HIPAAコンプライアンスを確保するためのヒント

健康保険のポータビリティおよび説明責任法（HIPAA）は、患者の機密情報、文書内で個人を特定できる情報（PII）と呼ばれるものを保護する目的で1996年に制定されました。この重要な法律は、すべての医療機関および医療業界との関係により機密データを扱うビジネス関連者に適用されます。

PIIを送信および管理するために使用される技術が変化するにつれて、HIPAAも変化しました。最近の主要な更新は2013年に行われました。最終包括規則と呼ばれるこの更新には、セキュリティ規則および違反通知規則の両方に対する重要な変更が含まれており、両方ともコンプライアンス計画にビジネス関連者を含めるように文言が変更されました。

最終包括規則の結果、医療提供者はPIIが情報チェーン全体で保護されることを保証する責任を負うようになりました。これは、モバイルアプリ開発者からクラウドホスティングサービスプロバイダーまで、すべての関係者を慎重に審査することを意味します。HIPAAの最新の形でコンプライアンスを確保するための役立つヒントを見つけるために読み進めてください。

1. ビジネス関連者との効果的な関係を築く

すべての医療提供者のベンダー、サービスプロバイダー、およびその他のビジネス関連者はHIPAA規制に準拠する必要があるため、信頼できる企業との効果的な関係を築くことが重要です。まず、電子ファックスソリューションを実装するなど、情報を安全にオンラインで送信する効果的な方法を見つけることから始めます。次に、データストレージプロバイダーやアプリ開発者がコンプライアンスを遵守していることを確認します。

企業がHIPAAの規則および規制に従っていると単に言うだけではなく、各ビジネス関連者のコンプライアンスを示す文書を取得し、企業が重要なトレーニングおよび監査手続きを遵守することを義務付ける必要があります。プライバシー規則は、医療提供者がビジネス関連者から書面で満足のいく保証を取得することを要求しており、これは契約または両者間の他の正式な合意の形で行われます。

2. 包括的なセキュリティポリシーを策定し維持する

すべての医療機関は、PIIがどのようにアクセスされ、保存され、送信されるかを概説する包括的なデータセキュリティポリシーを持つべきです。このポリシーは、内部監査がどのように実施されるか、従業員および第三者ベンダーがHIPAAコンプライアンスに関してどのようなトレーニングを受けるかも示す必要があります。

HIPAAの要件は複雑であるため、多くの医療提供者はデータセキュリティポリシーに何を含めるべきかを判断するのに苦労しています。一般的なルールとして、PIIに関連する情報をすべて含めるべきです。データセキュリティポリシーは必要に応じて更新され、定期的にレビューされるべきです。更新される際には、変更点を従業員やビジネス関連者に明確に伝え、実践しやすくする必要があります。

3. 専任のデータセキュリティ責任者を置く

HIPAAの規則および規制の複雑さを考えると、特定のデータセキュリティのトレーニングを受けていないスタッフメンバーに、会社のデータセキュリティポリシーを策定、実施、コンプライアンスを確保することを期待するのは不合理です。大規模な医療機関は、専任のデータセキュリティ専門家のチームを維持することがよくあります。小規模な企業にはこれが不可能な場合もありますが、セキュリティ規則によって義務付けられているため、指定されたHIPAAセキュリティ責任者を置くことが重要です。

HIPAAセキュリティ責任者またはチームの任務は以下の通りです：

• セキュリティ規則に準拠するための保護措置を確立し、施行すること。
• アクセス制御、災害復旧、事業継続、またはインシデント対応に関する問題に対処すること。
• 社内リスク評価を実施し、ベンダーおよびビジネス関連者の第三者監査を促進すること。
• データ侵害を調査し、将来の軽減策を実施すること。

HIPAAコンプライアンスとITセキュリティを会社の広範なビジネス戦略に統合すること。

4. 定期的なリスク評価を実施する

HIPAAセキュリティ責任者は定期的なリスク評価を実施し、是正措置を実施する責任がありますが、組織の従業員およびビジネス関連者は正確な情報を提供することでSOと協力しなければなりません。定期的なリスク評価を実施し、文書化することで、組織はランダムなHIPAA監査の要求に対してより効果的に準備し、対応することができます。

組織がランダム監査の対象に選ばれた場合、セキュリティチームは包括的な内部監査を実施することで事前に準備する必要があります。市民権局（OCR）は、これを行うために必要なすべてのチェックリストおよびリスク評価ツールを提供しています。多くの組織は、潜在的な問題を特定しやすくするために、四半期ごとに定期的な内部監査を実施しています。

最初に行うべきことは、コンプライアンス関連の文書および従業員トレーニングセッションのレビューですが、会社のHIPAAポリシーが紙の上でどのように見えるかだけを評価してはいけません。セキュリティ責任者は、医療施設のさまざまなエリアでウォークスルーを実施し、コンピュータの画面やデスク上に見える患者情報を探すべきです。

5. 明確なトレーニングプロトコルを確立する

医療提供者のスタッフとそのビジネス関連者は、HIPAA関連のトレーニングセッション中に組織のプライバシーおよびデータ保護ポリシーを確認する必要があります。明確なプロトコルを確立することは常に重要です。

プライバシーおよびセキュリティ規則は、これらのHIPAAトレーニングセッションがどのくらいの頻度で必要であるかについての提案を提供していますが、明確な時間枠は示していません。新しい従業員には「合理的な時間枠内」にトレーニングを提供し、施設がHIPAA関連のポリシーおよび手続きに機能的または重要な変更を加えた場合には、追加のリフレッシャーコースを実施する必要があります。

トレーニングプロトコルは、従業員の役割に基づいて異なるべきです。ITトレーニングセミナーには、デジタルデータを保存または送信する際に効果的な保護措置を実施する方法に関する情報が通常より多く含まれていますが、医療スタッフ向けのセッションは、コンプライアンスを確保するために取るべき個人的な行動により焦点を当てるかもしれません。PIIを対面の脅威から保護することは、患者の保護された情報がデジタル形式で送信される際に十分なデータセキュリティを確保することと同様に重要であることを忘れないでください。

変更を始める

医療機関は、HIPAA監査に直面したり、さらに悪化して非コンプライアンスによる罰金を受けたりするまで、積極的な変更を実施するのを待つべきではありません。専任のHIPAAセキュリティ責任者を雇い、特定のポリシーを策定するために必要なすべてのトレーニングを受け、信頼できるビジネス関連者を選び、データ侵害や内部の脅威に対する保護措置を実施することから始めましょう。そこから、HIPAAコンプライアンスを確保することは、会社のポリシーからデータセキュリティプロトコルまでを最新の状態に保ち、PIIの保存または送信に関するすべてを文書化することが主な課題となります。監査の際に組織を保護するために。