自分の個人医療記録にアクセスできるのは自分だけだと思いたいかもしれませんが、そうではありません。実際、さまざまな関係者があなたの記録、金融口座情報、保険情報を閲覧することが許可されています。
1996 年の医療保険の相互運用性と責任に関する法律(HIPAA) は、個人の健康情報の取り扱いと共有方法に関する米国の国家基準を定めました。 HIPAA では、個人の健康情報に関して、あなたには一定の権利があります。あなたには、自分の健康情報のコピーを取得する権利、誤りを修正する権利、または自分の情報を変更する権利、自分の情報の特定の使用を制限する権利、および自分以外の誰が自分の情報を見たかを知る権利があります。そのファイルの内容を見ることができる(そして見たことがある)のはあなたとあなたの医師だけではないことを忘れないでください。たとえば、コンピューターを使用してあなたの保険資格を電子的に確認するアカウント マネージャーは、あなたの健康情報にアクセスできますが、HIPAA 規則では、個人を特定できる健康情報 (これが何を意味するかについてはすぐに説明します) となります。ファイルを覗き見したいだけの人には表示されません。
あなたの医療記録に合法的にアクセスできる当事者は対象事業体と呼ばれ、HIPAA 規則に準拠する必要があります。対象となる主体には、電子医療取引を行う医療提供者 (医師、看護師、歯科医師、病院、診療所、薬局など)、医療計画 (健康保険会社、HMO、メディケア、メディケイドなどの関係者を含む)、ヘルスケアが含まれます。手形交換所およびサードパーティのビジネス関係者 (これには、請求処理業者、請求会社、IT 専門家などの関係者が含まれます) 。
HIPAA に準拠するということは、データのプライバシーと安全性を保つことに関して、対象となる組織が一定の責任を負うことを意味します。
データの保存と共有: 暗号化され安全
米国公民権局のもとで 2003 年に施行された HIPAA プライバシー規則では、個人を特定できる健康情報(の一部)は、許可なく共有されたりアクセスされたりしないように保護することが義務付けられています。保護医療情報 (PHI) と呼ばれるあなたの個人を特定できる健康データには、医師や他の医療提供者があなたの医療記録に記載するもの、および医療提供者が他の医師、 看護師、その他の医療専門家と交わした会話が含まれます。これには、あなたの請求情報や、健康保険のコンピュータ システムに保存されている個人を特定できる情報も含まれます 。
HIPAA セキュリティ規則に基づいて、お客様の個人情報が電子的に保存、共有、アクセスされる方法は保護されています。適格な電子取引には、請求と遭遇情報、支払いと送金のアドバイス、請求ステータス、適格性、登録ステータス、紹介と承認、給付金と保険料支払いの調整が含まれます 。対象事業体は、HIPAA 対象取引の規則に従うことが法的に義務付けられています。彼ら、および彼らが取引を行う契約を結んでいる人々はすべて、オンライン取引、タブレット上の記録へのアクセス、その他の電子行政取引など、データを共有したりアクセスしたりする前に、あなたの情報を保護することに同意する法的契約に署名する必要があります。対象となる事業体とそのビジネス関係者は、電子医療データを保護するための文書化されたポリシーや従業員トレーニングなどの管理上の保護策だけでなく、データのバックアップ、データ暗号化、セキュリティ システムなどの技術的および物理的な保護策も講じる責任があります。また、彼らはあなたの健康情報にアクセスする必要がある理由とその意図を毎回明らかにする責任もあります。
対象となる事業体以外には、HIPAA 法は適用されません。つまり、雇用主はあなたの健康データをプライベートに保つことを心配する必要がなく、また、労災保険会社、生命保険会社、学区、州機関(児童保護サービスなど)、法執行機関、その他の地方自治体も心配する必要がありません。コンピュータを使用して保険資格を電子的に確認するアカウント マネージャーは、HIPAA で保護された行為に従事しており、HIPAA の機密保持規則に準拠する必要があります。ただし、HIPAA は取引が電子的な場合にのみ適用されます。アカウント マネージャーが電話を使用して口頭で保険資格を確認した場合、HIPAA ルールは PHI の交換に適用されません。
米国保健福祉省公民権局は、(事件ごとに)500 人を超える人々の保護されたデータが漏洩または影響を受ける医療情報侵害に対して「恥の壁」を維持しています。これは、 HITECH法(医療情報技術法)を理由にしています。 HIPAA に基づく経済的および臨床的健康に関する) 法に基づいて、報告された違反のリストを で検索できます。
限られたデータセット
状況によっては、HIPAA により、保護された健康情報の一部が許可なく共有されることが許可されます。あなたの PHI は、緊急医療を含む緊急事態において、また、バイオテロや公衆衛生上の脅威の場合にも、あなたの許可なく共有されることがあります。 HIPAA の例外には、公衆衛生監視 (地域のインフルエンザ報告のための情報収集など)、調査 (救急医療センターによる銃創の報告など)、研究などの場合も含まれます。介入などの一部の医療状況も含まれます [出典] :]。この情報は、いわゆる「限定データセット」(LDS) に収集されます。限られたデータセットには、あなたの年齢(年、月、日、または時間)、関連する日付(生年月日と死亡日、および該当する場合は入学日と退院日も含む)、および基本的な個人情報が含まれます。地理データ (郵便番号、都市および居住州)。
限られたデータセットで許可されない情報のリストはさらに多くなります。 HIPAA のプライバシー規則では、名前、社会保障番号、住所 (番地)、電話番号 (ファックス番号を含む)、電子メール アドレス、URL、および次の 16 の識別可能な情報を LDS に含めることはできません。 IP アドレス番号、車両識別子 (シリアル番号やナンバー プレートを含む)、さらに顔全体の写真 (または同等の画像) および生体認証識別子 (指紋など)。さらに、アカウント番号、医療記録番号、健康保険受給者番号、証明書ライセンス番号、またはデバイス識別子 (シリアル番号を含む) を、限定されたデータセットに含めることはできません 。
医療記録に関してこれらの HIPAA 規則が制定されているにもかかわらず、アメリカ人の 83% は依然として医療記録に関してプライバシーとセキュリティ関連の懸念を抱いており、70% 近くが自分の健康情報のデジタル化を望んでいません 。では、その懸念が正されたとき、つまり侵害があったときはどうなるでしょうか?
PHI 侵害が実際に発生した場合 (多くの場合、コンピュータの盗難が原因)、侵害通知規則に従って、影響を受けた患者 (複数可) に通知し、その事件を米国保健省長官に報告する必要があります。福祉サービス (HHS)。同様に、個人がプライバシー侵害を報告したい場合は、責任のある対象事業体 (またはビジネス関係者) または HHS、またはその両方に侵害を報告できます。状況に応じて、HIPAA 違反は罰金などの民事罰(民事罰金と呼ばれます)、または罰金だけでなく懲役を含む刑事罰につながる可能性があります。
著者のメモ: HIPAA 準拠はデータ共有にどのような影響を与えますか?
自分の健康情報を安全に保つことは、社会保障番号を安全に保つことと同じです。悪者の手に渡れば、個人情報の盗難につながる可能性があります。あるいは、自分の病気を治すということになると、誰かがあなたのファイルを乗っ取ったため、不適切な治療を受けることになります。したがって、次回医師 (または病院、薬局) を訪れるときは、診察中に渡された HIPAA パンフレットをただ保管しないでください。その紙には、あなたの医療記録がどのように安全に保管されるかについての重要な情報が含まれています。
