HIPAAの適用範囲
HIPAA(Health Insurance Portability and Accountability ACT, 医療保険の相互運用性と説明責任に関する法律)の主目的は、医療情報のプライバシー保護です。
ですが、そもそもの部分で注意しなければならない重要な要素があります。HIPAA法の適用範囲です。
実は、米国における全ての健康情報がHIPAAの下で保護されているわけではありません。
HIPAA法が適用される事業者は医療機関ですが、そのうち、電子的に請求を行う医療機関か、あるいは対象となる取引を電子的に送信する医療機関のみがHIPAA法の適用になります。
少しわかりにくいかもしれませんね。逆に、どのような医療機関だとHIPAA法が適用されないかを見れば、理解が深まります。
例えば、無料診療所などの無料サービスを提供している医療提供者は、HIPAAの規制を受けません。そもそも請求(いわゆるレセプト請求)を行っていないためです。
また、紙の記録、ファックス、郵送などを用いて請求を続けている医療提供者もHIPAAの対象になりません。電子的に請求していないからです。
注意
医療機関が紙の記録のみを使っていたとしても、それだけでHIPAA法の適用対象外になる、というわけではない点に注意しましょう。 請求書のハードコピーを請求会社に提出し、請求会社がその記録を支払人に電子的に転送するという場合、HIPAA法の適用対象になる可能性があります。 |
ではなぜ、無料診療所や、紙でのレセプト請求を続けている医療提供者はHIPAA法が適用されないのでしょうか?
残念ながら、政策上、特段の理由があるわけではないようです。
そもそもの発端として、「HIPAAの業務管理簡略化に関する規則」により、電子データの共有が格段に増加したという背景がありました。
そして、その加速する電子データ共有を野放しにはできないということで、追加のプライバシー保護を伴わせなければならない、という考えが生まれ、HIPAA法ができたというわけです。
また自己矛盾的にも見えるかもしれませんが、HIPAAはもともと電子請求を促進させるのが目的でした。
ところが、HIPAA法は、電子請求促進に積極的に関わっている「ヘルスケア関連の情報センター(Healthcare Clearinghouse)」も規制対象としています。
clearing house [noun]
- a central office that banks use in order to pay each other money and exchange cheques, etc.(小切手交換所)
- an organization that collects and exchanges information for other people or organizations(情報収集・情報交換のための組織)
https://www.oxfordlearnersdictionaries.com/definition/english/clearing-house
また、HIPAA法は対象となる医療機関のみに適用されます。
つまり、「HIPAAの対象となっている医療機関から、第三者に情報共有されたとしたら、その第三者への適用は?」という問いに対しては、「HIPAA法は対象となる医療機関のみに適用されます」という回答になります。
実際、HIPAA法では、コンプライアンスを遵守した患者の同意書に、「情報の受領者が送信者のプライバシー法に拘束されない可能性がある」ことを記載することが求められています。
ちなみに、HIPPA法が適用される医療機関から、医療関連のソフトウェアを扱っている企業へ共有される情報については、大抵の場合、HIPAA要件が適用されます。
HIPAA法では、対象となる組織の患者情報にアクセスして、その代理で職務を遂行するベンダーが対象となることが明確になっているためです。
HIPAAの範囲内にあるもの、範囲外にあるものについてもう少し詳しく見てみましょう。
例えば、ウェアラブル技術を含む多数の健康関連のアプリケーションやデバイスがありますが、それらを運用する企業はHIPAA法の適用を受けるでしょうか?
ヘルスケアアプリ提供者やウェアラブルデバイス提供者であっても、医療機関の業務代行者としての役割を果たさない限り、医療提供者、支払者、ヘルスケア関連の情報センター(Healthcare Clearinghouse) ではないとされ、HIPAA法の適用対象にはならないことになります。
ややこしいかもしれませんが、しっかり法律を読み込み、その意味を文脈も含めて理解することが重要ですね。