HIPAA違反:ストーリー、職場と雇用者の例、およびその他|Zeguro Blog
“しかし、私は知りませんでした。”
それは言い訳ではありません。 あなたは五または五十から五しているかどうか、あなたはしばしばこの文で告発に応答しました。 残念ながら、データ保護の世界では、規制当局はそのフレーズを聞きたくありません。 知ってるに違いない 従業員または顧客の医療情報に関しては、事故は会社を倒産させる可能性があります。, セキュリティの企業文化を維持する-最初のコンプライアンスサイバー意識の従業員を作成するには、医療分野にいるかどうかにかかわらず、従業員行動に関連する一般的なHIPAA違反からあなたの練習や企業を準備し、保護します。
HIPAAとは何ですか?
1996年の医療保険の可搬性および説明責任に関する法律(HIPAA)は、公民権庁(OCR)を通じて管理される保健福祉省(HHS)に、電子医療情報の国家基準を採用, 長年HIPAA今のプライバシー原則の安全原則の施行規則違反の通知です。
簡単なHIPAAの要約は、これら四つのルールは、保護された健康情報(PHI)に対するプライバシーとセキュリティ制御のための厳格なガイドラインを確立す “個人識別可能な健康情報”として定義されているPHIまたは電子PHI(ePHI)には、人口統計情報、病歴、検査または検査結果、メンタルヘルス情報、保険情報、またはクライアントを特定するその他のデータが含まれます。, ただし、HIPAAが何であるかだけでなく、それがビジネスにどのように関連しているかを完全に理解するには、セキュリティルールとプライバシールールの簡
簡単なHIPAAセキュリティルールの概要
要するに、このセキュリティルールは、医療組織、その他の対象エンティティ、およびビジネスアソシエイトが、作成、受信、維持、または送信されたePHIの機密性、完全性、および可用性を保護するようにするための一連のガイドラインを作成します。 言い換えれば、誰かが誤って情報にアクセスしたり、それが何であっても、どこにあっても盗んだりしないでください。, その一環として、意図しない使用または開示につながる潜在的なリスクを特定し、保護する必要があります。 さらに、あなたの従業員が同じことをすることを確かめる必要がある。
簡単なHIPAAプライバシールールの概要
HIPAAプライバシールールは、本質的に似ていますが、情報の使用を制御する個人の権利に焦点を当てています。 を確保できることを、確認する必要がありませんせら仕方ない偶発的または不正アクセスします。,
セキュリティルールとプライバシールールの主な違い
HIPAAプライバシールールとHIPAAセキュリティルールは似ているかもしれませんが、二つの重要な違いがあります。
- セキュリティルールは電子情報に焦点を当てていますが、プライバシールールには音声情報と紙情報も組み込まれています。
- プライバシルールはあくまで”をしてくれていることでしょう”ですが、セキュリティルールの詳細具体的な取組みコンプライアli>
誰がHIPAAに準拠しなければなりませんか?,
HIPAAは、あなたが医療提供者、健康計画、または医療クリアリングハウスである場合、”対象企業”としてあなたに適用されます。 “事業体”のHIPAAの定義は、健康情報を使用、保存、処理、または開示する対象事業体に代わって機能を実行する第三者を組み込むように拡張しています。
言い換えれば、上記の対象となるエンティティのいずれかを有効にするためにソフトウェアまたはwebアプリケーションを拡張する場合は、HIPAAルールに準拠する必要があります。
HIPAA違反を構成するものは何ですか?,
HIPAA違反はさまざまな方法で発生しますが、それらはすべて”十分な保護がなかったため、それについて学ぶ何かを知るべきではない人”を組み込”この定義には、システムへのアクセスが多すぎる従業員から、システムへの入り口を得るハッカー、机や画面に紙を残して表示する人まで、すべてが含
施行規則の下で、OCRは、不慮の違反に対して、違反あたり100ドル(年間25,000ドルを超えない)から違反あたり50,000ドル(年間1.5万ドルを超えない)までの罰金を課すことができる。, 法律に違反したときにより故意に行動すると、ペナルティの最小値が増加します。 実際には、あなたの行動があまりにもひどい場合は、司法省はあなたに$250,000罰金と商業的利点、個人的な利益、または悪意のある害のために情報を販売、,
雇用者HIPAA違反:従業員情報を保護する方法
あなたが医療提供者またはビジネスアソシエイト(医療提供者に代わって医療情報を取り扱うサードパーティ)ではない場合でも、あなたはまだ危険にさらされている可能性があります。 HIPAAの法律と雇用者は緊張した関係を持っています。 従業員の医療プライバシーの権利は、主に障害者法(ADA)とアメリカ人に該当するが、いくつかはHIPAAの法律や規制の下で落ちます。 重要なのは、HIPAAガイドラインのための雇用者が存在します。,
医師に電話しないでください
あなたが何をするにしても、従業員の医療サービスプロバイダーに電話しないでください。 しないでください。
医療文書の分離
従業員の健康プログラムの一環として、または仕事のオファーの要件として健康診断が必要な場合は、医療情報を従来の従 これは、物理的な分離またはデジタル分離(別のサーバーなど)にすることができます。,
自己保険医療計画内のePHIを保護する
あなたが雇用者としてあなた自身の会社の資金を使用して給付を支払う管理サービスのみ(ASO)プランを使
グループヘルスプラン情報のデータ処理慣行の確立
グループヘルスプランから要約情報以上の情報を取得している場合は、HIPAAの対象となり、保護, 人事部に送信された文書を確認し、新しいプラクティスを作成するか、グループヘルスプランが送信する情報をより適切に定義してください。
レビュー会社健康診療所および従業員支援プログラム
これらの両方は、提供者が支払いのために情報を送信するハイブリッドエンティティと したがって、このようなレコードを維持する場合は、準拠するためにロックダウンする必要があります。,
病状として分類される何か(良いか悪いか)を発表しないでください
あなたの従業員が妊娠しているか、従業員のがん診断によって荒廃していることを月の上にいるかもしれません。 ただし、従業員が開示を許可しない限り、この情報を他のスタッフまたは経営陣と共有するように発表することはHIPAA違反になる可能性があります。
HIPAA違反の例
HIPAA違反の話がたくさんあります。 できるoversharingの中でソーシャルメディアの紛失-盗難ます。, もはや動作していない企業であっても、HIPAA違反の結果から安全ではありません。
ソーシャルメディアHIPAA違反の例
ソーシャルメディアを含む多くのHIPAA違反は偶然です。 たとえば、ソーシャルメディアのコメントや投稿は、患者に名前を付けていなくてもHIPAA規制に違反する可能性があります。 場合には、従業員が共有写真のソーシャルメディアになることが、現実の患者情報が見えています。,
最近の例としては、covid-19 2020のパンデミック全体で働く同僚にインタビューしたビデオを作成した看護師がいます。 ある同僚は、病院が要求したリソースを持っていた場合、特定の患者が死亡していない可能性があり、患者を名前で参照していると指摘しました。 この潜在的な違反は、執筆時点で現在調査中です。
別の例では、Elite Dental Associatesの従業員が、企業の評価とレビューのためのソーシャルメディアプラットフォームであるYelpの患者のレビューに回答しました。, 応答には、患者の名前、治療計画の詳細、治療費および患者の保険に関する情報を含む機密性の高い患者情報が含まれていました。 苦情の調査中に、公民権局(OCR)は、他の患者のレビューに対するElite Dental Associatesの回答にも同様の情報が含まれていることを発見しました。 エリート歯科仲間は$10,000のための不平を解決した。
紛失または盗難されたデバイスに起因するHIPAA違反の例
盗難されたデバイスもHIPAA違反につながる可能性があります。, 例えば、フィラデルフィア大司教区(CHCS)のカトリックヘルスケアサービスは、数百人の特別養護老人ホーム住民のPHIを含むモバイルデバイスの盗難に続いて、650,000で2016の潜在的なHIPAA違反を解決しました。
2017年、ロードアイランド州最大の病院システムLifespanは、PHIが従業員の盗まれたラップトップにあった可能性があることを20,000人の患者に通知しました。 これらの例の両方で、盗まれたデバイスは暗号化されておらず、パスワードで保護されていませんでした。,
“必要最小限の”HIPAA違反の例
HIPAAでは、PHIは”必要最小限の”ベースでのみ共有されることが要求されています。 たとえば、ユニットまたは床で働く看護師は、シフト中に担当する患者の世話に必要な情報のみを与えられるべきです。,
第三者を扱う際には、必要最小限の要件に違反することがよくあります。 たとえば、医療保険提供者と請求を処理するために必要以上に多くの患者情報を共有することは、HIPAA違反になる可能性があります。 ニュージャージー州の心理学者は、2017のHIPAA違反の申し立てに直面した練習の請求マネージャーが、診断と治療を明らかにする可能性のあるコードを含む患者の請求書のコピーをコレクション機関に送った後。, 苦情は、練習は、コレクション機関に情報を送信する前に、トランザクション台帳のみを提供したり、不要な敏感な患者の詳細を修正することを検討,
これらのタイプの潜在的なHIPAA違反を回避するためのベストプラクティスには、ソーシャルメディアポリシーを含む明確かつ包括的な書面によるセキ,
守会社からHIPAA侵害:いわからない/”t Doガイド
となっています。figcaption>ソース: Zeguro
透明性の基盤であり、HIPAAプ
HIPAAの詳細な制御リストとリスク評価の要件をセキュリティ-ア困難です。 あなたは透明にしたいが、ルールはそれを妨げることがある。, Zeguroでは、お客様とのコミュニケーション方法において透明性を大切にしており、医療データの透明性をどのように表示するかのガイドにもなります。
- 誠実さ:お客様の保護がHIPAAセキュリティルールの要件とどれだけうまく調和しているかについては、正面から取り組んでいます。
- 明快さ:私たちの平易な言語ポリシーテンプレートとトレーニングモジュールは、従業員のためのHIPAAガイドラインを作成するのに役立つプロセスから合法
- シンプルさ:私たちは、あなたの質問に答え、コンプライアンスの負担を軽減することができ、ナビゲートしやすいプラットフォームとスタッフとHIPAAのコン,
注意:Zeguroは、特定のHIPAAケースや違反についてコメントすることはできず、ブログや記事での一般的なアドバイスのみを提供します。 私たちはまた、個人的なHIPAAの質問を支援することはできません。 支HIPAA違反をお勧めいたしてお士及び顧問弁護士等 HIPAAコンプライアンスを満たすのに役立つソリューションをお探しの場合は、組織の保護とPHI/ePHIの保護に役立つ統合サイバーセキュリティおよびサイバー保険 詳細はこちら:https://www.zeguro.com/cybersecurity/compliance。