メンタルヘルスセンター向けHIPAA研修

メンタルヘルスセンター向けのHIPAA研修は、HIPAAのプライバシーおよびセキュリティ基準について従業員（ワークフォース）を教育するという義務要件を満たすだけでなく、Part 2、州法、そして／または免許付与機関により求められる場合に、より厳格な守秘基準の土台も提供します。

メンタルヘルスセンターは、もし不適切に開示されれば患者に深刻な害を及ぼし得る情報を取り扱います。このため、多くの州ではHIPAAよりも厳格な守秘基準を定める法律を制定しているか、より厳格な守秘基準を課す免許要件を設けています。場合によっては、州の守秘基準が、42 CFR Part 2.がSUD患者記録に対して求める基準よりも厳格であることもあります。

また、州法の中には、提供されるメンタルヘルスサービスの種類（例：オンラインMAT提供者のみに適用）や、保護される情報の種類（例：未成年者のメンタルヘルス情報）に応じて適用が条件付きとなるものもあります。条件はさらに、患者情報の開示先、開示の目的、特定のリスク要因に応じて適用される場合もあります。

州法、免許要件、条件の幅が広いため、すべてのメンタルヘルスセンターの研修要件を満たせる「万能」のメンタルヘルスセンター向けHIPAA研修は存在しません。しかし、HIPAAはほぼすべてのメンタルヘルスセンターに適用されるプライバシーおよびセキュリティ規定の連邦としての最低基準を提供しているため、HIPAA研修を基盤として用い、その上に追加研修を重ねることでPart 2および州の要件を満たすことができます。

メンタルヘルスセンター向けHIPAA研修は何を扱うべきか？

基盤レイヤーとして用いられるため、メンタルヘルスセンター向けHIPAA研修は、すべての医療施設に適用される基本的なプライバシー概念を扱うべきです。これには、HIPAAにより許可される保護対象保健情報（PHI）の利用および開示、同意（consent）と承認（authorization）の違い、そして患者の権利—特にプライバシー保護および秘密通信を求める権利—が含まれます。

許可される利用・開示について従業員を教育するにあたっては、保護対象保健情報とは何かを定義し、医療業務（healthcare operations）などの用語を説明し、HIPAAでは許可されるとしても州法により同意なしで家族に開示することが禁止される場合があることを区別して説明すると有用です。状況に応じた開示や、州が義務付ける報告要件についても扱うべきです。

センターが社会福祉機関とどのように関わるかによっては、医療業務の下で許可される開示と、患者からの承認が必要な開示のどちらかを説明することも有用です。この研修要素は、センターで使用する承認書式の説明、書式記入時に患者へ伝える必要がある事項、そして再開示禁止通知（non-redisclosure）の通知が必要となる場面の説明と組み合わせることもできます。

メンタルヘルス分野のワークフォース向けHIPAAセキュリティ意識向上研修

メンタルヘルス分野のワークフォース向けHIPAAセキュリティ意識向上研修は、HIPAAセキュリティ規則の一般要件に準拠しなければならず、そのため、電子的保護対象保健情報（ePHI）のセキュリティおよび完全性に対して合理的に予見される脅威、ならびにHIPAAプライバシー規則で許可されない保護対象保健情報の利用および開示から保護するよう設計されなければなりません（45 CFR 164.306(a)）。

このため、HIPAAセキュリティ意識向上研修は「一般的な研修」以上の内容でなければならず、作業完了時にデバイスからログアウトすることが重要な理由、未承認アプリをダウンロードしたり未承認サービスに登録したりしてはならない理由、そしてメール件名、文書ファイル名、連絡先リストなどの暗号化されていない欄に保護対象保健情報を入力してはならない理由といったトピックを扱う必要があります。

HIPAAセキュリティ意識向上研修では、従業員がセキュリティインシデントを特定した場合に何をすべきかも扱うべきです。新規の従業員が侵害通知の責任を負う可能性は低いものの、インシデントを封じ込め、影響を可能な限り迅速に軽減できるよう、誰に報告すべきかを知っていなければなりません。従業員がセキュリティインシデントの原因となった場合には、自らのミスを認める必要があることを強調することが重要です。

小規模メンタルヘルス診療所で強調すべき追加領域

小規模なメンタルヘルス診療所は地域コミュニティにサービスを提供する傾向があり、メンタルヘルスの診断・治療を他のサービスとともに提供する大規模医療システムと比べると、患者が診療所に出入りするところを見られて認識される可能性が高くなります。目撃が話題性のあるものと見なされれば、その情報はコミュニティ内で急速に広まり、従業員がより詳しい情報を求められることもあります。

メンタルヘルスセンター向けHIPAA研修では、患者の承認なしに家族、友人、またはコミュニティのメンバーに患者に関する情報を開示することは、いかなる内容であってもHIPAA違反に当たることを強調することが重要です。開示が口頭、書面、電子的のいずれであるか—ソーシャルメディア経由を含め—は関係ありません。患者の診療記録をのぞき見したり、コミュニティの好奇心を満たすために患者に関する情報を開示したりすることが許される状況は一切ありません。

この点を強調するため、従業員には、この種の違反が内部の懲戒処分にとどまらない可能性があることを伝えるべきです。患者がプライバシーに関する苦情を申し立てたり治療から離脱したりした場合、違反は州の免許付与機関へとエスカレートし、従業員が免許を失う可能性があります。一部の州では、HIPAA、Part 2、または州法に違反していることを「知っているべきだった」従業員が、プライバシー侵害で起訴されることもあります。

プライバシー侵害は患者に深刻な害を及ぼし得ますが、メンタルヘルスセンターおよびその従業員にも影響を及ぼし得ます。このため、メンタルヘルスセンター向けHIPAA研修が、Part 2、州法、または免許要件によってさらに積み上げられる、プライバシーと守秘に関する確かな知識の基盤を提供することが重要です。