小規模診療所のオーナーは、日々のコンプライアンス業務を誰が担当しているかにかかわらず、HIPAA準拠に関する法的責任を負います。つまりオーナーは、最新のHIPAAセキュリティリスク分析が存在すること、文書化されたポリシーがHIPAAプライバシールールおよびHIPAAセキュリティルールに準拠していること、スタッフ研修の記録が維持されていること、ベンダー契約が締結されていることを、たとえ実務担当者やプライバシーオフィサーが詳細を管理している場合でも確認する必要があります。HIPAA対象事業者としての診療所を所有することは、罰金、是正措置計画、民事訴訟といった直接的な財務・法的リスクを伴います。コンプライアンス業務を委任しつつもプログラム全体の監督を怠ったオーナーは、調査で発見された不備について依然として責任を問われます。
委任してもHIPAAの責任がオーナーに残る理由
ほとんどの場合、公民権局(OCR)はHIPAA違反について、ミスを犯した個々のスタッフではなく診療所自体に責任を問います。コンプライアンス意識の高いオフィスマネージャーを雇えば法的責任が移転すると考えるオーナーは、法執行の仕組みを誤解しています。診療所の免許、ビジネスアソシエイト契約、そして和解後に続く是正措置計画には、いずれもオーナーの名前が記載されます。小規模診療所では業務を委任すること自体は適切かつ一般的ですが、業務の委任と説明責任の委任はまったく別のものです。
説明責任を保持したまま業務を委任する
オーナーは、HIPAAセキュリティリスク分析、ポリシー草案の作成、研修状況の追跡といった業務を、実務担当者やオフィスマネージャー、あるいは外部コンサルタントに割り当てることができます。オーナーがしてはならないのは、それらの業務が実際に完了しているかどうかを確認するのをやめてしまうことです。直近のリスク分析の実施日、スタッフ研修の状況、前回のレビューで指摘された未対応項目についてオーナーが尋ねる短い定期チェックインを設けることで、オーナー自身がコンプライアンス業務を直接行わなくても状況を把握し続けられます。
診療所のコンプライアンス義務を理解する
HIPAA対象事業者に該当する小規模診療所は、規模や患者数にかかわらず、HIPAAプライバシールール、HIPAAセキュリティルール、HIPAA違反通知ルールを遵守しなければなりません。事業所の規模はこうした義務の範囲を減らすものではありませんが、これらを管理するためにどれだけの社内スタッフ体制を割けるかには影響します。開業医1人の診療所と医師10人のグループ診療所は、規模の異なる運営に対して同じ規制要件を課されているのです。
出発点となるHIPAAセキュリティリスク分析
すべてのコンプライアンスプログラムの根幹には、診療所内のどこに患者データが存在し、どのような保護対策が講じられているかを特定するHIPAAセキュリティリスク分析があります。オーナーは自らこれを実施する専門知識がなくても、この文書を確認し、完了日、実施者、そこから導かれた是正項目を把握できるはずです。実施から1年以上経過したリスク分析や、診療所が新たに導入したシステムを反映していないリスク分析は、オーナーが直接確認すべき未対応のギャップといえます。
オーナーの死角になりがちなビジネスアソシエイト契約
診療所が利用するベンダーのリストは、それに対応するビジネスアソシエイト契約の更新を伴わないまま時間とともに増えていくことがよくあります。請求代行サービス、予約管理プラットフォーム、クラウドストレージ提供者、IT保守を行う業者は、いずれも通常、患者データにアクセスする前に署名済みの契約を必要とします。オーナーがベンダーリスト全体を署名済み契約と照合して自ら確認したことがない場合、何年も前から存在するギャップに気づいていない可能性があります。この分野のコンプライアンスは、インシデントが発生してレビューを迫られるまで日常業務の中でほとんど表面化しないためです。
非準拠による財務リスク
HIPAA違反に対する罰則は、違反の性質、診療所の過去のコンプライアンス履歴、問題が発覚してからの是正の速さに応じて変動します。小規模診療所の罰金リスクは、大規模な病院システムと比較して規模に比例するものではありません。リスク分析の欠如や未署名のビジネスアソシエイト契約は、医療提供者が2人の診療所でも200人の診療所でも同じ違反として扱われ、その結果生じる罰金は、収益基盤が小さい分だけ小規模診療所の財務に一層深刻な影響を及ぼす可能性があります。
罰金リスクとプログラム費用の比較
体系的なコンプライアンスプログラムに投資すべきか検討しているオーナーにとっては、そのプログラムを維持し続ける継続的なコストと、単一の執行措置が発生した場合の潜在的なコストを比較することが有益です。文書化され機能しているプログラムがあっても、すべての侵害を防げるわけではありません。どんなセキュリティ対策もリスクを完全にゼロにすることはできないためです。しかし、侵害や苦情が発生した際に調査がどのように決着するかには影響します。誠実なコンプライアンスの取り組みを示せる診療所は、基本的な文書すら提示できない診療所とは異なる扱いを受けるからです。
オーナーが確認すべきコンプライアンス要素
- 完了日が記録された最新のHIPAAセキュリティリスク分析
- HIPAAプライバシールール、セキュリティルール、違反通知ルールを網羅した文書化ポリシー
- 患者データを扱うすべてのベンダーとの署名済みビジネスアソシエイト契約
- 現在在籍する全従業員の完了日を示すスタッフ研修記録
- 同一人物が兼任する場合であっても、指定されたプライバシーオフィサーおよびセキュリティオフィサー
プログラム運営方法の選択
小規模診療所のオーナーは通常、HIPAAコンプライアンス管理について、既存スタッフと汎用テンプレートで社内対応する、外部コンサルタントに定期レビューを依頼する、専用に開発されたソフトウェアを導入してプログラムを生成・維持する、という3つのアプローチの中から選択します。それぞれ、コスト、スタッフの労力、レビュー間でプログラムがどれだけ最新の状態を保てるかというトレードオフが異なります。
テンプレート、コンサルタント、専用ソフトウェア
汎用テンプレートを使う場合、診療所は一般化された文言を自らの運営に解釈して適用する必要があり、これはスタッフの時間を消費するだけでなく、テンプレートと診療所の実際の環境との間にずれが生じるリスクをもたらします。コンサルタントはある時点での専門知識を提供しますが、その結果生まれるプログラムはその関与時点の状況を反映したものにすぎず、最新の状態を保つには新たな契約が必要になります。HIPAAコンプライアンス管理向けに設計されたソフトウェアは、その診療所に特化したプログラムを生成し、規制要件の変化に応じて更新するため、変更点を手作業で追跡し続けるオーナーやスタッフの負担を軽減します。
規制変更への対応を維持する
HIPAAの要件は、新規ルール、更新されたガイダンス、公民権局(OCR)の執行優先順位の変化を通じて変わっていきます。オーナー自身がすべての規制動向を個人的に追跡する必要はありませんが、診療所のコンプライアンスプログラムを管理する担当者が、関連する変更を特定し適用するプロセスを持っているかどうかは確認すべきです。
HIPAAルールの更新を監視する
HIPAAプライバシールール、セキュリティルール、および関連規制への変更案や最終決定は継続的に発生しており、診療所のポリシーは、ポリシーが最初に作成された当時の版ではなく、各ルールの現行版を反映している必要があります。オーナーが診療所内でこうした変更をどのように追跡しているかを尋ね、ルールが変更された際に文書化されたレビューが実施されていることを確認することで、静的な一度限りのポリシー集だけでは対応できないギャップを埋めることができます。
マイクロマネジメントに陥らない監督
オーナーは、効果的な監督を維持するために、すべての研修記録を確認したりすべてのポリシーを一行ずつ読んだりする必要はありません。コンプライアンスを管理する担当者が決まったスケジュールで簡潔な状況報告をオーナーに提供するという体系的な報告サイクルを設けることで、日々のコンプライアンス業務に直接関与しなくても、オーナーはプログラムの健全性を把握できます。
定期スケジュールでプログラムをレビューする
四半期ごとあるいは半年ごとのレビューミーティングで、オーナーがリスク分析の状況、研修完了率、未対応のビジネスアソシエイト契約、前回レビュー以降に記録されたインシデントについて質問することで、オーナーは持続可能な関与レベルで状況を把握し続けられます。またこのサイクルは、オーナーがプログラムを積極的に監督してきたことを示す文書化された履歴を残すことにもなり、後日診療所のコンプライアンスへの取り組みが精査される際に重要な意味を持ちます。
非準拠に対する処分の実施を徹底する
オーナーの監督には、スタッフがHIPAAポリシーに違反した際に、診療所の制裁規定がポリシー集の中の文書として存在するだけでなく、実際に一貫して適用されていることの確認も含まれます。何年も運営してきた診療所において一度も発動されたことのない制裁規定は、極めて模範的な職場であることを示している場合もあれば、違反が文書化されずに非公式に処理されてきたパターンを示している場合もあります。オーナーが制裁規定がこれまで適用されたことがあるかを尋ね、適用実績があればその記録を確認することで、そのポリシーが実際に機能しているかどうかを把握できます。
調査や侵害への備え
侵害が発生した場合や患者が公民権局(OCR)に苦情を申し立てた場合、HIPAA違反事例のその後の審査を見ると、調査の決着を左右するのは意図ではなく文書の有無であることがわかります。最新かつ文書化されたプログラムの監督を維持してきたオーナーは、診療所が誠実に対応してきたことを示す証拠を携えてその過程に臨めます。診療所が実際に日々どのように運営されていたかにかかわらず、基本的な文書を提示できないオーナーは、同じ調査であってもより困難な道のりを歩むことになります。
調査進行中におけるオーナーの役割
調査が進行している間、たとえプライバシーオフィサーや顧問弁護士が技術的な対応を管理していても、オーナーは通常、診療所の主要な窓口役かつ意思決定者としての役割を担います。診療所自身のコンプライアンス文書を調査中に初めて目にするのではなく、あらかじめ把握しているオーナーは、その過程により効果的に対応でき、本来継続的に維持されているべき記録を慌てて探し回ることによる遅延を避けられます。
翻訳元: https://www.hipaajournal.com/small-practice-owners-hipaa-compliance-programs/