ただし、保護された健康情報(PHI)を扱う企業は、物理的、ネットワーク、および手続き上のセキュリティ対策を実装し、遵守する必要があります。 この記事では、HIPAAコンプライアンスの意味、コンプライアンスのチェックリストとフォーム、ズームの仕組み、証明書の取得方法と転送モードについて理解するためのガイドを提供します。
HIPAAコンプライアンス
医療保険の相互運用性と説明責任に関する法律(HIPAA)は、個人の医療記録と情報を保護するために制定された連邦法です。 HIPAAコンプライアンスは、保護された健康情報のプライバシー、機密性、および整合性を確保するためのヘルスケアビジネスの生き方です。
HIPAAへの準拠は、患者の機密データを保護するためのゴールドスタンダードです。 したがって、HIPAAに準拠するには、保護された医療情報(PHI)を処理する企業は、物理的、ネットワーク、および手続き上のセキュリティ対策を実装および維持する必要があります。 HIPAAへの準拠は、対象となるエンティティ(医療、支払い、または運用を提供するエンティティ)およびビジネスアソシエイト(患者情報にアクセスし、治療、支払い、または運用を支援するエンティティ)にも必要です。 たとえば、下請け業者やその他のビジネスアソシエイトは、同じ基準に準拠する必要があります。
HIPAAコンプライアンスチェックリスト
以下は、HIPAA規制への準拠においてビジネスを支援するためのHIPAA準拠チェックリストです。
#1。 監査と評価
データセキュリティ、内部監査、セキュリティ評価、およびHIPAAコンプライアンスチェックリストのプライバシー監査を維持するために、定期的に実施する必要があります。
- NISTを使用して、どのHIPAAルールSP 800-66、リビジョン1の必須の年次監査および評価を組織に適用するかを決定します。
- 必要な監査と評価を実施し、調査結果を分析して、欠陥や欠陥を文書化します。
- このような欠陥や弱点を修正するための徹底的な修理計画を作成して文書化します。
- 計画を実行し、結果を分析し、目的の結果が達成されない場合は、必要に応じて計画を調整します。
#2。 リスク評価
NISTガイドラインに従って、HIPAAコンプライアンスチェックリストで定期的なリスク評価を実施するには、次のことを考慮してください。
- 各エンティティに関連するリスクを個別に評価します。
- 電子健康情報ストレージシステム(ePHI)のリスク評価を実施します。
- リスク管理ポリシーを作成して実装します。
- 潜在的なePHIの懸念の可能性と影響を評価します。
- 特定された機密文書や危険に対して適切なセキュリティ対策を講じます。
- セキュリティのベストプラクティスとメンテナンス要件を確立します。
#3。 ポリシーと手順
ポリシーと手順がHIPAAプライバシールール、HIPAAセキュリティルール、およびHIPAA違反通知ルールに準拠していることを確認します。 年次評価は文書化する必要があります。 以下が設計および実装されていることを確認します。
- プライバシーポリシーと手順は、データ使用ポリシーと慣行、日常的および非日常的な開示、機密データの要求の制限、および関連する問題などの問題に対処します。
- ビジネスアソシエイトのポリシー。 コンプライアンスチェックリストで、既存の契約と契約がHIPAA規則に準拠していることを確認して、それらを変更します。 適切な契約保証を取得し、コンプライアンス違反の罰則の記録を維持します。
- アクセスおよびプライバシーに関する苦情の要求に対応するための手順と日付。 治療、支払い、または医療業務にPHIを使用または開示する前に、患者から書面による許可を取得してください。
#4。 データ保護
また、HIPAAコンプライアンスチェックリストを確認する際には、データの整合性、可用性、および機密性を確保するために、データセーフガードを利用する必要があります。
1.技術的なセキュリティ対策
- 整合性制御と監査:整合性制御は、データが正確で高品質であることを保証するのに役立ちます。 ファイルへのアクセスと変更を監視し、異常な動作があれば通知するように監査手法を構成します。
- 準拠するためにインターネット経由で送信する前に、電子的に保護された健康情報(ePHI)を暗号化します NIST 暗号化規制。
- アクセス、承認、および認証の制御:承認された個人のみが機密性の高い電子記録にアクセスできることを確認します。 パスワードやその他のセキュリティコードは秘密にしておく必要があります。
2.物理的な障壁
- 重要な紙を細断する前に、それらを細断します。
- 安全なワークステーション:ePHIへのアクセスを特定のワークステーションに制限します。 これらのワークステーションの使用を管理するポリシーを確立します。
- デバイスが紛失または盗難にあった場合、またはデバイスがモバイルデバイスを介してアクセスできる場合はデバイスの所有者が会社を辞めた場合に、デバイスからePHIを削除するためのプロトコルを確立します。
3.管理上の保護
従業員のセキュリティ意識とトレーニング:スタッフは、マルウェアの検出と報告の方法など、ePHIアクセスガバナンスとサイバーセキュリティのベストプラクティスについて教育を受ける必要があります。
緊急時にePHIの整合性とセキュリティを確保するための計画を作成します。
#5。 従業員とのコミュニケーションとトレーニング
チェックリストでは、すべての担当者が適切なサイバーセキュリティトレーニングを受講し、チームのメンバーがHIPAAコンプライアンスの重要性について教育を受ける必要があります。
- すべての担当者は、組織のプライバシーポリシーと手順に精通している必要があります。
- すべてのチームメンバーが、確立したHIPAAポリシーと手順を確認して同意したことを確認します。
- すべてのスタッフがHIPAAコンプライアンスに関する基本的なトレーニングを受けていることを確認します。
- すべてのHIPAAコンプライアンストレーニングの文書化と、HIPAAのルールと手順に関するスタッフの証明を維持する必要があります。
- プライバシー侵害が発生した場合に、影響と懲戒規則およびプロセスを作成します。
#6。 プライバシーオフィサーの事務所が設立されました。
プライバシーの問題について責任を負う特定の個人またはオフィスに請求します。
- プライバシーポリシーを作成および実装する担当者を任命します(たとえば、HIPAAコンプライアンス、プライバシー、またはセキュリティ担当者)。
- 毎年のHIPAAトレーニングが、指定されたHIPAAコンプライアンスオフィサーによってすべての従業員に提供されるようにします。
#7。 ビジネスパートナー
頻繁に、すべてのビジネスアソシエイトがHIPAA法に準拠していることを確認してください。
- 機密性の高いePHIレコードを受信、送信、保存、処理、またはアクセスできるビジネスアソシエイトを特定します。
- 各ビジネスパートナーがビジネスアソシエイト契約を締結していることを確認します。
- 毎年、BAAとHIPAAのコンプライアンスを確認します。
- 潜在的なビジネスパートナーに対するデューデリジェンスを実証および文書化する文書を作成します。
#8。 違反を通知するためのチェックリスト
セキュリティインシデントと違反に対応するための方法と手順を確立します。
- PHIセキュリティの侵害に関連する発生のログを維持し、調査を調整します。
- 緩和基準とガイドライン、および違反が発生した場合の懲戒方針と手順を確立します。
- セキュリティ違反やその他のセキュリティ関連のインシデントを報告するためのメソッドを作成します。
- 患者、OCR、およびメディアにセキュリティ違反について通知するためのポリシーを確立します(関連する場合)。
HIPAAコンプライアンスフォーム
HIPAA準拠フォームを使用せずにオンラインで患者情報を収集すると、サイバー攻撃またはHIPAA関連の罰金や罰金が科せられる可能性があります。 その結果、HIPAA準拠フォームは、データ駆動型のアクティビティを実行するために、患者からのフィールド、テキスト、およびその他の入力を含む、ユーザーが記入したデジタルドキュメントです。
HIPAA規制によると、PHIは、医療プロセス中に特定の患者を特定するのに役立つデータとして定義されています。 ただし、このデータには、医療記録、医師のメモ、患者と医師の通信、および患者の支払いと請求に関する情報が含まれます。 したがって、個人の健康情報(PHI)は、患者がデジタル形式で入力する個人に関する情報です。 その結果、そのフォーム内のすべての情報は機密に保たれ、不正アクセスから保護される必要があります。 したがって、複数の規制とガイドラインが、フォームを保護するための重要な対策を規定しています。
- HIPAAのセキュリティルールで指定されているように、フォームは適切に保護する必要があります。 これには、転送中および保存中のデータを保護するための、許容できる適切な暗号化およびセキュリティソフトウェアの導入が必要です。 結果として、フォームはローカルと他のアプリケーションのネットワークを経由するデータの両方を保護する必要があります。
- フォームの送信に使用するデバイスには、認証保護、暗号化、アクセス制御など、適切な技術的および物理的な保護手段が備わっている必要があります。
- フォームがサードパーティのソフトウェアベンダーから提供された場合、CEは、ベンダーとそれぞれの役割と責任の概要を示すビジネスアソシエイト契約(BAA)を締結する必要があります。
これらの保護手段を使用しても、適切な手順(データ管理やデータ収集デバイスの使用など)が使用されていない場合、フォームは非準拠になる可能性があります。 コンプライアンス違反のフォームは、PHIに違反し、ヘルスケア会社を50,000件あたり最大XNUMXドルの罰金、および懲役の可能性にさらす可能性があります。
HIPAA-コンプライアンスフォームプロバイダー
HIPAAコンプライアンスフォームにはプロバイダーがあり、HIPAAコンプライアンスに必要な最良のフォームを提供することもできます。 以下はそれらです。
#1。 Googleスプレッドシートフォーム
Googleフォームは、そのシンプルさ、迅速さ、使いやすさの点で最適です。 さらに、Googleスプレッドシートを含むGoogleCloudと統合されています。 この単純なフォーム開発は、他の専門サプライヤーによって提供される一部の機能を除外する可能性があるため、依然としてコストがかかります。
#2。 Microsoftフォーム
Microsoft Formsは、フォームのデザインを可能にするソフトウェアアプリケーションです。 それらは非常に強力ですが、使用するのはかなり困難です。 これは、AzureなどのMicrosoftクラウドプラットフォームによって後援されています。Azureは、他のMicrosoft製品と同様に、HIPAAに準拠しています。 ただし、習熟度によっては、フォームが少し扱いにくい場合があります。
#3。 フォームスタックフォーム
Formstackは、その機能のみに焦点を当てたもうXNUMXつの優れたフォームサービスでもあります。 さらに、Formstackを使用すると、CEは、患者フォーム用のインテリジェントで状況依存のリストと電子署名を作成できます。これは大きなメリットです。 これらは複雑で便利ですが、より大きなプラットフォームに分割されていないため、追加のストレージと統合のサポートが必要です。
#4。 JotForm
もうXNUMXつの有名なフォームサービスであるJotFormを使用すると、顧客はHIPAA準拠のフォームを作成できます。 それは、のようないくつかの驚くべき機能を持っています 支払いプロセスgおよび構成可能なフォームですが、コンテキスト依存のフォーム構築や分岐の選択など、いくつかの重要なフォームが欠落しています。
HIPAAコンプライアンスとは何ですか?
1996年、米国は、適度な医療改革に向けた第一歩として、医療保険の相互運用性と説明責任に関する法律(HIPAA)を制定しました。 HIPAAの目的は、コストを削減し、管理プロセスと負担を排除し、患者のプライバシーとセキュリティを保護することにより、医療業界を再構築することでもありました。 したがって、今日、HIPAAへの準拠は、主に最終的なポイントを示しています。 したがって、個人の健康情報のプライバシーとセキュリティを保護します。 彼らは、HIPAAに準拠するために、可能な限り最も費用効果が高く、時間効率が高く、簡単な方法で個人および中小企業をサポートすることを専門としています。
HIPAA要件に準拠する必要があるのは誰ですか?
雇用されている、または医療業界に関連している人。 または、保護された健康情報にアクセスできる人はこれに適格であり、その中には次のものがあります。
- 医療関係者
- 従業員健康保険プラン
- 健康保険の提供者
- ヘルスケアクリアリングハウス
- ビジネスアソシエイト(上記の4つのいずれかで働く人)
ズームHIPAAコンプライアンス
この状況でズームが何を指すかを理解することが不可欠です。 Zoomは、ビデオ会議、チャット、およびコラボレーションを単一のプラットフォームに統合するクラウドベースのビデオおよびWeb会議テクノロジーです。 HIPAAコンプライアンスを処理する結果として、多くのヘルスケア企業は、Zoomを利用して同僚と通信し、患者と関わり、機密の健康情報(PHI)を頻繁に共有しています。 さらに、Zoomなどのクラウドベースのプラットフォームプロバイダーはビジネスアソシエイトとして分類されます。つまり、プラットフォームを使用してPHIを交換する場合は、HIPAAコンプライアンス規制に準拠する必要があります。
Zoomは、PHIの機密性を保護するために、さらに上を行くコンプライアンスHIPAAビデオ会議ソフトウェアです。 したがって、XNUMXつの異なる種類のユーザー認証のニーズがあります。 さらに、Zoom HIPAAコンプライアンスは、プロバイダーがプラットフォームにアクセスできるユーザーを制御できるようにするアクセス管理を備えています。
HIPAA準拠では、Zoomはエンドツーエンドの暗号化であり、送信中にすべてのメッセージがスクランブルされ、送信者または受信者にのみ表示されるようにします。 テキストメッセージとチャットセッションも暗号化されます。 したがって、オフラインメッセージにアクセスできるようにするには、すべての関係者が暗号化キー交換を行う必要があります。これには、データの暗号化と復号化のためにすべての関係者が同じキーを所有している必要があります。
ズームは、HIPAA準拠のビデオ会議サービスを探している場合に実行可能な代替手段となる可能性があります。これにより、現在および将来、より効果的に患者とコミュニケーションをとることができます。
HIPAAコンプライアンス認証
したがって、HIPAA認定は、HIPAAに準拠するために会社または組織を支援するために必要なスキルについてトレーニングおよび教育するように設計されたコースを終了したことを示します。 これは、準拠していることを示すものでもありません。 むしろ、それはあなたが医療保険の相互運用性と説明責任に関する法律の用語と適用を教えられたことを意味します。
HIPAA認定トレーニング
ただし、HIPAA認定を取得するには、HIPAA認定コースに登録する必要があります。 このようなコースはオンラインとオフラインの両方で提供されていますが、2015年現在、保健社会福祉省によって認定されているものはありません。オンラインクラスは、自由に修了できるため、非常に便利です。 したがって、このコースは、それぞれの医療部門または組織内でHIPAAコンプライアンスのさまざまな側面を担当する専門家の教育を支援します。 HIPAA認定トレーニングは、HIPAAを直接扱う企業だけでなく、HIPAAと取引する企業にとっても不可欠です。
HIPAA認定を取得する方法
- HIPAA認定を取得するための最初のステップは、HIPAA認定コースを受講する個人に適したHIPAA認定コースを見つけることです。 このようなコースにはすべての従業員を登録することが望ましいですが、人的または経済的な制約のためにこれが不可能な場合は、トレーナーとして教育を受けることができる従業員を選択してください。
- 専門のトレーニング会社がすべてのスタッフをトレーニングできない場合は、「トレーナーのトレーニング」方式を使用できます。
- 健康と安全に関するポリシーに匹敵するHIPAAポリシーと、必要に応じて毎月またはより頻繁に検査される選択された領域を含む適切に記述された手順を用意する必要があります。
これらのいずれも、法律の実施についても訓練を受けたHIPAA認定の専門家がいなければ、専門的に実施することは困難です。
HIPAAコンプライアンス転送
ただし、保護された健康情報を含むファイル転送を処理する組織は、HIPAAセキュリティルール(PHI)に強く従う必要があります。 簡単に言うと、ファイル転送システムは、個人の健康記録(PHI)の機密性、整合性、およびアクセス可能性を保護する必要があります。
セキュリティ上の注意事項は、セキュリティルールでは、管理上、物理的、および技術的な保護手段のXNUMXつのカテゴリに分類されます。 企業は、次のベストプラクティスに従うことで、データを保護し、HIPAA準拠のファイル転送を実行できます。
- 許可されていない個人が保護された健康情報にアクセスするのを防ぎます。
- PHIを含むシステムでのすべてのユーザーアクティビティのログを維持します。
- 転送中のデータを不正アクセスから保護するためのセキュリティプロトコルが設定されていることを確認してください。
- ファイル転送が完了したら、電子セッションを切断します。
- PHIの送信はすべて暗号化する必要があります。
- 転送されたデータが許可なく変更、ハッキング、または破壊されていないことを示します。
HIPAA準拠の情報技術ソリューションの開発、インストール、および監査の豊富な経験を持つ情報セキュリティスペシャリストと協力することが賢明です。
HIPAA に準拠しているとはどういう意味ですか?
HIPAAへの準拠は、患者の機密データを保護するためのゴールドスタンダードです。 HIPAAに準拠するには、保護された医療情報(PHI)を扱う企業は、物理的、ネットワーク、および手続き上のセキュリティ対策を実装および維持する必要があります。
HIPAAのXNUMXつのルールとは?
HIPAAを管理するXNUMXつのルールは次のとおりです。
- プライバシールール
- セキュリティルール
- 違反通知ルール
HIPAA の目的は何ですか?
1996 年の医療保険の相互運用性と説明責任に関する法律 (HIPAA) として知られる連邦法は、患者の知識や同意なしに機密性の高い患者の健康情報が開示されることを防止するための国家基準の策定を義務付けています。
HIPAA を患者にどのように説明しますか?
HIPAA を患者に説明するには、プライバシー ポリシーの内容の概要を患者に説明するのが最善の方法です。 これには、すべての関連情報が含まれます。 たとえば、いつでも医療記録を要求する権利があることを患者に伝えます。
HIPAA の 2 つの主要コンポーネントとは?
タイトル I: ヘルスケア、携帯性、および更新へのアクセス。 失業や異動の場合、健康保険の適用範囲を保護します。 既存の状態に対する補償が含まれます。
既存の状態に対する補償が含まれます。
タイトル II: 管理の簡素化
