前回の記事では、HIPAA (Health Insurance Portability and Accessibility Act) の歴史について説明しました。 前回もお伝えしたように、HIPAA は 5 つの「タイトル」に分類される一連の法律で、それぞれが異なるトピックをカバーしています。 このうち、Title IIはプライバシーを扱っているため、最も馴染みがあると思われます。 しかし、HIPAAのTitle IIを詳しく調べてみると、プライバシー以外にも多くのことが書かれており、実際、どのTitleよりも広い範囲をカバーしていると言えるでしょう。
HIPAA Title II Breakdown
HIPAA の Title II には、5 つの規則が含まれています。
- Privacy Rule
- Transactions and Code Sets Rule
- Security Rule
- Unique Identifiers Rule
- Enforcement Rule
これらの各ルールはさらに分解されてさまざまな部分をカバーするようになっています。 この記事では、タイトル II のあまり知られていないセクションに焦点を当てますが、全体を語るには、プライバシーについても話す必要があります。
タイトルIIについては、最初のセクションが包括的な目標である「Preventing Healthcare Fraud and Abuse」であるかのように考えるのが効果的です。 一歩下がってTitle II全体を見ると、すべての部分が不正行為の防止と一致し、ばらばらに見えるかもしれない部分が文脈に戻されます。
Privacy Rule
プライバシー規則の大部分は、PHI(Protected Health Information)を対象としています。 ほとんどの場合、何が共有できて、できないのか、誰と共有するのかが明確になっています。 Privacy Ruleの意図しない結果として、一部の施設は実際、その解釈においてあまりにも制限的であるということがあります。 とはいえ、施行規則に規定されている重大な結果を考えると、慎重を期すことをお勧めします。
Privacy Ruleの雑草の中で迷子になるのは簡単なので、ここではあまり踏み込まないことにします。 概要として知っておくべきことは、同意と開示の両方が重要であり、PHIの使用は6つの領域に制限されているということです。
- For the treatment, payment and operations
- For accidents used
- In benefit of public interest
- When personal-identifiable information has been removed
この中で赤信号のものがいくつかありますね、それについて説明しましょう。 1つ目は、「付随的な使用」を認める例外規定です。 これは、許可された使用に付随して行われる開示と定義されています。
病院の訪問者が、医療従事者と他の医療従事者や患者との秘密の会話を聞いたり、サインインシートや看護ステーションのホワイトボードに患者の情報をちらりと見たりすることがあります。 HIPAA プライバシー規則は、こうした慣習的で不可欠なコミュニケーションと実践を妨げることを意図しておらず、したがって、その基準を満たすために、付随的な使用や開示のリスクをすべて排除することを要求していません。 公共の利益は12の規則によって厳密に定義され、その中には法律で要求されるもの、虐待の犠牲者、法執行目的などが含まれる。 公共の利益の例外は、PHIを簡単に利用できるものではないことは、言うまでもない。
Privacy Ruleを深く掘り下げることもできますが、物事の要点はすでによく理解されているので、ここではあまり時間をかけたくありません。
Transactions and Code Sets Rule
ここからが、特にEligibleにとって本当に興味深いところです。 まず、Title II のすべての領域が詐欺と乱用の防止に重点を置いているという理解に戻りましょう。 HIPAAの目標のひとつは、米国のヘルスケアシステムをより効率的にし、ひいてはより安全にすることです。 効率化には標準化が必要であり、それを実現するのが「トランザクションおよびコードセット規則」です。 HIPAA以前は、すべての取引に書類作成や電話連絡が必要でした。 HIPAA後は、これらの情報はすべて電子的に転送できるようになりました。
AMAによると、この一連のルールは、「保険継続のための個人への請求にかかる追加費用」に対処するために、ヘルスケア業界から実際に要請されたものです。 この要請を取り巻く論理は、患者情報をデジタル環境で作成、維持、保存する必要がある方法を扱っています。 さらに、電子カルテへの移行に伴い、このデータのための標準化された方法を持つことが重要であった。
トランザクションとコード セットの全体は、ここで説明するにはあまりに複雑です。 この投稿の目的のために、知っておくべきことは次のとおりです。
傷害の最初の報告から患者の適格性、および請求状況のリクエストまでのすべてには、対応する番号を持つ固有のトランザクション タイプが与えられています。 たとえば、270/271を見たことがあるなら、これらは適格性要求とその要求に対する応答のコードです。 これらの各トランザクションタイプは、米国規格協会認定標準化委員会X12(ANSI ASC X12、または単にX12)によって正式に決定されました。
事業体がHIPAAの対象である場合(そしてほとんどが対象)、電子トランザクションにX12 EDIを使用することが要求されます。
Security Rule
Security Rule は Privacy Rule と関連していると考えるのが最も簡単かもしれません。 プライバシー規則があらゆる形態のPHIに影響を与えたのに対し、セキュリティ規則は特に電子的PHI(ePHI)に関係するものである。 HIPAA適用事業者がePHIを使用する場合に実施しなければならない保護措置の要件が規定されています。
これらのセーフガードは、3つの分野に分かれています。
- Administrative
- Physical
- Technical
これらの領域内には、カバー・エンティティが取らなければならないステップの詳細が記載されています。 たとえば、管理的なセーフガードでは、承認、確立、変更、および終了をカバーする書面によるプライバシー手順が整備されていることが要求されます。 物理的な保護措置では、セキュリティ計画、保守記録、訪問者の付き添いなどのアクセス制御が要求される。 最後に、技術的な保護措置として、チェックサムの使用、暗号化、文書化に関する要件が定められています。
Unique Identifiers Rule
NPI については、おそらく以前に聞いたことがあると思います。 National Provider Identifierは10桁の英数字からなる文字列で、HIPAAの対象となる各エンティティーに固有のものである。 DEA番号、タックスID番号、その他の識別子に代わるものではなく、またいかなる情報も含むことはできません。 しかし、HIPAA適用事業者がPHIを処理し取り扱うためには、この番号が必要である。
Enforcement Rule
さて、タイトルIIに規定されている要件をすべて説明しましたが、これが破られたらどうなるのでしょうか。 そこで登場するのが「Enforcement Rule(施行規則)」です。 Enforcement Ruleでは、違反した場合に特定の罰金を科すというだけでなく、調査や罰則、公聴会の手続きも定めています。
Enforcement Ruleでは、罰金は100ドルから25万ドルの範囲で、違反の重大性によって異なります。 また、偶然に起こった違反と、故意に行われた違反の間に指定があります。 推測できるように、100ドルの罰金は、人が誤ってHIPAAに違反した場合に起こり、一方、最大の罰金は、商業利用、個人的利益、悪意ある損害のためにPHIを販売または譲渡する意図がある違反のために確保されています。
言うまでもなく、タイトルIIは膨大な規則の集合で、幅広いトピックをカバーしています。 しかし、そのすべての部分が不正や乱用を防止することを目的としているという考えに焦点を当てることで、それらがどのように機能するかについてより良い理解を得ることができます。
。