TokyoBlackHatNews

hipaajournal.com 14分で読了

HIPAAコンプライアンスソフトウェア

HIPAAコンプライアンスソフトウェアの目的は、HIPAAの適用対象機関(カバードエンティティ)またはビジネスアソシエイトがHIPAAへの準拠プロセスを進めるための枠組みを提供し、HIPAAへの継続的なコンプライアンスを支援することにあります。

ImageHIPAAコンプライアンスソフトウェアは、管理者・事業主・クリニック管理者・コンプライアンス担当者など、他の業務を兼任しながらコンプライアンスに取り組み、医療規制の専門的な知識を持たない方々が、HIPAAの細かな規定を理解し、HIPAAプライバシー規則・セキュリティ規則・侵害通知規則のすべての適用条項を満たすための手助けをします。また、コンプライアンス活動の完全な文書化を維持することで、企業がHIPAA遵守に向けて誠実な努力を行ったことを証明する役割も担っています。

これにより、HHS傘下の公民権局(OCR)による監査や、データ侵害に関するOCRまたは州司法長官の調査を受けた場合でも、HIPAAのいかなる側面も見落としていないこと、すべてのポリシーと手順が整備されていること、職員がHIPAAトレーニングを受けていること、そして適切な技術的・物理的・管理的保護手段が実施・維持されていることを組織として証明できます。さらに、適切なコンプライアンスソフトウェアは、事前の文書化だけでなく、実際に調査が始まった際のサポートも含まれています。

なお、HIPAAコンプライアンスソフトウェアを使用しているからといって、あらゆる状況(例えば従業員によるHIPAA違反など)において組織の法的責任が免除されるわけではありません。ただし、規制当局は、財務的ペナルティやその他の制裁措置が適切かどうかを判断する際に、カバードエンティティやビジネスアソシエイトのHIPAA遵守に向けた誠実な努力を考慮に入れます。継続的に維持された文書化の充実したコンプライアンスプログラムは、OCRの調査が入った際に組織を守る最も強力な手段です。

HIPAAコンプライアンスソフトウェアで近道をしない

多くのコンプライアンスソリューションは、リスクアセスメントなど、HIPAAコンプライアンスの特定の要素のみに対応しています。HIPAAリスクアセスメントソフトウェアは出発点として有効ですが、HIPAAセキュリティ規則の必須条項の一つに過ぎません。

HIPAAコンプライアンスの特定の側面のみをカバーするソフトウェアでは、カバードエンティティやビジネスアソシエイトが完全なコンプライアンスを評価・証明することはできません。コンプライアンスプログラムに自信がある場合でも、HIPAAのすべての必須・任意実装仕様、HITECH法の侵害通知要件、さらには州法までを網羅した包括的なソフトウェアソリューションを使用することが最善です。

包括的なコンプライアンスソリューションが最も高価な選択肢である必要はありません。多くの組織にとって最も現実的な選択は、不必要な複雑さを排除しながら必要なすべての要件をカバーし、継続的なコンプライアンス維持をできる限りシンプルにしてくれるソリューションです。

最良のHIPAAコンプライアンスソフトウェア

最良のHIPAAコンプライアンスソフトウェアとは、HIPAAポリシーおよび手順の設定・実装・維持をユーザーに段階的に案内し、スタッフのトレーニング状況を追跡し、HIPAAプライバシー規則およびセキュリティ規則の要件を満たすためのすべての適切な保護手段が実装されていることを確認する、包括的なコンプライアンスソリューションです。

Image多くのコンプライアンスソフトウェアソリューションには、ポリシーやビジネスアソシエイト契約などのHIPAA文書のテンプレートが含まれています。テンプレートの実用性は製品によって大きく異なります。コンプライアンスのバックグラウンドを持たないクリニック管理者にとっては難易度が高い、HIPAAや自組織についての十分な理解を前提として正しく完成させる必要があるものもあります。また、実際のクリニックの運営実態を反映していない可能性のある、画一的な静的文書しか提供しないものもあります。実際の運営実態と一致しない文書は、調査の際に組織に不利に働くことがあります。優れたソリューションは、ユーザー自身が作成する必要がなく、組織固有の文書を自動生成します。

優れたHIPAAコンプライアンスソリューションは、ビジネスアソシエイトの管理も支援します。ビジネスアソシエイトはHIPAA違反に対して直接罰則を受ける可能性がありますが、HIPAAのカバードエンティティもベンダーが完全にコンプライアンスを遵守していることを確認する責任を負っています。ビジネスアソシエイトでのHIPAA侵害は、カバードエンティティにも多大な悪影響をもたらします。

一部のHIPAAコンプライアンスソフトウェアソリューションでは、カバードエンティティがビジネスアソシエイトにセルフ監査を送付し、監査結果を確認し、ビジネスアソシエイト契約を追跡・管理することができます。

優れたコンプライアンスソリューションは、従業員のトレーニングを追跡し、予定通りに完了していることを確認し、誰がいつ何を修了したかの記録を維持します。その記録こそが、調査時に重要となるものです。HIPAAトレーニングプログラムの一環として継続教育単位が付与されることもありますが、HIPAAトレーニングを受講するほとんどのスタッフにとって、継続教育単位は実際の意味を持たず、HIPAAコンプライアンス要件とも無関係です。優れたトレーニングの評価基準は、単位が取得できるかどうかではなく、適切に完了・記録されており、OCRが確認を求めた際にその記録が証拠として通用するかどうかです。

最後になりますが、最良のHIPAAコンプライアンスソフトウェアソリューションであっても、すべてのHIPAAコンプライアンス上の問題を必ず解決できるとは限りません。問題が発生した場合には、コンプライアンスプロセスを通じてガイドし、HIPAAに関するあらゆる疑問に答えてくれるサポートスタッフが利用可能であることが重要です。サポートを評価する際は、サポートが存在するかどうかだけでなく、応答の速さ、アクセス方法、そしてソフトウェアのコストに含まれているのか別途費用が発生するのかについても確認してください。

ソフトウェアの使いやすさ

コンプライアンスの専門家ではないクリニック管理者や事務担当者にとって、使いやすさはソフトウェアソリューションが約束通りの成果を発揮するかどうかを左右する、最も重要でありながら最も過小評価されがちな要素の一つです。

多くのソフトウェアユーザーは、コンプライアンスプラットフォームにログインするのが月に一度以下というケースも少なくありません。直感的でなかったり、日常的な作業のたびにサポートへの問い合わせが必要だったりするソリューションは、継続的な利用を妨げる摩擦を生み出します。優れたソリューションは、何をすべきかを明確に示し、ユーザーをその作業に沿って誘導し、初期設定が完了した後は最小限の時間で維持管理できるようになっています。

初期設定は、出発点によっては一定の時間投資が必要になる場合があります。しかし、よく設計されたソリューションであれば数時間で完了でき、開始にあたってコンプライアンスの専門知識は必要ありません。設定後の継続的な維持管理は、コンプライアンスがスタッフへの繰り返しの負担にならない程度に軽量であるべきです。

コンプライアンスソフトウェアでできること・できないこと

どのようなコンプライアンスソフトウェアも、人間の関与を完全に不要にすることはできません。優れたソリューションの役割は、専門知識の要件を取り除き、自動化できるものを自動化し、残りの作業に必要な時間を削減することです。

組織内の誰かがタスクを完了し、文書を確認し、プログラムを最新の状態に保つ必要があります。優れたソリューションと劣ったソリューションの違いは、それにどれだけの時間と知識が必要かという点にあります。一般的に、適切に設定されたコンプライアンスプログラムは、一度正しく構築されれば、継続的に大きな時間的負担になるべきではありません。

組織からの努力や関与なしにコンプライアンスが達成できると示唆するソリューションには注意が必要です。コンプライアンスには、組織自身を正確に表現することが求められます。ソフトウェアはそのプロセスを案内・自動化することはできますが、クリニックの実態を知っている人々の関与を代替することはできません。

適切なHIPAAコンプライアンスソフトウェアベンダーの見極め方

適切なHIPAAコンプライアンスソフトウェアのベンダーを見つけることは容易ではありません。提供されるサービスが包括的で、コンプライアンス上の見落としが生じないよう、適切なソフトウェアベンダーを見つけるための以下のヒントをご参考ください。

  • 数分でコンプライアンス認定を約束するHIPAAトレーニングコースは避ける
  • 自社のニーズに合わせたコンプライアンスソリューションを提供するベンダーを選ぶ
  • 疑問に答え、コンプライアンスプロセスを通じてガイドしてくれる担当者が確保されていることを確認する
  • (そのサポートがコスト内に含まれているかどうかも確認)
  • 一度限りのアセスメントだけでなく、継続的なコンプライアンスを支援するソリューションを提供しているか確認する
  • 当該ソフトウェアの利用中にOCR調査を経験した顧客がいるか、またその結果はどうだったかを確認する
  • 規制の更新があった際にソフトウェアがどのように対応し、ルール変更時に文書がどのように更新されるかを確認する
  • ベンダーが医療団体やIT組織から推薦を受けているかを調査する

HIPAAコンプライアンスソフトウェアとHIPAA準拠ソフトウェアの違い

「HIPAA準拠ソフトウェア(HIPAA compliant software)」と「HIPAAコンプライアンスソフトウェア(HIPAA compliance software)」は、一部のソフトウェアベンダーによって互換的に使用されることがありますが、両者の意味は大きく異なります。

「HIPAAコンプライアンスソフトウェア」は、多くの場合、事業者がコンプライアンスへの取り組みを進めるためのアプリまたはサービスです。このタイプのソフトウェアは、HIPAAコンプライアンスの特定の要素(例:HIPAAセキュリティ規則のリスクアセスメント)を支援するものもあれば、HIPAAコンプライアンスのすべての要素を網羅する包括的なソリューションもあります。

「HIPAA準拠ソフトウェア」は通常、HIPAAコンプライアンスを支援するために必要なすべてのプライバシーおよびセキュリティ保護手段を備えた、医療機関向けのアプリまたはサービスです(例:セキュアメッセージングソリューション、ホスティングサービス、セキュアクラウドストレージサービスなど)。HIPAA準拠ソフトウェアはコンプライアンスを保証するものではなく、ソフトウェアをHIPAAに準拠した方法で使用する責任はユーザー自身にあります。

ソフトウェアソリューションをHIPAAに準拠させる方法についての情報をお探しのベンダーの方は、こちらをクリックしてください

Image

まとめ

適切なコンプライアンスソフトウェアを選ぶことは、十分な検討に値します。選択を誤った場合の影響は重大であり、質の高いソリューションの継続的なコストは、調査・罰金・侵害事故のコストと比較すれば決して高くありません。

適切なソフトウェアはコンプライアンスの取り組みをゼロにするわけではありませんが、その負担を大幅に軽減します。必要なすべての要件をカバーし、自社または自組織固有の文書を生成し、規制の変化に合わせて自動的に更新され、実際のコンプライアンス対応において顧客を支援してきた実績を持つソリューションを選びましょう。

具体的なソリューションを評価・比較するためのより詳細なフレームワークについては、無料のバイヤーズガイドをダウンロードしてください。

Image無料バイヤーズガイド

最良のHIPAAコンプライアンスソフトウェアを選ぶための無料バイヤーズガイドを作成しました。必須機能・ソフトウェア仕様・ビジネス上の考慮事項のチェックリストが含まれており、各項目につき最大3つのソリューションを評価・比較することができます。このコンプライアンスソフトウェア選択ガイドは、このページのフォームに必要事項を入力することでダウンロードできます。

よくある質問(FAQ)

カバードエンティティとビジネスアソシエイトでHIPAAコンプライアンスソフトウェアは同じですか?

カバードエンティティとビジネスアソシエイトでは、HIPAAコンプライアンスソフトウェアは同一ではありません。どちらもHIPAA行政簡略化規則の「適用される」すべての基準を遵守する必要がありますが、カバードエンティティはHIPAAプライバシー規則の複雑な部分をより包括的にガイドされる必要があるでしょう。また、ビジネスアソシエイト管理などのトピックは、カバードエンティティに固有の事項であることが多いです。

カバードエンティティ向けHIPAAコンプライアンスソフトウェアで最も重要な機能は何ですか?

カバードエンティティ向けHIPAAコンプライアンスソフトウェアで最も重要な機能は、現行プログラムにどのようなギャップがあるかによって異なります。多くのクリニックにとって最も緊急の課題は、OCRの調査が入った際に自信を持って提示できる、完全かつ文書化されたプログラムの整備です。リスクアセスメントは必須の出発点ですが、ソフトウェアはそれにとどまらず、HIPAAコンプライアンスプログラムのすべての必須要素をカバーするものでなければなりません。

ビジネスアソシエイト向けHIPAAコンプライアンスソフトウェアで最も重要な機能は何ですか?

ビジネスアソシエイト向けHIPAAコンプライアンスソフトウェアで最も重要な機能は、ここでも当該ビジネスアソシエイトのコンプライアンスにギャップが存在するか、またそれが何であるかによって異なります。ただし、ビジネスアソシエイトにとってHIPAAコンプライアンスソフトウェアの最も重要な利点の一つは、カバードエンティティと連携する際に患者データの取り扱いにおいて自社が果たすべき役割を理解することです。ビジネスアソシエイトが遵守すべき要件を十分に認識していないケースはあまりにも多く見受けられます。

避けるべきHIPAAソフトウェアはありますか?

避けるべきHIPAAソフトウェアという観点では、実質的な設定プロセスなしに完全なコンプライアンスを約束したり、プログラムの構築方法に関する文書を提供しないベンダーには注意が必要です。また、スタッフの実質的な関与を必要としないトレーニングにも注意が必要です。HIPAAに精通している人であれば、部分的なコンプライアンスはコンプライアンスとは言えないことを知っています。規則を妥協するソリューションを提供するベンダーは避けるべきです。実際に何が含まれているのか、また実際に問題が発生したときに誰がサポートしてくれるのかという疑問を抱かせるほど低価格なソリューションにも同様に注意してください。

HIPAAコンプライアンスソフトウェアについてもっと詳しく知るにはどうすればよいですか?

ImageHIPAAコンプライアンスソフトウェアについてさらに詳しく知りたい方は、(1)必須機能、(2)ソフトウェア仕様、(3)ビジネス上の考慮事項を網羅した「最良のHIPAAコンプライアンスソフトウェア」ページをご覧ください。

HIPAAコンプライアンスソフトウェアの目的は何ですか?

HIPAAコンプライアンスソフトウェアの目的は、HIPAAのカバードエンティティおよびビジネスアソシエイトがHIPAAへの準拠プロセスを進め、HIPAAおよびHITECH法規則への継続的なコンプライアンスを確保するための枠組みを提供することにあります。このソフトウェアはコンプライアンス担当者がHIPAAの細かな規定を理解する手助けをし、HIPAAプライバシー規則・セキュリティ規則・侵害通知規則のすべての適用条項が満たされていることを確認します。

OCR調査官による調査・監査においてHIPAAコンプライアンスソフトウェアはどのように役立ちますか?

HIPAAコンプライアンスソフトウェアは、コンプライアンス活動の完全な文書化を提供することで、OCR調査官による調査・監査において役立ちます。この文書化は、組織がHIPAAへの誠実な遵守努力を行ったこと、すべての適用ポリシーおよび手順が整備されていること、そして職員がトレーニングを受けていることを証明するものです。

HIPAAコンプライアンスソフトウェアはデータ侵害発生時の責任を免除しますか?

HIPAAコンプライアンスソフトウェアはデータ侵害発生時の責任を免除するものではありません。あくまでもツールであり、防御手段としての有効性はその使い方次第です。不注意に設定されたり、最新の状態に維持されていないプログラムは、適切に維持されたプログラムと同様の説得力を調査において持ちません。しかし、コンプライアンスソフトウェアを積極的に活用して完全かつ文書化されたプログラムを構築・維持してきた組織は、規制当局の調査において著しく有利な立場に立てます。ソフトウェアは適切な防御の条件を整えますが、それを正しく活用するのは組織自身です。

最良のHIPAAコンプライアンスソフトウェアにはどのような機能が含まれるべきですか?

最良のHIPAAコンプライアンスソフトウェアに含まれるべき機能としては、HIPAAポリシーと手順の策定・実装・維持を支援する機能、スタッフのトレーニングの追跡、適切な保護手段の実施確認、ポリシー・手順・文書のカスタマイズが挙げられます。また、最良のHIPAAコンプライアンスソフトウェアはビジネスアソシエイトの管理もサポートし、知識豊富なコンプライアンス専門家によるサポートが利用可能であることも重要です。

ソフトウェアに対して公式に認められたHIPAAコンプライアンス認定はありますか?

組織のコンプライアンスを宣言する公式な認定制度は存在しません。これは、HIPAAコンプライアンスが年に一度達成するマイルストーンではなく、継続的に維持するプログラムだからです。一部のコンプライアンスプロバイダーは、コンプライアンスへの取り組みを示すためにウェブサイトに表示できるバッジやシールを提供しています。しかし、これらは規制上の効力を持たず、調査においてコンプライアンスの証明とはなりません。

ソフトウェアベンダーに対して公式に認められたHIPAA認定はありますか?

ソフトウェア製品に対する公式に認められたHIPAA認定は存在しません。ソフトウェアベンダーが公式な意味でHIPAA準拠として認定されることはありません。患者データを取り扱うソフトウェアベンダーやサードパーティを評価する際、関連する文書はビジネスアソシエイト契約(BAA)です。BAAはベンダーがHIPAAに準拠していることを証明するものではありませんが、保護された医療情報(PHI)を適切に取り扱う法的義務を確立し、違反した場合の責任を明確にするものです。SOC 2やHITRUST認定を取得しているベンダーもいますが、これらはベンダー自身のシステムとプロセスのセキュリティを示すものです。ベンダーが内部的にどのようにデータを管理しているかの有意義な指標にはなりますが、HIPAAコンプライアンスとは別物であり、BAAの代替として扱うべきではありません。

翻訳元: https://www.hipaajournal.com/hipaa-compliance-software/

ソース: hipaajournal.com
#HIPAAコンプライアンス #HIPAAセキュリティ規則 #HIPAAプライバシー規則 #HITECH法 #OCR調査 #カバードエンティティ #コンプライアンスソフトウェア #ビジネスアソシエイト #リスクアセスメント #医療情報保護

関連記事

司法省、先進的データ分析技術とAIツールを活用して医療詐欺を支払い前に摘発

Amicus SolutionsおよびHuntsville Hospital Health Systemにおけるデータ侵害

ワシントン州社会保健サービス局、内部不正アクセスで8,600人分の個人情報が流出