プライバシールールは誰に適用され、誰に適用されますか影響しますか?
キーポイント:
- プライバシールールは、対象となるエンティティにのみ適用されます。個人を特定できる健康情報を使用、収集、アクセス、開示する多くの組織は対象とならないため、プライバシー規則を遵守する必要はありません。
- プライバシー規則は研究には適用されません。これは、研究者がそうである場合とそうでない場合がある対象エンティティに適用されます。この規則は、情報へのアクセスに影響を与える可能性があるため、研究者に影響を与える可能性がありますが、研究者や研究自体を規制するものではありません。
- 対象エンティティによって作成または維持されているPHIに研究目的でアクセスするには、研究者対象となる事業体がプライバシー規則の要件、条件、および制限を満たすために信頼できる補足文書を提供する必要がある場合があります。
プライバシー規則は対象となる事業体にのみ適用されます。個人を特定できる健康情報を収集するすべての個人または機関に適用されるわけではありません。ただし、たとえば、対象エンティティに依存してPHIを提供する場合、ルールによって直接規制されていない他のタイプのエンティティに影響を与える可能性があります。研究者は、規則が事業を行うさまざまなタイプの組織でどのように影響を与える可能性があるか、およびコンプライアンス日以降に研究を継続したり、新しい研究活動を開始したりするために何をしなければならないかを認識することが重要です。プライバシールール。
対象エンティティ
対象エンティティは、HIPAAルールで、(1)医療計画、(2)医療クリアリングハウス、および(3)医療提供者として定義されています。 HHSが基準を採用している取引に関連して、健康情報を電子的に送信します。一般に、これらのトランザクションは、サービスまたは保険の請求と支払いに関係します。たとえば、請求トランザクション情報を直接または仲介者を介して医療プランに電子的に送信する病院、学術医療センター、医師、およびその他の医療提供者は、対象となるエンティティです。対象となるエンティティは、機関、組織、または個人です。
HHSが標準を採用しているトランザクションに関連して健康情報を電子的に送信する医療提供者でもある場合、研究者は対象となるエンティティです。たとえば、臨床研究を実施したり、研究の過程で参加者に実験的治療を施したりする医師は、対象となる事業体のHIPAA定義を満たしている場合、プライバシールールに準拠する必要があります。
医療計画–特定の例外を除く、医療費を提供または支払う個人またはグループの計画(PHS法のセクション2791(a)(2)、42 USC 300gg-91(a)(2)で定義)。法律には、具体的には、健康計画として多くの種類の組織と政府プログラムが含まれています。
Health Care Clearinghouse –請求サービス、価格改定会社、地域医療管理情報システムまたは地域医療情報システムを含む公的または私的団体、および「付加価値」 」別のエンティティから非標準形式で受信した、または非標準のデータコンテンツを標準データ要素または標準トランザクションに含む健康情報の処理または処理を容易にするネットワークとスイッチ、または別のエンティティから標準トランザクションを受信して処理を処理または促進するネットワークおよびスイッチ健康情報を受信エンティティの非標準形式または非標準データコンテンツに変換します。
ヘルスケアプロバイダー–サービスのプロバイダー(法のセクション1861(u)、42 USC 1395x(u)で定義)、医療または医療サービス(法のセクション1861(s)、42 USC 1395x(s)で定義)、およびその他の個人または組織
ヘルスケア–個人の健康に関連するケア、サービス、または消耗品。これには、(1)予防、診断、治療、リハビリテーション、身体の構造または機能に影響を与える個人の身体的または精神的状態、または機能的状態に関する維持、または緩和ケア、およびカウンセリング、サービス、評価、または手順。 (2)処方箋に従った医薬品、デバイス、機器、またはその他のアイテムの販売または調剤。ハイブリッドエンティティ
プライバシールールに基づき、対象となる事業体の定義は、規模や複雑さに関係なく、通常、その全体がプライバシー規則の対象となります。ただし、プライバシールールは、ハイブリッドエンティティの指定規定を通じて、対象となる多くのエンティティがルールのグローバルな適用を回避できる手段を提供します。この指定により、エンティティのどの部分がプライバシールールに準拠する必要があるかが決まります。
事業運営の一環として対象機能と対象外機能の両方を実行する場合、単一の法人はハイブリッド事業体になることを選択できます。対象となる機能とは、実行者を健康計画、医療提供者、または医療情報センターにする機能のことです。ハイブリッドエンティティになるには、対象エンティティは組織内のヘルスケアコンポーネントを指定する必要があります。ヘルスケアコンポーネントには、そのコンポーネントが別個の法人である場合、対象エンティティの定義を満たすコンポーネントを含める必要があります。ヘルスケアコンポーネントには、対象となる機能を実行するコンポーネント(つまり、対象外のヘルスケアプロバイダー)、またはコンポーネントが法的に分離されている場合にそのコンポーネントをエンティティのビジネスアソシエートにするアクティビティを実行するコンポーネントも含まれる場合があります。ハイブリッドエンティティ内では、プライバシールールの要件のほとんどはヘルスケアコンポーネントにのみ適用されますが、対象となるエンティティは特定の監視、コンプライアンス、および施行の義務を保持します。
たとえば、大学HHSが標準を採用している電子取引を行う学術医療センターの病院を含む単一の法人である可能性があります。病院は法人の一部であるため、病院を含む大学全体が対象となります。ただし、大学はハイブリッドエンティティになることを選択できます。そのためには、病院をヘルスケアコンポーネントとして指定する必要があります。大学には、対象となる機能またはビジネスアソシエイトのような機能を実行する他のコンポーネントを指定に含めるオプションもあります。その場合、プライバシールールの要件のほとんどは、大学の病院部分とその他の指定されたコンポーネントにのみ適用されます。プライバシールールは、これらのコンポーネントによって、またはこれらのコンポーネントに代わって作成、受信、または維持されるPHIのみを管理します。病院による大学の他の部分へのPHIの開示は、大学外のエンティティへの開示と同じ方法でプライバシールールによって規制されています。
医療提供者として機能し、行動するハイブリッドエンティティの研究コンポーネント特定の標準的な電子取引は、ハイブリッドエンティティのヘルスケアコンポーネントに含まれ、プライバシールールの対象となる必要があります。ただし、ヘルスケアプロバイダーとして機能するが、これらの電子トランザクションを実行しないリサーチコンポーネントは、ハイブリッドエンティティのヘルスケアコンポーネントに含めることができますが、含める必要はありません。たとえば、上記の例の大学に、医療提供者として機能するが特定の電子取引を行っていない研究所もある場合、ハイブリッドエンティティとしての大学には、研究所を健康から含めるか除外するかを選択できます。ケアコンポーネント。そのような研究所がハイブリッドエンティティのヘルスケアコンポーネントに含まれている場合、研究所の従業員または従業員はプライバシールールに準拠する必要があります。ただし、研究所がハイブリッドエンティティのヘルスケアコンポーネントから除外されている場合、研究所の従業員または従業員は事実上プライバシールールの対象になりません。
ただし、ハイブリッドエンティティに含めることは許可されていません。ヘルスケアコンポーネントにおいて、ヘルスケアプロバイダーとして機能しない、またはビジネスアソシエイトのような機能を実行しない研究コンポーネント。たとえば、純粋に記録調査を実施する調査コンポーネントは、対象またはビジネスアソシエイトのような機能を実行していないため、ハイブリッドエンティティのヘルスケアコンポーネントに含めることはできません。
ハイブリッドエンティティ–単一の法人つまり、対象となるエンティティであり、対象となる機能と対象とならない機能の両方を含むビジネスアクティビティを実行し、プライバシールールで規定されているようにヘルスケアコンポーネントを指定します。対象となるエンティティがハイブリッドエンティティである場合、プライバシールールは通常、指定されたヘルスケアコンポーネントにのみ適用されます。ただし、ハイブリッドエンティティの非ヘルスケアコンポーネントは、ヘルスケアコンポーネントが非ヘルスケアコンポーネントとPHIを共有する方法が制限されているため、影響を受ける可能性があります。対象となる事業体は、特定の監視、コンプライアンス、および執行の責任も保持します。
ビジネスアソシエイト
プライバシールールは、個人または事業体によって作成または維持される個人を特定できる健康情報も保護します。対象となる事業体、つまりビジネスアソシエイトに代わって特定の機能を実行する。ビジネスアソシエイトとは、従業員ではなく、対象となる事業体のために、または対象事業体に代わって、プライバシー規則を含むHIPAA管理簡素化規則によって規制される機能または活動を実行または支援する個人または団体です。個人を特定できる健康情報の使用または開示を含む、または個人を特定できる健康情報の使用または開示を含む特定のサービスを対象事業体に提供すること。HIPAA管理簡素化規則は研究活動を直接規制しないため、プライバシー規則では、研究者または研究スポンサーが研究目的で対象事業体のビジネスアソシエイトになる必要はありません。ただし、対象となる事業体は、PHIの匿名化を支援したり、限られたデータセットを準備したり、データ集約を実行したりするために、ビジネスアソシエイトと契約する場合があります。プライバシー規則では、対象となる事業体は、書面による契約、または両当事者が政府機関である場合は規則で許可されている別の取り決めを、その取引先と締結する必要があります。ルールのビジネスアソシエイト条項は、セクション164.502(e)および164.504(e)に記載されています。一般に、対象となる事業体は、プライバシー規則で許可され、ビジネスアソシエイトとの書面による合意で指定されている目的で、そのビジネスアソシエイトにPHIを開示し、ビジネスアソシエイトがその代わりにPHIを使用、作成、または受信できるようにすることができます。対象事業体がPHIをビジネスアソシエイトに開示する前に、対象事業体は、ビジネスアソシエイトが情報を適切に保護するという十分な保証を、通常は契約の形で取得する必要があります。いくつかの限定的な例外を除いて、契約では、対象となる事業体が直接行った場合にプライバシールールに違反する方法でPHIを使用またはさらに開示することをビジネスアソシエイトに許可しない場合があります。
ビジネスアソシエイト–個人または、対象となる事業体に代わって、データ分析、請求の処理または管理、使用率のレビュー、品質保証のレビューなど、個人を特定できる健康情報の使用または開示を含む機能または活動の実行または実行を支援する事業体。または、プライバシー規則を含む、HIPAA管理簡素化規則によって規制されるその他の機能または活動。ビジネスアソシエイトは、対象事業体に対して、または対象事業体に対して法務、保険数理、会計、コンサルティング、データ集約、管理、管理、認定、または金融サービスを実行する個人または事業体でもあり、これらのサービスの実行には、対象事業体による個人を特定できる健康情報の開示が含まれます。対象事業体のその個人または事業体に対する別のビジネスアソシエイト。対象となる事業体の従業員のメンバーは、そのビジネスアソシエイトの1人ではありません。対象となる事業体は、別の対象となる事業体のビジネスアソシエイトである可能性があります。
プライバシールールに基づくステータスの決定
個々の研究者がプライバシールールに準拠する必要があるかどうかの決定は事実です。 -敏感で個別の決定。この質問への答えは、研究者が関係を持っているエンティティがどのように編成されているかによって異なります。プライバシー規則に基づく研究者のステータスに関する質問は、その組織内の適切な代表者に照会する必要があります。連邦政府もこの小冊子も、この決定を下すものではなく、またそのように解釈されるべきでもありません。 HHSは、プライバシールールの対象となるのがヘルスプラン、ヘルスケアクリアリングハウス、または対象となるヘルスケアプロバイダーのいずれであるかをエンティティが判断するのに役立つ一連のツールを開発しました。これらのツールは、次のリンクから入手できます:http://www.cms.hhs.gov/hipaa/hipaa2/support/tools/decisionsupport/default.asp。