この記事では、HIPAAとは何かについて概説します。
HIPAAは、ヒッパと読みます。ですが、綴りはHIPPAではなくてHIPAAとAが2つ並ぶので注意ですね。
HIPAA(Health Insurance Portability and Accountability Act)は、2003年にアメリカで始まった、医療情報の電子化の推進とそれに関係するプライバシー保護やセキュリティ確保について定めた法律です。
「健康保険のポータビリティとアカウンタビリティに関する法律」、ということで、健康保険をいつでも使えるようにして、かつ、説明責任も担保しましょう、という思いが感じられる法律名です。
なお、HIPPAの名前が出てくるのは、個人情報保護の文脈がほとんどです。
HIPAAには、医療機関はプライバシーの権利と医療情報のセキュリティを守らなければならないという、個人情報を保護する内容が盛り込まれているためです。
HIPAAに基づきデータ化される情報は、当然ながら、その性質上、人々の病気や治療、診断、健康保険の利用状況等から構成され、いずれもプライバシーに関わる重要な情報ですから、当然と言えば当然です。
そして、HIPAAで「保護すべき情報」と定義されると、次のようなことが要求されます。
- 情報の完全・機密性を確保する。
- 情報のセキュリティおよび完全性に対する脅威やリスクへの対策を講じる。
- 認可されていない個人情報の利用や開示などが起きないよう、適切な管理を行う。また、技術的・物理的な保護対策を維持する
具体的には、以下のようなことを医療機関は実現しなければなりません。
- 医療機関におけるでプライバシー保護方針(いわゆるプライバシーポリシー)を定める
- 医療機関で働く方々に対して、プライバシーポリシーについてトレーニングを行う
- 医療機関において、プライバシーポリシーの遵守状況を監視する担当者をおく
これだけだと、「なんだ、それくらい当たり前じゃないか」と感じる方もいるでしょう。
法律なので、当たり前のことを明文化しているとも言えます。
ですが、2009年にアメリカで始まったもう一つの法律、HITECH (Health Information Technology for Economic and Clinical Health) が組み合わさることで、個人情報保護という守りの概念と、医療情報の活用という攻めの概念がアメリカの医療環境に大きな影響を及ぼし始めることになりました。