HIPAA の歴史

HIPAA の歴史を振り返ると、1996年8月21日にHIPAA (Healthcare Insurance Portability and Accountability Act) が法律として制定されましたが、なぜHIPAA 法が制定されたのでしょうか。

HIPAA 法は、転職する労働者の「医療保険の移植性と説明責任の向上」を目的として策定されたものでした。 この法律の他の目的は、健康保険と医療提供における浪費、詐欺、乱用に対処することでした。 この法律には、税制優遇措置を設けることで医療貯蓄口座の利用を奨励し、既往症のある従業員への保障を提供し、健康保険の管理を簡素化するための条項も含まれていた

健康保険の管理簡素化のプロセスは、医療業界に患者の医療記録の電子化を促す方法となった。 この法律のこの特定の部分は、2009年に経済的および臨床的健康のための医療情報技術法 (HITECH) を生み出し、その結果、医療業界のリーダーによって「過去20~30年間に成立した医療法の中で最も重要なもの」とされる、平均使用インセンティブ プログラムを導入することになったのです。

The HIPAA Privacy and Security Rules Begin to Evolve

HIPAA が法律として制定されると、米国保健社会福祉省は最初の HIPAA プライバシーおよびセキュリティ規則の作成に着手しました。 プライバシー規則は、2003 年 4 月 14 日を実際の遵守日とし、保護されるべき健康情報(PHI)を「健康状態、医療の提供、または医療費の支払いに関連し、個人に関連付けることができる、対象となる事業者が保有するあらゆる情報」と言及した。 また、治療が私費でまかなわれている場合、患者が自分のヘルスケアに関する情報を医療保険者から差し控える許可を与えた。 特に電子的に保存されたPHI(ePHI)に言及したSecurity Ruleは、HIPAAを遵守するために完全に遵守しなければならない3つのセキュリティ対策(管理的、物理的、技術的)を定めている。 セキュリティ対策は以下の目標を掲げていた。

  • 管理的 – 企業がどのように法律を遵守するかを明確に示すために設定された方針とプロセスを開発すること。
  • Physical – データ保存領域への物理的アクセスを管理し、不正アクセスから保護すること
  • Technical – オープンネットワーク上で電子的に送信されるPHIを含むコミュニケーションを保護すること

When Did HIPAA Become Enforceable? HIPAAは1996年8月21日に法律として制定されましたが、この20年の間に大きな改正が行われています。 プライバシー規則、セキュリティ規則、侵害通知規則、オムニバス最終規則が導入されました。 HIPAA プライバシー規則の発効日は 2003 年 4 月 14 日ですが、小規模なヘルスプランは 2004 年 4 月 14 日までに HIPAA プライバシー規則の条項を順守するよう 12 か月の延長がありました。 HIPAA Privacy Rule と同様に、小規模なヘルスプランは HIPAA Security Rule の規定を遵守するために1年延長され、実際の遵守日は 2006 年 4 月 21 日となった。

HIPAA Breach Notification Rule は 2009 年 9 月 23 日に施行され、Omnibus Final Rule は 2013 年 3 月 26 日に施行となった。

Enforcement Ruleの制定

HIPAA プライバシーおよびセキュリティ規則を完全に遵守しない対象事業者が多かったため、2006年3月にEnforcement Ruleが導入されることになりました。 Enforcement Ruleにより、保健福祉省は、Privacy Ruleを遵守しない対象事業者に対する苦情を調査し、Security Ruleで定められたセキュリティ対策に従わなかったために回避できたePHIの侵害に対して対象事業者に罰金を科す権限を与えられた。

HITECH 2009 と Breach Notification Rule

HIPAA の歴史は、2009 年の Health Information Technology for Economic and Clinical Health Act (HITECH) の導入により、加速しました。 HITECH は、医療当局に電子健康記録 (EHR) の使用を強制することを主な目的とし、Meaningful Use インセンティブ プログラムを制定しています。 83>

奨励プログラムでは、HIPAA 規則をビジネス・アソシエイトおよびヘルスケア分野の第三者サプライヤーに拡大し、500 人以上に影響する ePHI のすべての侵害を保健福祉省の市民権局に知らせなければならないとする Breach Notification Rule(侵害通知規則)も導入されました。 その後、2013年3月の最終オムニバス規則で、ePHIの侵害報告の基準が拡大されました。

The Final Omnibus Rule of 2013

HIPAA史における最後の立法行為は、2013年の最終オムニバス規則でした。 この規則は、実際には新しい法律を導入したわけではなく、既存の HIPAA および HITECH 規則のギャップに対処したものです。たとえば、侵害が発生した場合に ePHI を使用不能、解読不能、読み取り不能にするために適用する必要のある暗号化標準を規定するものなどです。

多くの定義がグレーゾーンに対処するために変更または拡張されました。たとえば、「労働力」の定義は、この用語には従業員、ボランティア、研修生、および対象事業体または業務提携者のための業務の遂行において、対象事業体または業務提携者の直接管理下にあるその他の人物の行動が含まれることを明確にするために変更されました。

プライバシーおよびセキュリティ規則も変更され、患者の健康情報を無期限に保持できるようになり(以前の法律では50年間保持することになっていた)、違反通知規則には新しい手順が追加されました。 また、HIPAA Enforcement Rule に違反した対象組織には、HITECH の指示により、新たな罰則が適用されました。

また、技術の進歩によりもたらされた仕事のやり方の変化を考慮し、特にモバイル機器の使用に関する修正も含まれています。 現在、多くの医療従事者が自身のモバイル機器を使用してePHIを閲覧・共有しており、Final Omnibus Ruleには、これを考慮し、1996年には予測できなかったシナリオを含む新しい管理手順とポリシーが盛り込まれた。 Final Omnibus Ruleの全文はこちらをご覧ください。

何度も延期された後、米国では診断コーディングにClinical Modification ICD-10-CM、入院患者処置コーディングにProcedure Coding System ICD-10-PCAを使う期限がついに2015年10月1日と確定された。 HIPAAの対象となるすべての外来は、ICD-10-CMを使用しなければなりません。

HIPAA History Significant Dates

  • August 1996 – HIPAA Enacted by President Bill Clinton.
  • April 2003 – Effective Date of the HIPAA Privacy Rule.
  • April 2005 – Effective Date of the HIPAA Security Rule.もう一つの要件はEDI Version 5010のこれらである。
  • 2006年3月 – HIPAA Breach Enforcement Ruleの発効日。
  • 2009年9月 – HITECHおよびBreach Notification Ruleの発効日。
  • 2013年3月 – Final Omnibus Ruleの発効日。

一部のCEとBAには各規則を順守する期間が与えられています。 例えば、Final Omnibus Rule の発効日が 2013 年 3 月であるにもかかわらず、CE および BA には 180 日の遵守期間が与えられました。

Final Omnibus Rule Impact

以前のどの法律よりも Final Omnibus Rule が成し遂げたことは、HIPAA セーフガードを遵守しなければならないことを、対象事業者にもっと認識してもらうということでした。 20 年近く HIPAA に違反していた多くの医療機関は、携帯デバイスやコンピューター ネットワークでのデータ暗号化の使用、ケア チームとの内部通信に安全なメッセージング ソリューションを使用、Web フィルタの設定、電子メールを安全にアーカイブするための配慮など、規制に準拠するための数多くの措置を実施しました。

HIPAA コンプライアンス監査プログラム

2011年、公民権局は、医療機関が HIPAA プライバシーおよびセキュリティ規則にどの程度準拠しているかを確認するために、一連の試験的なコンプライアンス監査を開始しました。

監査を受けたグループは、HIPAA Breach Notification Rule、Privacy Rule、および Security Rule の多くの違反を記録し、後者は最も多くの違反につながりました。 OCR は、これらの組織がコンプライアンスを達成できるように行動計画を発表しましたが、監査の第 2 段階では、これほど甘くはないと予想されます。

監査では、多くの医療提供者にとって問題となった特定の領域に焦点が当てられると予想され、継続的に HIPAA を遵守できるようにするための永久監査プランが計画中です。 必要なコントロールを適応しない対象事業者は、ePHI を保護しなかったことで、金銭的な罰則、制裁、ライセンスの喪失の可能性、さらには刑事上の有罪判決に直面することになります。

HIPAA に完全に準拠する方法

当社の「HIPAA 準拠チェックリスト」は、電子保護医療情報の保管、送信、および廃棄に関する Health Insurance Portability and Accountability Act の側面、違反に対処するために企業が取るべき措置、完全準拠するために使用すべきポリシーと手順について説明しています。 たとえば、データの暗号化には取り組まなければなりませんが、他の管理で必要な保護が可能であれば、必ずしも実施する必要はありません

コメントを残す

メールアドレスが公開されることはありません。