Home Page | Skip to Navigation | Skip to Content | Skip to Search | Skip to Footer

Health Insurance Portability and Accountability Act(HIPAA)

概要

ネットワーク化・デジタル化が進んだ現在の社会において、医療関係機関は、課題と機会の両方に直面しています。今日では、医療サービス提供者や医療保険者、患者らの間で、デリケートな患者情報を含む電子化された情報を収集、利用、管理、そして共有するという、これまでにない状況が生まれてきています。これによって、情報の共有しやすさと公開性が高まり、新技術の導入が進み、情報への柔軟なアクセスが可能になったのに伴い、それに付随するリスク──そのほとんどが機密データである共有情報が、何らかの形で侵害されるというリスク──が高まっているのです。Health Insurance Portability and Accountability Act of 1996(HIPAA: 医療保険の相互運用性と説明責任に関する法律)には、このような状況に対処するための要件が定められています。

HIPAA の第1編は、医療関係機関の職員が転職または失業した場合の本人および家族の保護について定めたものです。第2編の「Administrative Simplification(業務管理の簡略化)」は、電子データのやり取りを促進することによって、医療保険の請求処理を合理化・簡略化し、詐欺行為や不正行為を抑止することを目的としています。そして最近になって、患者の医療情報のプライバシーとセキュリティを保護するための要件が追加されました。2003年2月20日に成立したその「HIPAA セキュリティ規則(HIPAA Security Rule)」では、主に、「保護されるべき電子医療情報(Electronic Protected Health Information: EPHI)」の機密性、完全性、および可用性を維持することについての義務が定められています。現在、各医療機関は、HIPAA セキュリティ規則で定められた要件を遵守するために大変な労力を費やしています。

HIPAA の対象になる組織

HIPAA は、すべての医療サービス提供者(病院、医師)、医療保険者(保険会社、自家保険者)、および医療情報センターに適用されます。施行するのは、米保健社会福祉省の一連邦機関であるメディケア・メディケイド・サービスセンター(The Centers for Medicare and Medicaid Services: CMS)です。HIPAA を遵守していない場合は、罰金などの行政処罰、さらに場合によっては刑事訴追を受ける可能性があります。また、患者情報を侵害されるなどした場合は、患者や関係機関からの信頼を失い、社会的に大きなダメージを被るおそれもあります。

HIPAA の影響を受ける IT システムおよびプロセス

医療情報の保護を困難にしている要素としては、「組織および通信ネットワークの拡大」、「情報の収集、利用、および共有の活発化」、「医師、患者、および職員における情報アクセス・ニーズの高まり」、「新しい技術の登場」、「サイバー攻撃および脅威の高度化」などが挙げられます。情報にアクセスすることのできる関係者の数が増え、情報を格納および伝送するネットワークの規模が拡大していくと、それらを適切に保護することは次第に困難になってきます。こうした状況の中で HIPAA を遵守するためには、ネットワーク・セキュリティに対する統制を強化して、権限のない人物・組織が許可されていない情報や場所にアクセスできないよう、厳格な監視体制を築くことが必要となります。

HIPAA に関するその他の情報: