HIPAA規制に遅れずについていくことは、どの診療所にとっても不可欠です。従わないと、非常にコストがかかる可能性があります。HIPAA違反の罰金は、1億ドルから400万ドルを超える範囲です。
ただし、HIPAAへの準拠はそれほど簡単ではありません。規制は常に変化しているため、誤って数百万の罰金を科せられないように、常に最新の状態に保つ必要があります。
コンプライアンスを維持するために、最も一般的なHIPAA違反の例のいくつか(およびそれらを回避する方法)について説明します。ただし、その前に、基本について説明しましょう…
HIPAA違反とは何ですか?
医療保険の相互運用性と説明責任(HIPAA)の違反は、取得、アクセス、保護された医療情報(PHI)の使用または開示は、患者の重大な個人的リスクをもたらす方法で行われます。
規制は、PHIを使用するすべての人に関係します。これには…
- ヘルスプラン
- ヘルスケアクリアリングハウス
請求を電子形式で送信する医療提供者
HIPAA違反の費用はいくらですか?
HIPAAには2つのタイプがあります違反–民事または刑事。違反の種類ごとに微細構造が異なります。
市民HIPAAペナルティ
違反を犯した個人が悪意を持って行わなかった場合、市民ペナルティが与えられます。つまり彼らは怠慢であるか、彼らの行動が間違っていることに気づいていませんでした。
そのような場合の罰則は次のとおりです。
- 個人がHIPAA違反を犯していることに気づかなかった場合、違反ごとに100ドルの罰金が科せられます。
- 個人が行動に合理的な理由があり、故意の怠慢、最低1,000ドルの罰金が科せられます。
- 個人が故意の怠慢で行動していたが、問題を修正した場合、最低1,000ドルの罰金が科せられます。違反ごとに10,000ドル。
- 個人が故意に怠慢で行動し、問題を修正しなかった場合、違反ごとに最低50,000ドルの罰金が科せられます。
刑事HIPAAペナルティ
違反を犯した個人が悪意を持って犯した場合、違反は刑事ペナルティにつながります(これは非常に厳しいものです)。
このような場合の罰則は…
- 個人が故意にPHIを取得して開示した場合、最高50,000ドルの罰金が科せられ、最高1年の懲役が科せられます。
- 個人が虚偽のふりをして違反を犯した場合、最高$ 100,000の罰金が科せられ、最高5年間の懲役が科せられます。
- 個人の利益のために違反を犯した場合(つまり、PHIを販売するか、それを使用して患者に危害を加える場合)、最高250,000ドルの罰金が科せられ、最高10年間投獄される可能性があります。
最も一般的なHIPAA違反の例
1)暗号化の欠如
PHIが適切な手に渡らないようにするには、データが暗号化されていることを確認する必要があります。
これにより、他のすべてのベストプラクティスに加えて、サイバーセキュリティの層が追加されます。侵害が発生してPHIデータが盗まれた場合でも、ハッカーは秘密鍵なしではアクセスできません。
さらに、病院のスタッフも暗号化されたメッセージングアプリケーションを使用する必要があります。確かに、テキストメッセージの送信は、情報を中継する簡単な方法です。ただし、暗号化されたアプリを介して行われない限り、悪意のあるサイバー犯罪者によってテキストが傍受される可能性があります。
2)ハッキングまたはフィッシングされる
被害者になることを実際に期待する人は誰もいません。ハッキングの。テレビ中のセキュリティ違反&ハッキング事件について聞いたことがありますが、特に誰かがあなたを追いかけるとは思わないでしょう。
ただし、ハッキングは非常に正当な脅威です。 2018年だけでも、HIPAA違反について現在調査中のハッキング事件が25件以上あります。
「とにかく、ハッカーはPHIで何ができるのか」と疑問に思われるかもしれません。潜在的なハッキングには2つのタイプがあります。
- ハッカーは、情報の恩恵を受けるサードパーティの組織にデータを販売しています
- ハッカーはランサムウェアを使用しています。つまり、ハッカーはデータを乗っ取り、&は、支払いを受けない限りすべてを削除すると脅迫しています。2016年、 LAの病院は、コンピューターシステムへのアクセスを取り戻すために、ハッカーに約17,000ドルの支払いをしなければなりませんでした。
では、これを防ぐにはどうすればよいですか?フィッシング詐欺師やハッカーから身を守るためのベストプラクティスがいくつかあります。
- すべてのウイルス対策ソフトウェアを最新の状態に保つ
- 暗号化を使用する(前述のとおり)
- すべての重要なデバイスでパスワードを定期的に変更する
- 従業員のステータスに基づいてデバイスとデータへのアクセスを制限する
3)不正アクセス
従業員が自分以外のデータにアクセスする許可されているのは非常に一般的なHIPAA違反です。
好奇心から情報にアクセスしている場合でも、それは違反であり、両方とも罰金の&および情報漏えい。
最悪のシナリオでは、自分の従業員が個人的な利益のためにPHIを販売している可能性があります。
これが起こらないようにするために、承認システムを設定できます。つまり従業員が自分のケースに直接関係のないデータにアクセスすることを禁止します。
さらに、追加の保護手段を設定することをお勧めします。医療業務、治療、または支払いに使用されないPHI情報を開示するには、従業員は適切な機関から書面による同意を得る必要があります。
4)デバイスの紛失または盗難
One最も一般的なHIPAA違反の原因は、会社のデバイスの紛失によるものです。
2017年、Lifespanはニュースリリースで、誰かが従業員の車両に侵入し、仕事用のラップトップを盗んだと述べました。
デバイスはパスワードで保護されておらず、20,000人を超える患者の個人情報は暗号化されていませんでした。
同社は、事件後の状況を修正するために最善を尽くしました。ただし、情報が悪用される可能性を防ぐためにできることは何もありませんでした。
デバイスの盗難を100%確実に防ぐことは不可能ですが、を使用して情報漏えいを回避するのは簡単です。データを保護するための暗号化。そのため、デバイスが盗まれても、泥棒はPHIにアクセスできなくなります。
5)情報の共有
PHIを含む機密情報は必要に応じて使用する必要があります。 -知るための基礎。話し合いの事例を同僚と共有することは無害に見えるかもしれませんが、情報漏えいや訴訟につながる可能性があります。
最も一般的なハッキング方法の1つは、ソーシャルエンジニアリングを使用することです。つまり、ハッカーは、コンピューターを直接ハッキングするのではなく、関連する従業員をだまして情報を提供しようとします。これは、コンピュータシステムにアクセスするために使用される情報、または単にPHIを入手するために使用される情報です。
これが発生しないようにするには、すべての重要な情報が密室でのみ共有されるようにします。許可された担当者と。患者情報を家族と何気なく共有することでさえ、HIPAA違反につながる可能性があります。
6)PHIの廃棄
従業員が不要なPHI情報を適切に廃棄することが重要です。
これは、物理的なドキュメントとデジタルファイルの両方に当てはまります。 。誰かがテーブルのどこかにあるドキュメントを忘れたり、患者情報をデスクトップに残したりすると、悪意のある人の手に渡ってしまう可能性があります(したがって、HIPAA違反になります)。
ここでのベストプラクティスは次のとおりです。情報を安全な場所に保存するか、ドキュメント自体が役に立たなくなった場合は削除/細断処理します。
7)安全でない場所からPHIにアクセスする
多くの臨床医は-何時間もかかり、パソコンを使用してPHIにアクセスします。
これは一見無害に見えるかもしれませんが、悲惨な結果をもたらす可能性があります。
これがうまくいかない可能性のあるさまざまな方法があります…
- 臨床医は、患者の機密情報を開いたままドキュメントを残します彼らのコンピュータとその家族はそれを見ることになります
- 家族が誤ってコンピュータにマルウェアをダウンロードします。次に、ハッカーはPHIデータを見つけて盗みます
これはほんの始まりにすぎません。病院を特に標的にしているハッカーがいる場合、個人にアクセスする方法は他にもたくさんあります。コンピューター。
これを回避するためのベストプラクティスは、患者情報に関係するすべての専用ラップトップを用意することです。&安全な場所からアクセスします。
HIPAA違反を回避する方法
これまでに説明したすべてのHIPAA違反の例の本当の原因は、従業員のトレーニングが不足していることです。
規制がどのように機能するか(およびコンプライアンスを維持する方法)を知っている従業員は、これまでに説明したような間違いを犯す可能性がはるかに低くなります…
- デバイスを安全でない場所に置いたままにする
- 許可されていない担当者と情報を共有する
- PHIドキュメントの不適切な廃棄
- セキュリティで保護されていない場所からのPHIへのアクセス
トレーニングも単なる推奨事項ではありません–すべての従業員は、HIPAAコンプライアンス要件について学ぶ必要があります。
規制では、これは3つのケースで発生する必要があると規定されています。つまり、新入社員の採用時、規制の変更があるとき、および定期的に、全員が適切なノウハウを持っていることを確認するためです。
従業員にHIPAAコンプライアンスの最新情報を提供したいが、どこから始めればよいかわからない場合は、InspiredeLearningがオンラインのHIPAAコンプライアンストレーニングを提供します。無料トライアルを試して、ソリューションが機能するかどうかを確認してください。