年次HIPAAコンプライアンストレーニング
目次:
- HIPAAプライバシー規則
- 誰がプライバシールールの対象になりますか?
- 保護されている情報
- プライバシー慣行
- 違反した場合の執行と罰金
- HIPAAセキュリティ規則
- セキュリティルールの対象は誰ですか?
- 保護されている情報
- 管理の簡素化
- トランザクションとコードセット標準
- 雇用者および提供者のための識別規格
- 違反した場合の執行と罰金
- HIPAAに違反しないようにするためのヒント
Getting Started with MaaS360: Navigating the MaaS360 Portal (十一月 2024)
健康保険の携帯性と説明責任に関する法律は1996年に制定されました。これはアメリカ合衆国政府の公民権局によって施行されています。これは、雇用主が退職した場合に従業員が医療保険に加入できるようにし、(ある条件下では)既存の条件にかかわらず医療保険にアクセスできるようにし、患者の健康に関するプライバシー基準を確立することを目的とした連邦ガイドラインです。情報。
- HIPAAプライバシー規則は、個人を特定できる健康情報のプライバシーを保護します。
- HIPAAセキュリティ規則は、電子医療情報のセキュリティに関する国内基準を定めています。
保護された医療情報のプライバシーとセキュリティに対する説明責任を保証するために、医療業界で働く個人にHIPAAの教育と訓練を提供することが法律で義務付けられています。対象となる事業体は、HIPAAの方針と手順について全従業員を訓練しなければなりません。
HIPAAプライバシー規則
個人を特定できる健康情報のプライバシーの基準(プライバシー規則)は、個人の個人の健康情報の保護を具体的に取り上げるように設計されています。 HIPAAコンプライアンスを維持することはあなたの診療所の活力にとって重要です。
誰がプライバシールールの対象になりますか?
- 健康計画
- 医療提供者
- ヘルスケア情報センター
HIPAAで定義されているように、対象となる事業体は、保護された医療情報を電子的に送信する医療保険プラン、医療情報センター、または医療提供者であり、組織、機関、または個人です。
患者およびその機密医療記録を扱う医師およびその他の医療専門家は、患者のプライバシーと機密性を保護するために設計された方針、手順、および法律を遵守する必要があります。すべての医療提供者は、HIPAAコンプライアンスに関してスタッフがトレーニングを受け、情報を提供する責任を負っています。故意または偶然の、許可されていないPHIの開示がHIPAAの違反とみなされます。
- ビジネスパートナー
HIPAAで定義されているように、ビジネスアソシエートは、対象企業のために保護された健康情報の使用または開示を含む業務を行う個人または企業であり、対象企業の従業員ではありません。
保護されている情報
PHIまたは保護健康情報とは、何らかの形式で送信または維持されている、患者の医療記録に含まれる個人を特定する情報のことです。
使用および開示
対象となる事業体は、特定の条件下で許可なく保護医療情報(PHI)を使用または開示することがあります。
- 個人へ
- 治療、支払い、そしてヘルスケア事業
- 同意または異議を申し立てる機会を持つ使用および開示
- 偶発的な使用と開示
- 公益とベネフィット活動
- 研究、公衆衛生または医療業務のための限定データセット
プライバシー慣行
医療提供者は、患者に個人情報保護方針の通知を提供する義務があります。この通知は、HIPAAプライバシー規則で要求されているように、保護された健康情報(PHI)に関連しているため、プライバシーの権利について患者に通知する権利を与えます。
通知には、わかりやすい用語で特定の情報を説明する必要があります。
- プロバイダがPHIを使用して開示する方法
- 患者が自分のPHIに関して持っている権利
- 提供者が自分のPHIのプライバシーを維持することを要求する法律について患者に知らせる声明
- プロバイダのプライバシーポリシーに関する詳細について、どの患者が連絡を取ることができるか
違反した場合の執行と罰金
市民金ペナルティ
- 遵守の失敗ごとに100ドル
- 同じ要件を複数回違反した場合、年間最大25,000ドル
刑事罰(HIPAAに違反して故意にPHIを取得または開示した場合)
- 罰金5万ドル、最高1年の懲役
- 10万ドルの罰金と最長5年間の投獄(違反が誤ったふりを含む場合)
- 罰金25万ドル、最高10年の懲役(違反がPHIの販売、譲渡、または使用を意図している場合)
HIPAAセキュリティ規則
電子的に保護された健康情報の保護に関するセキュリティ基準(セキュリティ規則)
HIPAAセキュリティとは、あらゆる電子形式でPHIに対する保護手段を確立することです。これには、電子的に使用、保存、または送信された情報が含まれます。 HIPAAが対象エンティティとして定義している施設はすべて、患者の情報のプライバシーとセキュリティを確保するとともに、そのPHIの機密性を維持する責任があります。
セキュリティルールの対象は誰ですか?
- 健康計画
- 医療提供者
- ヘルスケア情報センター
HIPAAで定義されているように、対象となる事業体は、保護された医療情報を電子的に送信する医療保険プラン、医療情報センター、または医療提供者であり、組織、機関、または個人です。
- ビジネスパートナー
HIPAAで定義されているように、ビジネスアソシエートは、対象企業のために保護された健康情報の使用または開示を含む業務を行う個人または企業であり、対象企業の従業員ではありません。
保護されている情報
電子PHIまたは保護健康情報とは、任意の形式で送信または維持される、患者の医療記録に含まれる個人を特定する情報のことです。セキュリティルールは、口頭または書面で送信されたPHIを除外します。
管理の簡素化
HIPAAの管理簡素化条項は、電子的に保護された健康情報のセキュリティに関する国内基準を確立しています。これには、取引の規則と標準、および雇用主とプロバイダのコードセットと識別子が含まれます。
トランザクションとコードセット標準
ヘルスケアデータの電子データ交換(EDI)の標準的なトランザクションには、クレームおよびエンカウンター情報、支払いおよび送金に関するアドバイス、クレームのステータス、適格性、登録と登録解除、紹介と承認、給付の調整および保険料の支払いが含まれます。
診断、手順、および医薬品コードの標準コードセットには、HCPCS(補助サービス/手順)、CPT-4(医師手順)、CDT(歯科用語)、ICD-9(診断および入院治療手順)、ICD-10(ICD-10)があります。 2015年10月1日現在)およびNDC(National Drug Code)コード。
雇用者および提供者のための識別規格
標準の識別子には、雇用者識別番号(EIN)と国内プロバイダー識別番号(NPI)があります。 EINは標準取引の雇用者を識別するために使用されます。国内プロバイダー識別番号(NPI)は、HIPAA標準トランザクションで固有プロバイダー識別番号(UPIN)などのプロバイダーIDの代わりに使用される10桁の固有識別番号です。医療従事者は、NPIを取得するためにHIPAAの規制により義務付けられています。
HIPAAセキュリティを維持するための規則には、3つの主要分野に対する保護措置が含まれています。
管理上の保護手段
- 診療所スタッフによるコンプライアンスを確実にするために、方針と手順、内部監査、緊急時対応計画およびその他の保護策の開発を含む正式なセキュリティ管理プロセスを開発する。
- セキュリティ対策の使用およびスタッフの行動を管理および監督するために、指定された人にセキュリティの責任を割り当てます。
- スタッフがPHIにアクセスするための適切なトレーニングと適切な権限を持っていることを確認する機能を実装します。
- すべてのスタッフのアクセスレベルとその許可方法を定義する
- 管理を含むすべての診療所職員がセキュリティ訓練を受け、定期的な注意喚起とユーザー教育を受けることを要求する。
物理的な保護
- 無許可の人や侵入者へのアクセスを制限する、安全な場所および従業員用の作業スペース(ドアのロックを解除する鍵、鍵、およびバッジの使用を含む)にPHIをファイルします。
- アクセス許可、機器管理、および訪問者の処理を確認するためのポリシーを作成します。あなたの診療所がPHIを保護するためにどのように役立つことができるかについての指示を含む文書を開発して提供します(例えば、それを無人のままにする前にコンピュータからログオフする)。
- 火災やその他の危険に対する保護を提供する
技術的な保護
- パスワードと暗証番号を含む固有のユーザー識別を確立します
- 自動ログオフコントロールを採用する
- 監査目的のためのシステム活動の記録と調査
- 暗号化制御を利用してネットワーク上の送信データを保護する
違反した場合の執行と罰金
市民金ペナルティ
- 遵守の失敗ごとに100ドル
- 同じ要件を複数回違反した場合、年間最大25,000ドル
刑事罰(HIPAAに違反して故意にPHIを取得または開示した場合)
- 罰金5万ドル、最高1年の懲役
- 10万ドルの罰金と最長5年間の投獄(違反が誤ったふりを含む場合)
- 罰金25万ドル、最高10年の懲役(違反がPHIの販売、譲渡、または使用を意図している場合)
HIPAAに違反しないようにするためのヒント
- 日常的な会話を通じて情報を開示しないようにするために必要な措置を取る。日常会話を通じて情報の開示を避けます。待合室、廊下またはエレベーターで患者情報を議論する。 PHIの適切な処分そして情報へのアクセスは仕事がその情報を必要とする従業員に厳しく制限されています。基本的な情報は、日常会話で簡単に言及できるほど重要ではないように思えるかもしれませんが、知っておく必要がある場合にのみ共有されるべきです。
- 待合室、廊下またはエレベーターで患者情報を話し合うことを避けます。機密情報は、訪問者や他の患者によって聞かれることがあります。また、患者の記録は、一般の人がアクセスできる場所に置かないようにしてください。チェックインデスクとナースステーションは外に出ているので、コンピュータが常に安全であることを確認するために余分なマイルを取ってください。チャートホルダーを取り付け、前面パネルをHIPAA規格に従ってカバーする必要があります。
- PHIはゴミ箱に捨てないでください。ゴミ箱に捨てられた文書は一般に公開されているため、情報の漏洩となります。 PHIを処分する方法はたくさんあります。紙PHIの適切な処分には、焼却または細断処理が含まれます。電子PHIは、消去、削除、再フォーマット、焼却、溶解、または細断によって処分できます。
- 患者データを保護するために設計された利用可能な技術がいくつかあります。ファイアウォール、ウイルス対策、スパイウェア対策、および侵入検知テクノロジなど、ワイヤレス接続を介してデータを保護するデバイスとソフトウェアを選択することを選択してください。リモート接続を介してデータにアクセスするときは、細心の注意を払ってください。 ITスペシャリストは、セキュリティトークンとパスワードを使用した2要素認証システムを使用することをお勧めします。
