診療所におけるPHIへのリスクを軽減するための予防策

医療における情報技術の利用の増加に伴い、あなたの診療所は彼らが担当する患者の保護された健康情報（PHI）のセキュリティを維持する方法を見つけ続けなければなりません。

HIPAAセキュリティとは

健康保険の携帯性および説明責任法（HIPAA）セキュリティとは、あらゆる電子形式でPHIの安全対策を確立することを指します。これには、電子的に使用、保存、または送信された情報が含まれます。 HIPAAが対象となる事業体として定義している施設はすべて、患者の情報のプライバシーとセキュリティを確保し、保護された健康情報の機密性を維持する責任を負っています。

対象となる事業体は、法律により、セキュリティ規則に準拠したポリシーと手順を作成し、これらのポリシーと手順の記録とセキュリティ規則で必要なアクセス、アクション、アクティビティ、および評価の記録を維持することが求められます。

HIPAAセキュリティを維持するための規則

HIPAAセキュリティを維持するための規則には、3つの主要分野に対する保護措置が含まれています。

管理上の保護手段

• 診療所スタッフによるコンプライアンスを確実にするために、方針と手順、内部監査、緊急時対応計画およびその他の保護策の開発を含む正式なセキュリティ管理プロセスを開発する。
• セキュリティ対策の使用およびスタッフの行動を管理および監督するために、指定された人にセキュリティに対する責任を割り当てます。
• 保護された健康情報にアクセスするための適切なトレーニングと適切な承認をスタッフに確実に与える機能を実装します。
• すべてのスタッフのアクセスレベルを定義し、それをどのように許可するかを決定します
• 管理を含むすべての診療所スタッフがセキュリティトレーニングを受け、定期的に注意を喚起し、ユーザー教育を受けるようにして、法とガイドラインを常に最新の状態に保つようにします。

物理的な保護

• 保護された健康情報を安全な場所に保管し、無許可の人や侵入者へのアクセスを制限する従業員用の作業スペース（ドアのロックを解除する鍵、鍵、バッジの使用を含む）。
• アクセス許可、機器管理、および訪問者の処理を確認するためのポリシーを作成します。あなたの診療所が保護された健康情報を保護するのにどのように役立つかについての指示を含む文書を作成して提供します（例えば、コンピュータを無人のままにする前にログオフする）。
• 火災やその他の危険に対する保護を提供する
• 電子的に保護された健康情報の転送、削除、廃棄、および再利用のためのポリシーと手順を開発する。

技術的な保護

• パスワードと暗証番号を含む固有のユーザー識別を確立します
• 自動ログオフコントロールを採用する
• 監査目的のためのシステム活動の記録と調査
• 暗号化制御を利用してネットワーク上の送信データを保護する
• 許可されたユーザーだけに保護された健康情報へのアクセスを許可する
• 保護された健康情報への不正アクセスから保護する

HHS.govによるHIPAAセキュリティ規則の詳細

HIPAAセキュリティ規則では、管理上、物理上、および技術上の保護措置について多くのガイドラインを規定していますが、すべての詳細については説明していません。 HHS.govは、セキュリティ標準への洞察を与えるように設計された教育論文を提供しています。提供される追加情報には、対象エンティティのセキュリティ101、ポリシーの要件、手順、文書、リスク分析とリスク管理、および小規模プロバイダのセキュリティ基準が含まれます。