HIPAA(ヒュ-ザ-)の歴史。 知っておくべき 8 つのポイント

Health Insurance Portability and Accountability Act (HIPAA) は、医療保険の喪失という危険からアメリカの家族を守るために、1996 年に制定されました。 主に、転職や退職の際に、労働者に保険のポータビリティを提供するために設計されました。 また、個人の健康情報の安全性とプライバシーを確保することも目的の一つです。

PHI は多くの分野をカバーしています。

HIPAA が法律として署名されて以来、いくつかの改正がありました。 2003 年の最初の改正は、プライバシー規則として知られ、Protected Health Information (PHI) を、特定の個人を識別するために使用できるあらゆる健康関連情報と定義しました。 これは、個人の過去、現在、または将来の身体的、精神的な健康状態、個人への医療提供、および個人への医療提供に対する過去、現在、または将来の支払いに関連する情報です。 残念ながら、NueMD による昨年の HIPAA コンプライアンス調査では、医療機関のわずか 70 % が HIPAA コンプライアンスに取り組む予定であることが判明しました。 この数字は、グループ・ヘルス・プランを提供する雇用者グループ、ビジネス・アソシエイト、健康保険代理店の間で採用率が低いことを考えると、確かに残念な結果です。

HHS OCR によるコンプライアンスの実施

2006 年の施行規則により、保健社会福祉省公民権局 (HHS OCR) は、HIPAA 規制に準拠すべき組織を監視する責任を負うことになりました。 HHS OCRは、プライバシーとセキュリティの規則に関する苦情を調査し、HIPAA規則を満たさない者に罰金を科す権限を持っている。 罰金は 1 回の違反につき 100 ドルから 150 万ドルの範囲ですが、HHS OCR との解決額は数十万ドルから数百万ドルに及び、500 万ドルを超える解決額も複数あります。 経済的および臨床的健康のための医療情報技術(HITECH)法は、医療機関に、ビジネス関連企業や下請け企業がHIPAAに準拠して業務を行うことが法的に期待されていることを通知するよう求めています。 2016年のNueMDの調査では、調査対象となった医療機関のうち、この期待を認識していたのはわずか60%でした

あなたの組織が監査の対象となる可能性があります

6年以上前からHHS OCRは、HIPAAコンプライアンスを高めることを期待してコンプライアンス監査を実施しています。 2011 年、OCR は試験的な監査プログラム (フェーズ 1) を実施し、HIPAA の要件を遵守するために 115 の対象事業者が実施するコントロールとプロセスを評価しました。 OCRのHIPAA監査プログラムのフェーズ2は、昨年、200以上の対象事業者とビジネス・アソシエイトを選定し、夏と秋に通知書を送付して、机上監査の対象に選ばれたことを通知することから始まりました。 NueMDの調査によると、昨年は医療機関の40%しかこれらの監査が実施されていることを知りませんでした。 現在、OCRによるオンサイト監査は2017年末または2018年初頭に延期されています。

PHIは少なくとも6年間保存する必要があります。

HIPAAでは、Covered EntitiesおよびBusiness Associatesは、収集したPHIの書類を作成日または最後に有効だった日のいずれか遅い方から少なくとも6年間維持することが要求されています。 PHIを保有する組織は、州のコンプライアンスを保証するためにPHIを適切に廃棄する前に、州の保持要件を確認する必要があります。

HIPAAコンプライアンスは低下する

NueMDの調査でも、2014年から2016年にかけて、雇用されているセキュリティおよびプライバシー担当者の数がそれぞれ56および55パーセントから53および54パーセントに減少したことが示されています。 また、HIPAAコンプライアンス研修を行う医療機関も62%から58%に減少しています。

電子コミュニケーションの幕開け

多くの医療機関が電話アプリやメール、ソーシャルメディアを使って患者と連絡を取り合っています。 より多くの組織が電子的なコミュニケーションに移行する中、これらのプロセスのセキュリティを監視することが重要となっています。 Total HIPAA は、電子メールの暗号化やテキスト メッセージングなどの電子通信用の HIPAA 準拠ソフトウェアをレビューし、組織が最適なソリューションを見出すのを支援しました。

これからどうするのか

要約すると、HIPAA 準拠の採用はまだ初期段階にあります。 OSHA は、米国に拠点を置く企業で広く採用されるまでに 20 年以上かかりました。 HIPAA の最初の部分は 20 年前に施行されましたが、法律の重要な部分は 2009 年から施行されています。

HHS は、患者、従業員、またはクライアントが、これらの個人の PHI が侵害された場合に HHS によって現在課されている罰金を共有できるかどうかについて、まだ判断しておりません。 もしHHSが、自分のPHIが漏洩した場合、個人が払い戻しを受けることができると裁定すれば、洪水の門が開かれることになります。 HIPAAに準拠する必要がある企業は、そのプロセスを完了するために急ぐことになり、追いつかれることになるかもしれません。 このような事態に陥らないようにしましょう。 5246>

また、4つの州の最高裁判所が、HIPAAを標準ケアとして支持しています(ミズーリ州、ノースカロライナ州、コネチカット州、およびウェストバージニア州)。 これは、PHI を適切に保護しない対象事業者が、HHS だけでなく民間人からの法的措置に直面する可能性があることを意味します。

人々は、あなたが思っている以上に、HIPAA に基づく自分の権利に気付いています。 HIPAA に準拠していない場合、診療所や企業は、問題が発生する前に軽減するのが最善である、多くの規制問題にさらされることになります。 現実には、コンプライアンスはこれまでよりもはるかに安価であり、コンプライアンス違反はこれまでよりもはるかにコストがかかります。

Are you HIPAA Compliant? HIPAAゲストブロガー

Sharing is caring!