ほとんどの医療機関にとって、患者のプライバシー保護は、HIPAAの最も重要な側面であり、最も難しい側面でもあります。 HIPAA では、保護されたデータを指すのに、Protected Health Information (PHI) という用語を使っていますが、この概念は、他のコンプライアンス体制で使われている Personally Identifiable Information (PII) という用語と非常によく似ています。 PII と PHI がどのように重なるかを理解することは、組織が複数の制度にまたがるコンプライアンスの取り組みを統一し、データを安全に保つためのリスク、コスト、複雑さを軽減するのに役立ちます。
PHI vs. PII:
その名のとおり、個人識別情報とは個人を識別できるあらゆるデータのことです。 フルネーム、生年月日、住所、生体認証データなどの特定の情報は、常に PII と見なされます。 その他のデータ、たとえば、姓、名、あるいは身長や体重は、特定の状況、または他の情報と組み合わされた場合にのみ、PII としてカウントされます。
たとえば、「ニューヨークのスミス氏」を参照する記録は、被験者の身元を明らかにするのに十分な情報を含んでいるとは考えにくいでしょう。 しかし、患者があまり一般的でない名前を持っていて、小さな都市に住んでいる場合は、対象者が誰であるかを容易に推測できるため、おそらくPIIとしてカウントされます。
個人識別情報を明示的に扱っていませんが、HIPAAは保護医療情報という用語でこのような状況を規制しています。 PHI には、医療関連で使用されるもので、患者を特定できるものが含まれます。
- 氏名
- 住所
- 誕生日
- クレジットカード番号
- 運転免許証
- 医療記録
- 識別可能性。 PII の量: 情報漏えいにより何人の個人情報が漏えいする可能性があるか。 データの整理の仕方も要因の一つです。 例えば、クリニックが個別のデータベースを維持するよりも、提携クリニックとデータベースを共有する方が、より多くのPIIを危険にさらす可能性が高くなります
- Data Field Sensitivity。 データフィールドの機密性: データが侵害された場合、どの程度の損害を引き起こす可能性があるか。 例えば、電話番号はクレジットカードや社会保障番号よりも機密性が低い。 しかし、電話番号の侵害により、名前、SSN、その他の個人データも危険にさらされる可能性が高い場合、その電話番号は機密であると見なされます。
- 使用のコンテキスト。 情報の使用方法は、その影響に影響を与えるか。 例えば、病院が患者、医師、組織、その他のコミュニティメンバーに対して、オプトインのニュースレターを発行していたとします。 ニュースレターの購読者リストには一部の患者の個人情報が含まれますが、その情報は必ずしも患者の状態を示すものではないため、患者の医療記録における同じ個人情報よりも機密性は低くなります
- 機密を保護する義務。 HIPAA、HITECH、PCI、およびその他の制度では、どのような情報を保護する必要があるのでしょうか。 これは、医療機関にとって明らかに重要な検討事項です。
- 個人情報へのアクセスと場所:HIPAAが管理する個人を特定できる情報は、多くの場合、第三者のITサービスによって保管、輸送、処理され、組織の従業員ではない医療従事者が社外でアクセスし、さまざまな業務提携先によって処理されています。 たとえば、PII が金庫に閉じ込められ、1 人の医師しかアクセスできない場合などには存在しないリスクが生じます。
- PHI の適切な使用
- 違反を保護するセーフガード
- 違反および違反を修復する手順
- 違反通知手順
- 組織による患者の情報の使用と開示方法
- 患者の権利
- 組織の情報保護義務、およびその他の法的義務
- 患者が詳細について連絡すべき相手
PHI には米国のほとんどの他の産業にはない厳しい機密保持および開示要件が適用されています。
Developing a Unified Compliance Approach
米国は、単一のプライバシーおよびデータ保護基準または政府機関を持たないという点で異例です。 その代わり、米国企業は、市、州、および国際的なコンプライアンス規制とともに、業界固有の法律に直面しています。
これにより、多くの業界が消費者データをより広範囲に使用することができますが、同時に深刻なコンプライアンス リスクも発生します。 たとえば、カリフォルニア州は他の州よりも PII に関する法律が厳しいため、ネバダ州のユーザーが Web サイトを訪問した際に合法的に追跡している企業でも、カリフォルニア州のユーザーが閲覧した場合にはコンプライアンスに違反する可能性があります。
PHI 要件は厳しいものの、HIPAA コンプライアンス チェックリストが PCI、EU データ保護法、その他の規制を必ずしも網羅しているとは限りません。 各体制に対して個別のプログラムを開発するのではなく、組織は PII セキュリティのベスト プラクティスを全体的に実装し、残りの体制固有のルールを満たすように反復する必要があります。
Auditing PII: Developmenting Compliance-Ready Security
優れたセキュリティとは、医療データベース、メール、バックアップ、パートナーの IT 環境など組織全体の PII を識別するところから始まります。 次に、PII は、侵害が引き起こす可能性のある損害の大きさ (機密保持の影響レベル) によって分類する必要があります。 NISTは、以下の要素を考慮することを推奨しています。
PII セキュリティのベスト プラクティスの実施
保存するデータはすべて潜在的に脆弱性があります。 より少ないデータを収集し、記録から不要な PII を削除することが、その脆弱性を低減する最も簡単な方法です。 また、可能な限りデータを非特定化する必要があります。 適切に行えば、患者のフィードバックを匿名化したり、PII を削除またはトークン化したりすることで、そのデータを HIPAA の範囲から完全に除外できます。
アクセス制御も貴重な PII セキュリティのベスト プラクティスです。 機密性の高い情報には、業務上必要な人だけがアクセスできるようにする必要があります。 たとえば、請求書を扱わないフロントデスクのスタッフは、完全な医療記録にアクセスする必要はありません。
どのようなコンプライアンス体制においても、すべての機密情報はデフォルトで暗号化されるべきです。 HIPAA に準拠した電子メールと暗号化されたクラウド ストレージにより、ハッカーが傍受しても個人情報を解読することはできません。
明確なポリシーと定期的なトレーニングにより、従業員は安全な電子メールとストレージを使用できますが、患者に電子メールの暗号化を使用させることはより困難なことです。 多くの人は、医療ポータルの不便さを嫌がり、採用率が非常に低くなっています。 Virtru Pro を使用すると、患者は自分の電子メール アカウントを使用し、ワンクリックでメッセージと添付ファイルを暗号化できるため、有意義な使用を妨げる不便さを解消できます。
Beyond Personally Identifiably Information – HIPAA Business Associates
HIPAA は、パートナー組織に対する要件において PII セキュリティ ベスト プラクティスにとどまらない。 HIPAA プライバシー規則の下では、医療提供者は、業務提携者によって引き起こされた違反に対してかなりの法的責任を負います。
クラウド サービス、請負業者、医療請求処理業者、その他 PHI を使用、保存、処理するほとんどの組織はすべて業務提携者としてカウントされます。 これらの組織のそれぞれと業務提携契約 (BAA) を締結し、以下を記述する必要があります:
あなたの組織は業務提携を慎重に評価し、実際に契約の履行に当たる能力があるか確認すべきです。 組織は、BAA に署名する前に、データ セキュリティ ポリシーと慣行を明確に文書化し、定期的な監査を自主的に受けて、コンプライアンスを確保すべきです。
Beyond Personally Identifiably Information – HIPAA Notices and Notifications
HIPAA には、健康情報の使用および開示方法に関する厳しい要件があり、プライバシー慣行の通知を患者に提供しなければならない。 プライバシーに関する通知には、以下を含むさまざまな情報を含める必要があります。
HIPAA には違反通知に関する特定の規則も定められています。 HIPAA コンプライアンスのベストプラクティスに基づき、組織はデータが侵害された人に、侵害から 60 日以内に通知する必要があります。 パートナーが暗号化を使用していることを確認することは、非常に重要です。 暗号化されたデータは、キーが公開されていない限り、情報漏えいの通知の対象外となります。 多くの場合、これは危機一髪と費用のかかる違反通知の違いになります。
PII セキュリティのベストプラクティスに従うことは、組織が慎重になることに役立ちます。 HIPAA は、難解で恣意的な規則の集合ではなく、患者のために高水準のケアと機密性を確保するための有用な枠組みなのです。 PIIのベストプラクティスのアプローチは、組織全体で使用できる単一のルールセットに変えることで、コンプライアンスを簡素化します。 これにより、患者の安全を守り、機密情報が隙間から漏れないようにすることが容易になります。
Virtru がクラウドで HIPAA コンプライアンスをどのように保護しているかをご覧ください。