HIPAA はいつ制定されたのか
HIPAA の歴史は、HIPAA (Healthcare Insurance Portability and Accountability Act) が署名された 1996 年 8 月 21 日に始まりますが、なぜ HIPAA 法が作られたのでしょうか。 HIPAAは、職を異にする従業員の「医療保険のポータビリティとアカウンタビリティを向上させる」ために作られた。 この法律の他の目的は、健康保険と医療提供における無駄、詐欺、乱用に対抗することであった。 3079>
健康保険の管理を簡略化するための手続きは、医療業界に患者の医療記録の電子化を奨励する手段となった。 この法律のこの部分は、2009年のHealth Information Technology for Economic and Clinical Health Act (HITECH) を生み出し、その結果、Meaningful Use インセンティブプログラムが導入され、ヘルスケア業界のリーダーたちは「過去20~30年の間に成立したヘルスケア関連の法律の中で最も重要な部分」と述べています。
The HIPAA Privacy and Security Rules Take Shape
HIPAA が法律として署名されると、米国保健社会福祉省は最初の HIPAA プライバシーおよびセキュリティ規則の作成に取り掛かります。 プライバシー規則は 2003 年 4 月 14 日に発効し、保護されるべき医療情報 (PHI) を「健康状態、医療の提供、または医療費の支払いに関係し、個人に関連付けることができる、対象となる事業者が保有するあらゆる情報」と定義しました。 3079>
HIPAA Security Ruleは、最初の法律から2年後の2005年4月21日に施行された。 特に電子的に保存されたPHI (ePHI) を扱うセキュリティ規則は、HIPAA を遵守するために完全に順守しなければならない管理的、物理的、技術的な3つのセキュリティ保護措置を定めています。 セーフガードは以下の目標を掲げていた。
- 管理的 – 事業者がどのように法律を遵守するかを明確に示すために設計された方針と手順を作成すること。
- Physical – 不適切なアクセスから保護するために、データ保存領域への物理的アクセスを制御すること
- Technical – オープンネットワーク上でPHIを含む通信が電子的に送信される際に保護すること
HIPAA はいつ施行されたのか
HIPAA が法律として署名された年はいつですか? HIPAAは1996年8月21日に署名されましたが、過去20年の間に大きな追加事項がありました。 プライバシー規則、セキュリティ規則、侵害通知規則、オムニバス最終規則の導入です。
最も重要な発効日は以下のとおりです。 HIPAA プライバシー規則の発効日は2003年4月14日ですが、小規模なヘルスプランは1年延長され、2004年4月14日までに HIPAA プライバシー規則の条項を順守することが求められました。 HIPAA Privacy Ruleの場合と同様に、小規模ヘルスプランはHIPAA Security Ruleの規定を遵守するためにさらに1年が与えられ、2006年4月21日が実効遵守日となった。
HIPAA Breach Notification Ruleは2009年9月23日に、Omnibus Final Ruleは2013年3月26日に実効となった。
施行規則の導入
多くの対象事業者がHIPAAプライバシーおよびセキュリティ規則を完全に順守していなかったため、2006年3月に施行規則が導入されました。 Enforcement Rule は、Department of Health and Human Services に、Privacy Rule を遵守しない対象事業者に対する苦情を調査する権限、および Security Rule で定められた保護措置に従わなかったために回避できた ePHI 漏洩に対する対象事業者への罰金を与える権限を付与した。
HITECH 2009 および Breach Notification Rule
HIPAA の歴史は 2009 年、HITECH (Health Information Technology for Economic and Clinical Health) 法の導入とともに続きました。 HITECH は、医療当局に電子健康記録(EHR)の使用を強制することを主目的とし、Meaningful Use インセンティブプログラムを導入しました。 3079>
奨励プログラムでは、HIPAA 規則をビジネス アソシエイトおよび医療業界の第三者サプライヤーに拡大し、500 人以上に影響する ePHI のすべての侵害を保健福祉省の市民権局に報告しなければならないと規定した Breach Notification Rule (侵害通知規則) も導入されました。 その後、2013年3月の最終オムニバス規則で、ePHIの侵害報告の基準が拡大されました。
2013年の最終オムニバス規則
HIPAA史上最も新しい法律行為は、2013年の最終オムニバス規則でした。 この規則では、新しい法律はほとんど導入されませんでしたが、既存の HIPAA および HITECH 規則の隙間を埋めるもので、たとえば、侵害が発生した場合に ePHI を使用不能、解読不能、読み取り不能にするために適用する必要のある暗号化標準が規定されています。
多くの定義がグレーゾーンを明確にするために修正または追加されました。たとえば、「労働力」の定義は、この用語には従業員、ボランティア、研修生、および対象事業体または業務提携企業のための業務の遂行において、対象事業体または業務提携企業の直接管理下にあるその他の人物の行為が含まれることを明らかにするために変更されました。
プライバシーおよびセキュリティ規則も改正され、患者の健康情報を無期限に保持できるようになり(以前の法律では50年間保持するよう規定)、一方で違反通知規則には新しい手順が書き込まれました。 また、HIPAA Enforcement Rule に違反した対象事業者に対して、HITECH の指示により新たな罰則が適用されました。
技術の進歩によりもたらされた業務慣行の変化を考慮し、特にモバイル機器の使用に関する修正も含まれています。 現在、多くの医療従事者が自身のモバイル機器を使用してePHIにアクセスし、通信しており、Final Omnibus Ruleには、これを考慮し、1996年には予測できなかったシナリオをカバーするための新しい管理手順とポリシーが含まれています。
何度も延期された後、米国では診断コーディングにClinical Modification ICD-10-CM、入院患者処置コーディングにProcedure Coding System ICD-10-PCAを使用する期限がついに2015年10月1日に設定されました。 HIPAAの対象となるすべての事業者は、ICD-10-CMを使用しなければなりません。
Key Dates in HIPAA History
- August 1996 – HIPAA Signed into Law by President Bill Clinton.
- April 2003 – Effective Date of the HIPAA Privacy Rule.
- April 2005 – Effective Date of the HIPAA Security Rule.HIPAA Security Rule.Dates in the HIPAA History.Dates in the HIPAA History.Dates in the HIPAA History.Dates of a HIPAA.Dates in the HIPAA.Dates of an Hippe.
- 2006年3月 – HIPAA Breach Enforcement Ruleの発効日
- 2009年9月 – HITECHおよびBreach Notification Ruleの発効日
- 2013年3月 – Final Omnibus Ruleの発効日
特定の状況において、CEおよびBAには各規則の規定を遵守する期間が与えられている。 例えば、Final Omnibus Ruleの発効日は2013年3月でしたが、CEおよびBAには180日間の遵守が認められました。 HIPAA の歴史におけるその他の重要な日付は、以下のインフォグラフィックでご覧いただけます。
Consequences of the Final Omnibus Rule
Final Omnibus Rule が以前のどの法律よりも達成したことは、対象事業者が順守すべき HIPAA セーフガードをより認識させることでした。 20 年近く HIPAA に違反していた多くの医療機関は、携帯デバイスやコンピューター ネットワークでのデータ暗号化の使用、ケア チームとの内部通信用の安全なメッセージング ソリューションの導入、Web フィルタのインストール、電子メールを安全にアーカイブするための一層の配慮など、規制に準拠するためのさまざまな措置を実施しました。
データ侵害に対する金銭的な罰則、および侵害通知の発行、クレジット監視サービスの提供、被害軽減のための膨大なコストにより、データ保護のための新しいテクノロジーへの投資は、比較にならないほど安く見えてしまいます。
監査された組織は、HIPAA Breach Notification Rule、Privacy Rule、Security Ruleの多くの違反を登録し、後者は最も多くの違反が発生しました。 OCR は、これらの組織がコンプライアンスを達成できるように行動計画を発表しましたが、2 回目の監査では、これほど甘くはないと予想されます。
監査では、多くの医療機関にとって問題となった特定の領域をターゲットにすることが予想され、HIPAA のコンプライアンスを継続できるように恒久的な監査計画が策定されています。 要求された管理を実施しない対象事業者は、ePHI を保護しなかったことで、金銭的な罰則、制裁、ライセンスの喪失の可能性、さらには刑事手続きにさえ直面することになります。
HIPAA の完全遵守を達成する方法
当社の「HIPAA 準拠チェックリスト」は、電子保護医療情報の保管、送信、および廃棄に関する Health Insurance Portability and Accountability Act の要素、違反に対応して組織が取るべき措置、完全遵守のために採用すべきポリシーと手順について説明しています。 ePHI を保護および管理するために使用される主な技術的セーフガードのいくつかは、実際には通信と情報の流れの合理化に役立ち、安全な通信チャネルを採用しデータ管理を実施した組織は、患者の健康データが常に完全に保護されていることを保証しながら、効率の向上、応答時間の短縮、患者の成果の改善による恩恵を受けています。
EPHI および個人識別子を保護する技術的なセーフガード
Data Encryption
ノート PC やその他のモバイル機器を使用して ePHI を保存またはアクセスすると、これらの機器が紛失、盗難、または不適切にリサイクルされた場合に HIPAA 違反が必然的に発生することになります。 デバイスおよびデバイスに含まれるデータのパスワード保護は、不正アクセスを防止するための合理的なステップですが、それだけでは医療データに必要な保護を提供するには不十分です。
データの暗号化には、複雑なアルゴリズムによってデータを解読不可能な記号-暗号文と呼ばれる-に変換することが含まれ、データを元の形に戻すにはセキュリティキーが必要です。 データ暗号化はプライバシーを保証しますが、ユーザーの検証、アクセスロギング、記録変更の防止、アクセスや盗難の否認防止など、他のセキュリティ上の利点も提供できます。
セキュリティレベルは、保護に使用するデータの機密性に基づいて適切に調整することが可能です。 データは、単一のセキュリティ・キー・アクセス、または暗号化と復号化のための別々のキー(対称および非対称データ暗号化)を使用して暗号化することができます。
モバイル デバイスの紛失や盗難、またはコンピューター ネットワークがハッキングされた場合、セキュリティ侵害と見なされますが、アクセス キーが開示されない限り、HIPAA 違反とはなりません。
Secure Messaging
ヘルスケア業界とページャーはほとんど切り離せないように見えますが、これは変わろうとしています。 HIPAA コンプライアンスの焦点は、現在、スマートフォンやウェアラブル技術に集まっていますが、ポケットベルは HIPAA コンプライアンスに準拠していません。 すべてのモバイル機器は安全でないネットワーク経由でデータを送信するため、ユーザーが ePHI を送信しないことに依存しています。
BYOD スキームは現在多くの医療提供者によって導入されていますが、最新のモバイル機器は個人識別子と ePHI を簡単に送信できるため、HIPAA 違反を引き起こす可能性がさらに大きくなっています。 これらのデバイスの使用方法を管理するためのポリシーや手順が導入されるかもしれませんが、調査によると、実際には多くの医療従事者がまだデバイスを使用してePHIを通信していることが示唆されています
Secure Message Solutionsはこれを防止します。 安全なデータベース上にePHIを保持し、ダウンロード可能な安全なメッセージングアプリを介して、承認された医療専門家がデータにアクセスできるようにすることで機能します。 通信は、許可された担当者の活動を監視するための管理制御を備えた安全なメッセージング・プラットフォームを通じて行われます。 また、HIPAAやOffice for Civil Rightsの監査人が要求するリスクアセスメントを作成するためのコンプライアンスオフィサーもいます。
多くの医療機関では、安全なメッセージング ソリューションの導入により、コミュニケーションの合理化、メッセージの説明責任の増加、および応答時間の短縮によって生産性が向上したと報告されています。
Compliant Cloud Storage
物理的な医療記録から電子データ形式への移行に伴い、IT インフラへのかなりの投資が必要となりました。 サーバーやネットワークを継続的にアップグレードし、データ センターを管理するスタッフを雇用するために、医療機関に課される要求は相当なものになるでしょう。 ハードウェアに加えて、機器を保管するためのスペースを確保し、アクセスを制御するために物理的な制御を行う必要があります。
現在、大規模ネットワークの運用と医療データの保存に必要なコンピューター機器は、機器が発する熱を放散するための冷却システムを設置する必要があります。 多くの医療機関にとって最も費用対効果の高いソリューションは、データ保存をアウトソーシングし、クラウドを活用してデータを保存することです。 HIPAAに準拠したクラウドホスティングでは、保存されるすべてのデータを暗号化して保護するために適切な管理が行われています。
Compliant Mobile Platforms (App Development)
モバイル健康アプリは、健康やフィットネスの追跡や監視のために患者に人気があり、ウェアラブル端末は在宅医療に革命をもたらす可能性を持っています。
患者ポータルも同様に大きな可能性を秘めており、医療提供者と患者の間の相互作用を改善し、不必要なコストを削減すると同時に、患者の転帰を改善するのに役立ちます。 HIPAA に準拠したモバイル アプリのフレームワーク、準拠したストレージ、および HIPAA に準拠した Web ソリューションの開発により、医療従事者は患者データのプライバシーとセキュリティを危険にさらすことなく、新しいテクノロジーの利点を活用することができます。
ePHI と個人識別子を保護するためのさらなる技術的セーフガードは現在計画中で、将来的に HIPAA の歴史に影響を与えることは間違いないでしょう。 それまでの間、HIPAA の歴史年表を簡単にご紹介します。