弁護士や会計士はいつHIPAAビジネスアソシエイトになるのか

HIPAA ビジネスアソシエイトとしての役割はサービスに基づいている

マイク・セメル
Blog: 4Medapproved.com/HITSecurity
Twitter: SemelConsulting

弁護士や会計士がHIPAAビジネスアソシエイトであるかという質問は、電子医療情報を保護するためのHIPAAセキュリティルールの枠組みのいくつかのセクションに直接関係しています。 2013年9月23日以降に施行されるHIPAA Omnibus Final RuleにおけるHIPAAビジネスアソシエイトおよび下請け業者の変更により、今日さらに重要となっています。 9月11日以降のセキュリティのように、HIPAAはビジネスの展望を永遠に変えようとしています。 医療機関でなくても、保護されるべき医療情報 (PHI) の保護に責任を持つことができるようになりました。医療機関は、業者のコンプライアンスに対してこれまで以上に責任を持つようになり、弁護士や会計士は、HIPAA を遵守するようになる必要があります。

「業務提携者」とは、保護されるべき健康情報の使用または開示に関わる特定の機能または活動を、対象事業者に代わって行う、あるいはサービスを提供する個人または事業体を指します。

HIPAA 業務提携者は、使用する健康情報の使用を制限する契約を締結する必要があります。 HIPAA Omnibus Final Rule は、HIPAA ビジネス・アソシエイトに対して、HIPAA ポリシーおよび手順、リスク分析、従業員トレーニング、保存する患者データのセキュリティなど、対象事業者と同様に HIPAA を遵守するように求めています。 さらに、同規則は、ビジネス・アソシエートが使用する下請け業者のHIPAA遵守に責任を持たなければならないことを要求している。

HIPAA ビジネス アソシエイトが誰であるかは、非常に重要なことです。 つまり、IT 企業、法律用ソフトウェアを提供する企業、コピー機の修理会社、紙の保管倉庫などは、医療関係者を直接顧客としていなくても、HIPAA に準拠しなければならなくなりました。

弁護士

対象事業体のために行う法的サービスが患者データへのアクセスを伴う場合、その弁護士は HIPAA ビジネスアソシエイトとなります。 不動産や契約などの一部の法的サービスでは、患者の記録へのアクセスは必要ありません。

医療記録を所持しているだけでは、弁護士を HIPAA の業務関係者にすることはできません。 たとえば、医療過誤の訴訟では、担当医を訴える患者は、医療記録を弁護士に渡します。 患者は自分の記録を誰にでも渡すことができるため、この場合、原告の弁護士はビジネス・アソシエイトにならない。 訴えられた医師は、患者の医療記録を弁護士に渡す。

ダラス弁護士会は、「特に、対象事業者を代理する弁護士は、対象事業者からPHIを受け取る（または対象事業者の代理でPHIを作成）場合、ビジネスアソシエイトとなる」と述べています。 したがって、医療計画、プロバイダ、またはクリアリングハウスを代理し、クライアントからPHIを受け取る場合、クライアントとBAAを締結する必要がある。 そうでない場合、クライアントはHIPAAに違反している可能性が高い。” ミネソタ州弁護士会は、「保護された医療情報にアクセスできる法律事務所は、おそらく新しい HIPAA 規則の下で「業務提携者」として分類され、したがって、そうした情報の取り扱いを管理する新しいプライバシー、セキュリティ、および違反通知の要件に従うことになるでしょう」と同意しています。

弁護士は、HIPAA コンプライアンスは契約の練習だと考えがちですが、実際は IT セキュリティとデータ保護の練習なのです。

会計士

医療機関の会計監査を行う会計士は、患者の情報をよく目にします。 治療費を追跡して、患者の自己負担額、保険金支払い、評価損などを調べ、会計システムで取引が適切に処理されているかどうかを確認します。

リスク

弁護士や会計士は、ノートパソコンやその他の携帯端末を持ち歩いています。 患者データが入ったノートパソコンやハードディスクの紛失に対して、多額の HIPAA 罰金が課せられました。 暗号化されたデバイスを紛失した場合、報告すべきデータ侵害ではないため、ノートパソコンや携帯用記憶媒体は暗号化する必要があります。 デバイスは、マルウェア、紛失、盗難から保護する必要があります。

ビジネス関連会社である法律事務所や会計士は、HIPAA ポリシー、ポリシーをサポートする文書化された手順、HIPAA リスク分析、弁護士や会計士を含む管理者やスタッフに対する人材育成を行う必要があります。 また、ケース管理ソフトや監査ソフトに保存されている患者記録が安全であることを確認する必要があります。 暗号化されていない患者情報を社外に電子メールで送信してはならない。 ネットワークとデバイスをマルウェアや不正アクセスから保護すること。 IT サポート会社は、HIPAA の認定を受け、規則を理解している必要があります。

弁護士や会計士が HIPAA 業務提携契約に署名せず、HIPAA コンプライアンスを実施しない場合、彼と共有する情報はすべてデータ漏洩となります。

マイク・セメルは、HIPAA の資格を持ち、病院 (対象事業者) の CIO を務め、ヘルスケアプロバイダー (ビジネスアソシエイト) に IT サポートを提供してきました。また、事業継続計画の資格を持ち、CompTIA Security Trustmark の開発に携わりました。 セメルコンサルティングは、HIPAA SOSと呼ばれるコンプライアンス管理サービス、コンプライアンス監査、Meaningful Useセキュリティリスク分析、および事業継続計画（Business Continuity Planning）を提供しています。 詳しくは、www.semelconsulting.com をご覧ください。