HIPAAに違反している病院、医療計画、または医療専門家のニュースレポートがない日はほとんどありませんが、HIPAA違反とは何ですか?違反が発生するとどうなりますか?
HIPAA違反とは何ですか?
1996年の医療保険の相互運用性と説明責任に関する法律は、医療の管理を簡素化し、無駄をなくし、医療詐欺を防止し、確実にするために導入された画期的な法律です。従業員は仕事の合間に医療保険を維持できます。
HIPAAには、医療データの保護と患者のプライバシーの確保に役立つ、患者と医療計画のメンバーのプライバシー保護を改善するための注目すべき更新があります。保護されています。これらの更新には、HIPAAプライバシールール、HIPAAセキュリティルール、HIPAAオムニバスルール、およびHIPAA違反通知ルールが含まれます。
HIPAA違反は、HIPAA標準およびHIPAA標準および規定のいずれかの側面に準拠していないことです。 45 CFRパート160、162、および164。
米国保健社会福祉省が発行したすべてのHIPAA規制をまとめたテキスト医療福祉サービス局の市民権は115ページに及び、多くの規定が含まれています。 HIPAA規則に違反する可能性のある方法は数百ありますが、最も一般的なHIPAA違反は次のとおりです。
- 保護された医療情報(PHI)の許可されない開示
- PHIへの不正アクセス
- PHIの不適切な廃棄
- リスク分析の実施の失敗
- PHIの機密性、完全性、および可用性に対するリスクの管理の失敗
- PHIの機密性、整合性、および可用性を確保するためのセーフガードの実装の失敗
- PHIアクセスログの維持と監視の失敗
- HIPAA準拠のビジネスアソシエイト契約の締結の失敗PHIへのアクセスを許可する前にベンダーと協力する
- 要求に応じて患者にPHIのコピーを提供できない
- PHIを表示できるユーザーを制限するためのアクセス制御の実装に失敗する
- 不要になったときにPHIへのアクセス権を終了できない
- 特定のタスクの実行に必要な以上のPHIの開示
- Fai HIPAAトレーニングとセキュリティ意識向上トレーニングを提供するように誘惑する
- 患者の記録の盗難
- 情報の受信を許可されていない個人へのPHIの不正なリリース
- PHIのオンライン共有または許可なくソーシャルメディアを介して
- PHIの誤解や誤送
- PHIへのテキスト送信
- PHIの暗号化に失敗するか、不正アクセス/開示を防ぐための代替の同等の手段を使用する
- 違反の発見から60日以内にPHIに関連するセキュリティインシデントを個人(または公民権局)に通知しなかった場合
- コンプライアンスの取り組みを文書化できなかった場合
HIPAA違反はどのように発見されますか?
多くのHIPAA違反は、内部監査を通じてHIPAAの対象となるエンティティによって発見されます。監督者はHIPAA規則に違反した従業員を特定する場合があり、従業員はしばしばHIPAA違反と同僚による違反の可能性を自己報告します。
HHSの市民権局はHIPAA規則の主な執行者であり、医療従事者、患者、および医療計画のメンバーによって報告されたHIPAA違反。 OCRはまた、500を超えるレコードの違反を報告するすべての対象エンティティを調査し、特定の小さな違反について調査を実施します。 OCRは、HIPAAの対象となる事業体やビジネスアソシエイトの定期的な監査も実施します。
州の司法長官も違反を調査する権限を持っており、HIPAA違反の可能性に関する苦情や、患者記録の違反の報告があった場合に調査が行われることがよくあります。
HIPAA規則の違反に対する罰則は何ですか?
HIPAA規則の違反に対する罰則は厳しい場合があります。州の司法長官は、暦年ごとに、違反カテゴリごとに最大25,000ドルの罰金を科すことができます。 OCRは、違反カテゴリごとに年間最大150万ドルの罰金を科すことができます。数百万ドルの罰金が科せられる可能性があります。
対象事業体の医療提供者、医療計画、および業務提携者には罰金が科せられますが、HIPAA規則に違反した個人には罰金が科せられる可能性もあります。刑事罰が適切な場合があります。 HIPAAに違反した場合の懲役期間があり、違反によっては最大10年の懲役が科せられる可能性があります。
HIPAA違反に対する罰則の詳細についてはこのページをご覧ください。
最近のHIPAA違反のペナルティとHIPAAペナルティの構造については、以下のインフォグラフィックで詳しく説明しています。
HIPAA違反のペナルティ
よくある質問
組織がHIPAAに違反しているかどうかをどのように判断できますか?
HIPAAは、対象となる事業体とビジネスアソシエイトが定期的にリスク分析を実施することを義務付けています。リスク分析では、組織がHIPAAに違反していることを示すコンプライアンス違反の領域を特定する必要があります。リスク分析の実施と文書化の失敗は、リスク分析によって特定された問題への対処の失敗と同様に、HIPAA自体の違反です。
リスク評価とリスク分析の違いは何ですか?
ほとんどの事業体は、リスク評価を潜在的な脅威の調査と見なし、リスク分析はそれらの脅威が発生する可能性の計算であると見なしますが、HIPAAには明確性がありません。たとえば、セキュリティルール管理セーフガード(45CFR§164.308(a))のリスク分析セクションでは、対象となる事業体またはビジネスアソシエイトは次のことを行う必要があります。「機密性、整合性、および対象となる事業体またはビジネスアソシエイトが保持する電子的に保護された健康情報の可用性。」、
潜在的なリスクと脆弱性が特定された場合、次に何が起こりますか?
45CFR§164.308( a)対象となる事業体および業務提携者は、リスクと脆弱性を合理的かつ適切なレベルに低減するのに十分なセキュリティ対策を実施する必要があります。「合理的かつ適切なレベル」を構成するものを決定するために、組織は考慮に入れる必要があります(45 CFRによる) §164.306(b)):
- 組織の規模、複雑さ、および機能
- 組織の技術インフラストラクチャ、ハードウェア、およびソフトウェアのセキュリティ機能es
- 合理的かつ適切なセキュリティ対策のコスト
- ePHIの整合性に対する潜在的なリスクの可能性と重要性」
「潜在的なリスクの重大度」とはどういう意味ですか?
潜在的なリスクの重大度という用語は、HIPAA違反によって引き起こされる可能性のある傷害の規模を指します。たとえば、数千人の患者の支払いの詳細と社会保障番号を含むクラウドストレージボリュームは、パブリックインターネットに公開されたままになり、患者Bの耳元で患者Aの治療オプションについて話し合う2人の看護師よりも多くの負傷を引き起こす可能性があります。