この記事では、HIPAAとは何かについて概説します。
HIPAAは、ヒッパと読みます。ですが、綴りはHIPPAではなくてHIPAAとAが2つ並ぶので注意ですね。
HIPAA(Health Insurance Portability and Accountability Act)は、2003年にアメリカで始まった、医療情報の電子化の推進とそれに関係するプライバシー保護やセキュリティ確保について定めた法律です。
「健康保険のポータビリティとアカウンタビリティに関する法律」、ということで、健康保険をいつでも使えるようにして、かつ、説明責任も担保しましょう、という思いが感じられる法律名です。
なお、HIPPAの名前が出てくるのは、個人情報保護の文脈がほとんどです。
HIPAAには、医療機関はプライバシーの権利と医療情報のセキュリティを守らなければならないという、個人情報を保護する内容が盛り込まれているためです。
HIPAAに基づきデータ化される情報は、当然ながら、その性質上、人々の病気や治療、診断、健康保険の利用状況等から構成され、いずれもプライバシーに関わる重要な情報ですから、当然と言えば当然です。
そして、HIPAAで「保護すべき情報」と定義されると、次のようなことが要求されます。
- 情報の完全・機密性を確保する。
- 情報のセキュリティおよび完全性に対する脅威やリスクへの対策を講じる。
- 認可されていない個人情報の利用や開示などが起きないよう、適切な管理を行う。また、技術的・物理的な保護対策を維持する
具体的には、以下のようなことを医療機関は実現しなければなりません。
- 医療機関におけるでプライバシー保護方針(いわゆるプライバシーポリシー)を定める
- 医療機関で働く方々に対して、プライバシーポリシーについてトレーニングを行う
- 医療機関において、プライバシーポリシーの遵守状況を監視する担当者をおく
これだけだと、「なんだ、それくらい当たり前じゃないか」と感じる方もいるでしょう。
法律なので、当たり前のことを明文化しているとも言えます。
ですが、2009年にアメリカで始まったもう一つの法律、HITECH (Health Information Technology for Economic and Clinical Health) が組み合わさることで、個人情報保護という守りの概念と、医療情報の活用という攻めの概念がアメリカの医療環境に大きな影響を及ぼし始めることになりました。
少し小難しく解説
HIPAA(ヒッパ)とは、アメリカ合衆国の健康保険のポータビリティとアカウンタビリティに関する法律(Health Insurance Portability and Accountability Act)のことです。この法律は、1996年に制定され、医療情報のプライバシー保護や健康情報の電子的な取扱いについての規定が含まれています。
HIPAAは、健康保険のポータビリティ(移行可能性)に関する部分と、健康情報のプライバシー保護とセキュリティに関する部分の2つのセクションから成り立っています。健康情報のプライバシー保護とセキュリティに関する規定は、HIPAAプライバシールールと呼ばれます。
HIPAAは、医療機関や保険会社など、健康情報を取り扱うすべての組織に適用されます。この法律は、個人の健康情報の保護を目的としており、患者の権利とプライバシーを守ることが求められます。HIPAAには、個人の健康情報の開示に関する規定が含まれており、医療機関などの組織は、個人情報を保護するためのセキュリティプログラムを実施する必要があります。また、HIPAAには、健康情報の開示に関する要件と罰則規定も含まれています。
HIPAAの要件と罰則規定
HIPAAには、健康情報の開示に関する要件と罰則規定が含まれています。これらの規定は、患者の健康情報が不適切な開示やアクセスから保護されるようにするために設けられています。
健康情報の開示に関する要件は、医療機関や保険会社などの健康情報を取り扱う組織に対して、患者の許可なしに健康情報を開示することを制限するものです。例外的に許可された開示の場合を除いて、健康情報の開示は、患者の明示的な同意を得る必要があります。また、開示される健康情報は最小限度に制限され、必要最小限の情報のみが開示されるようになっています。
罰則規定は、HIPAAに違反した場合の罰則を定めています。医療機関や保険会社などの健康情報を取り扱う組織がHIPAAに違反すると、罰則が課せられる可能性があります。例えば、HIPAAに違反した場合、最大で5万ドルから10万ドルまでの罰金が課せられることがあります。また、HIPAA違反による損害賠償請求が起こされることもあります。
HIPAAの要件と罰則規定は、患者の個人情報を守るために非常に重要です。健康情報は、個人にとって非常にプライバシーの高い情報であり、不正なアクセスや開示が行われると、患者の信頼を失うことにつながります。したがって、HIPAAに準拠した情報管理を行うことが、患者の信頼を維持するためには必要不可欠です。