中小規模の医療機関にとってのHIPAAコンプライアンスとは、HIPAAプライバシー規則、HIPAAセキュリティ規則、そしてHIPAA違反通知規則の要件を、単発の研修や一度作成して放置されたポリシー集ではなく、文書化された最新のプログラムとして満たすことを意味します。中小規模の医療機関も、大病院や医療システムと同じ規制基準の対象となっており、米保健福祉省(HHS)の公民権局(Office for Civil Rights)は、スタッフ数や患者数に応じて期待水準を下げることはありません。これまで一度も調査を受けたことがない医療機関だからといって、必ずしもコンプライアンスを満たしているとは限らず、単にまだ試されていないだけという可能性もあります。監査に耐えうるプログラムを構築するための道筋は、多くのオーナーや事務長が想定しているよりも体系立ったものであり、規制の専門家になる必要はありません。
中小規模の医療機関に求められるHIPAAコンプライアンスの要件
HIPAA上の対象事業者(covered entity)は、セキュリティ規則に基づき、保護対象保健情報(PHI)に関する管理面・物理面・技術面のセーフガードを維持し、プライバシー規則に基づき当該情報の利用・開示に関する基準を適用し、違反通知規則に基づき違反発生時に定められた通知期限に従う必要があります。これら3つの規則は、それぞれ独立してではなく、一体となって機能します。医療機関には、電子的保護対象保健情報(ePHI)がどこに存在し、何が脅威となっているかを特定する文書化されたセキュリティリスク分析、実際の運用実態を反映した書面によるポリシーおよび手順、そのポリシーに紐づいた職員向け研修、そして要求に応じてこれらすべての証拠を提示できる記録管理システムが必要です。どれか一つでも欠けていれば、調査、違反対応、あるいは患者からの苦情の際にその隙間が露呈することになります。
多くの中小規模医療機関が見落としがちな文書化のギャップ
多くの医療機関は、スタッフが年次研修を修了した、あるいはポリシー集がファイリングキャビネットに保管されているという理由で、自分たちはコンプライアンスを満たしていると考えています。しかし、これらの取り組みは要件の一部を満たしているに過ぎず、全体を満たしているわけではありません。苦情や違反を審査する規制当局は、医療機関の日々の業務を直接見るわけではなく、その医療機関が提示できる文書だけを見ます。実際に現場で何が起きていたかにかかわらず、文書の不備はコンプライアンスの不備とみなされます。完了済みのセキュリティリスク分析、日付入りのポリシー更新記録、個人ごとの研修記録、是正措置のログを提示できる医療機関は、インシデントが怠慢ではなく人的ミスによるものであったことを証明できる立場にあります。こうした証拠書類のない医療機関には、調査官に対してその違いを示す手段がありません。
部分的な対応ではHIPAA規則を満たせない理由
HIPAAは、部分的な努力に対して部分的な評価を与えるものではありません。ある年に実施したリスク分析をその後見直さなければ、翌年の要件を満たすことにはなりません。規制、技術、医療機関の業務は変化し続けるため、リスク分析が有効であり続けるには常に最新の状況を反映している必要があるからです。採用時に一度だけ実施し、ポリシー変更時にフォローアップ研修を行わない場合、スタッフは古い情報のまま業務を続けることになります。誠実なコンプライアンスプログラムは、3つの規則すべてにわたって完全であり、かつ最新の状態に保たれている必要があり、単に対応しやすい部分だけをつなぎ合わせたものであってはなりません。この基準は、一人開業の医師であっても、複数拠点を持つグループ診療であっても等しく適用され、必須要素のうちどれか一つが欠けているだけでも、それが処分につながる指摘事項となり得ます。
変化し続ける規制に対応し続けるプログラムの構築
HIPAAコンプライアンスは完了日のあるプロジェクトではなく、医療機関が運営を続ける限り維持し続けなければならないプログラムです。連邦規則は定期的に更新され、多くの州ではHIPAAに加えて州独自のプライバシー法による義務が上乗せされ、さらに医療機関自体のリスクプロファイルもスタッフ、技術、拠点が増えるたびに変化します。HIPAAコンプライアンス管理専用に構築されたソフトウェアであれば、特定の医療機関に関する情報から必要なポリシー、セキュリティリスク分析、研修コンテンツを直接生成し、規制や医療機関自体の変化に応じて更新が必要になった際に通知することができます。Abydeはこうした設計思想に基づくソフトウェアの一例であり、医療機関自身が解釈して適用しなければならない汎用テンプレートではなく、その医療機関に合わせて調整されたプログラムを生成します。この方法で構築されたプログラムは、通常、数週間ではなく数時間で組み上げることができ、初期設定が完了した後の継続的な維持管理も月に数分程度で済みます。
ソフトウェアでは対応できない判断が必要な場面での専門家サポート
ソフトウェアは文書を生成し、期限を通知することはできますが、コンプライアンスに関する一部の疑問は、あるインシデントが違反通知の基準に該当するかどうか、あるいは患者からの特殊な要求にどう対応すべきかといった、状況の具体的な事実に左右される判断を必要とします。コンプライアンス専門家への直接アクセスがあれば、このギャップを埋めることができます。Abydeはサブスクリプションの一環としてコンプライアンス専門家を含んでおり、電話やメッセージで連絡が取れるため、実際の事案に直面した医療機関が規制文言の解釈を一人で抱え込む必要はありません。この種のサポートは、日々プログラムを運用している事務長やコンプライアンス担当者にとって特に重要であり、疑問が生じるたびに一から調べ直すのではなく、迅速で信頼できる回答が得られることが求められます。
完全なプログラムを一つにまとめる
中小規模の医療機関は、プライバシー規則、セキュリティ規則、違反通知規則の下での義務を果たすために、HIPAAの規制文言に精通する必要はありません。必要なのは、3つの規則すべてを網羅し、規制や医療機関自体の変化に応じて最新の状態に保たれた、文書化された完全なプログラムであり、文書だけでは解決できない判断が必要な場面で専門家のサポートを受けられることです。Abydeは、200件を超える公民権局の調査において、罰金が科されることなく顧客を支援してきました。この実績は、各医療機関が備えていた文書の完全性と最新性に直接結びついています。自らのコンプライアンス態勢を評価しようとする医療機関は、最新のリスク分析、完全なポリシー、記録された研修という3つの必須要素のうち、どれが欠けているか、あるいは古くなっているかを特定することから始めるべきです。なぜなら、こうしたギャップこそが、調査で最初に明らかになる問題だからです。
翻訳元: https://www.hipaajournal.com/hipaa-compliance-made-easy-for-small-practices/