保健福祉省(HHS)民間権局(OCR)は、2023年度の健康保険の携行性と説明責任に関する法律(HIPAA)のプライバシー、セキュリティ、および流出通知ルールへの準拠状況と、保護されていない保護対象医療情報の流出について、健康情報技術経済臨床医療法(HITECH法)第13424(a)条で要求されているとおり、連邦議会に報告書を提出しました。
OCRはデータ流出ポータルを管理しており、HIPAA規制対象事業者はこれを通じて保護されていない保護対象医療情報の流出報告を提出する必要があります。また、個人が医療情報プライバシー苦情を提出できるウェブページも運営しています。データ流出と苦情件数の増加傾向が続いており、OCRの限られたリソースに対してさらなる圧力をかけていますが、OCRは2023年に苦情とデータ流出調査のバックログ削減で進捗を遂行しました。
報告書によると、500人未満の個人情報に関連するデータ流出は前年度比7%増加し、500人以上の個人情報に関連するデータ流出は前年度比17%増加しました。苦情は2%増加し、OCRが開始した準拠状況確認は14%増加しました。合計で、OCRは2023年度に14件の調査を決済し、総額773万5,000ドルの和解金を徴収しました。これは2022年より4件少ない罰金ですが、総罰金額は前年度比693万2,500ドル増加しました。また、OCRはHIPAA権に関する国民教育を改善し、規制対象事業者にOCRに報告された大規模データ流出の準拠状況および傾向についてアドバイスするため、182回の啓発活動を実施しました。
2023年の医療データ流出
2023年度、OCRは500人以上の個人情報に関連するデータ流出の報告732件を受けました。これらのデータ流出を通じて、1億1,317万3,613人の保護対象医療情報が暴露、盗難、または不正に開示されました。その年最大の医療データ流出はHCAヘルスケアで、1,127万人の個人情報に関連していました。2023年の平均データ流出規模は15万4,609人でした。
500人以上の個人情報に関連するデータ流出の概要
OCRは医療データ流出に対して5つの分類を持っており、大規模な医療データ流出の大多数がハッキング/IT侵害カテゴリーに該当しました。ハッキングとIT侵害はその年のデータ流出の81%を占め、流出データ記録の96%を占めました。
| 流出の原因 | インシデント数 | 影響を受けた個人 | 最大データ流出 |
| ハッキング/IT侵害 | 590 | 1億870万5,761人 | 1,127万人 |
| 不正アクセス/開示 | 120 | 435万9,037人 | 317万9,835人 |
| 盗難 | 14 | 6万9,893人 | 3万4,016人 |
| 喪失 | 4 | 1万6,247人 | 1万3,184人 |
| 不適切な廃棄 | 4 | 2,675人 | 1,005人 |
500人未満の個人情報に関連するデータ流出の概要
OCRは2023年度に500人未満の個人情報に関連するデータ流出の報告6万8,315件を受けました。小規模なHIPAAデータ流出は大規模なデータ流出をはるかに上回っていますが、通常はわずかな個人のみに影響を与えます。これらのHIPAAデータ流出を通じて、26万9,290人の保護対象医療情報が暴露、盗難、または不正に開示されました。平均流出規模は4人未満でした。小規模な流出の大多数は人為的ミスが原因でした。従業員のミスおよびHIPAA要件に関する理解不足が原因です。最も一般的な原因は誤方向通信(ファックス、メール、郵送)と同僚、友人、家族および他の個人の医療記録への不正アクセスでした。
| 流出の原因 | インシデント数 | 影響を受けた個人 | 流出の割合 |
| 不正アクセス/開示 | 64,231 | 178,031人 | 66% |
| 喪失 | 2,414 | 10,186人 | 4% |
| ハッキング/IT侵害 | 753 | 61,021人 | 1% |
| 盗難 | 714 | 15,742人 | 1% |
| 不適切な廃棄 | 203 | 4,310人 | <1% |
2023年のHIPAA違反疑惑解決のための和解
OCRは2023年に14件の調査を財務的罰金と是正措置計画で和解しました。民事金銭罰は課されませんでした。
| HIPAA規制対象事業者 | 影響を受けた個人 | 和解金 |
| モンテフィオーレ・メディカル・センター | 12,517人 | 475万ドル |
| LA Care Health Plan | 1,498人 | 130万ドル |
| ラフォーシュ・メディカル・グループ | 34,862人 | 48万ドル |
| MedEvolve Inc. | 230,572人 | 35万ドル |
| ヤキマ・バレー・メモリアル・ホスピタル | 415人 | 24万ドル |
| Optum Medical Care | 1人 | 16万ドル |
| 医師管理サービス | 206,695人 | 10万ドル |
| セント・ジョセフ・メディカル・センター | 3人 | 8万ドル |
| UnitedHealthcare | 1人 | 8万ドル |
| iHealth Solutions(Advantum Health) | 267人 | 7万5,000ドル |
| グリーン・リッジ・ビヘイビオラルヘルス | 14,000人 | 4万ドル |
| フェニックス・ヘルスケア(グリーン・カントリー・ケア・センター) | 1人 | 3万5,000ドル |
| Manasa Health Center, LLC | 4人 | 3万ドル |
| David Mente, MA, LPC | 1人 | 1万5,000ドル |
HIPAAジャーナルのご愛読者は、これらの数値とHIPAAデータ流出統計ページなどのページの数値との間に矛盾があることにお気づきかもしれません。HIPAAジャーナルは罰金が同意された年ではなく発表された年に罰金を報告しているためです。
2023年、OCRはHIPAA違反を解決するため11の領域で財務的罰金を課しました。財務的罰金をもたらすHIPAA違反として最も一般的に特定されたのは、保護対象医療情報の機密性、整合性、および可用性へのリスクと脆弱性を識別するためのリスク分析を実施しなかったこと、および保護対象医療情報を含む情報システムでのアクティビティのレコードをレビューしなかったことでした。
| HIPAA非準拠の領域 | 事件数 |
| リスク分析 | 7 |
| 情報システムアクティビティのレコードをレビュー | 5 |
| HIPAAAA権 | 4 |
| PHIの不正使用または開示 | 3 |
| リスク管理 | 2 |
| HIPAAセキュリティルール方針および手続 | 2 |
| 情報システムのアクティビティを記録/検査するためのメカニズム | 2 |
| 業務提携契約 | 1 |
| HIPAAプライバシールール方針および手続 | 1 |
| リスク/脆弱性を軽減するためのセキュリティ対策 | 1 |
| 定期的な技術的および非技術的評価 | 1 |
2023年のHIPAA苦情と準拠状況確認
OCRは医療情報プライバシー苦情ウェブページを通じて提出された苦情を調査し、苦情が実証された場合は準拠状況確認を開始します。準拠状況確認はデータ流出に応じて開始されます。
HIPAA苦情の概要
- HIPAARulesおよびHITECH Actの違反を主張する新規苦情3万968件を受けました(前年度比+553件)
- 前年から繰り越された公開苦情9,680件(前年度比-1万497件)
- 2023年に3万8,601件の苦情を解決しました(前年度比+6,351件)
- 3万464件の苦情は調査開始前に解決されました(前年度比-2,357件)
- 6,749件の苦情は技術支援を通じて解決されました(前年度比+3,867件)
- 691件の苦情は自発的是正措置を通じて解決されました(前年度比+131件)
- 695件の苦情はHIPAA違反の証拠が不十分でした(前年度比-9件)
- 2件の苦情は調査後にOCRが技術支援を提供した結果を得ました(前年度比-13件)
- 5件の苦情は解決合意、是正措置計画、および金銭和解(32万ドル)で解決されました。これは2022年の3件より多く、2022年には242万5,640ドルの和解金/民事金銭罰が徴収されました。
準拠状況確認の概要
- 苦情に由来しないHIPAA違反の容疑を調査するため、773件の準拠状況確認を開始しました
- 732件の準拠状況確認は大規模なデータ流出(500人以上に影響)によるものでした。9件は小規模な流出に対応するためのもので、32件は他の理由で開始されました
- OCRはこれらの準拠状況確認の737件を2023年に終了しました。580件(79%)は自発的準拠を通じて、60件(8%)は技術支援を通じて、67件(9%)はHIPAA違反の証拠が不十分であったため、30件(4%)は調査の管轄権の欠如によるものでした。
- OCRは9件の準拠状況確認を解決合意および是正措置計画で解決し、財務的罰金で741万5,000ドルを徴収しました。
2022年のHIPAAレポートの概要を確認できます。以下のリンクをクリックして、2023年のHIPAA準拠状況に関する完全なOCRレポート(PDF)および2023年の医療データ流出(PDF)にアクセスしてください。
翻訳元: https://www.hipaajournal.com/ocr-reports-congress-hipaa-compliance-data-breaches-2023/
