web-dev-qa-db-ja.com

PIIなしのHIPAAコンプライアンス

私は人々が医学的症候群の質問者を記入するウェブサイトを持っています。彼らは、期間中に自分の状態がどのように変化するかを確認できます。

PII情報は一切保存せず、ユーザー名のみを保存します。暗号化して保存できます(必要な場合)。

私の質問は– HIPAAに準拠する必要がありますか? PIIを覚えていない。

電子メールアドレス(暗号化された)を保存する場合、規制状況は変わりますか?

ありがとう

アーロン

regulationhipaa
10
AaronS

はい、HIPAAに準拠している必要があります。

理由はできるだけ短く、できるだけ論理的にします。

  1. 暗号化を使用してデータを保護することは、使用しているセキュリティレイヤーに他なりません(これは良いことです)が、健康情報のプライバシーに準拠する必要がなくなるわけではありません。実際、この種の保護はHIPAAの「セキュリティルール」に記載されています。
  2. 「健康プロファイル」自体は、名前や電子メールを保存しなくても、個人を識別できます。多くの例の1つは、人のDNA、珍しい病気、特定のハンディキャップ、または非典型的な病気についての可能な情報です。血液型は、健康プロファイルからの他の小さな情報と組み合わせるとPIIになります。
  3. 名前やメールのリクエストについて話します。個人の識別を明示的に許可しているため、実名またはそれ自体の電子メールアドレスでもPIIとして認められます。それを彼の「健康プロファイル」と組み合わせると、HIPAAコンプライアンスが100%でない場合、さらに大きな問題に直面します。そうでない場合の例:2011年7月、UCLAは、HIPAA違反の可能性に関する和解に$ 865,500を支払うことに同意しました。それについて考えてください。そのようなことが起こります。そのような何かのためにあなたのポケットに十分な現金を手に入れましたか?もしそうなら、あなたはむしろそれを別のものに費やすべきだと思います。 ;)
  4. 「メディカルシンドロームの質問者が記入するWebサイト。その期間中に自分の状態がどのように変化するかを確認できるWebサイト」の例について説明します。これらの「医学的状態」を追跡することは、Webサイトの訪問者をオンラインで追跡することに似ています。情報を追加するたびに、状態の変化を見てそれを(たとえば)そのようなプロファイルに一致する可能性のあるランダムに選択された人々のグループ。

さらにいくつかのポイントがありますが、短くするためにスキップします。しかし、ご覧のとおり、HIPAAを無視することを考えながら「健康プロファイル」を収集することを考える場合、手順を監視する十分な理由がすでにあります。

健康プロファイルと他の種類の個人識別情報(「本名」、「メール」、または単純な「郵便番号」など)の組み合わせにより、実際にはHIPAAに準拠する必要があります。

さらに、顧客/ウェブサイト訪問者/健康プロファイルプロバイダーは、プライバシーを深刻に受け止めていることに気づいた場合、はるかに快適で安全な気分になります。それはあなたが無視すべきではないボーナスだと思います...最悪のシナリオでHIPAAコンプライアンスが法的にあなたを保護できるという事実を含めて。

もう一度まとめます。

  1. 健康プロファイルarePII(個人識別情報)はPHI(個人健康情報)であるためです。 HIPAAが最初に作成された理由と思います!
  2. メールPIIです。
  3. 名前は、実際の名前が使用されている場合、PIIPIIになります。
  4. 暗号化は、「暗号化されたものを復号化できる」ため、HIPAAに準拠する必要があるかどうかの質問とは関係ありません。 暗号化は、PIIを収集するという事実を無効にせず、収集したデータを保護するだけです。

実際、HIPAAを自分でチェックして、ここで何を求めているのかを確認する必要があります...

http://www.hhs.gov/ocr/privacy/hipaa/understanding/summary/index.html

保護された健康情報。プライバシールールは、対象となる事業体またはそのビジネスアソシエイトが保持または送信するすべての「個人を特定できる健康情報」を、電子、紙、口頭のいずれの形式やメディアでも保護します。プライバシールールでは、この情報を「保護された健康情報(PHI)」と呼びます。

「個人を特定できる健康情報」とは、人口統計データを含む、個人の過去、現在、または将来の身体的または精神的健康または状態、個人へのヘルスケアの提供、または過去、現在、または将来の支払いに対する情報です。個人へのヘルスケアの提供、および個人を特定する、または個人を特定するためにそれを使用できると信じる合理的な根拠がある13。個人を特定できる健康情報には、多くの一般的な識別子(例:名前、住所、出生)が含まれる日付、社会保障番号)。

プライバシールールでは、保護対象の健康情報から、対象となる事業体が雇用者および教育機関としての立場で維持している雇用記録、および20 U.S.C.の家族教育の権利とプライバシー法の対象または定義されているその他の特定の記録を除外しています。 §1232g。

匿名化された健康情報。匿名化された健康情報の使用または開示に制限はありません。14匿名化された健康情報は、個人を識別するための合理的な根拠を特定または提供しません。情報の匿名化には2つの方法があります。 (1)資格のある統計学者による正式な決定。または(2)個人および個人の親族、世帯員、雇用主の指定された識別子の削除が必要であり、対象エンティティが残りの情報を使用して個人を特定できるという実際の知識がない場合にのみ適切です。 15

お気づきのように、私の答えは「米国保健社会福祉省」の発言にほかなりません...私はもっと人間の言葉遣いを使用しています。 ;)

さて、HIPAAへの準拠を本当に避けたい場合は、「健康プロファイル」が100%匿名であることを確認するだけです。電子メール、本名、個人を特定する可能性のある情報や健康情報の収集などはありません...たくさん。そして、あなたが何かを逃していないことを確認してください!

これに代わる方法は、自分で簡単に、HIPAA準拠の方法を選択することです。

もう少し詳しく知りたい場合は、 https://www.cms.gov/hipaageninfo/ にいくつかの追加情報がありますので、チェックしてみてください。つまり、上記のリンクとは別に、 http://www.hhs.gov/ocr/privacy/hipaa/understanding/summary/index.html

5
user6373

この質問は HealthcareIT SEサイト でも行う必要があると思います。

私は、HIPAAは、ヘルスケアエンティティとしてのユーザーと関係がある場合にのみ関連性があると考えています。つまり、対象エンティティ(CE)になります。あなたの説明と以下の説明に基づいて、私はあなたがそうだと信じています[〜#〜] [〜#〜]HIPAA準拠は必要ありません。

1996年の医療保険の相互運用性と説明責任に関する法律(HIPAA)に基づいて保健福祉サービス(HHS)によって採用された行政簡素化基準は、

電子形式で特定の取引を行う医療提供者(ここでは「対象医療提供者」と呼びます)。

医療情報センター。

健康計画。

これらのタイプのエンティティの1つ以上であるエンティティは、「行政簡素化規則の対象エンティティ」と呼ばれます。

Center for Medicare and Medicaid website から。 mHealthコンテキストで医師サービスを拡張するため、または健康保険に付加価値サービスを提供するためにWebサイトを構築している場合を除き、HIPAAに準拠する必要はありません。

実際、私はMicrosoft HealthVaultのスタッフとの話し合いを覚えています。彼らの弁護士は、彼らが実際に対象の事業体ではないと判断したと報告しています。しかし、これらの質問を先取りし、その深刻さを示すために、HIPAAコンプライアンスに移行しました。

2番目の質問は、あなたはビジネスアソシエイト(BA)ですか?保護対象の健康情報を処理する必要がある対象事業体との契約関係がある場合、HIPAAに準拠する必要があります。新しいHITECHルールでは、ビジネスアソシエイトの要件は対象エンティティの要件とほぼ同じです。

1
Ming K