1996年に「 健康保険可搬性および説明責任法」が制定されました。これは、米国政府の市民権局によって実施されています。 これは、従業員が雇用主を離れた場合に従業員が医療保険に加入できるようにするために作成された連邦ガイドラインのセットであり、既存の条件(一部の条件)にもかかわらず医療保険にアクセスできるようにし、情報。
- HIPAAプライバシールールは、個別に識別可能な健康情報のプライバシーを保護します。
- HIPAAセキュリティルールは、電子健康情報のセキュリティのための国家規格を設定します。
法律では、保護された医療情報のプライバシーとセキュリティの責任を担保するために、医療業界で働く個人にHIPAAの教育と訓練を提供することが求められています。 対象組織は、HIPAAの方針と手順に関する労働力の全員を訓練する必要があります。
1 -
HIPAAプライバシールール個人識別可能な健康情報のプライバシーのための基準(プライバシー規則)は、個人の個人健康情報の保護に特に対応するように設計されています。 医療機関の活力がHIPAAの遵守を維持することが重要です。
プライバシールールの対象は誰ですか?
- 健康プラン
- ヘルスケアプロバイダー
- ヘルスケア・クリアリングハウス
HIPAAで定義されている対象組織は、保健医療計画、保健医療機関または保健医療提供者であり、保護された健康情報を電子的に送信し、組織、機関または人にすることができます。
患者とその機密記録を扱う医師およびその他の医療従事者は、患者のプライバシーと機密性を保護するための方針、手順、および法律を遵守しなければなりません。 すべての医療提供者は、 HIPAAの遵守に関してスタッフに訓練を受け、情報を提供し続ける責任があります 。 故意または偶発的なPHIの許可されない開示は、HIPAAの違反とみなされます。
- ビジネスパートナー
HIPAAによって定義されたビジネスアソシエートは、対象となる事業体を代理して保護された健康情報の使用または開示を含む事業を行い、対象となる事業体の従業員ではない任意の個人または団体です。
どのような情報が保護されていますか?
PHIまたは保護された健康情報とは、患者の医療記録に含まれていて、いかなる形でも伝達または維持されている個人識別情報を指します。
使用と開示
対象となる企業は、特定の条件下では、許可なく保護された健康情報(PHI)を使用または開示することがあります。
- 個人へ
- 治療、支払い、およびヘルスケア事業
- 同意または開示の機会を与えた使用および開示
- 不注意による使用および開示。
- 公益と福利活動
- 研究、公衆衛生、またはヘルスケア事業のための限定データセット
プライバシーに関する慣行通知
ヘルスケア提供者は、患者にプライバシー慣行の通知を提供する義務があります。 この通知は、HIPAAプライバシー規則の要求に従い、患者に保護された健康情報(PHI)に関連するため、プライバシー権について通知を受ける権利を患者に与えます。
通知には、理解しやすい用語で特定の情報を記述する必要があります。
- プロバイダーがPHIをどのように使用および開示するか
- 権利患者は自分のPHIに関して
- 患者にPHIのプライバシーを維持するよう要求する法律を患者に通知する声明
- プロバイダーのプライバシーポリシーに関する詳細については、どの患者が連絡できるのか
違反に対する執行と罰金
民事罰金
- 遵守に失敗したあたり100ドル
- 同じ要件の複数の違反について年間最大25,000ドル
刑事罰(HIPAAに違反して故意にPHIを取得または開示する場合)
- $ 50,000の罰金と最高1年間の懲役
- $ 100,000の罰金と最高5年間の懲役(違反に偽りの偽りが含まれている場合)
- $ 250,000の罰金と最高10年間の懲役(違反行為がPHIの販売、移転、または使用を意図する場合)
2 -
HIPAAセキュリティルール電子保護された健康情報の保護のためのセキュリティ基準(セキュリティルール)
HIPAAの安全保障とは、 PHIのためのセーフガードの確立です。 これには、電子的に使用、保管、または送信されるあらゆる情報が含まれます。 対象となる組織としてHIPAAによって定義された施設は、患者の情報のプライバシーとセキュリティを確保するだけでなく、PHIの機密性を維持する責任があります。
セキュリティルールの対象は誰ですか?
- 健康プラン
- ヘルスケアプロバイダー
- ヘルスケア・クリアリングハウス
HIPAAで定義されている対象組織は、保健医療計画、保健医療機関または保健医療提供者であり、保護された健康情報を電子的に送信し、組織、機関または人にすることができます。
- ビジネスパートナー
HIPAAによって定義されたビジネスアソシエートは、対象となる事業体を代理して保護された健康情報の使用または開示を含む事業を行い、対象となる事業体の従業員ではない任意の個人または団体です。
どのような情報が保護されていますか?
電子PHIまたは保護された健康情報とは、患者の医療記録に含まれていて、どのような形式でも送信または維持されている個人識別情報を指します。 セキュリティルールは、口頭または書面で送信されたPHIを除外します。
管理の簡素化
HIPAAの管理簡素化規定は、電子的に保護された健康情報のセキュリティのための国家基準を確立している。 これには、トランザクションとコードセットのルールと基準、および雇用者とプロバイダの識別子が含まれます。
トランザクションとコードセットの標準
医療データの電子データ交換(EDI)の標準的な取引には、請求および遭遇情報、支払いおよび送金のアドバイス、請求ステータス、適格性、加入および撤回、紹介および承認、給付の調整および保険料支払が含まれる。
HCPCS (付属サービス/手順)、 CPT-4 (医師手順)、CDT(歯科用語)、 ICD-9 (診断と病院入院手続き)、 ICD-10 2015年10月1日現在)とNDC(National Drug Codes)のコードです。
雇用者と提供者の識別子の基準
標準的な識別子には、雇用者識別番号(EIN)および国家プロバイダ識別子(NPI)が含まれる。 EINは、標準取引で雇用者を識別するために使用されます。 National Provider IdentificationまたはNPIは、HIPAA標準トランザクションにおけるユニークプロバイダ識別番号(UPIN)などのプロバイダ識別子の代わりに使用される10桁の一意の識別番号です。 ヘルスケア提供者は、NPIを取得するためにHIPAAの規制が必要です。
HIPAAのセキュリティを維持するためのルールには、3つの重要な分野のための安全対策が含まれます。
管理措置
- ポリシーと手順の策定、内部監査、コンティンジェンシー・プランなどの正式なセキュリティ管理プロセスを開発し、医療事務所スタッフのコンプライアンスを確保する。
- 指定された人物にセキュリティの責任を割り当て、セキュリティ対策の使用とスタッフの行動を管理および監督する。
- スタッフがPHIにアクセスするための適切なトレーニングと適切な権限を持つことを確実にする機能を実装する。
- すべてのスタッフのアクセスレベルとその付与方法を定義する
- 管理職を含むすべての医療事務所職員にセキュリティトレーニングを受け、定期的なリマインダーとユーザー教育を要求する。
物理的セーフガード
- 許可されていない人や侵入者へのアクセスを制限する、安全な場所にあるPHIと従業員用の作業領域(これには、ドアのロックを解除するロック、キー、バッジの使用が含まれます)。
- アクセス許可、機器管理、訪問者の確認に関するポリシーを作成する。 PHIを保護するために医療機関がどのように役立つかについての説明を含む文書を作成し、提供する(例えば、コンピュータを無人で放置する前にログオフするなど)
- 火災やその他の危険からの保護を提供する
テクニカルセーフガード
- パスワードとピン番号を含む一意のユーザー識別を確立する
- 自動ログオフ制御を採用
- 監査目的でシステム活動を記録して調べる
- 暗号化制御を利用してネットワーク上の送信データを保護する
違反に対する執行と罰金
民事罰金
- 遵守に失敗したあたり100ドル
- 同じ要件の複数の違反について年間最大25,000ドル
刑事罰(HIPAAに違反して故意にPHIを取得または開示する場合)
- $ 50,000の罰金と最高1年間の懲役
- $ 100,000の罰金と最高5年間の懲役(違反に偽りの偽りが含まれている場合)
- $ 250,000の罰金と最高10年間の懲役(違反行為がPHIの販売、移転、または使用を意図する場合)
3 -
HIPAAに違反することを避けるためのヒント- 定期的な会話を通して情報を開示しないようにするために必要な措置を取る。 定期的な会話を通して情報を漏らさないようにする。 待合域、廊下またはエレベータでの患者情報の議論。 PHIの適切な処分。 職場の情報を必要とする従業員には、情報へのアクセスを厳密に制限する必要があります。 基本的な情報はそれほど重要ではないので、日常会話では簡単に言及できますが、基礎を知る必要がある場合にのみ共有してください。
- 待合室、廊下またはエレベーターでの患者情報の議論を避ける。 機密情報は、訪問者や他の患者が耳にすることがあります。 また、患者の記録を一般の人がアクセス可能な領域から守るようにしてください。 チェックインデスクと看護師の駅が開かれているので、コンピュータを常に安全に保つために余分なスペースを確保してください。 HIPAA基準に従って、チャートホルダーを取り付け、フロントパネルを覆う必要があります。
- PHIは決してごみ箱に入れないでください。 ゴミ箱に投げ込まれた文書は一般に公開されているため、情報に違反しています。 PHIを処分する方法はたくさんあります。 紙のPHIの適切な処分には、焼却または細断が含まれます。 電子PHIは、消去、削除、再フォーマット、焼却、溶融、または細断処理によって廃棄することができます。
- 患者データを保護するために設計された多くの利用可能な技術があります。 ファイアウォール、ウイルス対策、スパイウェア対策、侵入検知技術などのワイヤレス接続を介してデータを保護するデバイスとソフトウェアを選択することを選択してください。 リモート接続を介してデータにアクセスする場合は、十分注意してください。 IT専門家は、セキュリティトークンとパスワードを使用した2要素認証システムの使用を推奨しています。