知っておくべき最も一般的なHIPAA違反
金銭的ペナルティをもたらした最も一般的なHIPAA違反は、機密性、完全性に対するリスクを特定するための組織全体のリスク分析の実行の失敗です。 、および保護された医療情報(PHI)の可用性。 HIPAA準拠のビジネスアソシエイト契約の締結の失敗。 PHIの許可されない開示。違反通知の遅延。
保健社会福祉省の公民権局(OCR)が追求した和解は、HIPAA規則の重大な違反に対するものです。和解は、HIPAA規則の特定の側面に準拠する必要性の認識を高めるために、一般的なHIPAA違反を強調するためにも追求されます。
この記事では、対象となる事業体との和解につながった最も一般的な5つのHIPAA違反について説明します。過去数年間のビジネスアソシエイト。
データ漏えいはHIPAA違反ですか?
データ漏えいは今や現実のものとなっています。多層的なサイバーセキュリティ防御を使用しても、データ侵害が発生する可能性があります。 OCRは、医療機関がサイバー犯罪者の標的にされており、難攻不落のセキュリティ防御を実装することは不可能であることを理解しています。
HIPAAに準拠するということは、データ侵害が決して起こらないようにすることではありません。 HIPAAコンプライアンスとは、リスクを適切で許容可能なレベルに削減することです。組織がデータ侵害を経験したからといって、その侵害がHIPAA違反の結果であったことを意味するわけではありません。
OCR侵害ポータルはこれをより明確に反映するようになりました。多くのデータ侵害はOCRによって調査され、HIPAAルールの違反を伴わないことが判明しています。その結果、調査は何も行われずに終了します。
HIPAA違反はどのように発見されますか?
HIPAA違反は、発見されるまでに数か月、場合によっては数年続く可能性があります。それらが長く存続することを許可されるほど、それらが最終的に発見されたときのペナルティは大きくなります。したがって、HIPAAの対象となる事業体は、定期的なHIPAAコンプライアンスレビューを実施して、HIPAA違反が規制当局によって特定される前に発見および修正されていることを確認することが重要です。
HIPAA違反が発見される主な方法は3つあります。
- OCR(または州の弁護士総長)によるデータ侵害の調査
- 対象となる事業体およびビジネスアソシエイトに関する苦情の調査
- HIPAAコンプライアンス監査
データ侵害にHIPAA違反が含まれていない場合、または苦情が根拠のないものであることが判明した場合でも、OCRは、金銭的ペナルティを正当化する可能性のある無関係のHIPAA違反を発見する場合があります。
内容最も一般的な10のHIPAA違反は何ですか?
以下にリストされているのは、HIPAA規則に違反していることが判明し、HIPAAの対象となるエンティティおよびビジネスアソシエイトの例とともに、最も一般的なHIPAA違反の10です。これらの違反は、OCRおよび州の弁護士総長と解決する必要がありました。多くの場合、調査により複数のHIPAA違反が発見されました。和解金額は、違反の重大性、違反が続くことが許されている期間、特定された違反の数、および対象となる事業体/ビジネスアソシエイトの財政状態を反映しています。
ヘルスケアのスヌーピング記録
プライバシー規則で許可されている理由以外の理由(治療、支払い、医療業務)で患者の健康記録にアクセスすることは、患者のプライバシーを侵害します。家族、友人、隣人、同僚、有名人の医療記録を覗き見することは、従業員が犯した最も一般的なHIPAA違反の1つです。発見された場合、これらの違反は通常、解雇につながりますが、関係する従業員に刑事責任を問われる可能性もあります。スヌーピングの防止に失敗した医療機関に対する罰金は比較的まれですが、カリフォルニア大学ロサンゼルス校の医療システムが発見したように、罰金が科せられる可能性があります。
カリフォルニア大学ロサンゼルス校の医療システムは制限を怠ったことで865,000ドルの罰金を科されました。医療記録へのアクセス。医師が有名人や他の患者の医療記録に許可なくアクセスしたことが発見された後、医療提供者が調査されました。 Huping Zhou博士は、彼がすぐに解雇されることを知った後、許可なく323回患者の記録にアクセスしました。周博士は、HIPAA違反で投獄された最初の医療従事者になり、連邦刑務所で4か月の刑を宣告されました。
組織全体のリスク分析の実施の失敗
失敗組織全体のリスク分析を実行することは、金銭的なペナルティをもたらす最も一般的なHIPAA違反の1つです。リスク分析が定期的に実行されない場合、組織は、PHIの機密性、整合性、および可用性に対する脆弱性が存在するかどうかを判断できません。したがって、リスクは対処されないままであり、ハッカーに門戸が広く開かれたままになる可能性があります。
組織全体のリスク評価を実施できなかった場合の対象事業体とのHIPAA和解には、次のものがあります。
- Premera Blue Cross –リスク分析とリスク管理の失敗およびその他の潜在的なHIPAA違反に対する6,850,000ドルの決済
- Excellus Health Plan –リスク分析とリスク管理の失敗およびその他の潜在的なHIPAA違反に対する5,100,000ドルの決済
- Oregon Health & Science University –全社的なリスク分析が不足しているため270万ドルの和解。
- Cardionet –不完全なリスクのために250万ドルの和解分析とリスク管理プロセスの欠如。
- Cancer Care Group –全社的なリスク分析の実施に失敗した場合の750,000ドルの和解。
- Lahey Hospital and Medical Center –850,000ドルの和解組織全体のリスク評価の実施の失敗およびその他彼女のHIPAA違反。
- Steven A. Porter、MD –リスク分析とリスク管理の失敗に対して100,000ドルのペナルティ。
セキュリティリスクの管理の失敗/リスク管理の欠如プロセス
リスク分析の実行は不可欠ですが、それはコンプライアンスのチェック項目だけではありません。識別されたリスクは、リスク管理プロセスにかけられる必要があります。それらは優先順位を付けられ、合理的な時間枠で対処されるべきです。 PHIのリスクについて知り、それらに対処しなかった場合、市民権局によって罰せられる最も一般的なHIPAA違反の1つです。
特定されたリスクの管理の失敗について対象事業体とのHIPAA和解には次のものがあります。
- アラスカ保健社会サービス局–リスク分析の実行の失敗とリスク管理の失敗に対して170万ドルのペナルティ。
- マサチューセッツ大学アマースト(UMass)–リスク管理の失敗に対して650,000ドルのペナルティ。
- メトロコミュニティプロバイダーネットワーク–リスク管理の失敗に対するペナルティ$ 400,000。
- アンカレッジコミュニティメンタルヘルスサービス–ePHIのリスク管理の失敗に対するペナルティ$ 150,000。
患者の健康記録へのアクセスの拒否/アクセスを提供するためのタイムスケールの超過
HIPAAプライバシールールは、患者に自分の医療記録にアクセスし、要求に応じてコピーを取得する権利を与えます。これにより、患者は自分の記録に誤りがないか確認し、他のエンティティや個人と共有することができます。患者の健康記録のコピーを拒否する、コピーを過大請求する、または30日以内にそれらの記録を提供しないことは、HIPAAの違反です。 OCRは、2019年後半にHIPAAのアクセス権違反を主要な施行目標の1つにしました。
患者の記録へのアクセスを拒否したり、アクセスの提供を不必要に遅らせたりした場合の対象事業体とのHIPAA和解には次のものがあります。 >
HIPAA準拠のビジネスアソシエイト契約の締結の失敗
提供または提供されているすべてのベンダーとのHIPAA準拠のビジネスアソシエイト契約の締結の失敗PHIへのアクセスは、最も一般的なHIPAA違反の1つです。すべてのベンダーに対してビジネスアソシエイト契約が締結されている場合でも、特にオムニバス最終規則の後に改訂されていない場合は、HIPAAに準拠していない可能性があります。
これらの一般的なHIPAA違反の注目すべき和解には次のものがあります。
- ペンシルバニア州、ローリー整形外科クリニックノースカロライナ州–HIPAA準拠のビジネスアソシエイト契約の履行に失敗した場合の750,000ドルの和解。
- ミネソタ州のノースメモリアルヘルスケア–主要な請負業者およびその他のHIPAAとのBAAの締結に失敗した場合の155万ドルの和解違反。
- Care New England Health System –ビジネスアソシエイト契約の更新に失敗した場合の400,000ドルの決済
不十分なePHIアクセス制御
HIPAAセキュリティ規則では、対象となる事業体とそのビジネスアソシエイトは、ePHIへのアクセスを許可された個人に制限する必要があります。適切なePHIアクセス制御の実装の失敗も、最も一般的なHIPAA違反の1つであり、いくつかの罰金が科せられます。
ePHIアクセス制御の失敗に対して対象エンティティに発行される罰金には次のものがあります。
- Anthem Inc. –アクセス制御の失敗およびその他の重大なHIPAA違反に対する16,000,000ドルのペナルティ。
- メモリアルヘルスケアシステム–不十分なePHIアクセス制御に対する5,500,000ドルのペナルティ。
- テキサス州of Aging and Disability Services –リスク分析の失敗、アクセス制御の失敗、および情報システムの監視の失敗に対して1,600,000ドルのペナルティ。
- カリフォルニア大学ロサンゼルス校の医療システム–医療記録へのアクセスを制限しなかった場合のペナルティは865,500ドル。
- Pagosa Springs Medical Center –従業員の解雇およびビジネスアソシエイト契約の欠如後にePHIへのアクセスを終了できなかった場合の111,400ドルのペナルティ。
暗号化の使用の失敗またはポータブルデバイスでePHIを保護するための同等の手段
データ侵害を防ぐ最も効果的な方法の1つは、PHIを暗号化することです。暗号化されたPHIの違反は、データを復号化するためのキーも盗まれない限り、報告可能なセキュリティインシデントではありません。 HIPAA規則では暗号化は必須ではありませんが、無視することはできません。暗号化を使用しないという決定が下された場合は、代わりに同等の代替のセキュリティ対策を使用する必要があります。
PHIの保護に失敗した最近の解決策には、次のものがあります。
- ダラス子供医療センター–ポータブルデバイスでの暗号化の使用の失敗など、既知のリスクに対処するための措置を講じなかった場合の320万ドルの民事罰金。
- フィラデルフィア大司教区のカトリックヘルスケアサービス–650,000ドルの和解暗号化の使用の失敗、企業全体のリスク分析の実施の失敗、およびリスクの管理の失敗。
- Lifespan Health System Affiliated Covered Entity –データおよびデバイスとメディアの暗号化の失敗に対する1,040,000ドルのペナルティ統制により、20,431人の患者のePHIが許可されない開示になります
違反通知の発行期限を60日超過
HIPAA違反通知ルールでは、対象となるエンティティに発行が義務付けられていますなしの違反の通知不必要な遅延、そして確かにデータ侵害の発見から60日以内。その時間枠を超えることは、最も一般的なHIPAA違反の1つであり、今年は2つのペナルティが発行されました。
- プレゼンスヘルス–違反通知の発行を1か月遅らせるための475,000ドルの和解。
- CoPilot Provider Support Services Inc. –違反通知の遅延に関するニューヨーク州司法長官との13万ドルの和解。
保護された医療情報の許可されない開示
HIPAAプライバシールールで許可されていない保護された健康情報は、金銭的なペナルティを引き付ける可能性があります。この違反カテゴリには、患者の雇用主へのPHIの開示、暗号化されていないラップトップコンピュータの盗難または紛失後の潜在的な開示、PHIの不注意な取り扱い、PHIの不必要な開示、「最低限必要な」基準に準拠していないこと、および患者の承認後のPHIの開示が含まれます。
PHIの許可されない開示の和解には、次のものが含まれます。
- メモリアルハーマンヘルスシステム–プレスリリースで患者のPHIを開示するための240万ドルの和解。
- ニューヨーク長老派病院–同意なしに患者を撮影した場合は$ 2,200,000ペナルティ。
- マサチューセッツ総合病院–同意なしに患者を撮影した場合は$ 515,000ペナルティ。
- ルークス-ルーズベルト病院センター–PHIの不注意な取り扱い/雇用主への患者のHIVステータスの開示に対する387,000ドルの和解。
- ブリガムアンドウィメンズ病院–同意なしに患者を撮影した場合の384,000ドルの罰金。
- ボストン医療センター–同意なしに患者を撮影した場合の10万ドルのペナルティ。
PHIの不適切な廃棄
物理的なPHIとePHIがなくなった場合必要で保存期間が満了した場合、HIPAA規則では、情報を安全かつ恒久的に破棄する必要があります。紙の記録の場合、これには細断またはパルプ化が含まれる可能性があり、ePHIの場合、許可されない開示を防ぐために、ePHIが保存されている電子デバイスのデガウス、安全な拭き取り、または破壊が含まれる可能性があります。 PHI / ePHIには次のものが含まれます。
- Parkview Health –PHIを含む紙の記録を安全に廃棄できなかった場合のペナルティ$ 800,000。
- Cornell Prescription Pharmacy –不適切な廃棄に対するペナルティ$ 125,000
- FileFax Inc. –医療記録の不適切な廃棄に対する無効な事業に対する100,000ドルのペナルティ。
医療従事者による一般的なHIPAA違反
医療記録のスヌーピングはかなり明白なHIPAA違反であり、HIPAAトレーニングを受けたすべての医療従事者が知っておくべきことは、雇用主のポリシーとHIPAAルールの違反です。
その他の一般的なHIPAA違反は次のように発生することがよくあります。 HIPAAに関する誤解の結果要件。これらの一般的なHIPAA違反はそれぞれ、上記の違反よりもはるかに少ない数の患者に影響を及ぼしますが、それでもかなりの量の危害を引き起こす可能性があります。関係する患者とその雇用者に。また、解雇を含む責任のある従業員に対する懲戒処分につながる可能性もあります。
以下に、医療従事者が犯した一般的なHIPAA違反の一部を示します。これらの一般的なHIPAA違反は、これらの頻繁な違反領域への意識を高めるために従業員に提供されるHIPAAトレーニングの一部としてカバーする必要があります。
個人の電子メールアカウントにePHIを電子メールで送信し、医療施設からPHIを削除する
勤務時間内に必要なすべてのタスクを完了する時間を見つけるのは難しい場合があり、仕事を家に持ち帰って完了するのは魅力的です。保護された健康情報を医療施設から削除すると、その情報が危険にさらされる危険性があります。これは一般的な従業員のHIPAA違反であり、人員不足の医療施設で日常的に行われている場合もあります。これは、それが許容できる方法であることを意味するものではありません。
同じことがePHIを個人の電子メールアカウントに電子メールで送信する場合にも当てはまります。スプレッドシートのサポートを受けること、翌日のために自宅で仕事を完了すること、バックログに追いつくことなど、意図に関係なく、HIPAA規則に違反します。さらに、個人の電子メールアカウントへのePHIの電子メールは盗難と見なされる可能性があり、その影響は雇用契約の終了よりもはるかに深刻である可能性があります。
携帯型電子機器と事務処理を無人のままにする
HIPAAセキュリティルールでは、PHIとePHIを常に保護する必要があります。事務処理が放置されている場合、スタッフ、患者、または医療施設への訪問者など、許可されていない個人が閲覧する可能性があります。それが起こった場合、それはPHIの許可されない開示と見なされます。
ePHIを含む電子機器は常に同様に保護する必要があります。電子機器は持ち運び可能で価値があります。日和見的な泥棒は、無人のデバイスを簡単に盗み、ePHIにアクセスする可能性があります。医療従事者が暗号化されていないデバイスを医療施設から持ち出し、車や家から盗まれるだけのケースが多くあります。デバイスが保護されていない場合、医療施設内でも盗難が発生しやすくなります。医療従事者は、雇用主のポリシーが遵守されていることを確認する必要があり、デバイスや事務処理を放置することでHIPAA規則に違反しないようにする必要があります。
患者情報を許可されていない個人にリリースする
承認フォームはPHIのいずれかがHIPAAプライバシールールで明示的に許可されている目的以外の目的で第三者に開示される前に、患者から取得したもの。治療、医療費の支払い、または医療業務以外の目的(およびその他の限られた場合)でPHIを開示することは、事前に患者から承認を受けていない場合、HIPAA違反となります。
医療従事者は、事前に次のことを確認する必要があります。患者から承認が得られ、承認フォームに記載されていない個人または企業に情報が開示されていないことを第三者にPHIを開示すること。承認フォームは、患者またはその指名された代表者によって署名されている場合にのみ有効です。
許可なしに患者情報を公開する
前のポイントと同様に、医療従事者は、許可があったとしても、第三者に公開される情報の種類についても注意を払う必要があります。特定の個人、企業、または組織がPHIを受け取ることを許可するフォームが受信されました。
承認フォームには、リリースが承認された情報の種類を含める必要があります。承認フォームに詳細が記載されていない情報は、非公開かつ機密に保つ必要があり、共有しないでください。追加情報の開示は、HIPAAプライバシールールに違反します。
承認の有効期限後のサードパーティへのPHIの開示
すべてのHIPAA承認フォームには、個人の名前またはクラスを含める必要があります。 PHIの受け取りを許可されている人、開示されるPHIの種類、および開示の理由。また、承認の有効期限も含める必要があります。
PHIは、承認が以前にそのエンティティに与えられていたとしても、有効期限が過ぎた後、承認フォームに記載されている個人に開示してはなりません。 PHI。それ以上の開示が行われる前に、新しい承認フォームが必要です。また、有効期限のない承認フォームはHIPAAに準拠していないことにも注意してください。
患者の健康記録の許可されない開示
HIPAAプライバシー規則では、患者は自分のコピーを取得できます。要求に応じて健康記録を作成するか、個人の代表者やその他の個人などの指定された第三者に記録を提供します。患者が直接収集しない場合、記録を公開する前に、HIPAA承認フォームで第三者に患者の承認が与えられている必要があります。
患者のコピーを提供する前に医療記録では、医療従事者は患者または記録を収集する人の身元を確認し、記録を受け取ることを許可された個人にのみ記録が公開されるようにする必要があります。正しい患者の記録が確実にリリースされるように注意する必要もあります。
許可されていないデバイスへのPHIのダウンロード
医療IT部門が、接続するすべてのデバイスを追跡するのは難しい場合があります。ネットワークにアクセスできるデバイスの数を考えると、ネットワークに接続します。これらのデバイスのセキュリティを確保することはさらに大きな問題になる可能性がありますが、これはHIPAAコンプライアンスの要件です。
従業員は、許可されていないポータブル電子デバイスへのePHIのダウンロードに関連するプライバシーとセキュリティのリスクがあることに注意する必要があります。これにより、ePHIが誤って開示されるリスクが高まるだけでなく、デバイスの紛失や盗難が発生した場合、盗難やHIPAA違反と見なされる可能性もあります。
医療記録への不正アクセスの提供
患者の健康情報と医療記録へのアクセスが許可された個人にのみ与えられるようにすることは、対象となる事業体の責任です。これは、一意のログインを介してアクセス制御を実装することで実現されます。
従業員は、同じアクセス権を持たない同僚に健康情報へのアクセスを許可しないようにする責任があります。ログイン資格情報の共有は、ePHIの許可されない開示をもたらすだけでなく、その従業員によって行われたアクションは、アクセスを取得するためにログイン資格情報が使用された個人に起因します。
よくある質問
「リスクを適切で許容可能なレベルに削減する」とはどういう意味ですか?
潜在的なリスクと脆弱性が特定された場合、対象となる事業体とビジネスアソシエイトは規模に応じてどのような対策を実施するかを決定する必要があります。組織の複雑さと能力、すでに実施されている既存の対策、およびデータ侵害の可能性とそれが引き起こす傷害の規模に関連してさらなる対策を実施するためのコスト。
どのように従業員が医療記録を詮索するのを防ぐことは可能ですか?
医療詮索の多くのケースは悪意ではなく好奇心に起因しますが、医療詮索のすべてのケースはHIPAA違反です。従業員が医療を詮索するのを防ぐため記録、対象エンティティは、トレーニングプログラムを実装し、アクセス権限が最低限必要な基準に準拠していることを確認し、監査ログをアクティブにして、制裁を実施する必要があります。
暗号化が必須でない場合、HIPAA違反になる可能性があります。レコードは暗号化されていませんか?
暗号化は必須ではありませんが、セキュリティルールのアドレス可能な実装仕様です。つまり、組織は、状況に応じて合理的かつ適切でない場合、または代替のセキュリティ対策が同等に効果的である場合にのみ、要件の実装を回避できます。組織が暗号化の実装に失敗した場合、その理由を文書化する必要があります。
患者の健康記録へのアクセスを拒否した場合の罰金が非常に高かったのはなぜですか?
この特定のケースでは、対象事業体の非協力が罰金の額に寄与しました(あなた ここでケースについて読むことができます)。 このケース以降、CMSの意味のある使用プログラムは相互運用性の促進プログラムに進化し、HIPAA違反の制裁に加えて、対象となる事業体が適時に健康記録を提供しなかった場合、その割合も失われる可能性があります。 メディケアの支払い。