コネチカット州に拠点を置き、ポストアキュートおよび介護付き生活施設向けにテクノロジーソリューションを提供するTapestryHealthは、患者データへの不正アクセスを特定しました。2025年11月3日ごろ、従業員がジョブシェアリングを行っている疑いが生じたことで、潜在的なHIPAA違反が確認されました。当該従業員のアクセス権は、調査が行われるまで直ちに停止されました。
ジョブシェアリングとは、個人が企業に雇用された後、契約上の職務の一部または全部を他の個人に委任することを指します。ビジネスアソシエイトは、業務の特定の側面を遂行するために下請け業者を利用することがありますが、その下請け業者はビジネスアソシエイトに分類され、ビジネスアソシエイト契約に署名し、HIPAA規則の適用を受けなければなりません。 本件では、ジョブシェアリングは無許可であり、TapestryHealthの雇用およびプライバシーポリシーに違反しており、2024年11月6日から2025年11月3日までの雇用期間中に発生していた可能性があります。確認後、責任のある従業員は解雇されました。
TapestryHealthは、以下の種類の保護対象保健情報(PHI)に不正アクセスがあった可能性があると判断しました:姓、施設情報(名称、部屋番号、入所日)、診療録番号、医療提供者名、診断および治療情報、バイタル、予防接種、投薬、および/またはケアプランの目標と経過記録。財務情報、社会保障番号、健康保険情報、運転免許証/政府発行IDは含まれていませんでした。
従業員の解雇に加え、今後同様の事案を防止するための追加の統制が実施されました。これには、従業員が閲覧できる保護対象保健情報を制限することが含まれます。TapestryHealthは、いかなる情報も不正に利用されたことを示す証拠は見つけていませんが、予防措置として、影響を受けた個人には12か月間の無料のクレジットモニタリングおよび身元盗難保護サービスが提供されました。
同様の事案は今年初めにSentara Healthによって報告されており、同社は3人のリモートワーカーがジョブシェアリングに関与し、最大14,898人の患者の保護対象保健情報を無許可の個人と不適切に共有していたことを発見しました。
翻訳元: https://www.hipaajournal.com/phi-impermissibly-disclosed-job-sharing-employee/
