HIPAAプライバシーおよびセキュリティ規則に従う必要があるのは誰ですか？

これらの規則は、対象事業体（ほとんどの医療提供者、医療保険プラン、医療情報交換機関）および、それらの事業体に代わって保護された健康情報を作成、受領、維持、または送信するビジネスアソシエイトを拘束します。健康関連データを扱うすべての組織を直接カバーするわけではありません。

最小必要基準とは何ですか？

これはプライバシー規則の原則であり、ほとんどの使用および開示において、対象事業体は、意図された目的を達成するために必要な最小限の保護された健康情報に限定する合理的な努力をしなければならず、デフォルトで記録全体を共有するべきではないと定めています。

HIPAAプライバシーおよびセキュリティ規則

HIPAAプライバシーおよびセキュリティ規則は、識別可能な健康情報の使用、開示、および保護を規定する、米国の主要な連邦基準です。1996年の医療保険の携行性と説明責任に関する法律（Health Insurance Portability and Accountability Act of 1996）に基づいて発行されたプライバシー規則は、保護された健康情報がどのように使用および開示されるかに関する全国的な基準を定め、個人に自身の情報に対する権利を付与します。一方、セキュリティ規則は、その情報が電子的に保持または送信される場合の保護に関する基準を定めます。

PaperMindでテーマを探す近日公開Find papers & topics

Tools & resources

スライドをダウンロード

Learn & explore

動画近日公開

Definition

HIPAAプライバシー規則は、対象事業体およびそのビジネスアソシエイトによって保持または送信される個人識別可能な健康情報の保護に関する全国的な基準を確立し、許可される使用と開示、および個人の権利を定義します。HIPAAセキュリティ規則は、電子保護健康情報を保護するための管理上、物理上、および技術上の保護措置に関する基準を確立します。

Scope

この項目では、保護された健康情報の定義、規則が拘束する対象事業体およびビジネスアソシエイトのカテゴリー、許可される使用と開示および最小必要原則、個人によるアクセスおよび修正の権利、ならびに電子情報に要求される管理上、物理上、および技術上の保護措置という、これら2つの規則の構造と中核概念を説明します。これは、参照および教育のための規制枠組みとして規則を扱い、特定の組織または状況に対するコンプライアンスの判断を提供するものではありません。

Core questions

これらの規則はどの組織と情報に適用されますか？
個人の許可なしに許可される保護された健康情報の使用と開示は何ですか？
個人は自身の健康情報に対してどのような権利を持っていますか？
電子保護健康情報を保護するためにどのような保護措置が必要ですか？
執行と侵害関連の義務はどのように規則を強化しますか？

Key concepts

保護された健康情報（PHI）
対象事業体およびビジネスアソシエイト
許可される使用と開示
最小必要基準
アクセスおよび修正に関する個人の権利
管理上、物理上、および技術上の保護措置
必須対対処可能なセキュリティ規則の仕様
プライバシー慣行通知

Mechanisms

プライバシー規則は、保護された健康情報を定義し、その使用または開示がいつ許可されるかを特定することによって機能します。一部の使用（治療、支払い、医療業務など）は許可なく許可されますが、他の多くの使用には個人の書面による許可が必要であり、開示は最小必要原則によって制限されます。また、自身の記録へのアクセスや修正を要求する能力を含む個人の権利も付与します。セキュリティ規則は、電子保護健康情報を扱う対象事業体およびビジネスアソシエイトに対し、リスク分析を実施し、3つの領域（管理上（ポリシー、従業員トレーニング、アクセス管理）、物理上（施設およびデバイスの制御）、技術上（アクセス制御、監査制御、完全性、および送信セキュリティ））にわたる保護措置を実装することを要求することで、これを補完します。一部の実装仕様は必須であり、その他は対処可能であり、組織の規模とリスクに合わせて柔軟性が許容されます。公民権局（Office for Civil Rights）は両規則を執行します（HHS OCR, 2013; Nass et al., 2009）。

Clinical relevance

これらの規則は、医療現場における日常的な情報処理のあり方を形成します。例えば、治療のために記録がどのように共有されるか、患者が何にアクセスできるか、臨床スタッフがどのようなトレーニングと管理下で業務を行うかなどです。評論家は、プライバシー規則が適切に適用されれば、適切な健康情報交換を妨げるのではなく、むしろ支援すると主張しています（McDonald, 2009）。この項目は、規制枠組みの参照記述であり、特定の事業体に対する法的助言やコンプライアンスの判断ではありません。

Evidence & guidelines

権威ある情報源は、規制条文そのもの（45 CFR Parts 160 and 164）と、それを解釈する公民権局のガイダンス（HHS OCR, 2013）です。米国医学研究所（Institute of Medicine）は、プライバシー規則が健康研究にどのように影響するかを調査し、プライバシーと研究の有用性のバランスをより良くするための改革を提言しました（Nass et al., 2009）。規則とそのガイダンスは定期的に修正されるため、特定の要件については現在の公式HHS情報源を参照する必要があります。

History

HIPAAは、主に保険の携行性と管理の簡素化に対処するために1996年に制定されました。そのプライバシーおよびセキュリティ規定は、2000年代初頭に規則として発行され、プライバシー規則は2003年に、セキュリティ規則は2005年にそれぞれ発効しました。2009年のHITECH法は、義務をビジネスアソシエイトに直接拡大し、執行を強化し、侵害通知要件を追加しました。2013年のオムニバス規則はこれらの変更を統合しました。この枠組みは、米国の健康情報実践の多くが評価される際の基準であり続けています（Nass et al., 2009）。

Debates

プライバシー規則は、健康データの保護と使用のバランスを適切に取っていますか？: 一部の意見では、この規則は医療連携と研究を不必要に妨げると主張されていますが、他の意見では、適切な健康情報交換と両立すると擁護されています。米国医学研究所は、特に研究の文脈において、的を絞った改革を提言しました。

Seminal works

nass-2009
mcdonald-2009

Frequently asked questions

HIPAAプライバシーおよびセキュリティ規則に従う必要があるのは誰ですか？: これらの規則は、対象事業体（ほとんどの医療提供者、医療保険プラン、医療情報交換機関）および、それらの事業体に代わって保護された健康情報を作成、受領、維持、または送信するビジネスアソシエイトを拘束します。健康関連データを扱うすべての組織を直接カバーするわけではありません。
最小必要基準とは何ですか？: これはプライバシー規則の原則であり、ほとんどの使用および開示において、対象事業体は、意図された目的を達成するために必要な最小限の保護された健康情報に限定する合理的な努力をしなければならず、デフォルトで記録全体を共有するべきではないと定めています。