HIPAA違反に対する罰則には、責任の程度に応じて、1件の違反あたり141ドルから2,134,831ドルまでの民事制裁金が含まれます。意図的なHIPAA違反については刑事罰も科される可能性があり、罰金および懲役刑に至ることもあります。
金銭的な罰則に加えて、コンプライアンス上の不備に対処するための是正措置計画(Corrective Action Plan)が求められる場合があります。州の司法長官も民事訴訟を提起でき、その結果として金銭的損害賠償が命じられることがあります。 さらに、対象事業体は、HIPAAが求める基準に方針および手続を引き上げるため、是正措置計画の採用を求められる場合があります。
本記事では、HIPAA違反に対する罰則について詳しく解説します。
また、当社の無料「HIPAA違反チェックリスト」と併用して、完全なコンプライアンスを確保するために何が求められるかを理解することもできます。コピーをご希望の方は、このページのフォームをご利用ください。
記事の内容
HIPAA、PHI、HITECH
1996年の医療保険の携行性と責任に関する法律(Health Insurance Portability and Accountability Act:HIPAA)は、患者の保護対象保健情報(Protected Health Information:PHI)を保護するため、HIPAAの対象事業体に対して複数の要件を課し、PHIをいつ、誰に開示できるかを厳格に管理することを求めました。
2006年の施行最終規則(Enforcement Final Rule)以降、OCRはHIPAA規則に従わないHIPAA対象事業体に対し、金銭的罰則(および/または是正措置計画)を科す権限を有しています。
HIPAA違反に対する金銭的罰則は、HITECH法(Health Information Technology for Economic and Clinical Health Act)に整合する課徴金を導入したHIPAAオムニバス規則(HIPAA Omnibus Rule)により更新されました。オムニバス規則は2013年3月26日に施行されました。
HIPAA違反チェックリストを入手
チェックリストリンクをメールアドレスへ無料で即時送付
メールアドレスを正しく入力してください。
プライバシーは尊重されます
HIPAA Journal プライバシーポリシー
オムニバス規則の導入以降、HIPAA違反に対する新たな罰則は、医療提供者、健康保険プラン、医療情報クリアリングハウス、その他すべての対象事業体に加え、HIPAA規則に違反したと認定された対象事業体のビジネスアソシエイト(BA)にも適用されます。
金銭的罰則は、HIPAA法の違反を抑止することを目的とすると同時に、患者のプライバシーと健康データの機密性を保護し、求めに応じて患者に健康記録へのアクセスを提供するという点で、対象事業体が行為(または不作為)に対して責任を負うことを確実にするためのものです。
HIPAA法違反に対する罰則体系は、対象事業体が違反についてどの程度認識していたかに基づく段階制です。OCRは、複数の「一般要因」およびHIPAA違反の重大性に基づいて罰則を設定します。
HIPAA規則を知らなかったことは、HIPAA規則に従わなかったことの言い訳にはなりません。各対象事業体には、HIPAA規則を理解し遵守することを確実にする責任があります。対象事業体がHIPAA法を故意に違反したことが判明した場合、最大の罰金が適用される可能性があります。
HIPAA違反とは何か?
メディアではHIPAA違反がよく取り上げられますが、何がHIPAA違反に当たるのでしょうか。HIPAA違反とは、HIPAA対象事業体またはビジネスアソシエイトが、HIPAA規則の1つ以上の規定に従わないことを指し、最も一般的にはHIPAAプライバシー規則、セキュリティ規則、または侵害通知規則に関する不遵守です。
違反は故意の場合もあれば、意図しない場合もあります。意図しないHIPAA違反の例として、PHIを過剰に開示し、「最小限必要な情報」基準に違反するケースがあります。PHIを開示する場合、開示目的を達成するために必要な最小限の情報に限定しなければなりません。意図しないHIPAA違反に対しても金銭的罰則が科されることがありますが、HIPAA規則の故意の違反に比べて罰則は低い水準となります。
故意の違反の例として、患者への侵害通知書の発行を不必要に遅らせ、侵害の発見から通知を発行するまでの最大期限である60日を超過することが挙げられます。これはHIPAA侵害通知規則の違反です。
多くのHIPAA違反は、組織全体のリスク分析を実施しないなどの過失に起因します。リスク分析の不備は最も頻繁に特定されるHIPAA違反の一つであるため、HIPAA違反に対する金銭的罰則はリスク分析不備に対してしばしば科されてきました。HHSの公民権局(Office for Civil Rights)は、HIPAAセキュリティ規則のリスク分析要件への不遵守を標的とした執行イニシアチブを開始しています。
HIPAA違反に対する罰則は、潜在的にはすべてのHIPAA違反に対して科され得ますが、OCRは通常、任意のHIPAAコンプライアンス、技術的ガイダンスの提供、または対象事業体/ビジネスアソシエイトが違反に対処し、将来の違反発生を防ぐために方針・手続を変更する計画を受け入れることにより、多くの事案を解決します。HIPAA違反に対する金銭的罰則は、最も重大なHIPAA規則違反に限定され、OCRがHIPAAアクセス権など特定の違反を標的にする場合や、特定の違反類型について業界に「メッセージを送る」ことを望む場合に用いられます。
HIPAAに違反するとどうなるのか?― HIPAA違反の分類
HIPAAに違反するとどうなるのでしょうか。それは違反の重大性によります。OCRは、任意の遵守や、対象事業体が不遵守領域に対処するのを支援するための技術的ガイダンスの発行など、非懲罰的手段でHIPAA違反を解決することを好みます。しかし、違反が重大である場合、長期間放置されていた場合、または不遵守の領域が複数ある場合には、金銭的罰則が適切となることがあります。
罰則体系に用いられる4つの区分は次のとおりです。
- Tier 1: 対象事業体が違反を認識しておらず、HIPAA規則を遵守するために合理的な注意を払っていたとしても現実的に回避できなかった違反
- Tier 2: 対象事業体が認識すべきであったが、合理的な注意を払っていても回避できなかった違反(ただしHIPAA規則の故意の怠慢には至らない)
- Tier 3: HIPAA規則の「故意の怠慢(willful neglect)」の直接の結果として生じた違反で、違反を是正しようとする試みがなされた場合
- Tier 4: HIPAA規則の故意の怠慢に該当し、30日以内に違反を是正しようとする試みがなされなかった場合
未知の違反で、対象事業体がデータ侵害を回避できると期待できなかった場合、対象事業体に罰金を科すのは不合理に思えるかもしれません。OCRもそれを理解しており、金銭的罰則を免除する裁量を有します。ただし、プライバシー規則、セキュリティ規則、侵害通知規則の故意の怠慢が関与する場合、罰則は免除できません。
HIPAA違反の罰則体系
各違反区分には、それぞれ異なるHIPAA罰則が定められています。適用範囲内で金銭的罰則を決定するのはOCRの裁量です。OCRは、違反が放置されていた期間、影響を受けた人数、露出したデータの性質など、複数の要因を考慮して罰則を決定します。OCRの調査に協力する組織の姿勢も考慮されます。金銭的罰則額に影響し得る一般要因には、過去の履歴、組織の財務状況、違反によって生じた損害の程度も含まれます。
- Tier 1: 1件あたり最低100ドルから最大50,000ドル
- Tier 2: 1件あたり最低1,000ドルから最大50,000ドル
- Tier 3: 1件あたり最低10,000ドルから最大50,000ドル
- Tier 4: 1件あたり最低50,000ドルから最大1,500,000ドル
上記のHIPAA違反の罰金はHITECH法により規定されたものであり、民事制裁金が有効な抑止力として機能し続けるよう、生活費上昇を反映して毎年調整されます。1990年の連邦民事罰インフレ調整法(Federal Civil Penalties Inflation Adjustment Act of 1990。2015年の同改善法により改正)に基づき、生活費上昇率は行政管理予算局(OMB)により定められます。毎年1月15日、OMBが定めた乗数を、すべての連邦機関が自らのCMPに適用する必要があります。2024年には、HHSが8月8日に官報(Federal Register)で年次増額を公表し、これが更新された民事制裁金の施行日でもあります。2025年のインフレ乗数はOMBにより1.02598と設定されました。
2024年8月8日以降にOCRが課すすべての民事制裁金は、下表に示す2024年のHIPAA違反の料率を使用します。これらは2015年11月2日以降に発生したすべての違反に適用されます。これらの罰則額は、HHSが2025年のインフレ調整を適用する最終規則を官報で公表するまで使用されます。
現行のHIPAA罰則体系
| 罰則区分 | 責任の程度 | 1件あたり最低罰則(インフレ調整後)
|
1件あたり最高罰則(インフレ調整後) | 年間最高罰則(上限)(インフレ調整後) |
| Tier 1 | 認識なし | $141 | $71,162 | $2,134,831 |
| Tier 2 | 合理的理由 | $1,424 | $71,162 | $2,134,831 |
| Tier 3 | 故意の怠慢 | $14,232 | $71,162 | $2,134,831 |
| Tier 4 | 故意の怠慢(30日以内に是正されない) | $71,162 | $2,134,831 | $2,134,831 |
2009年2月18日以前のHIPAA行政簡素化規定の違反に対する罰則は、1件あたり193ドル、同一規定の違反について暦年上限48,586ドルの料率で適用されます。
OCRの2019年「執行裁量通知」により、HIPAA違反の新たな年間最大罰則が適用される
上記の罰則表は公式には依然として有効です。しかし2019年、HHSはHIPAA違反に必要な増額に関してHITECH法の文言を見直し、HITECH法の文言が誤って解釈されており、4つの罰則区分すべてに同一の年間最大罰則上限を等しく適用することを求めていないと判断しました。代わりにHHSは、年間最大罰則150万ドル(2024年では2,134,831ドル)は、最も重大なTier 4の違反区分にのみ適用されるべきだと判断しました。
官報で新たな罰則体系を変更する追加の規則制定を行う代わりに、HHSは、OCRが執行裁量を行使し、各区分に別個の年間罰則上限を設けた異なる罰則体系を適用すると発表しました。2019年4月に執行裁量通知(Notice of Enforcement Discretion:NED)が発出され、OCRは下表に従って罰則を適用するとしています。これらはOMBが設定する年次インフレ乗数に基づき、The HIPAA Journalが調整したものです。
OCRが使用している罰則体系は法的拘束力を持たず、新たな解釈が確定するには追加の規則制定が必要です。NEDは現在も有効で、無期限に継続されます。NEDは年間罰則の上限にのみ適用されたため、Tier 1の1件あたり最高罰則が技術的には71,162ドルのままであり、年間罰則上限より高いという不整合が生じます。この不整合のため、下表ではTier 1について年間罰則上限を1件あたり最高罰則として示しています。
| 罰則区分 | 責任の程度 | 1件あたり最低罰則 | 1件あたり最高罰則 | 年間罰則上限 |
| Tier 1 | 認識なし | $141 | $35,581 | $35,581 |
| Tier 2 | 合理的理由 | $1,424 | $71,162 | $142,355 |
| Tier 3 | 故意の怠慢 | $14,232 | $71,162 | $355,808 |
| Tier 4 | 故意の怠慢(30日以内に是正されない | $71,162 | $2,134,831 | $2,134,831 |
*この表は2024年8月10日に最終更新され、2024年のインフレ更新を含みます。
司法長官もHIPAA違反の罰金を科すことができる
2009年2月にHITECH法(第13410(e)(1)条)が導入されて以来、州の司法長官は、州住民のPHIの無許可使用または開示についてHIPAA対象事業体に責任を負わせる権限を有し、連邦地方裁判所に民事訴訟を提起できます。HIPAA違反の罰金は、違反区分ごとに暦年で最大25,000ドルまで科すことができます。適用される最低罰金は1件あたり100ドルです。OCRの罰則と同様、これらもインフレに合わせて毎年調整されます。
複数州の住民に影響するデータ侵害を被った対象事業体は、複数の司法長官に対してHIPAA違反の罰金の支払いを命じられる可能性があります。司法長官によるHIPAA罰則は、OCRが科すものとは独立しています。HIPAA規制対象事業体によるHIPAA規則違反に対して行動を起こした州は比較的少なく、カリフォルニア、コネチカット、インディアナ、マサチューセッツ、ミネソタ、ニュージャージー、ニューヨーク、オレゴン、ユタ、ペンシルベニア、バーモント、コロンビア特別区に限られますが、いずれも少なくとも1件の複数州共同アクションには参加しています。
現在では、複数州の司法長官が資源を持ち寄り、和解金や民事制裁金を分配する複数州共同アクションが一般的です。これは、Blackbaudや医療情報クリアリングハウスのInmediataが被ったデータ侵害のように、米国全土の個人に影響を及ぼした大規模侵害でよく見られます。 HIPAA違反に対して罰金を科す権限を行使した州は少数ですが、それはHIPAA違反が処罰されていないことを意味しません。多くの州は、州法上の同等の違反について金銭的罰則を追及しています。
HIPAA違反は刑事事件になり得るか?
HIPAA対象事業体またはビジネスアソシエイトがHIPAA規則に違反した場合、民事罰が科されることがあります。医療従事者がHIPAAに違反した場合、通常は雇用主が罰則を受けますが、必ずしもそうとは限りません。医療従事者が、HIPAAプライバシー規則で許されない理由で保護対象保健情報を故意に取得または使用した場合、社会保障法の刑事執行規定に基づき、HIPAA違反について刑事責任を問われる可能性があります。
刑事上のHIPAA違反は司法省が訴追し、HIPAA規則を故意に違反した個人に対して、司法省はますます積極的に措置を講じています。多額の罰金や懲役刑に至った事例も複数あります。 刑事上のHIPAA違反には、金銭的利益のための患者情報の窃取や、害を与える意図を伴う不正な開示が含まれます。HIPAA要件の理解不足は有効な抗弁にならない場合があります。個人が「故意に(knowingly)」HIPAAに違反した場合の「故意」とは、HIPAA規則に違反していることを確実に知っているという意味ではなく、犯罪を構成する事実について一定の認識があることを意味します。
HIPAA違反に対する刑事罰
HIPAA違反に対する刑事罰は3つの区分に分かれており、刑期(および付随する罰金)は、各事案の事実関係に基づいて裁判官が決定します。OCRと同様、科される罰則に影響する複数の一般要因が考慮されます。個人がPHIの窃取、アクセス、または開示によって利益を得ていた場合、罰金の支払いに加えて、受領した金銭の全額返還が必要となることがあります。
HIPAA違反に対する刑事罰の区分は次のとおりです。
Tier 1: 合理的理由がある、または違反の認識がない ― 懲役最大1年
Tier 2: 虚偽の口実でPHIを取得 ― 懲役最大5年
Tier 3: 個人的利益または悪意をもってPHIを取得 ― 懲役最大10年
近年、さまざまな理由でPHIにアクセスしたり盗んだりしていることが判明する従業員の数が増加しています。闇市場におけるPHIの価値は非常に高く、一部の個人にとって大きな誘惑となり得ます。個人が患者データを盗む機会を制限するための統制を整備し、不適切なアクセスやPHIの窃取を迅速に特定できるよう、システムや方針を整備することが不可欠です。
業務上PHIに接触する可能性のある全スタッフには、HIPAAの刑事罰について周知し、違反は雇用喪失にとどまらず、長期の懲役刑や高額の罰金につながり得ることを伝えるべきです。州の司法長官はデータ窃取の取り締まりを強化しており、HIPAAプライバシー規則に違反した個人を見せしめにすることに積極的です。HIPAAデータの窃取に対する懲役刑は現在、特に金銭的利益のためにデータが盗まれた場合、極めて高い確率で科されます。
HIPAA違反による有罪判決と服役
臓器移植コーディネーターが最高裁判事の健康記録に違法アクセスし、懲役2年の判決
アリゾナ州の男性、刑事HIPAA違反事件で懲役54か月の判決
製薬営業担当者が医療詐欺および刑事HIPAA違反で有罪を認める
フロリダの医療クリニック職員、PHI窃取で懲役48か月の判決
ニューヨークの歯科医院の受付係(元職員)、HIPAA違反で懲役2~6年の判決
UPMCの患者ケアコーディネーター、HIPAA違反で懲役1年
HIPAA違反に対する従業員制裁
すべてのHIPAA違反が内部者による窃取に起因するわけではなく、多くの対象事業体およびビジネスアソシエイトは、違反が故意か偶発か、違反に気付いた時点で従業員が速やかに報告したかどうか、侵害の規模などの要因に応じて、HIPAA違反に対する従業員制裁の段階を設けています。対象事業体の中には、(別の従業員による)違反が発生したことを認識していながら報告しなかった従業員に対しても、HIPAA違反の従業員制裁を適用するところがあります。
HIPAA違反に対する従業員制裁は、追加研修から解雇まで幅があります。判断はHIPAAプライバシー責任者およびセキュリティ責任者と協議して行うべきで、責任者は従業員への聞き取り、監査証跡の調査、通話ログの確認(従業員の携帯電話の通話ログを含む)を行う必要がある場合があります。HIPAA違反に対する従業員制裁の適用には費用と混乱が伴うため、故意・偶発を問わずHIPAA違反の発生を防ぐ目的で、初期の従業員向けHIPAA研修により多くの資源を投入する価値があります。
知らずにHIPAAに違反した場合に民事罰を受けること
上記で、知らずにHIPAAに違反した場合にOCRが民事罰を免除する裁量を有することに触れましたが、HIPAA規制を知らなかったことは、適切な保護措置を実装しなかったことの正当な理由とは見なされません。2017年4月、遠隔心臓モニタリングサービスのCardioNetは、HIPAA要件を十分に理解せず、その結果として完全なリスク評価を実施しなかったとして、250万ドルの罰金を科されました。
不完全なリスク評価の結果、データを含むノートパソコンが従業員宅外の駐車中の車から盗まれた際に、1,391人分のPHIが無許可で開示された可能性がありました。罰金の詳細が発表された後、OCR局長のRoger Severinoは、知らずにHIPAAに違反した場合の民事罰を「セキュリティを軽視したことに対する罰則」と表現しました。
また、違反が発生した州が、違反の責任者に対して個人が法的措置を取ることを認めている場合、CEまたはBAが知らずにHIPAAに違反したとして民事罰を受ける可能性もあります。HIPAAには私的訴権はありませんが、個人は州規制を用いて、コモンロー上の注意義務基準を確立することができます。この種の訴訟は現在も複数進行中です。
HIPAA不遵守に対する罰則
下のグラフが示すとおり、OCRは近年HIPAAの執行活動を強化しており、HIPAA違反に対してより多くの金銭的罰則を科すようになっています。OCRは近年、2つの執行イニシアチブを開始しました。2019年に開始されたHIPAAアクセス権の不遵守を標的とする執行イニシアチブは50件を超える金銭的罰則につながっており、より最近ではHIPAAセキュリティ規則のリスク分析規定の不遵守を標的とするイニシアチブが開始されています。OCR局長のMelanie Fontes Rainerは、2024年にOCRが和解または民事制裁金により22件の執行措置を終結させたことを確認しましたが、その一部の執行措置の公表が遅れ、2025年に持ち越されました。今年も多くの金銭的罰則で始まり、2025年5月末までにさらに10件が発表されました。これは主に、OCRの新たなHIPAAリスク分析執行イニシアチブによるものです。
適切な和解額を決定する際、OCRは違反の重大性、HIPAA規則への不遵守の程度、影響を受けた個人の数、侵害が当該個人に与えた影響を考慮します。OCRは対象事業体の財務状況も考慮します。懲罰的措置が必要となる場合もありますが、HIPAA違反に対する罰則によって対象事業体が廃業に追い込まれるべきではありません。
これらのHIPAA違反に対する罰則の目的は、一部には重大なHIPAA規則違反を行った対象事業体を処罰することにありますが、同時に、他の医療組織に対して、HIPAA規則の不遵守は容認されないというメッセージを送ることにもあります。
2025年のHIPAA罰金および和解
2025年のHIPAA民事制裁金
| HIPAA規制対象事業体 | 理由 | 影響を受けた個人 | 金額 |
| Oregon Health & Science University | 患者に医療記録への適時アクセスを提供しなかった。 | 1 | $200,000 |
| Warby Parker, Inc. | 複数のHIPAAセキュリティ規則違反:HIPAA準拠のリスク分析を実施しなかった、ePHIに対するリスクを低減しなかった、ePHIを含む情報システムの活動を監視しなかった | 198,470 | $1,500,000 |
2025年のHIPAA和解
| HIPAA規制対象事業体 | 理由 | 影響を受けた個人 | 金額 |
| Concentra Inc. | HIPAAアクセス権違反 | 1 | $112,500 |
| Cadia Healthcare Facilities | 無許可のソーシャルメディア開示;侵害通知規則違反 | 150 | $182,000 |
| BST & Co. CPAs, LLP | リスク分析不備 | 170,000 | $175,000 |
| Syracuse ASC (Specialty Surgery Center of Central New York) | リスク分析不備、侵害通知不備(HHS、個人) | 24,891 | $250,000 |
| Deer Oaks – The Behavioral Health Solution | リスク分析不備、ePHIの不適法な開示 | 171,871 | $225,000 |
| Comstar LLC | リスク分析不備 | 585,621 | $75,000 |
| BayCare Health System | 情報アクセス管理(最小限必要基準)、リスク管理、情報システム活動レビュー | 1 | $800,000 |
| Vision Upright MRI | HIPAA準拠のリスク分析を実施しなかった、侵害通知を発行しなかった | 21,788 | $5,000 |
| Comprehensive Neurology | HIPAA準拠のリスク分析を実施しなかった | 6,800 | $25,000 |
| PIH Health, Inc. | HIPAA準拠のリスク分析を実施しなかった、ePHIの不適法な開示、OCRおよび影響を受けた個人への迅速な侵害通知を発行しなかった、メディア向け侵害通知を発行しなかった | 189,763 | $600,000 |
| Guam Memorial Hospital Authority | HIPAA準拠のリスク分析を実施しなかった | 5,000 | $25,000 |
| Northeast Radiology | HIPAA準拠のリスク分析を実施しなかった | 298,532 | $350,000 |
| Health Fitness Corporation | HIPAA準拠のリスク分析を実施しなかった | 4,304 | $227,816 |
| Northeast Surgical Group | リスク分析不備 | 10,840 | $10,000 |
| Memorial Health System | HIPAAアクセス権不備 | 1 | $60,000 |
| Solara Medical Supplies | リスク分析およびリスク管理の不備、適時通知を発行しなかった、2回にわたるePHIの不適法な開示 | 114,007および1,531 | $3,000,000 |
| USR Holdings | リスク分析不備、情報システムにおける活動の記録不備、検索可能な正確なePHIの完全コピーを作成・維持する手続の欠如、2,903人分のPHIの不適法な開示 | 2,903 | $337,750 |
| Virtual Private Network Solutions | リスク分析不備 | 少なくとも23,868 | $90,000 |
| Elgon Information Systems | リスク分析不備 | 31,248 | $80,000 |
2024年のHIPAA罰金および和解
OCRは、金銭的罰則が比較的少なかった年の後、2024年にHIPAA執行を強化すると見込まれていました。そして2024年12月31日、22件の執行措置が和解または民事制裁金につながったことを確認しました。OCRが直面してきた問題の一つは資金不足で、これがHIPAAコンプライアンスの執行能力を妨げてきました。OCRの予算は長年横ばいですが、業務量は増加しており、議会は毎年増額が要請されているにもかかわらず追加資金を提供していません。例えば、OCRは500件以上の記録に関わる大規模データ侵害をすべて調査しますが、侵害件数は大幅に増加しています。2018年には500件以上の記録に関するデータ侵害が369件報告されました。2023年にはその2倍以上(747件)が報告され、2024年も同程度の侵害件数が報告されています。OCRはまた、潜在的なHIPAA違反に関する個人からの苦情についても過去最多の件数を調査しなければなりません。
2023年、OCRは効率向上と資源の有効活用のために組織再編を行い、これによりデータ侵害および苦情に関する調査の滞留解消が進み始めました。2023年12月、OCRは医療分野のサイバーセキュリティを改善しデータ侵害件数を減らすための措置が取られていることを確認し、2024年1月には任意のサイバーセキュリティ・パフォーマンス目標を公表し、医療組織に対してそれらの目標達成に向けて取り組むよう促してきました。OCRは、医療組織がこれらの目標を達成するのを支援するための資金を提供し、サイバーセキュリティ・プログラムの成熟化に対するインセンティブを提供する意向です。
2024年12月、OCRは、必須サイバーセキュリティ目標で推奨された複数の措置を含む新たなサイバーセキュリティ要件を追加するため、HIPAAセキュリティ規則の更新を提案しました。法制化されれば、これらの新要件はデータ侵害件数の減少に寄与するはずです。セキュリティ規則の更新が最終化されるまでには数か月を要し、OCRが新要件を執行するまでには猶予期間も設けられます。その期間がどれくらいになるかは、次期トランプ政権次第です。
提案されたHIPAAセキュリティ規則の更新には、HHSがHIPAAコンプライアンスを執行する上で直面してきた法的問題に対処するための変更も含まれています。例えば2018年、OCRはテキサス大学MDアンダーソンがんセンターに対し、データ侵害および暗号化不足に関する執行措置を発表しましたが、その罰則は控訴審で覆されました。2021年1月14日、第5巡回区控訴裁判所の3人合議体は、4,348,000ドルの罰則を全会一致で破棄し、それ以降、ほとんどの罰則はHIPAAアクセス権の不備に対して科されてきました。
控訴裁判所の判断は、特定のHIPAA違反についてOCRが金銭的罰則を追及する意欲に影響したと広く考えられていましたが、2022年には他のHIPAA違反についても複数の金銭的罰則が科され、2023年にはさらに増加しました。2024年には、多くの金銭的罰則がHIPAAセキュリティ規則違反に対して科されており、OCRは最近、HIPAAセキュリティ規則のリスク分析執行イニシアチブを開始し、すでに複数の金銭的罰則につながっています。
OCRは2024年に22件の和解および民事制裁金が合意されたと述べていますが、そのうち6件の執行措置は2025年1月まで発表されませんでした。
2024年のHIPAA民事制裁金
| HIPAA規制対象事業体 | 理由 | 影響を受けた個人 | 金額 |
| Children’s Hospital Colorado Health System | 6,666人の職員にHIPAAプライバシー規則研修を提供しなかった;徹底的かつ正確なリスク分析を実施しなかった;10,840人分のePHIの不適法な開示 | 10,840 | $548,265 |
| Gulf Coast Pain Consultants, dba Clearway Pain Solutions Institute | HIPAAセキュリティ規則違反:リスク分析;情報システムのログレビュー;退職した職員のアクセス権の終了;アクセス権変更の方針・手続 | 34,310 | $1,190,000 |
| Rio Hondo Community Mental Health Center | HIPAAアクセス権不備 | 1 | $100,000 |
| Gums Dental Care | HIPAAアクセス権不備 | 1 | $70,000 |
| Providence Medical Institute | HIPAAセキュリティ規則違反 ― PHIへのアクセス制限;ビジネスアソシエイト契約 | 85,000 | $240,000 |
| American Medical Response | HIPAAアクセス権不備 | 1 | $115,200 |
| Essex Residential Care (Hackensack Meridian Health, West Caldwell Care Center) | HIPAAアクセス権不備 | 1 | $100,000 |
2024年のHIPAA和解
| HIPAA規制対象事業体 | 理由 | 影響を受けた個人 | 金額 |
| Inmediata Health Group | リスク分析不備、情報システム内の活動監視不備、1,565,338人分のePHIの不適法な開示 | 1,565,338 | $250,000 |
| Holy Redeemer Family Medicine | 患者の医療記録の不適法な開示 | 1 | $35,581 |
| Bryan County Ambulance Authority | リスク分析を一度も実施したことがない | 14,273 | $90,000 |
| Plastic Surgery Associates of South Dakota | 複数のHIPAAセキュリティ規則違反 | 10,229 | $500,000 |
| Cascade Eye and Skin Centers | リスク分析不備;情報システムの活動ログ監視不備。 | unknown | $250,000 |
| Heritage Valley Health System | 複数のHIPAAセキュリティ規則違反 | unknown | $950,000 |
| Phoenix Healthcare | HIPAAアクセス権不備 | 1 | $35,000 |
| Green Ridge Behavioral Health | 複数のHIPAAプライバシー規則およびセキュリティ規則違反 | 14,000 | $40,000 |
| Montefiore Medical Center | 複数のHIPAAセキュリティ規則違反 | 12,517 | $4,750,000 |
2023年のHIPAA罰金および和解
| HIPAA規制対象事業体 | 理由 | 影響を受けた個人 | 金額 |
| Optum Medical Care | HIPAAアクセス権不備 | 6 | $160,000 |
| St. Joseph’s Medical Center | 記者へのPHIの開示 | 3 | $80,000 |
| Doctors’ Management Services | 複数のHIPAAセキュリティ規則違反 | 206,695 | $100,000 |
| LA Care Health Plan | 複数のHIPAAセキュリティ規則違反 | 1,498 | $1,300,000 |
| UnitedHealthcare | HIPAAアクセス権不備 | 1 | $80,000 |
| iHealth Solutions (dba Advantum Health) | 保護されていないサーバー ― ePHIの不適法な開示;リスク分析不備。 | 267 | $75,000 |
| Yakima Valley Memorial Hospital | 警備員による覗き見 ― 方針・手続の欠如が特定された。 | 419 | $240,000 |
| Manasa Health Center, LLC | インターネットプラットフォーム上でのPHIの不適法な開示、プライバシー規則および侵害通知規則の方針・手続 | 4 | $30,000 |
| MedEvolve Inc. | 不適法な開示、ビジネスアソシエイト契約不備、リスク分析が不完全 | 230,572 | $350,000 |
| David Mente, MA, LPC | HIPAAアクセス権不備 | 1 | $15,000 |
| Banner Health | HIPAAセキュリティ規則違反 | 2.81 million | $1,250,000 |
| Life Hope Labs, LLC | HIPAAアクセス権不備 | 1 | $16,500 |
2022年のHIPAA罰金および和解
2022年には22件のHIPAA執行措置により金銭的罰則が科されました。OCRは、HIPAAアクセス権の不遵守を標的とする2019年のHIPAA執行イニシアチブを継続しており、2022年の合計により、このイニシアチブ下の執行措置件数は42件となりました。金銭的罰則はまた、ソーシャルメディアサイトでの患者情報の不適法な開示、ePHIの機密性・完全性・可用性を確保するための不十分なセキュリティ保護措置、不十分なプライバシー慣行通知、リスク分析不備に対しても科されました。
2021年1月、HITECH法は、患者データをより適切に保護するために「認められたセキュリティ慣行(recognized security practices)」を採用するようHIPAA規制対象事業体にインセンティブを与える形で改正されました。認められたセキュリティ慣行の実装・維持は義務ではありませんが、データ侵害の直前12か月間にわたり継続して認められたセキュリティ慣行を実装していたことを示せるHIPAA規制対象事業体は、より低い金銭的罰則や、より短いHIPAA監査および調査の恩恵を受けます。
2022年のHIPAA和解
| HIPAA規制対象事業体 | 理由 | 影響を受けた個人 | 金額 |
| Health Specialists of Central Florida Inc | HIPAAアクセス権不備 | 1 | $20,000 |
| New Vision Dental | Yelp上でのePHIの不適法な開示、およびプライバシー慣行通知の不備 | <20 | $23,000 |
| Great Expressions Dental Center of Georgia, P.C. | HIPAAアクセス権不備(遅延+手数料) | 1 | $80,000 |
| Family Dental Care, P.C. | HIPAAアクセス権不備 | 1 | $30,000 |
| B. Steven L. Hardy, D.D.S., LTD, dba Paradise Family Dental | HIPAAアクセス権不備 | 1 | $25,000 |
| New England Dermatology and Laser Center | PHIの不適切な廃棄、適切な保護措置の維持不備 | 58,106 | $300,640 |
| Memorial Hermann Health System | HIPAAアクセス権不備 | 1 | $240,000 |
| Southwest Surgical Associates | HIPAAアクセス権不備 | 1 | $65,000 |
| Hillcrest Nursing and Rehabilitation | HIPAAアクセス権不備 | 1 | $55,000 |
| MelroseWakefield Healthcare | HIPAAアクセス権不備 | 1 | $55,000 |
| Erie County Medical Center Corporation | HIPAAアクセス権不備 | 1 | $50,000 |
| Fallbrook Family Health Center | HIPAAアクセス権不備 | 1 | $30,000 |
| Associated Retina Specialists | HIPAAアクセス権不備 | 1 | $22,500 |
| Coastal Ear, Nose, and Throat | HIPAAアクセス権不備 | 1 | $20,000 |
| Lawrence Bell, Jr. D.D.S | HIPAAアクセス権不備 | 1 | $5,000 |
| Danbury Psychiatric Consultants | HIPAAアクセス権不備 | 1 | $3,500 |
| Oklahoma State University – Center for Health Sciences | リスク分析、セキュリティインシデント対応と報告、評価、監査統制、侵害通知、および無許可の開示 | 279,865 | $875,000 |
| Dr. Brockley | HIPAAアクセス権 | 1 | $30,000 |
| Jacob & Associates | HIPAAアクセス権、プライバシー慣行通知、HIPAAプライバシー責任者 | 1 | $28,000 |
| Northcutt Dental-Fairhope | マーケティング目的の不適法な開示、プライバシー慣行通知、HIPAAプライバシー責任者 | 5,385 | $62,500 |
2022年のHIPAA違反に対する民事制裁金
| HIPAA規制対象事業体 | 理由 | 影響を受けた個人 | 金額 |
| ACPM Podiatry | HIPAAアクセス権不備 | 1 | $100,000 |
| Dr. U. Phillip Igbinadolor, D.M.D. & Associates, P.A | ソーシャルメディア上での不適法な開示 | 1 | $50,000 |
OCRのHIPAA罰金(2021年)
2021年は、2020年の記録的な件数からHIPAA違反に対する金銭的罰則の件数が減少しました。OCRが罰則を最終決定する判断はCOVID-19パンデミックの影響を受けた可能性があります。それでも、罰則は比較的高い水準で引き続き科されており、2021年の最近のHIPAA違反事例の多くはHIPAAアクセス権の違反に対して科されています。2021年に金銭的罰則につながった14件のHIPAA違反事例のうち、12件はHIPAAアクセス権違反でした。
HIPAA違反チェックリストを入手
チェックリストリンクをメールアドレスへ無料で即時送付
メールアドレスを正しく入力してください。
プライバシーは尊重されます
HIPAA Journal プライバシーポリシー
2021年1月、史上最大級のHIPAA罰金の一つがExcellus Health Planに科されました。この和解は、2015年にOCRへ報告された9,358,891人分のPHIの侵害に関する調査に端を発するHIPAA事案を解決したものです。その罰則を除けば、和解および民事制裁金の多くは比較的小額であり、データ侵害の報告ではなく患者からの苦情調査に起因していました。2021年のHIPAA罰金が低かったことに加え、過去の年よりも小規模な医療提供者に対して科された金銭的罰則の割合が大幅に高くなりました。この傾向は2023年も続く可能性が高いです。
2021年のHIPAA和解
| HIPAA規制対象事業体 | 理由 | 影響を受けた個人 | 金額 |
| Advanced Spine & Pain Management | HIPAAアクセス権不備 | 1 | $32,150 |
| Denver Retina Center | HIPAAアクセス権不備 | 1 | $30,000 |
| Rainrock Treatment Center LLC (dba monte Nido Rainrock) | HIPAAアクセス権不備 | 1 | $160,000 |
| Wake Health Medical Group | HIPAAアクセス権不備 | 1 | $10,000 |
| Children’s Hospital & Medical Center | HIPAAアクセス権不備 | 1 | $80,000 |
| The Diabetes, Endocrinology & Lipidology Center, Inc. | HIPAAアクセス権不備 | 1 | $5,000 |
| AEON Clinical Laboratories (Peachstate) | HIPAAセキュリティ規則違反(リスク評価、リスク管理、監査統制、およびHIPAAセキュリティ規則の方針・手続の文書化) | Unknown | $25,000 |
| Village Plastic Surgery | HIPAAアクセス権不備 | 1 | $30,000 |
| Arbour Hospital | HIPAAアクセス権不備 | 1 | $65,000 |
| Sharpe Healthcare | HIPAAアクセス権不備 | 1 | $70,000 |
| Renown Health | HIPAAアクセス権不備 | 1 | $75,000 |
| Excellus Health Plan | 複数のHIPAA違反:リスク分析、リスク管理、情報システム活動レビュー、無許可のePHIアクセスを防ぐ技術的方針、9,358,891件の記録の侵害。 | 9,358,891 | $5,100,000 |
| Banner Health | HIPAAアクセス権不備 | 2 | $200,000 |
2021年のHIPAA違反に対する民事制裁金
| HIPAA規制対象事業体 | 理由 | 影響を受けた個人 | 金額 |
| Dr. Robert Glaser | HIPAAアクセス権不備 | 1 | $100,000 |
OCRのHIPAA罰金(2020年)
2020年は、OCRがHIPAAコンプライアンスの執行を開始して以来、HIPAA対象事業体およびビジネスアソシエイトに対して最も多くの金銭的罰則が科された年となりました。HIPAA規則の潜在的違反を解決するために19件の和解が成立しました。OCRは2019年末に開始したHIPAAアクセス権執行イニシアチブを継続し、年末までに、患者に対して合理的なコストベースの手数料で医療記録への適時アクセスが提供されなかった11件の事案を和解で解決しました。
2020年には、HIPAA違反を解決するための和解として2番目に大きい金額が記録されました。医療保険者のPremera Blue Crossは、2015年に10,466,692人分のePHIが侵害された件の調査で発見された潜在的なHIPAA違反を解決するため、OCRに6,850,000ドルを支払いました。
2020年のOCR HIPAA和解
| HIPAA規制対象事業体 | 理由 | 影響を受けた個人 | 金額 |
| Peter Wrobel, M.D., P.C., dba Elite Primary Care | HIPAAアクセス権不備 | 2 | $36,000 |
| University of Cincinnati Medical Center | HIPAAアクセス権不備 | 1 | $65,000 |
| Dr. Rajendra Bhayani | HIPAAアクセス権不備 | 1 | $15,000 |
| Riverside Psychiatric Medical Group | HIPAAアクセス権不備 | 1 | $25,000 |
| City of New Haven, CT | アクセス権の終了不備;リスク分析不備;プライバシー規則の方針の実装不備;システム活動追跡のための固有ID発行不備;498人分のPHIの不適法な開示 | 498 | $202,400 |
| Aetna | 環境または運用上の変更に対応した技術的・非技術的評価の欠如;本人確認不備;最小限必要情報不備;18,849件の記録の不適法な開示;管理的・技術的・物理的保護措置の欠如 | 18,849 | $1,000,000 |
| NY Spine | HIPAAアクセス権不備 | 1 | $100,000 |
| Dignity Health, dba St. Joseph’s Hospital and Medical Center | HIPAAアクセス権不備 | 1 | $160,000 |
| Premera Blue Cross | リスク評価不備;リスク管理不備;ハードウェアおよびソフトウェア統制の不十分;10,466,692人分のPHIへの無許可アクセス | 10,466,692 | $6,850,000 |
| CHSPSC LLC | リスク分析を実施しなかった;情報システム活動レビュー、セキュリティインシデント手続、アクセス統制の実装不備;600万人超のePHIの侵害 | 6,121,158 | $2,300,000 |
| Athens Orthopedic Clinic PA | リスク分析を実施しなかった;リスク管理および監査統制の欠如;HIPAA方針・手続の維持不備;ビジネスアソシエイト契約不備;職員へのHIPAAプライバシー規則研修の提供不備。 | 208,557 | $1,500,000 |
| Housing Works, Inc. | HIPAAアクセス権不備 | 1 | $38,000 |
| All Inclusive Medical Services, Inc. | HIPAAアクセス権不備 | 1 | $15,000 |
| Beth Israel Lahey Health Behavioral Services | HIPAAアクセス権不備 | 1 | $70,000 |
| King MD | HIPAAアクセス権不備 | 1 | $3,500 |
| Wise Psychiatry, PC | HIPAAアクセス権不備 | 1 | $10,000 |
| Lifespan Health System Affiliated Covered Entity | 暗号化の欠如;デバイスおよび媒体統制の不十分;ビジネスアソシエイト契約の欠如;20,431人分のePHIの不適法な開示 | 20,431 | $1,040,000 |
| Metropolitan Community Health Services dba Agape Health Services | 長期にわたる、体系的なHIPAAセキュリティ規則の不遵守 | 1,263 | $25,000 |
OCRのHIPAA罰金(2019年)
2019年もHIPAAの執行は高水準で継続しました。HIPAA対象事業体およびビジネスアソシエイトとの間で、HIPAA違反を解決するために8件の和解が成立し、2件の民事制裁金が科されました。金銭的罰則は、過去の年と同様のHIPAA規則違反を解決するために科されましたが、2019年はOCRの新たなHIPAAアクセス権イニシアチブの下で初めて金銭的罰則が科された年でもありました。2つの対象事業体が、患者に対して、求められた形式で、合理的な期間内に医療記録の写しを提供しなかったことに関する事案を和解で解決しました。
2019年のOCR HIPAA和解
| HIPAA規制対象事業体 | 理由 | 影響を受けた個人 | 金額 |
| West Georgia Ambulance | リスク分析不備;セキュリティ意識向上研修プログラムなし;HIPAAセキュリティ規則の方針・手続の実装不備。 | 500 | $65,000 |
| Korunda Medical, LLC | HIPAAアクセス権不備。 | 1 or more | $85,000 |
| Sentara Hospitals | 侵害通知不備;ビジネスアソシエイト契約不備 | 577 | $2,175,000 |
| University of Rochester Medical Center | フラッシュドライブ/ノートPCの紛失;暗号化なし;リスク分析不備;リスク管理不備;デバイス媒体統制の欠如。 | 43 | $3,000,000 |
| Elite Dental Associates | ソーシャルメディア開示;プライバシー慣行通知;PHIの不適法な開示。 | Unconfirmed | $10,000 |
| Bayfront Health St Petersburg | HIPAAアクセス権不備 | 1 | $85,000 |
| Medical Informatics Engineering | リスク分析不備;350万件の記録の不適法な開示 | 3,500,000 | $100,000 |
| Touchstone Medical imaging | BAAなし;アクセス権の不十分;リスク分析不備;セキュリティインシデントへの対応不備;侵害通知不備;メディア通知不備;307,839人分のPHIの不適法な開示。 | 307,839 | $3,000,000 |
2019年のOCR民事制裁金
| HIPAA規制対象事業体 | 理由 | 影響を受けた個人 | 金額 |
| Texas Department of Aging and Disability Services | リスク分析不備;アクセス統制不備;情報システム活動監視不備;6,617人分の患者ePHIの不適法な開示 | 6,617 | $1,600,000 |
| Jackson Health System | 複数のプライバシー規則、セキュリティ規則、侵害通知規則違反 | 25,661 | $2,154,000 |
OCRのHIPAA罰金(2018年)
2018年は、前年からHIPAA違反の罰則が増加しました。2018年には11件の金銭的罰則が合意されました(和解10件、民事制裁金1件)。2018年には2つの記録が更新されました。2018年には、史上最大のHIPAA和解が成立し、Anthem Inc.が2015年に7,880万件の記録が侵害された件の調査で発見されたHIPAA違反を解決するため、1,600万ドルの金銭的罰則を支払いました。HIPAA対象事業体はまた、OCRがHIPAA規則の執行を開始して以来、どの年よりも多くの罰金を支払い、合計は28,683,400ドルとなりました。
2018年のOCR HIPAA和解
| HIPAA規制対象事業体 | 理由 | 影響を受けた個人 | 金額 |
| Cottage Health | リスク分析およびリスク管理不備;BAAなし | 62,500 | $3,000,000 |
| Pagosa Springs Medical Center | 従業員アクセスの終了不備;BAAなし | 557+ | $111,400 |
| Advanced Care Hospitalists | PHIの不適法な開示;BAAなし;不十分なセキュリティ対策;2014年4月1日以前にHIPAAコンプライアンスの取り組みなし | 9,255 | $500,000 |
| Allergy Associates of Hartford | 記者へのPHI開示;従業員への制裁なし | 1 | $125,000 |
| Anthem Inc | リスク分析不備;システム活動レビューの不十分;検知された侵害への対応不備;無許可のePHIアクセスを防ぐ技術的統制の不十分 | 78,800,000 | $16,000,000 |
| Boston Medical Center | 同意のない患者の撮影 | Unspecified | $100,000 |
| Brigham and Women’s Hospital | 同意のない患者の撮影 | Unspecified | $384,000 |
| Massachusetts General Hospital | 同意のない患者の撮影 | Unspecified | $515,000 |
| Filefax, Inc. | 物理的PHIの不適法な開示 ― トラック内に無防備に放置 | 2,150 | $100,000 |
| Fresenius Medical Care North America | 5件の侵害:調査でリスク分析不備が判明;ePHIの不適法な開示;電子機器に関する方針の欠如;暗号化なし;不十分なセキュリティ方針;不十分な物理的保護措置 | 521 | $3,500,000 |
2018年のHIPAA違反に対する民事制裁金
| HIPAA規制対象事業体 | 理由 | 影響を受けた個人 | 金額 |
| University of Texas MD Anderson Cancer Center | 3件の侵害によりePHIの不適法な開示が発生;暗号化なし | 34,883 | $4,348,000 |
OCRのHIPAA罰金(2017年)
2017年のOCRによるHIPAA違反罰則の概要。
2017年のOCR HIPAA和解
| HIPAA規制対象事業体 | 侵害の概要 | 影響を受けた個人 | 和解金額 |
| Memorial Healthcare System | 従業員によるPHIへの不適法アクセス;提携医師のオフィスへのPHIの不適法な開示 | 115,143 | $5,500,000 |
| Cardionet | 暗号化されていないノートパソコンの窃取 | 1,391 | $2,500,000 |
| Memorial Hermann Health System | メディアへの患者PHIの開示 | 1 | $2,400,000 |
| 21st Century Oncology | 複数のHIPAA違反 | 2,213,597 | $2,300,000 |
| MAPFRE Life Insurance Company of Puerto Rico | 暗号化されていないUSB記憶装置の窃取 | 2,209 | $2,200,000 |
| Presense Health | 侵害通知の遅延 | 836 | $475,000 |
| Metro Community Provider Network | ePHIを保護するセキュリティ管理プロセスの欠如 | 3,200 | $400,000 |
| Luke’s-Roosevelt Hospital Center Inc. | 患者の雇用主へのPHIの不適法な開示 | 1 | $387,000 |
| The Center for Children’s Digestive Health | ビジネスアソシエイト契約の欠如 | N/A | $31,000 |
2017年のHIPAA違反に対する民事制裁金
| HIPAA規制対象事業体 | 侵害の概要 | 影響を受けた個人 | 罰則金額 |
| Children’s Medical Center of Dallas | 暗号化されていない機器の窃取 | 6,262 | $3,200,000 |
HIPAA違反チェックリストを入手
チェックリストリンクをメールアドレスへ無料で即時送付
メールアドレスを正しく入力してください。
プライバシーは尊重されます
HIPAA Journal プライバシーポリシー
OCRのHIPAA罰金(2016年)
2016年は、HIPAA規則違反を解決するための金銭的罰則において記録的な年でした。2016年にはOCRにより12件の和解が合意され、1件の民事制裁金が科されました。
2016年のOCR HIPAA和解
| HIPAA規制対象事業体 | 侵害の概要 | 影響を受けた個人 | 和解金額 |
| Feinstein Institute for Medical Research | 研究参加者のPHIの不適切な開示 | 13,000 | $3,900,000 |
| Advocate Health Care Network | デスクトップPCの窃取;ノートPCの紛失;ビジネスアソシエイトでの不適切なデータアクセス | 3,994,175 | $5,550,000 |
| University of Mississippi Medical Center | 保護されていないネットワークドライブ | 10,000 | $2,750,000 |
| Oregon Health & Science University | 暗号化されていないノートPCの紛失;BAAなしでクラウドサーバーに保管 | 4,361 | $2,700,000 |
| New York Presbyterian Hospital | テレビクルーによる患者の撮影 | Unconfirmed | $2,200,000 |
| North Memorial Health Care of Minnesota | ノートPCの窃取;ビジネスアソシエイトへの不適切な開示 | 299,401 | $1,550,000 |
| St. Joseph Health | 検索エンジンを通じてPHIが利用可能になっていた | 31,800 | $2,140,500 |
| Raleigh Orthopaedic Clinic, P.A. of North Carolina | ビジネスアソシエイトへの不適切な開示 | 17,300 | $750,000 |
| University of Massachusetts Amherst (UMass) | マルウェア感染 | 1,670 | $650,000 |
| Catholic Health Care Services of the Archdiocese of Philadelphia | モバイル端末の窃取 | 412 | $650,000 |
| Care New England Health System | 暗号化されていないバックアップテープ2本の紛失 | 14,000 | $400,000 |
| Complete P.T., Pool & Land Physical Therapy, Inc. | PHIの不適切な開示(ウェブサイトの推薦文) | Unconfirmed | $25,000 |
2016年のHIPAA違反に対する民事制裁金
| HIPAA規制対象事業体 | 侵害の概要 | 影響を受けた個人 | 罰則金額 |
| Lincare, Inc. | 不適切な開示(保護されていない文書) | 278 | $239,800 |
HIPAA違反に対する罰則とは? よくある質問
HIPAA違反の最大罰則はいくらですか?
HIPAA違反の最大罰則は、現在、違反1件あたり71,162ドルです。ただし、最大罰則が科される事象が単一の違反に起因することは稀です。例えば、データ侵害は、リスク分析を実施しなかったこと、セキュリティ意識向上研修プログラムを提供しなかったこと、および パスワード共有を防止しなかったことに起因している可能性があります。
HIPAA違反の結果はどうなりますか?
HIPAA違反の結果は、違反の性質、背景理由、もたらす損害の程度、組織の過去の遵守履歴によって異なります。多くの場合、HIPAA違反は故意の怠慢に起因するものではなく、HHSの公民権局は、初回のHIPAA違反を技術支援または是正措置計画により解決しようとします。
知らずにHIPAAに違反した場合の民事罰は何ですか?
知らずにHIPAAに違反した場合の民事罰は、知りながら違反した場合と変わりません。プライバシー規則とセキュリティ規則は20年以上前から存在しており、OCR局長Roger Severinoの言葉を借りれば、「知らずにHIPAAに違反した場合の民事罰は、セキュリティを軽視したことに対する罰則」です。知らずにHIPAAに違反したことに弁解の余地はありません。
連邦医療法の違反を処罰する区分にはどのようなものがありますか?
連邦医療法の違反を処罰する区分は、どの法律に違反したか、またはどの法律のどの条項に違反したかによって大きく異なります。例えば、HIPAA違反の罰則に関しては、民事の処罰区分が4つ、刑事の処罰区分が3つあります。しかし、他の連邦医療法(例えば社会保障法)では、連邦医療法違反を処罰する区分が数十に及ぶこともあります。
Tier 3違反で想定される刑事上の結果は何ですか?
Tier 3違反(個人的利益、商業上の利益、または悪意をもって、違法かつ故意にPHIを取得する行為)で想定される刑事上の結果は、懲役最大10年および/または最大250,000ドルの罰金です。これらの罰則は、HHSの公民権局ではなく司法省が追及します。
HIPAA違反の罰金はいくらですか?
(違反1件あたり ― 2024年8月時点の)HIPAA違反の罰金は次のとおりです。
Tier 1 ― 141ドルから35,581ドル
Tier 2 ― 1,424ドルから71,162ドル
Tier 3 ― 14,232ドルから71,162ドル
Tier 4 ― 71,162ドルから2,134,831ドル
HHSの公民権局が科すHIPAA違反の罰金に加えて、州の司法長官が追加のHIPAA違反罰金を科すことができる点に注意が必要です。違反の性質および州法によっては、影響を受けた個人が、HIPAA違反で有罪となった組織に対して集団訴訟を提起できる場合があります。
是正措置計画は何で構成されますか?
是正措置計画は、HIPAA違反につながった根本原因に対処するための措置で構成されます。計画の内容は違反の性質に応じて異なります。通常、対象事業体およびビジネスアソシエイトは、コンプライアンス上の欠落を埋めるための方針を策定または改訂することが求められ、また、新規または改訂された方針が職員の業務機能に影響する場合には、その新規または改訂された方針に関する研修を提供することが求められます。
HIPAA違反に対する罰則は常にデータ侵害に関連していますか?
HIPAA違反に対する罰則は、常にデータ侵害に関連するわけではありません。上の表から分かるとおり、複数の対象事業体が、許容される30日以内に患者へ医療記録へのアクセスを提供しなかったことにより、罰金を科されたり和解で解決したりしています。ある対象事業体は、ビジネスアソシエイトにePHIを開示する前にビジネスアソシエイト契約を整備していなかったことで罰金を科されました。これらのHIPAA違反に対する罰則はいずれも、保護されていないPHIの侵害を伴っていません。
公民権局はどのようにしてHIPAA違反を把握するのですか?
公民権局は、複数の方法でHIPAA違反を把握します。例えば、対象事業体は、保護されていないPHIの侵害を60日以内に報告する義務があります(侵害が500人未満の患者に関わる場合は年次報告)。患者はOCR苦情ポータルを利用して健康情報へのアクセスの遅延や拒否を報告でき、対象事業体の職員には不遵守を報告するための内部告発者保護が付与されています。
一般的な不遵守慣行が原因で違反が発生した場合はどうなりますか?
一般的な不遵守慣行が原因でHIPAA違反が発生した場合、罰則は違反の性質、違反の結果、加害者の過去の遵守履歴によって決まります。多くの場合、罰則は、再研修およびコンプライアンス監視プログラム(場合によっては組織負担で第三者機関が実施)で構成されます。
HIPAA違反は犯罪ですか?
HIPAA違反は、個人が個人識別可能な健康情報を故意かつ不正に開示した場合に犯罪となります。そのような場合、違反は司法省に付託され、刑事捜査の対象となることがあります。個人が社会保障法§1320d-6に基づく犯罪で有罪となった場合、最大250,000ドルの罰金および最大10年の懲役刑が科され得ます。
HIPAA違反で拘禁刑を受けた人はいますか?
HIPAA違反で拘禁刑が科されることは稀ですが、実際に起きています。例えば、従業員が、なりすましを行うため、または個人的利益のために販売する目的でPHIを盗んだとして有罪となった場合です。違反が拘禁刑に至らない場合でも、違反した従業員は罰金を科され、職を失い、業務免許を剥奪される可能性があります。従業員がどのようにデータへアクセスしたかによっては、対象事業体およびビジネスアソシエイトも同じ違反で罰金を科される可能性があります。
HIPAA違反の罰金は誰が科しますか?
HIPAA違反の罰金は、最も一般的には保健福祉省(Department of Health and Human Services)の公民権局が科します。しかし、HIPAA違反の罰金は州の司法長官や連邦取引委員会(FTC)も科すことができ、また、違反が刑事性を帯びる場合には、司法省が加害者に対して刑事訴追を行い、罰金が科されることもあります。
メディケア・メディケイドサービスセンター(CMS)にも、HIPAA行政要件(45 CFR Part 162)違反に対して罰金を科す権限があります。現在まで、CMSはこの選択肢を行使しておらず、代わりにPart 162の違反を技術支援および是正措置計画により解決することを好んでいます。
HIPAA侵害に対する罰則は常に金銭的なものですか?
HIPAA侵害に対する罰則は常に金銭的なものではありません。実際、HHSの公民権局がHIPAA侵害について調査した事案のうち、金銭的罰則を科したのは約2%に過ぎません。州の司法長官やFTCが科す罰則はさらに稀です。HIPAA侵害の大半は、任意の遵守、技術支援、または是正措置計画により解決されます。
州の司法長官が科すHIPAA罰則にはどのようなものがありますか?
州の司法長官は、州住民がHIPAA違反により不利益を被ったと信じるに足る理由がある場合に、HIPAA罰則を科すことができます。そのような場合、州の司法長官は州住民を代表して民事訴訟を提起でき、罰則は、違反1件あたり(影響を受けた住民1人あたり)100ドルから、違反類型ごとに(影響を受けた住民1人あたり)25,000ドルまでの範囲となります。
CMSはHIPAA違反に対して罰金を科すことができますか?
CMSは、違反がHIPAA行政要件(45 CFR Part 162)に関連する場合、HIPAA違反に対して罰金を科すことができます。現時点では、CMSはHIPAA違反に対して罰金を科す権限を行使しておらず、代わりにPart 162の苦情を任意の遵守、技術支援、是正措置計画により解決しています。
FTCはいつHIPAA違反の罰則を科すことができますか?
FTCは、HIPAAの対象外である個人または組織が、保護されていないPHIのデータ侵害を経験した場合、またはデータ侵害後に個人へ通知しなかった場合に、HIPAA違反の罰則を科すことができます。通常、HIPAAの対象外である健康データを作成または保持する組織には、個人用健康機器やウェアラブルのベンダーで、ベンダーのサーバーとの間でデータを送受信するものが含まれます。
病院ボランティアによるHIPAA違反の罰則は何ですか?
病院ボランティアによるHIPAA違反の罰則は、有給の職員が違反を行った場合と同じです。同様に、患者がHHSの公民権局に苦情を申し立て(そして苦情が調査された場合)、調査では違反者の雇用形態は考慮されません。なぜなら、対象事業体は、ボランティア、学生、従業員の別を問わず、職員全員にHIPAAの方針・手続に関する研修を行うことが求められているためです。
HIPAA違反の罰則はいくらですか?
HIPAA違反の罰則額は、違反の性質、違反の結果、加害者の過去の遵守履歴、違反に関する調査への協力姿勢、再発防止策が整備されるまでの速さによって異なります。また、HHSの公民権局が、他の対象事業体に「メッセージを送る」ためにHIPAA違反の罰則を用いる場合もあります。
医学生に対するHIPAA違反の結果はどうなりますか?
医学生に対するHIPAA違反の結果は、勤務先医療施設の制裁方針によって異なります。通常、HIPAA違反が重大な結果をもたらさない限り、医学生は口頭注意を受けることになります。ただし、その口頭注意は人事ファイルに記録され、将来の雇用機会に影響する可能性があります。
HIPAAの罰金と罰則は誰が設定しますか?
HIPAAの罰金と罰則は、実際にはHIPAA以前から存在しており、当初は医療提供者が連邦機関(すなわちメディケア)に対して行った不正請求に関連していました。罰金と罰則はHIPAAの条文で増額され、保健福祉省(HHS)が施行規則を公表した2005年に、プライバシー規則およびセキュリティ規則の違反に適用されました。
その後、HIPAAの罰金と罰則は、2009年の HITECH法 により議会によって増額されました。2015年以降、HHSの公民権局が科す罰金と罰則は、インフレを考慮して毎年調整されています。HITECH成立以降、州の司法長官が科し得る罰金と罰則、ならびにHIPAAの刑事違反に対する罰金と罰則には増額はありません。
HIPAA侵害の罰金は違反の種類ごとに常に同じですか?
HIPAA侵害の罰金は違反の種類ごとに同じである場合もありますが、行政簡素化規定の§160.408に基づき、保健福祉長官はHIPAA侵害の罰金額を決定する際に複数の要因を考慮することが求められています。
HIPAA違反のコストはいくらですか?
HIPAA違反のコストは、違反の性質、責任者、結果によって異なります。例えば、過去に不遵守の記録がない対象事業体の職員が、最小限必要なPHIを超えて開示した場合、口頭注意を受け、追加研修を受ける必要が生じる可能性があります。
一方で、セキュリティ規則の保護措置の実装を故意かつ意図的に怠り、その過失の結果として数千人の患者に影響するデータ侵害を経験した医療組織は、数百万ドル規模の罰金を科される可能性が高いでしょう。この両極の間にある多くの違反でも、何らかのコストが発生します(内部報告であれ、HHSの公民権局への通知であれ)。 対象事業体にとって、HIPAA侵害およびその後のHIPAA罰金を回避して評判を守ることは利益にかないます。 対象事業体は、HIPAAロゴを用いて患者にHIPAAコンプライアンスをアピールすることができます。
患者はHIPAA違反について金銭的損害賠償を請求できますか?
患者はHIPAA法の下でHIPAA違反に関する金銭的損害賠償を請求することはできませんが、多くの州にはプライバシー、セキュリティ、そして/または侵害通知に関する法律があり、違反の性質および被った損害の程度によっては私的訴権が認められる場合があります。HIPAA対象事業体またはビジネスアソシエイトの過失により損害を被ったと感じる個人は、弁護士から独立した法的助言を受けるべきです。
不遵守に対するHIPAA罰則とは何ですか?
不遵守に対するHIPAA罰則は、違反の性質、HIPAAのどの条項に違反したか、違反の結果によって異なります。不遵守に対するHIPAA罰則は、不遵守当事者が誰かによっても異なります。例えば、職員による不遵守の罰則は口頭または書面による注意となる可能性が高い一方、対象事業体による不遵守の罰則は技術支援から罰金まで幅があります。
PHIを誤って漏えいしたが相当の注意を尽くした企業に対して、HIPAA/HITECHが定める罰金は何ですか?
PHIを誤って漏えいしたが相当の注意を尽くした企業に対してHIPAA/HITECHが定める罰金は、「認識なし(Lack of Knowledge)」の責任水準に該当するTier 1の罰金です。現時点(2023年12月)では、罰金額は違反1件あたり137ドルから34,464ドルの範囲ですが、これらの金額は2024年中にインフレ調整されます。
最終オムニバス規則によるHIPAA違反1件あたりの最大罰金はいくらですか?
最終オムニバス規則によるHIPAA違反1件あたりの最大罰金は150万ドルです。ただし、150万ドルの罰則上限を伴う段階的HIPAA罰則体系は、2009年のHITECH法により導入され、2013年の最終オムニバス規則で採用された点に注意が必要です。2015年以降、HIPAA違反1件あたりの最大罰金はインフレを考慮して毎年増額されています。
HIPAA違反に対する刑事罰とは何ですか?
HIPAA違反に対する刑事罰は、犯行の動機によって異なります。社会保障法§1177によれば、対象事業体が保持する個人識別可能な健康情報を取得、開示、使用し、または使用させた者は、最大50,000ドルの罰金および/または最大1年の懲役刑が科され得ます。
しかし、虚偽の口実で犯行が行われた場合、罰金は最大100,000ドル、懲役刑は最大5年に増加します。さらに、商業上の利益、個人的利益、または悪意による害を目的として、個人識別可能な健康情報を販売、移転、または使用する意図で犯行が行われた場合、罰金は最大250,000ドル、懲役刑は最大10年に増加します。
看護師がHIPAAに違反した場合の結果はどうなりますか?
看護師がHIPAAに違反した場合の結果は、多くの場合、違反の性質、違反の影響、看護師の過去の遵守記録、対象事業体の制裁方針の内容によって決まります。通常、影響が軽微な初回違反は口頭注意および/または再研修となります。しかし、看護師がHIPAAに違反した場合の結果は、重大または反復的な違反では、書面注意、停職、または解雇へとエスカレートする可能性があります。
個人に対するHIPAA違反の罰金はありますか?
個人がHIPAA対象事業体またはビジネスアソシエイト(例:フリーランスのカウンセラー)に該当し、その立場でHIPAAに違反しない限り、個人に対するHIPAA違反の罰金はありません。対象事業体またはビジネスアソシエイトに雇用されている個人は、民事違反で罰金を科されることはありませんが、違反が刑事と見なされ司法省に付託された場合には罰金を科される可能性があります。
PHIの意図的かつ未是正の漏えいに対する最低罰金はいくらですか?
PHIの意図的かつ未是正の漏えいに対する最低罰金は、違反者が対象事業体またはビジネスアソシエイトである場合、現在68,928ドルです。違反者が対象事業体またはビジネスアソシエイトの職員であり、刑事意図をもってHIPAAに意図的に違反した場合、最低罰金は定められていません。裁判所は最大250,000ドルまでの罰金を決定できます。
HIPAAの民事制裁金とは何ですか?
HIPAAの民事制裁金とは、HIPAA違反に対してHIPAA対象事業体およびビジネスアソシエイトに科されることがある罰金です。この用語は、HIPAA罰則と短縮されることもあり、また、加害者がHHSの公民権局と和解交渉を行い、民事制裁金がいくらになるべきかを巡る長期(かつ高コストとなり得る)紛争を回避する場合には、HIPAA和解と呼ばれることもあります。
州によってHIPAA違反の制裁は異なりますか?
HIPAA違反の制裁は州によって異なるわけではありません。ただし、一部の分野では、州の司法長官が他州よりも対象事業体に対するHIPAA違反制裁を追及する意欲が高い場合があります。これは、その州がHIPAAより厳格なプライバシーまたはデータセキュリティ規制を有しているため、または多数の州住民がHIPAA違反の影響を受けているためである可能性があります。
翻訳元: https://www.hipaajournal.com/what-are-the-penalties-for-hipaa-violations-7096/
