医療保険の携行性と責任に関する法律(HIPAA)は、患者の機密情報(文書では個人識別情報(PII)と称されています)を保護することを目的として1996年に制定されました。この重要な法律は、医療業界との関係において機密データを取り扱うすべての医療機関および事業提携先に適用されます。
個人情報の送信と管理に使用されるテクノロジーの変化に伴い、HIPAAも変化しました。直近の主要な改訂は2013年に行われました。「最終オムニバス規則」と呼ばれるこの改訂では、セキュリティ規則と侵害通知規則の両方に重要な変更が加えられ、文言が変更され、両規則においてビジネス関係者がコンプライアンス計画に含まれるようになりました。
最終オムニバス規則の施行により、医療提供者は情報チェーン全体にわたってPII(個人情報)を保護する責任を負うことになりました。これは、モバイルアプリ開発者からクラウドホスティングサービスプロバイダーまで、あらゆる関係者を慎重に審査することを意味します。最新のHIPAA(医療保険の携行性と責任に関する法律)へのコンプライアンスを確保するための役立つヒントをいくつかご紹介します。
1. ビジネスパートナーとの効果的な関係を構築する
医療機関のすべてのベンダー、サービスプロバイダー、その他のビジネスパートナーはHIPAA規制を遵守する必要があるため、信頼できる企業と効果的な関係を築くことが重要です。まずは、電子FAXソリューションの導入など、オンラインで情報を安全に送信するための効果的な方法を見つけることから始めましょう。次に、データストレージプロバイダーとアプリ開発者がHIPAA規制に準拠していることを確認します。
HIPAAの規則や規制を遵守しているという企業の言葉を鵜呑みにしてはいけません。各ビジネスアソシエイトのコンプライアンスを実証し、企業に主要な研修および監査手順の遵守を義務付ける文書を入手してください。プライバシー規則では、医療提供者は、ビジネスアソシエイトから、契約書または両者間の正式な合意書の形で、書面による十分な保証を得ることが義務付けられています。
2. 包括的なセキュリティポリシーの策定と維持
すべての医療機関は、PIIへのアクセス、保管、および転送方法を概説した包括的なデータセキュリティポリシーを策定する必要があります。また、内部監査の実施方法や、従業員およびサードパーティベンダーがHIPAAコンプライアンスに関してどのようなトレーニングを受けるかについても規定する必要があります。
HIPAAの要件は複雑であるため、多くの医療機関はデータセキュリティポリシーに何を含めるべきかの判断に苦労しています。原則として、PII(個人情報)に関連する情報はすべて含める必要があります。データセキュリティポリシーは必要に応じて更新し、定期的に見直す必要があります。更新の際は、従業員やビジネス関係者に変更内容を明確に伝え、容易に実践できるようにする必要があります。
3. 専任のデータセキュリティ担当者を配置する
HIPAAの規則や規制の複雑さを考えると、データセキュリティに関する特別なトレーニングを受けていないスタッフに、会社のデータセキュリティポリシーの策定、実装、そして遵守の確保を期待するのは無理があります。大規模な医療機関では、専任のデータセキュリティ専門家チームを擁していることが多いです。小規模な企業ではこれが難しい場合もありますが、セキュリティ規則で義務付けられているため、専任のHIPAAセキュリティオフィサーを設置することが重要です。
HIPAA セキュリティ担当者またはチームには、次の任務を課す必要があります。
- セキュリティ ルールの遵守を確保するための安全策を確立し、実施します。
- アクセス制御、災害復旧、事業継続性、インシデント対応に関して発生するあらゆる問題に対処します。
- 社内リスク評価を実施し、ベンダーおよびビジネスアソシエイトに対するサードパーティ監査を促進します。
- データ侵害を調査し、将来の軽減策を実施します。
HIPAA コンプライアンスと IT セキュリティの両方を会社の幅広いビジネス戦略に統合します。
4. 定期的なリスク評価を実施する
HIPAAセキュリティオフィサーは、定期的なリスク評価を実施し、是正措置を実施する責任を負いますが、組織の従業員とビジネスアソシエイトは、正確な情報を提供し、セキュリティオフィサーと連携する必要があります。定期的なリスク評価を実施し、文書化することで、組織はランダムなHIPAA監査の要請に効果的に備え、対応することができます。
組織がランダム監査の対象に選定された場合、セキュリティチームは包括的な内部監査を実施することで事前に準備を整える必要があります。米国公民権局(OCR)は、監査に必要なチェックリストとリスク評価ツールをすべて提供しています。多くの組織では、潜在的な問題を容易に特定できるように、四半期ごとに定期的な内部監査を実施しています。
コンプライアンス関連の文書や従業員研修の見直しから始めるのが最善ですが、会社のHIPAAポリシーが書面でどのようになっているかを評価するだけでは不十分です。セキュリティ担当者は、医療施設内の様々なエリアを巡回し、コンピューター画面や机に患者情報が目に見える形で記載されていないか確認する必要があります。
5. 明確なトレーニングプロトコルを確立する
医療機関のスタッフとビジネスパートナーは、HIPAA関連の研修セッション中に、組織のプライバシーおよびデータ保護ポリシーを確認することを義務付ける必要があります。明確なプロトコルを確立することは常に重要です。
プライバシー規則とセキュリティ規則の両方において、HIPAAトレーニングセッションの実施頻度に関する提案が示されていますが、具体的な期間は示されていません。新入社員には「合理的な期間」内にトレーニングを提供する必要があり、施設がHIPAA関連のポリシーや手順に機能的または重大な変更を加えた場合は、追加の復習コースを実施する必要があります。
研修プロトコルは、従業員の役割に応じて変更する必要があります。例えば、IT研修セミナーでは通常、デジタルデータの保存や送信時に効果的な安全対策を実施する方法に関する情報が充実していますが、医療従事者向けのセッションでは、コンプライアンスを確保するために個人が取るべき行動に重点が置かれる場合があります。患者の保護対象情報がデジタル形式で送信される際に適切なデータセキュリティを確保することと同様に、対面での脅威からPIIを保護することも重要であることを忘れないでください。
変化を起こし始める
医療機関は、HIPAA監査や、さらには違反による罰金に直面するまで待つべきではありません。そのため、まずはHIPAAセキュリティ担当者を雇用し、具体的なポリシー策定に必要なトレーニングをすべて受けさせ、信頼できるビジネスパートナーを選び、データ漏洩と内部脅威の両方に対する安全対策を講じることから始めましょう。そこから、HIPAAコンプライアンスの確保は、企業ポリシーからデータセキュリティプロトコルに至るまで、あらゆるものを最新の状態に保ち、監査の際に組織を保護するために、PIIの保管または転送に関連するすべての情報を文書化することが主な課題となります。
