OCR HIPAA監査結果からの主な所見と要点

米国保健福祉省（HHS）の公民権局（OCR）は、2016年および2017年に実施した監査結果を公表した。監査対象は、HIPAAのプライバシー規則、情報漏洩通知規則、セキュリティ規則の選定条項に対する被適用機関および業務提携先の遵守状況であり、医療提供者、医療保険計画、医療情報交換機関、業務提携先が含まれた。 要約すると、OCRはHIPAAの「プライバシー慣行通知（NPP）」、アクセス権、情報漏洩通知、セキュリティリスク分析およびリスク管理要件において、重大な不遵守事例を確認した。

本報告書の主な調査結果は以下の通りです：

• NPPの内容。 監査対象の事業体のうち 、有効なNPPの内容要件を完全に満たしていたのはわずか2%であった。大半の事業体は、個人の権利に関する必須内容を提供していなかったか、あるいは平易な言葉で書かれたNPPを提供していなかった。
  
  
• 目立つ場所に掲示されたNPP。対象事業者の大半は、自社のNPPをウェブサイト上で目立つ場所に掲示するという要件を満たしていた。 しかしながら、一部の適用対象機関は、NPPをホームページ上に直接掲載しない、またはホームページからアクセスできない形で掲載する、あるいは「ポリシー」や「HIPAA」といった個人を混乱させる可能性のあるタイトルのハイパーリンクを使用する、あるいは「プライバシーポリシー」というタイトルの複数のハイパーリンクを設置し、ユーザーを異なる2つのプライバシーガイドラインに誘導するといった方法で、「目立つ位置への掲示」要件を満たしていなかった。      
  
  
• アクセス権。対象事業者は、指定記録セットにおいて当該個人に関する保護対象健康情報（PHI）へのアクセスを個人に提供することが義務付けられている。しかしながら、ほぼ全ての対象事業者が、アクセス権を保証するための手順を適切に実施していることを示すことができなかった。OCRの監査では、アクセス要求の不十分な文書化、アクセス提供に関する方針の不十分さ・不適切さ・誤り、場合によっては方針の欠如など、繰り返し確認される課題が判明した。    
  
  
• 違反通知規則。監査対象となった被保険者の大多数は、HIPAA違反通知規則が定める60暦日という規制期間内に個人への違反通知を発行した。しかし、大半の被保険者は個人への通知書に必須内容を記載していなかった。 OCR（保健福祉省市民権利局）は、最も頻繁に省略された必須事項として、以下の点を指摘した：- 漏洩に関与した保護されていない個人健康情報（PHI）の種類に関する説明- 漏洩による潜在的な危害から身を守るために個人が取るべき措置- 不十分な連絡先情報- 当該機関の調査および軽減活動に関する説明 
  
  
• セキュリティリスク分析。OCRは、監査対象の被規制機関および業務提携先の20％未満が、リスク分析活動を通じて電子化個人健康情報（ePHI）を保護する規制上の責任を果たしていないことを確認した。 OCRは、被保険事業体および業務提携先が一般的に以下の事項を怠っていると指摘した：- 全てのePHIに対するリスクの特定・評価- リスク分析実施のためのポリシー及び手順の策定・実施- ePHIへの潜在的影響を踏まえた脅威及び脆弱性の特定- ePHIに影響を及ぼす可能性のある変更や事象への対応としてのリスク分析の見直し及び定期的な更新- ポリシー及び手順に沿ったリスク分析の実施
  
  
• リスク管理基準。OCRは、被保険事業体と業務提携先の双方が、前述の通り適切なリスク分析を実施しなかったため、セキュリティ計画を特定されたリスクの管理に結びつけることができなかったと認定した。被保険事業体の圧倒的多数（94%）および業務提携先（88%）が、適切なリスク管理活動を実施していなかった。

上記の監査対象領域は、情報漏洩や個人苦情の調査において、調査官によるより厳格な精査を受ける可能性が高い。したがって、対象事業体および業務提携先は、自社のプライバシーポリシーと実践を監査し、少なくともOCRの監査結果から得られた以下の教訓を考慮すべきである：

• NPPには、個人の権利に関する要素を含むその他すべての必須要素を含め、平易な言葉で記述されなければならない。対象事業者は、OCRのウェブサイトに掲載されているモデルNPPを参照し、指針を得るべきである。
  
  
• HIPAA通知書（NPP）は、対象事業体のウェブサイト上で容易にアクセス可能かつ目立つ場所に掲示されるべきである。 ベストプラクティスには、以下の事項が含まれる：- ホームページ上にHIPAAプライバシー慣行通知へのリンクを明示的に表示すること- リンクが機能し、個人を適切なプライバシーガイドラインへ誘導することを確認すること- NPPが当該ウェブサイトを管理する正しい対象事業体を特定していること- 複数の対象事業体が組織化された医療提供体制に参加している場合、共同通知を提供し、その共同通知が適用される対象事業体または対象事業体の区分を具体的に明記すること
  
  
• 個人のアクセス権に関する文書、方針、手順を検証し、個人記録請求プロセスの実証と改善を図る。本監査報告書は、OCRが個人の医療記録へのアクセス権および管理権の行使を強力に執行した年の終盤に提出された。OCRが最近、HIPAAプライバシー規則改正のための規則制定案通知を発行したことから、アクセス権の遵守は引き続き注目される見込みである。同改正案では、アクセス権の拡大を含む複数の見直しが図られている。 したがって、被保険者及び業務提携先は、2021年もOCRによる個人の健康情報へのアクセス権侵害に対する執行が継続されることを想定すべきである。追加支援を求める被保険者及び業務提携先向けに、国家医療情報技術調整官室は「患者のための健康記録プロセスの改善」など、この特定課題に対応する支援ツールを開発している。
  
  
• 漏洩通知書は平易な言葉で作成され、以下を含まなければならない：漏洩の概要（発生が推定される日付および発見日を含む）、漏洩に関与した個人健康情報（PHI）の説明、 個人が漏洩による潜在的な被害から身を守るために取るべき措置；被保険事業体が漏洩の調査、被害の軽減、およびさらなる漏洩の防止のために実施している措置の説明；該当する場合、被保険事業体または業務提携先の連絡先情報。
  
  
• 電子保護健康情報（ePHI）に対する潜在的なリスクと脆弱性について、セキュリティリスク分析を実施すること。分析を内部で実施する場合も、第三者ベンダーを通じて実施する場合も、被保険事業体および業務提携先は、方針、手順、環境・運用・セキュリティインシデントの変化に即した適切かつ最新のリスク分析を維持する責任を負う。OCRは、リスク分析に関するガイダンスを求める被保険事業体および業務提携先向けに、有用なリソースとリンクを提供している。
  
  
• 適切なリスク管理戦略を実施する。対象事業体および業務提携先は、セキュリティリスク分析の結果に焦点を当て、特定されたリスクの管理にセキュリティ計画を結びつける必要がある。 セキュリティ規則の遵守を促進・奨励するため、議会は立法案を提案している。これはHITECH法の改正により、OCRが執行及び規制措置に関する判断を行う際に、対象機関または業務提携先が公認のセキュリティ基準を満たしているかどうかを考慮することを義務付けることで、事実上のセーフハーバーを創設するものである。