件では、50,000 ドルと最大 1 年の懲役の軽い判決が下される可能性があり、最高で 250,000 ドルの罰金と最大 10 年の懲役があります。

民事訴訟では、違反は段階に分類され、4 が最も深刻です。

それらは次のとおりです。

  • Tier 1:対象事業体が認識しておらず、回避できなかった違反。
  • ティア 2:対象事業体が認識していたはずなのに回避できなかった違反。
  • Tier 3:故意の怠慢の直接の結果として発生した違反であるが、違反を是正する試みが行われた場合。
  • Tier 4:違反を是正する試みがなされなかった故意の怠慢を構成する違反。

各レベルの HIPAA 違反に対する罰則は次のとおりです。

  • Tier 1:違反ごとに最低 $100 の罰金、最大 $50,000
  • Tier 2:違反ごとに最低 $1,000 の罰金、最高 $50,000 まで
  • Tier 3:違反ごとに最低 $10,000 の罰金、最高 $50,000 まで
  • Tier 4: 50,000 ドル以上の罰金

刑事訴訟は少し異なり、3 つの段階があり、民事訴訟よりもはるかに厳しい刑罰が科されます。

それらは次のとおりです。

  • Tier 1:合理的な理由または違反の知識がない
  • ティア 2:虚偽の PHI の取得
  • Tier 3:個人的な利益のために、または悪意を持って PHI を取得する

刑事罰:

  • Tier 1: 最高 1年間の懲役
  • Tier 2:最高 5 年の懲役
  • Tier 3:最高 10 年の懲役

手を差し出し、その上に HIPAA という言葉を持つ男性の画像 | HIPAAとは?

HIPAA認定を受けることはできますか?

これを書いている時点では、HIPAA 準拠の認定や検証などはありません。

サード パーティが「HIPAA 認定」の形式を提供する場合がありますが、HHS が提供する公式に承認または義務付けられた認定はありません。

対象となるエンティティがコンプライアンスを「証明」することを要求する標準または実装仕様はありません。 評価基準 § 164.308(a)(8) では、エンティティのセキュリティ ポリシーと手順がセキュリティ要件をどの程度満たしているかを確立する定期的な技術的および非技術的評価を対象エンティティに要求しています。 公民権局 (OCR)

そのため、HIPAA 認定はありませんが、多くのサードパーティ MSSP が必要に応じて定期的な評価を実行し、HIPAA に準拠していることを確認できます。

HIPAAオフィサーとは?

HIPAA オフィサーはコンプライアンス オフィサーです。

彼らが社内にいるか、サードパーティとして雇われているかにかかわらず、彼らの主な仕事は、PHI データのセキュリティとプライバシーのプロトコルが正しく適用されていることを確認することによって、HIPAA コンプライアンスを確保することです。

そのようなポリシーが実施されていない場合、HIPAA オフィサーは、個人または組織のコンプライアンス計画を策定および実施する責任を負います。

その後、プログラムの維持と監視、法的に必要な場合の調査と報告、および州法と連邦法の要求に従って患者またはクライアントのデータが確実に保護されるようにします。

HIPAA コンプライアンスの成功の鍵は何ですか?

この記事を読んで (またはスキミングして)、コンプライアンス違反の罰則を見て少し胸が高鳴ったと感じたとしても、心配する必要はありません。

HIPAA に準拠していることを確認するのにそれほど時間はかかりませんが、組織が従うべき HIPAA 準拠を成功させるための鍵がいくつかあります。

まず、HIPAA 評価を実施してシステムの HIPAA コンプライアンスを監査するマネージド セキュリティ サービス プロバイダーを探す必要があります。

リスク評価を実行すると、コンプライアンスを維持するために可能な限りのことを確実に行うために必要な実装を推奨し、実行することができます。

HIPAA リスク評価とは?

関連記事:サイバーセキュリティ リスク監査中に何が起こるか?

HIPAA コンプライアンス監査は、コンプライアンス担当者がシステムとセキュリティ プロトコルを深く掘り下げて実施する評価です。

まず、彼らは監査の範囲を決定する際にあなたと協力する必要があります。これは主にあなたの義務に関連しています (この場合、HIPAA が最優先事項ですが、他の規制にも準拠する必要があるかもしれません)。

その後、監査のスケジュールを作成し、次の段階に進みます。 実行。 この部分には、脆弱性スキャン、侵入テスト、およびギャップ分析が含まれます。

HIPAA コンプライアンスのリスク評価の場合、ギャップ分析が不可欠です。これは、HIPAA コンプライアンス オフィサーが、あなたまたはあなたの会社をコンプライアンスに準拠させるために何をする必要があるかを詳述する場所だからです。

HIPAA コンプライアンス監査が完了すると、コンプライアンス オフィサーが推奨事項を提示し、何を行う必要があるかを明確に理解することができます。

また、この機会にこれらの推奨事項の実装を MSSP に委任することもできます。その場合、MSSP と長期契約を結ぶことができます。マネージド セキュリティ サービス プロバイダーがコンプライアンスに対応している間、ビジネスを開始して運営することができます。 .

HIPAA コンプライアンスと、マネージド セキュリティ サービス プロバイダーができることについて詳しく知りたい場合は、コンプライアンス サービスのページをご覧ください。