HIPAAとOneTrust
Yamamoto
はじめに
個人の健康・医療データの取扱いについては、EU GDPRや米国のHealth Insurance Portability and Accountability Act(以下、「HIPAA」)など世界各国の法規制において通常の個人データよりも厳しい規定が設けられています。
米国の連邦法であるHIPAAおよびHealth Information Technology for Economic and Clinical Health Act(以下、「HITEC Act」)は、患者の同意や知識なしに機密性の高い患者の健康・医療情報が開示されないように保護するための国家基準の作成を義務付けています。
同法では、健康・医療データを扱う企業に対し、セキュリティ対策とプライバシー保護に特化した部分が規定されています。この規定では、保護の対象となる保健情報(Protected Health Information 。以下、「PHI」)として、適用対象の事業者によって作成または収集された健康状態、医療の提供、または医療に対する支払いに関するあらゆる情報が含まれています。
今回のブログでは、HIPAAの概要とその法令遵守を支援するOneTrustのソリューションについて紹介します。
HIPAAとHITECH Act
ここでは、まず初めに、HIPAAとそれを拡張するHITEC Actについて簡単に紹介します。
両者はともにアメリカ合衆国の医療情報のプライバシーとセキュリティに関する重要な法律です。HIPAAは、健康・医療情報のプライバシーとセキュリティに関する重要な国レベルの基準を確立し、HITEC Actでは、情報が危険にさらされる可能性のある個人に対して透明性を高めるための侵害通知要件を確立しました。
両法律は、医療ITの進歩に伴い、患者のプライバシー保護とデータセキュリティを強化するために相互に補完しあっています。
HIPAA
- 1996年制定。※1
- 個人のPHIのプライバシーとセキュリティを保護するための基準を設定。
- 健康・医療保険の携行性を促進し、転職または失業した場合の保険継続を支援。
- 電子医療記録の導入を促進し、医療関連事業者間での健康・医療情報の共有を促進するための健康・医療情報の共有に関する規定。
- PHIの不正開示を禁止。
※ HIPAAのほとんどの規定が1年以内に制定されましたが、個人を特定できるPHIのセキュリティとプライバシーに関する規則については、議会に独自のルールを可決する裁量を与えたため、かなり遅れて、2003年4月より発効(それぞれ4月14日と4月20日)となりました。
HITECH Act
- 2009年制定。
- 電子医療記録(EHR)の導入と支援技術の使用の促進。
- HIPAAのプライバシーおよびセキュリティ規則を強化し、ビジネスアソシエイトに対する規制を拡大。
- 情報漏洩が発生した場合、政府および影響を受けた個人への報告義務を強化。
HIPAA プライバシーおよびセキュリティ規則
用語の整理
| 用語 | 翻訳(当ブログ内) | 説明 |
| Covered Entities | 対象となる事業者 | 行政簡素化規則と同様にHIPAAに基づきHHS長官が基準を採用した取引に関連して電子形式で健康・医療情報を送信するヘルスプラン(*用語の説明参照)、クリーニングハウス、その他のすべての医療提供者を「適用対象の事業者」とします。自社が適用対象かどうかについては、CMSのツールを使用することで判定することができます。 |
| Health Plans | ヘルスプラン | 医療を提供したり、医療費を支払ったりする個人および団体健康・医療保険は「適用対象の事業者」に該当します。ヘルスプランには、健康保険、歯科保険、視力保険、処方薬保険、健康維持団体(”HMO”)、メディ ケア保険、メディケイド保険、メディケア+チョイス保険、メディケア補足保険、および介護保険(介護施設固定 償還保険を除く)が含まれます。 ヘルスプランには、雇用主がスポンサーをしている団体健康・医療保険、政府や教会がスポンサーとなっている健康・医療保険、複数事業主がスポンサーとなっている健康・医療保険も含まれます。 |
| Health Care Providers | 医療提供者 | 規模に関係なく、特定の取引に関連して健康・医療情報を電子的に送信する医療提供者はすべて、適用対象の事業者です。取引には、請求、給付資格照会、紹介承認要求、またはHHSがHIPAAトランザクション・ルールの下で基準を定めたその他のトランザクションが含まれます。 |
| Health Care Clearinghouses | ヘルスケア・クリアリングハウス | ヘルスケア・クリアリングハウスは、他の事業者から受け取った非標準的な情報を標準的なもの(すなわち、標準的なフォーマットやデータ内容)に加工する事業者であり、その逆もまた同様である。ほとんどの場合、ヘルスケア・クリアリングハウスは、ビジネス・アソシエイトとしてヘルスプランや医療提供者にこれらの処理サービスを提供する場合にのみ、個人を特定できる健康情報を受け取る。このような場合、プライバシー規則の特定の条項のみが、ヘルスケア・クリアリングハウスによる保護されるべき健康情報の使用および開示に適用される。医療クリアリングハウスには、請求サービス、再価格設定会社、地域医療管理情報システム、付加価値ネットワーク、およびこれらの事業者がクリアリングハウス機能を実行する場合のスイッチなどが含まれる。 |
| Business Associate | ビジネスアソシエイト | 一般に、ビジネスアソシエイトとは、個人識別可能な健康・医療情報の使用または開示に関与する特定の 機能または活動を、適用対象の事業者のために行う、または適用対象の事業者に特定のサービスを 提供する、適用対象の事業者の従業員以外の個人または組織を指す。適用対象の事業者のためビジネスアソシエイトの機能または活動には、請求処理、データ 分析、利用審査、および請求が含まれる9 。適用対象の事業者に対するビジネスアソシエイトサービスは、法務、 保険数理、会計、コンサルティング、データ集計、管理、運営、認定、または財務サービスに 限定される。しかし、個人または組織は、その機能またはサービスが保護されるべき健康・医療情報の使用または開示に関与せず、そのような者による保護されるべき健康・医療情報へのアクセスが、もしあるとしても付随的なものである場合には、ビジネスアソシエイトとはみなされません。適用対象の事業者は、別の対象となる事業者のビジネスアソシエイトになることもあります。 |
| Business Associate Contract | ビジネス・アソシエイト契約 | 適適用対象の事業者が「ビジネスアソシエイト」サービスまたは活動を行うために請負業者またはその他の非従業員を使用する場合、規則は、適用対象の事業者に対してビジネスアソシエイトとの契約の中で情報に対する一定の保護を含めることを義務付けています(特定の状況において、政府機関は同じ保護を達成するために代替手段を使用することができる)。ビジネスアソシエイト契約において、適用対象の事業者は、ビジネスアソシエイトによって使用または開示される個人識別可能な健康・医療情報に対して、特定の書面による保護措置を課す義務があります。 さらに、適用対象の事業者は、規則に違反するようなPHIの使用または開示を行うことを、契約上、ビジネスアソシエイトに許可することはできません。 |
| Protected Health Information | PHI | 保護される健康情報 個人情報保護規則は、電子的、紙面上、口頭にかかわらず、あらゆる形式や媒体で、適用対象の事業者またはそのビジネスアソシエイトが保有または伝送するすべての「個人を特定できる健康情報」を保護します。プライバシー規則では、この情報を「保護された健康・医療情報(PHI)」とし、以下の情報が含まれます。 ・個人の過去、現在、または将来の身体的または精神的な健康状態または状態、 ・個人に対する医療の提供、または 過去、現在、または将来の身体的または精神的健康状態、個人へのヘルスケア提供、または個人へのヘルスケア提供に対する過去、現在、または将来の支払い、 ・個人を特定できる健康情報には、多くの一般的な識別子(例えば、氏名、住所、生年月日、社会保障番号)が含まれる。 |
| Administrative Simplification Rule | 行政簡素化原則 | PHIのプライバシーとセキュリティをいじするための電子取引およびコードセットに関する標準を定めたルール。 |
プライバシー規則の概要
個人を特定できる健康情報のプライバシーに関する基準(「プライバシー規則」)は、特定の健康情報の保護に関する一連の国家基準を初めて確立したものです。
HHSは、1996年にHIPAAの要求事項を施行するために、プライバシー規則を発行しました。プライバシー規則の基準では、プライバシー規則の対象である「適用対象の事業者」による、個人の健康情報、いわゆる「保護されるべき健康情報」の使用と開示、および健康情報がどのように使用されるかを理解し管理する個人のプライバシー権に関する基準を扱っています。
HHS の「Summary of the HIPAA Privacy Rule」では、以下の情報がまとめられています。
利用と開示に関して
- General Principle for Uses and Disclosures(利用および開示に関する一般原則)
- Permitted Uses and Disclosures(許可される利用および開示)
- Authorized Uses and Disclosures(承認された利用および開示)
- Limiting Uses and Disclosures to the Minimum Necessary(利用および開示の必要最小限の制限)
通知と個人の権利
Notice and Other Individual Rights(通知およびその他の個人の権利)
管理要件
Administrative Requirements(管理要件)
執行
Enforcement and Penalties for Noncompliance(コンプライアンス違反に対する執行と罰則)
HHS内のOCRが、自主的なコンプライアンス活動と民事上の金銭的罰則に関して、プライバシー規則の実施と執行を担当しています。
セキュリティ規則の概要
セキュリティ規則は、適用対象の事業体によって作成、受信、利用または維持される個人の電子個人健康情報を保護するための国家基準を定めています。この規則では、e-PHIの機密性、完全性、セキュリティを確保するために適切な管理面、物理的、技術的なセキュリティ対策を求めています。
HHSでは、中小規模の医療提供者やビジネスアソシエイト向けにセキュリティリスク評価ツールを開発し、提供しています。
執行
HIPPAの執行は、米国の保健社会福祉省(以下、HHS)内の機関である公民権局(Health and Human Services Office for Civil Rights の略、以下、「OCR」)によって行われます。
OCRは、HIPAAのプライバシーおよびセキュリティ規則に基づき法を執行する責任があり、OCRに提出された苦情を調査し、場合によって執行措置を講じたり、適用対象の事業者がHIPAAを遵守しているかどうかのレビューおよび遵守するための教育と支援を提供します。
適用対象の事業者が措置を講じない場合、民事の罰金(CMP)を科す場合があります。
HHSのウエブサイトによると、2024年2月29日時点で、OCRは2023年4月以降で累計で353,753件の苦情を受け付け、1,183件のコンプライアンス・レビューを実施してきました。また、罰金の累計金額は142,528,772ドルにも及びます。(最新の統計情報はこちら)
苦情の適用対象の事業者としては、全国的な薬局チェーン、主要な医療センター、病院チェーン、小規模プロバイダーのオフィスなどが含まれます。
監査
HITEC Actでは、OCRに対しHIPAAのプライバシー、セキュリティ、および違反通知ルールの遵守状況について適用対象の事業者およびビジネスアソシエイトへの定期的な監査の実施を義務付けています。
OCRは、2011年、2012年と2016年、2017年の2回のフェーズで試験的に適用対象の事業者体および(2回目からは)ビジネスアソシエイトに対して、監査プログラムを実施してきましたが、2020年にフェーズ2のレポートが発表されて以降は、HHSが監査に関して注力したり、言及していないことから、この取り組みはうまくいっているとは言えないようです。(こちら)
HIPAAに関連するOneTrustソリューションの紹介
OneTrustのウェブサイトによると、「包括的なスコーピング、HIPAAツールキット、簡単なトラッキングとレポーティングにより、管理コストを最小限に抑えながらコンプライアンスを実証できるよう、PHIの保護をサポートする」としており、以下のような機能を効率化の例としては以下が挙げられています。
- SOC 2のようなフレームワークとシームレスに連携された構築済みのポリシーを使用することで、効率的な情報セキュリティプログラムを実現します。
- 監査の事前準備(Audit Readiness)により、HIPAAを遵守し、監査に備えます。スコープ調査は、セキュリティ・リスクの特定を支援し、ポリシーと管理、エビデンス・タスク、従業員の証明、およびベンダー管理ツールは、それらへの対処を支援します。
- 数百人の弁護士、社内法務リサーチャー、翻訳者からなるコントリビューター・ネットワークが提供する法規制リサーチのライブラリを活用し、最新のHIPAA規制ガイダンスを入手することが可能です。
1つ目と2つ目の訴求ポイントについては、どのモジュールを具体的に使用するかまでは言及していませんが、GRCおよびセキュリティアシュアランスの製品群のいずれかだと思われます。また、3つ目については「Data Guidance」について言及していることが分かります。
上記以外では、OneTrustのプライバシー評価自動化モジュールにHIPAA用のテンプレートが用意されているので、そちらについても、以下にまとめてみました。
HIPAA用評価テンプレート
また、上記以外にも、評価テンプレートとして以下の事前定義済みのテンプレートが用意されています。
U.S. HHS HIPAA Security Risk Assessment v3.3
このテンプレートは、OCRのセキュリティリスク評価ツールv3.3Excelワークブックに基づいて作成されたものです。(2024年4月5日現在のオリジナルの最新バージョンは、3.4)
このリスクアセスメントは、組織がHIPAAの管理面、物理的、技術的なセーフガードに準拠していることを確認するのに役立ちます。また、リスクアセスメントは、組織のPHIが危険にさらされる可能性のある領域を明らかにするのにも役立ちます。
評価プロセスの詳細とそれが組織にどのような利益をもたらすかについては、HHSの公式ガイダンスをご覧ください。
セキュリティリスク評価ツール(Windowsアプリ)やExcelワークブックについて興味のある方はこちら。
HIPAA Business Associate Assessment
HIPAAおよびHITEC Actの適用対象となる事業者として、ビジネスアソシエイトはHIPAA要件を理解し、HIPAAに準拠したビジネスアソシエイト契約を通じて、これらの要件を満たすことを保証することを確認しなければなりません。このアセスメント(評価)では、プライバシー、セキュリティ、および侵害通知ルールの下でビジネスアソシエイトが満たすべきHIPAA要件についての対応能力を評価するのに役立ちます。
U.S. HHS HIPAA Audit Protocol Checklist
上記の「監査」の章で紹介したPhase2の監査プログラムのプロトコルをチェックリスト化したものです。
このチェックリストは、HIPAAプライバシー、セキュリティおよび侵害通知ルールに関するOCRが定義したパフォーマンス基準に照らして、HIPAAの適用対象の事業者およびビジネスアソシエイトが自らを評価するために使用するように設計されています。チェックリストを使用する際の推奨事項として、OCRの監査プログラムを確認し、HIPAAに精通しておく必要があります。
※監査プログラムについては、先述したように2020年のレポート以降は特に動きがありませんでしたが、こちらの記事にあるように再び監査プログラムの新しいラウンドに向けて進められているようです。
さいごに
健康および医療に関する情報は、個人に与えるリスクが高いため、通常の個人情報よりも慎重に扱う必要があります。
OneTrustには、こうした厳格な管理が求められる機微情報を各国のプライバシー法規制を遵守しながら適切に管理するための包括的な機能が揃っています。
OneTrustのソリューションに興味がある方は、ぜひデモまたは問い合わせフォームからご相談ください。
OneTrust は、プライバシー分野でNo.1のソリューションです。
プライバシー法規制の要求事項について包括的に対応している点が人気の理由です。
OneTrustのソリューションに興味がありましたら、
お気軽にお問い合わせください
