'
Articles

HIPAA Basics; HIPAA Made Easy

author
0 minutes, 27 seconds Read

HIPAA の概要または HIPAA 101 ガイドをお探しですか?ここから始めてください。

HIPAA の基本を理解するとなると、大変な作業に思えるかもしれません。 規則を読むことは、複雑な法律用語を整理することであり、伝聞に頼ると、明確な説明よりも誤解が多くなることがあります。 このガイドでは、HIPAA のコンプライアンスを理解するために、法律を自信を持って理解するために必要なすべてを、読みやすいガイドで提供します。

HIPAAとは

The Health Insurance Portability and Accountability Act of 1996 (HIPAA) は、医療機関が保護対象医療情報 (PHI) のプライバシーとセキュリティを保護するために導入すべき一連の国家標準です。 PHIとは、患者を特定できる人口統計学上の個人を特定できる情報のことである。 PHIの一般的な例としては、名前、住所、電子メール、電話番号、顔写真、

始める前に、HIPAAの基本に関連するいくつかの重要な定義を見てみましょう。 CEはPHIの直接作成に関与しており、HIPAA規制の全範囲に準拠しなければならない。

  • ビジネスアソシエイト(BA)。 CE(または他のBA)に雇われた組織で、依頼された仕事の過程で必然的にPHIに出会うことになるもの。 BAの一般的な例としては、ITプロバイダ、プラクティスマネジメント会社、物理的ストレージプロバイダ、クラウドストレージプロバイダ、電子メール暗号化、データバックアップ、その他多数が含まれる。 BA は HIPAA Privacy Rule 全体を遵守する必要はありませんが、適用されるその他の規制基準を遵守する必要があります。

    • HIPAA は 1996 年に初めて制定されて以来、多くの変更、改訂、および追加を経てきました。 これらを総称して、HIPAA規則と呼ぶようになりました。 HIPAA規則には、

    • HIPAAプライバシー規則が含まれる。 Privacy Ruleは、PHIのプライバシー、完全性、および可用性に関する国家規格を定めたものである。 この規則は、PHIのプライバシーを確実に守るために実施されなければならない保護措置の概要を示している。 この規則はまた、CEが備えていなければならない使用、開示、および承認に加えて、患者の医療記録へのアクセス権についてのガイドラインを定めている。 HIPAAセキュリティ規則:セキュリティ規則は、CEとBAが実施しなければならない一連の技術的、物理的、および管理的セーフガードを通じてPHIのセキュリティを維持するための国家基準を定めている。 HIPAA Breach Notification Rule(侵害通知規則):侵害通知規則は、データ侵害が発生した場合にHIPAA保有エンティティが従わなければならないプロセスを概説している。 ある違反によって影響を受ける個人の数に応じて、規則が要求するスケジュールおよび通知基準は異なります。 オムニバス規則は、HIPAA規制にいくつかの大きな変更を加え、特にBAの役割に関して変更されました。 2013年にこの規則が初めて発効して以来、BAはHIPAAに準拠するよう規制上の義務を負っています。

    HIPAA 準拠の基礎がわかったところで、次は、あなたの会社が効果的に法律を遵守するために必要なことを見ていきましょう。

    HIPAA を遵守する方法

    HIPAA 監査

    効果的な遵守プログラムの最初のステップは、一連の監査を実行することです。 これらの監査により、HIPAA 法に対するあなたの診療所の立ち位置の基準値が得られます。

    実施しなければならない監査の事前定義リストはありませんが、これらの監査は、HIPAA 標準へのコンプライアンスを測定するために、あなたのビジネスのすべての要素にわたって実行されるべきです。 各HIPAA規則は、多くのHIPAA標準から構成されており、それぞれが独自の実装仕様を持っている。 効果的に監査を行うには、これらのHIPAA標準を監査の基準として使用する必要があります。

    Remediation Plans

    監査を完了し、現在の HIPAA コンプライアンスのギャップを把握したら、そのギャップの修正に着手することが可能です。 これらは、1つの中央レポジトリに完全に文書化され、是正プロセスに関与する当事者によって役割ベースのアクセスが制限される必要があります。

    組織が各ギャップを閉じるとき、すべてのギャップが閉じられるまで、そのプロセスを文書化しなければなりません。

    方針、手順、従業員トレーニング

    方針と手順は、効果的なHIPAAコンプライアンスプログラムの基礎となるものです。 PHI の取り扱いやその他すべての HIPAA 義務化された実装仕様について、組織のあらゆる部分で統一されたプロセスを作成することを目的としています。

    各ポリシーと手順が対処しなければならない基準は、すべての HIPAA 保有企業にとって同じであるとしても、ポリシーと手順の実際の言語は、組織のニーズに応じて調整する必要があります。 そのため、ポリシー・バインダーのようなソリューションを見つけることは、HIPAA遵守のための効果的なソリューションとはみなされないのです。

    HIPAA のポリシーと手順を実装したら、その内容について全従業員がトレーニングを受けたことを確認する必要があります。 そして、このトレーニングが行われたことを適切に記録するために、組織は、すべての従業員に、各ポリシーの内容を読み、理解したという証明書に署名してもらう必要があります。 これらの証明書は、従業員がポリシーのいずれかに抵触してHIPAA違反を引き起こした場合に、組織を責任から保護するために設置されるべきである。

    従業員トレーニングは、毎年実施されなければならない。

    BA/Vendor Management

    HIPAA 遵守のもう一つの重要な要素は、ベンダーがアクセスするPHIをどのように保護するかを理解することである。 前述のとおり、BA とは、何らかの形で PHI に接触することが避けられない業務で雇用するベンダーのことです。

    HIPAA では、いかなる PHI も共有する前に、組織がこのベンダーと業務提携契約 (BAA) を締結しなければならないことを規定しています。 これは、あるBAと別のBA(BAのBAは、HIPAAでは「下請け業者」と呼ばれる)の関係に加え、CEとBAの関係にも適用される。

    BAA は、いかなるPHIも共有できる前に必ず締結しなければならない。

  • 組織1のBAは、HIPAAに従うことを認識している。
  • データ侵害の場合の責任は、侵害に責任を負う当事者に属する。

    • Similar Posts

    コメントを残す

    メールアドレスが公開されることはありません。