HIPAAでは、内部の患者IDはPHIと見なされますか?
私たちは内部でGUIDを使用して、システム内の患者を識別しています。これらの識別子をクエリ文字列でREST呼び出しに使用できるかどうかについて、規制担当者と議論しています。
彼らは、システムの外部に公開されると患者IDがPHIになると主張しています。この識別子をPHIにマップするには、データストアへのアクセスが必要か、システムへの有効なログインが必要で、アクセス制御が整っていると私は主張しています。
データストアにアクセスできず、有効なログインもない当事者の場合、PHIの取得は不可能です(セキュリティ違反がない場合)。
誰もがこれを経験していますか?内部で使用されている識別子はHIPAAでPHIと見なされますか? law の適切なセクションを誰かに教えてもらえますか?
PHIは、任意の種類の臨床データにリンクされた任意の識別情報を持つことを意味します。診断、CPTコードなど.
したがって、内部の患者ID自体はPHIとは見なされません。単純な内部識別子のリリースは違反ではなく、私が知っているHIPAA規制に違反しているわけでもありません。
非認可の当事者は、その識別子を使用して、問題の人物を特定できます。次に問題があります。
ただし、ベストプラクティスでは、これらの識別子をデータベース内の他のデータと同じ方法で保護する必要があります。この慣行を廃止するある時点でHIPAA規制が変更される可能性があります。 RESTクエリが安全で信頼できるシステムからのものであることを確認するか、後のコンプライアンス問題を回避するためにこの情報をクエリする別の方法を見つけます。
ここで私が解釈しているセクションの全文を読むことができます: https://www.hipaa.com/hipaa-protected-health-information-what-does-phi-include/