HIPAAの歴史を振り返ると、HIPAA(Healthcare Insurance Portability and Accountability Act)が法律として制定された1996年8月21日からですが、なぜHIPAA法が制定されたのか。
HIPAA法は転職者の「医療保険の移植性と説明責任を向上」するために策定されました。 また、健康保険や医療提供における無駄、不正、濫用に対処することも目的のひとつでした。 この法律には、税制優遇措置による医療貯蓄口座の利用促進、既往症のある従業員への保障、健康保険管理の簡素化も盛り込まれていた。 この法律の特定の部分は、2009年に経済的および臨床的健康のための医療情報技術法(HITECH)を生み出し、その結果、医療業界のリーダーたちは「過去20~30年間に成立した医療法の中で最も重要なもの」と評する、平均使用奨励プログラムが導入されることになりました。
The HIPAA Privacy and Security Rules Begin to Evolve
HIPAA が法律として制定されると、米国保健社会福祉省は最初の HIPAA プライバシーおよびセキュリティ規則の策定に取り掛かります。 プライバシー規則の実際の遵守日は2003年4月14日で、保護されるべき医療情報(PHI)を「健康状態、医療の提供、または医療費の支払いに関連し、個人に関連付けることができる、対象となる事業者が保有するあらゆる情報」と定義していました。 また、治療が私費でまかなわれている場合、患者が自分のヘルスケアに関する情報を医療保険者に提供しない許可を与えました。
HIPAAセキュリティ規則は、最初の立法から2年後の2005年4月21日に施行されました。 特に電子的に保存されたPHI(ePHI)に言及したこのセキュリティ規則は、HIPAAを遵守するために完全に遵守しなければならない管理的、物理的、技術的な3つのセキュリティ対策を定めている。 セキュリティ対策は以下の目標を掲げていた。
- 管理的 – 企業がどのように法律を遵守するかを明確に示すために設定された方針とプロセスを開発すること。
- Physical – データ保存領域への物理的アクセスを管理し、不適切なアクセスから保護すること
- Technical – オープンネットワーク上で電子的に送信されるPHIを含むコミュニケーションを保護すること
When Did HIPAA Become Enforceable?
HIPAAが法律として制定された年は? HIPAAは1996年8月21日に法律として制定されましたが、この20年の間に大きな改正が行われています。 プライバシー規則、セキュリティ規則、侵害通知規則、オムニバス最終規則が導入されました。 HIPAAプライバシー規則の発効日は2003年4月14日ですが、小規模なヘルスプランは12カ月延長され、2004年4月14日までにHIPAAプライバシー規則の条項を順守することが求められました。 HIPAA Privacy Ruleと同様に、小規模なヘルスプランはHIPAA Security Ruleの規定を遵守するために1年の猶予が与えられ、実際の遵守日は2006年4月21日となった。
HIPAA違反通知規則は2009年9月23日に執行可能となり、Omnibus Final Ruleは2013年3月26日に執行可能となった。
施行規則の制定
HIPAA プライバシーおよびセキュリティ規則を完全に順守しない対象事業者が多かったことから、2006年3月、施行規則が導入されました。 Enforcement Ruleにより、保健福祉省は、Privacy Ruleを遵守しない対象事業者に対する苦情を調査し、Security Ruleで定められたセキュリティ対策に従わなかったために回避できたePHIの侵害に対して対象事業者に罰金を科す権限を与えられた。
HITECH 2009と侵害通知規則
HIPAA の歴史は、2009年に経済的および臨床的健康のための医療情報技術法(HITECH)が導入されたことにより、加速しています。 HITECHは、医療機関に電子健康記録(EHR)の使用を強制することを主目的とし、Meaningful Useインセンティブ・プログラムを制定しました。 この奨励プログラムでは、HIPAA 規則をビジネス・アソシエイトやヘルスケア分野の第三者サプライヤーにも拡大し、500 人以上に影響する ePHI のすべての侵害を保健福祉省市民権局に通知しなければならないとする Breach Notification Rule(侵害通知規則)を導入しました。 その後、2013年3月の最終オムニバス規則で、ePHIの侵害報告の基準が拡大されました。
2013年の最終オムニバス規則
HIPAA史上最後の立法行為は、2013年の最終オムニバス規則でした。 この規則は、実際には新しい法律を導入したわけではなく、既存の HIPAA および HITECH 規則のギャップに対処したものです。たとえば、侵害が発生した場合に ePHI を使用不能、解読不能、読み取り不能にするために適用する必要がある暗号化基準を規定したものです。
多くの定義がグレーゾーンに対処するために変更または拡張されました。例えば、「労働力」の定義が変更され、この用語には従業員、ボランティア、研修生、および対象事業者や業務提携者のために業務を遂行し、対象事業者や業務提携者の直接管理下にあるその他の人物を含むことが明確になっています。
プライバシーおよびセキュリティ規則も変更され、患者の健康情報を無期限に保持できるようになり(以前の法律では50年間保持することになっていた)、違反通知規則には新しい手続きが追加された。 また、HIPAA Enforcement Rule に違反した対象組織には、HITECH の指示により、新たな罰則が適用されました。
また、技術の進歩によりもたらされた仕事のやり方の変化を考慮し、特にモバイル機器の使用に関する修正も盛り込まれました。 現在、多くの医療従事者が自身のモバイル機器を使用してePHIを閲覧・共有しており、Final Omnibus Ruleには、これを考慮し、1996年には予測できなかったシナリオを含む新しい管理手順やポリシーが盛り込まれています。 Final Omnibus Ruleの全文はこちらをご覧ください。
何度も延期された後、米国では診断コーディングにClinical Modification ICD-10-CM、入院患者処置コーディングにProcedure Coding System ICD-10-PCAを用いる期限がついに2015年10月1日と確定された。 HIPAAの対象となるすべての外来は、ICD-10-CMを使用しなければなりません。
HIPAA History Significant Dates
- August 1996 – HIPAA Enacted by President Bill Clinton.
- April 2003 – Effective Date of the HIPAA Privacy Rule.
- April 2005 – Effective Date of the HIPAA Security Rule.また、EDI Version 5010の要件として、HIPAAは、HIPAAセキュリティ・ルールの発効日でもあります。
- March 2006 – HIPAA Breach Enforcement Ruleの発効日。
- September 2009 – HITECHおよびBreach Notification Ruleの発効日。
- March 2013 – Final Omnibus Ruleの発効日。
一部のCEとBAには各規則に準拠するための期間が与えられています。 例えば、Final Omnibus Ruleの発効日が2013年3月であるにもかかわらず、CEとBAには180日間の遵守期間が与えられました。
Final Omnibus Rule Impact
Final Omnibus Ruleが以前のどの法律よりも達成したことは、対象事業者に遵守すべきHIPAAセーフガードをより認識させることでした。 20 年近く HIPAA に違反していた多くの医療機関は、携帯機器やコンピューター ネットワークでのデータ暗号化の使用、ケア チームとの内部通信に安全なメッセージング ソリューションを使用、Web フィルタの設定、電子メールを安全にアーカイブするための配慮など、規制に準拠するためのさまざまな措置を実施しました。
データ侵害に対する金銭的な罰則や、侵害通知の発行、クレジット監視サービスの提供、被害軽減のための膨大なコストにより、データ保護のための新しいテクノロジーへの投資は、比較すると安上がりになっています。
監査されたグループは、HIPAA Breach Notification Rule、Privacy Rule、Security Ruleの多くの違反を記録し、後者が最も多くの違反につながった。 OCRは、これらの組織がコンプライアンスを達成できるように行動計画を発表しましたが、監査の第2段階では、これほど甘くはないと予想されます。
監査では、多くの医療機関にとって問題となった特定の分野に焦点が当てられ、継続的なHIPAAコンプライアンスの確保に向けて、永久的な監査計画が策定されると予想されています。 必要な管理を適応しない対象事業者は、ePHI を保護しなかったことで、金銭的な罰則、制裁、免許の喪失の可能性、さらには刑事上の有罪判決に直面することになります。
HIPAAへの完全準拠を保証する方法
当社の「HIPAA準拠チェックリスト」は、電子保護医療情報の保管、送信、および廃棄に関する医療保険の相互運用性と説明責任法の側面、違反への対処、完全準拠に使用すべきポリシーと手順について説明しています。 たとえば、データの暗号化には取り組まなければなりませんが、他の管理で必要な保護が可能であれば、必ずしも実施する必要はありません
。