HIPAA違反の罰金は、HIPAAの規則を遵守しなかった場合に、保健福祉省(HHS)公民権局(OCR)および各州司法長官から科される可能性があります。
本記事では、HIPAA規制対象機関がHIPAAの規則に違反したと認定された事案において科されたHIPAA違反の罰金について詳しく解説します。
また、本記事は当サイトが提供する無料の「HIPAA違反チェックリスト」と合わせてご活用いただけます。完全なコンプライアンスに必要な事項をご確認いただくため、このページのフォームからチェックリストのご請求をお申し込みください。
HIPAA違反の罰金の多くは和解によるもの
ほとんどのケースでは、対象機関やビジネスアソシエイトがHIPAAの規則の特定の要件を満たさなかった可能性を認め、和解金額を合意した上で、責任を認めることなく案件が解決されます。和解に加えて、HIPAA違反を是正するための是正措置計画(CAP)が発行されます。対象機関やビジネスアソシエイトが調査結果に異議を唱え、罰則の決定を争うことも可能です。その場合、罰則免除を支持する証拠を提示する機会が与えられます。免除が認められなかった場合には、民事制裁金が科されます。民事制裁金の額は、違反を和解により解決した場合に支払う金額よりも高くなります。なお、民事制裁金が科された場合、OCRは是正措置計画を発行することができません。
OCRがHIPAA違反に対して罰金を科す一方、州司法長官はHIPAAではなく州法に基づいてHIPAA規制対象機関に金銭的ペナルティを求めるケースも多くあります。州法違反に基づく措置は勝訴しやすく、州レベルのペナルティ体系では、HIPAA単独よりも高額の制裁を科せる場合があります。HIPAA/HITECH法のもとで認められている権限を行使し、HIPAA対象機関やそのビジネスアソシエイトに対してHIPAA規則違反を理由に訴訟を提起した州はごく一部にとどまります。ただし、すべての州が少なくとも一度は複数州による共同措置に参加しています。
HIPAA違反に対するペナルティ体系

罰金額は生活費の上昇を反映するために毎年改定されます。2026年1月28日に連邦官報(Federal Register)に掲載された最新の改定は、2015年11月2日以降に科されるすべての制裁金に適用されます。行政管理予算局(OMB)が設定した2025年のインフレ乗数は1.02598です。OMBはこの乗数を2025年1月15日までに適用するよう定めていますが、HHSは例外規定が適用されると判断しており、通常は年次改定の適用を大幅に遅らせています。たとえば、2025年のインフレ乗数は1年以上にわたって適用されませんでした。2026年現在のHIPAA違反に対するペナルティは以下の表のとおりです。
| ペナルティ区分 | 責任の程度 | 違反1件あたりの最低罰金額 | 違反1件あたりの最高罰金額 | 年間罰金上限額 |
| 第1区分 | 相当な注意を払っていた場合 | $145 | $73,011 | $2,190,294 |
| 第2区分 | 監督の欠如 | $1,461 | $73,011 | $2,190,294 |
| 第3区分 | 過失あり(30日以内に是正済み) | $14,602 | $73,011 | $2,190,294 |
| 第4区分 | 過失あり(30日以内に是正されず) | $73,011 | $2,190,294 | $2,190,294 |
※表は2026年1月28日に最終更新。2025年の生活費調整乗数(1.02598)を反映しています。
上記の表はHIPAA違反に対する公式のペナルティ額を示していますが、OCRは2019年4月にHITECH法の文言を再検討した結果、3つのペナルティ区分における年間上限額を引き下げる旨の「執行裁量に関する通知」を発行しました。年間ペナルティ上限は、第1区分が$25,000、第2区分が$100,000、第3区分が$250,000に変更されました。第4区分の年間最高罰金上限は$1,500,000のまま据え置かれています。これらの上限額も毎年のインフレ調整の対象となっています。以下の表はHIPAAジャーナルが作成したもので、毎年のインフレ改定を反映し、OCRの「執行裁量に関する通知」を適用しています。
第1区分における違反1件あたりの最高罰金額が同区分の年間上限額を上回っているのは、執行裁量に関する通知が年間ペナルティ上限のみを引き下げ、違反1件あたりの最高罰金額は変更しなかったためです。この齟齬は、将来的なルール策定により新解釈に基づくペナルティ体系が正式に採択された際に解消される可能性があります。ただし、執行裁量に関する通知は法的拘束力を持たず、OCRはいつでも取り消すことができるため、無期限に効力を持ちます。OCRはHIPAA違反に対するペナルティ強化のため議会に働きかけており、HITECH法の再解釈要件を正式に採択する追加のルール策定は行われない見込みです。
| 年間ペナルティ上限 | 違反1件あたりの最低罰金額 | 違反1件あたりの最高罰金額 | 年間ペナルティ上限額 | |
| 第1区分 | 知識の欠如 | $145 | $36,505.50 | $36,505.50 |
| 第2区分 | 合理的な原因 | $1,461 | $73,011 | $146,053 |
| 第3区分 | 故意による過失 | $14,602 | $73,011 | $365,052 |
| 第4区分 | 故意による過失(30日以内に是正されず) | $73,011 | $2,190,294 | $2,190,294 |
※表は2026年1月28日に最終更新。
州司法長官は、違反カテゴリーごと・年間あたり最大$25,000のHIPAA違反罰金を科すことができます。これらのペナルティも毎年のインフレ調整の対象です。
以下に、HIPAA執行規則が法律として署名されて以降、HHSの公民権局(OCR)が科したHIPAA違反の罰金・和解の一覧、および各州司法長官によるHIPAA規則・同等の州法違反に対する執行措置を掲載します。


2026年のHIPAA違反罰金・和解
HHSの公民権局(OCR)は、HIPAAのアクセス権および リスク分析に関する執行イニシアチブを継続しており、2026年2月16日には新たに委任された権限に基づいてパート2規則の執行を開始しました。OCR局長は、2026年にはリスク分析に関する執行イニシアチブをリスク管理分野にも拡大すると表明しています。
| 年 | 機関名 | 金額 | 和解/民事制裁金 | 理由 |
| 2026 | Spencer Gifts LLC Flexible Benefits and Welfare Benefit Plans | $450,000 | 和解 | リスク分析の不備、HIPAAプライバシー規則・セキュリティ規則・違反通知規則に関するポリシーおよび手順の欠如 |
| 2026 | Assured Imaging Affiliated Covered Entities | $375,000 | 和解 | リスク分析の不備、244,813人のePHIの不正開示 |
| 2026 | Regional Women’s Health Group(Axia Women’s Health) | $320,000 | 和解 | リスク分析の不備 |
| 2026 | Consociate Health | $225,000 | 和解 | リスク分析の不備 |
| 2026 | Star Group, L.P. Health Benefits Plan | $245,000 | 和解 | リスク分析の不備、9,316人のePHIの不正開示 |
| 2026 | MMG Fusion | $10,000 | 和解 | リスク分析の不備、違反通知の不備、1,500万人の患者のPHIの不正開示 |
| 2026 | Top of the World Ranch Treatment Center | $103,000 | 和解 | リスク分析の不備 |
2025年のHIPAA違反罰金・和解
| 年 | 機関名 | 金額 | 和解/民事制裁金 | 理由 |
| 2025 | Concentra Inc. | $112,500 | 和解 | HIPAAアクセス権違反 |
| 2025 | Cadia Healthcare Facilities | $182,000 | 和解 | 無断でのソーシャルメディアへの情報開示、違反通知規則の不備 |
| 2025 | Syracuse ASC(Specialty Surgery Center of Central New York) | $250,000 | 和解 | リスク分析の不備、HHS長官および患者への遅延したデータ侵害通知 |
| 2025 | Deer Oaks – The Behavioral Health Solution | $225,000 | 和解 | リスク分析の不備、ePHIの不正開示 |
| 2025 | Comstar LLC | $75,000 | 和解 | リスク分析の不備 |
| 2025 | BayCare Health System | $800,000 | 和解 | 情報アクセス管理(最小限必要な基準)、リスク管理、情報システムのアクティビティレビュー |
| 2025 | Vision Upright MRI | $5,000 | 和解 | HIPAAリスク分析違反、HIPAA違反通知違反 |
| 2025 | Comprehensive Neurology | $25,000 | 和解 | HIPAAリスク分析違反 |
| 2025 | PIH Health | $600,000 | 和解 | HIPAAリスク分析違反、189,763人のePHIの不正開示、メディアへの侵害通知の不備、HHSおよび影響を受けた患者への適時通知の不備 |
| 2025 | Guam Memorial Hospital Authority | $25,000 | 和解 | HIPAAリスク分析違反 |
| 2025 | Northeast Radiology | $350,000 | 和解 | HIPAAリスク分析違反 |
| 2025 | Health Fitness Corporation | $227,816 | 和解 | HIPAAリスク分析違反 |
| 2025 | Oregon Health & Science University | $200,000 | 民事制裁金 | HIPAAアクセス権違反 |
| 2025 | Warby Parker, Inc. | $1,500,000 | 民事制裁金 | HIPAAセキュリティ規則違反:ePHIを含む情報システムにおけるリスク分析、リスク管理、アクティビティ監視 |
| 2024 | Northeast Surgical Group | $10,000 | 和解 | HIPAA準拠のリスク分析の不実施 |
| 2024 | Memorial Health System | $60,000 | 和解 | HIPAAアクセス権違反 |
| 2024 | Solara Medical Supplies | $3,000,000 | 和解 | リスク分析の不備、リスク管理の不備、違反通知の不備、114,007人および1,531人の患者のePHIの不正開示 |
| 2024 | USR Holdings | $337,750 | 和解 | リスク分析の不備、情報システムにおけるアクティビティ記録の不備、ePHIの正確な複製を作成・維持する手順の欠如、2,903人のePHIの不正開示 |
| 2024 | Virtual Private Network Solutions | $90,000 | 和解 | リスク分析の不備 |
| 2024 | Elgon Information Systems | $80,000 | 和解 | リスク分析の不備 |
2024年のHIPAA違反罰金・和解
OCR局長は2024年12月31日に年末報告を発表し、2024年にはデータ侵害および苦情に関する22件の調査が民事制裁金または和解に至り、HIPAA執行において最も活発な年の一つとなったと述べました。ただし、発表されたのはうち16件のみで、残る6件はOCRが2025年1月初旬、政権交代前に公表しました。
| 年 | 機関名 | 金額 | 和解/民事制裁金 | 理由 |
| 2024 | Inmediata Health Group | $250,000 | 和解 | リスク分析の不備、情報システムにおけるアクティビティ監視の不備、1,565,338人のePHIの不正開示 |
| 2024 | Children’s Hospital Colorado Health System | $548,265 | 民事制裁金 | 6,666人の職員へのHIPAAプライバシー規則研修の不実施、適切なリスク分析の不備、10,840人のePHIの不正開示 |
| 2024 | Holy Redeemer Family Medicine | $35,581 | 和解 | 患者の医療記録の不正開示 |
| 2024 | Rio Hondo Community Mental Health Center | $100,000 | 民事制裁金 | 医療記録への適時アクセス提供の不備(7か月の遅延) |
| 2024 | Bryan County Ambulance Authority | $90,000 | 和解 | リスク分析の未実施 |
| 2024 | Plastic Surgery Associates of South Dakota | $500,000 | 和解 | リスク分析の不備、リスク管理の不備、システムアクティビティログの分析なし、セキュリティインシデント対応ポリシーの欠如 |
| 2024 | Gums Dental Care | $70,000 | 民事制裁金 | 医療記録への適時アクセス提供の不備 |
| 2024 | Providence Medical Institute | $240,000 | 民事制裁金 | ePHIへのアクセスを権限ある者またはソフトウェアプログラムのみに制限しなかったこと、ビジネスアソシエイト契約(BAA)の欠如 |
| 2024 | Cascade Eye and Skin Centers | $250,000 | 和解 | リスク分析の不備、システムアクティビティ記録のレビュー不備 |
| 2024 | American Medical Response | $115,200 | 民事制裁金 | 医療記録への適時アクセス提供の不備(370日の遅延) |
| 2024 | Heritage Valley Health System | $950,000 | 和解 | リスク分析の不実施、緊急時対応のポリシー・手順の欠如、ePHIを含むシステムへのアクセス制限に関する技術的ポリシーおよび手順の欠如 |
| 2024 | Essex Residential Care(Hackensack Meridian Health、West Caldwell Care Center) | $100,000 | 民事制裁金 | 医療記録への適時アクセス提供の不備 |
| 2024 | Phoenix Healthcare | $35,000 | 和解 | 医療記録への適時アクセス提供の不備 |
| 2024 | Green Ridge Behavioral Health | $40,000 | 和解 | 包括的なリスク分析の不実施、ePHIへのリスク低減措置の不備、ePHIを含む情報システムにおけるアクティビティ監視のポリシーおよび手順の欠如、14,000人のePHIの不正開示 |
| 2024 | Montefiore Medical Center | $4,750,000 | 和解 | 包括的なリスク分析の不実施、情報システムのアクティビティ記録の定期的なレビュー手順の未整備、ePHIを含むすべての情報システムにおけるアクティビティを記録・検査するハードウェア・ソフトウェア・手順上の仕組みの未導入 |
2023年のHIPAA違反罰金・和解
| 年 | 機関名 | 金額 | 和解/民事制裁金 | 理由 |
| 2023 | Optum Medical Care of New Jersey | $160,000 | 和解 | 6人の患者への医療記録の適時提供の不備 |
| 2023 | Lafourche Medical Group | $480,000 | 和解 | 2021年のセキュリティ侵害前にリスク分析を実施しておらず、侵害前のシステムアクティビティログの定期的なレビュー手順も整備されていなかった |
| 2023 | St. Joseph’s Medical Center | $80,000 | 和解 | 患者からの事前承認を得ることなく、3人の患者とその臨床情報へのレポーターのアクセスを許可した |
| 2023 | Doctors’ Management Services | $100,000 | 和解 | リスク分析、システムアクティビティ記録のレビュー、HIPAAセキュリティ規則準拠のための合理的かつ適切なポリシー・手順の不備、206,695人のPHIの不正開示 |
| 2023 | L.A. Care Health Plan | $1,300,000 | 和解 | リスク分析の不備、不十分なセキュリティ措置、情報システムのアクティビティ記録のレビュー不備、環境・業務変更に対する評価の不備、情報システムにおけるアクティビティの記録・検査の不備、1,498人のePHIの不正開示 |
| 2023 | UnitedHealthcare | $80,000 | 和解 | HIPAAアクセス権違反 |
| 2023 | iHealth Solutions(Advantum Health) | $75,000 | 和解 | サーバのセキュリティ確保不備によるePHI窃取、リスク分析の不備、267人のePHIの不正開示 |
| 2023 | Yakima Valley Memorial Hospital | $240,000 | 和解 | 救急部門の警備員23人が419人の患者の医療記録を無断閲覧。OCRはHIPAAのポリシーおよび手順の欠如を認定 |
| 2023 | Manasa Health Center, LLC | $30,000 | 和解 | Googleレビューへの否定的な投稿に対する返信として4人のPHIを不正開示、HIPAAプライバシー規則および違反通知規則のポリシーおよび手順の未整備 |
| 2023 | MedEvolve Inc. | $350,000 | 和解 | 230,572人のPHIの不正開示、サブコントラクターとのBAA(ビジネスアソシエイト契約)の欠如、不完全なリスク分析 |
| 2023 | David Mente, MA, LPC | $15,000 | 和解 | HIPAAアクセス権違反 |
| 2023 | Banner Health | $1,250,000 | 和解 | リスク分析、システムアクティビティ記録のレビュー、PHIへのアクセス時の本人確認、技術的保護措置の欠如 |
| 2023 | Life Hope Labs, LLC | $16,500 | 和解 | HIPAAアクセス権違反 |
2022年のHIPAA違反罰金・和解
| 年 | 機関名 | 金額 | 和解/民事制裁金 | 理由 |
| 2022 | Health Specialists of Central Florida Inc | $20,000 | 和解 | HIPAAアクセス権違反 |
| 2022 | New Vision Dental | $23,000 | 和解 | PHIの不正開示、プライバシー慣行の通知、ソーシャルメディアへのPHI公開 |
| 2022 | Great Expressions Dental Center of Georgia, P.C. | $80,000 | 和解 | HIPAAアクセス権違反(遅延・手数料) |
| 2022 | Family Dental Care, P.C. | $30,000 | 和解 | HIPAAアクセス権違反 |
| 2022 | B. Steven L. Hardy, D.D.S., LTD(Paradise Family Dental) | $25,000 | 和解 | HIPAAアクセス権違反 |
| 2022 | New England Dermatology and Laser Center | $300,640 | 和解 | PHIの不適切な廃棄、適切な保護措置の不備 |
| 2022 | ACPM Podiatry | $100,000 | 民事制裁金 | HIPAAアクセス権違反 |
| 2022 | Memorial Hermann Health System | $240,000 | 和解 | HIPAAアクセス権違反 |
| 2022 | Southwest Surgical Associates | $65,000 | 和解 | HIPAAアクセス権違反 |
| 2022 | Hillcrest Nursing and Rehabilitation | $55,000 | 和解 | HIPAAアクセス権違反 |
| 2022 | MelroseWakefield Healthcare | $55,000 | 和解 | HIPAAアクセス権違反 |
| 2022 | Erie County Medical Center Corporation | $50,000 | 和解 | HIPAAアクセス権違反 |
| 2022 | Fallbrook Family Health Center | $30,000 | 和解 | HIPAAアクセス権違反 |
| 2022 | Associated Retina Specialists | $22,500 | 和解 | HIPAAアクセス権違反 |
| 2022 | Coastal Ear, Nose, and Throat | $20,000 | 和解 | HIPAAアクセス権違反 |
| 2022 | Lawrence Bell, Jr. D.D.S | $5,000 | 和解 | HIPAAアクセス権違反 |
| 2022 | Danbury Psychiatric Consultants | $3,500 | 和解 | HIPAAアクセス権違反 |
| 2022 | Oklahoma State University – Center for Health Sciences | $875,000 | 和解 | リスク分析、セキュリティインシデントの対応・報告、評価、監査管理、違反通知、279,865人のPHIの不正開示 |
| 2022 | Dr. Brockley | $30,000 | 和解 | HIPAAアクセス権違反 |
| 2022 | Jacob & Associates | $28,000 | 和解 | HIPAAアクセス権違反、プライバシー慣行の通知、HIPAAプライバシー責任者の不在 |
| 2022 | Dr. U. Phillip Igbinadolor, D.M.D. & Associates, P.A., | $50,000 | 民事制裁金 | ソーシャルメディア上での不正開示 |
| 2022 | Northcutt Dental-Fairhope | $62,500 | 和解 | マーケティング目的の不正開示、プライバシー慣行の通知、HIPAAプライバシー責任者の不在 |
2021年のHIPAA違反罰金・和解
| 年 | 機関名 | 金額 | 和解/民事制裁金 | 理由 |
| 2021 | Advanced Spine & Pain Management | $32,150 | 和解 | HIPAAアクセス権違反 |
| 2021 | Denver Retina Center | $30,000 | 和解 | HIPAAアクセス権違反 |
| 2021 | Dr. Robert Glaser | $100,000 | 民事制裁金 | HIPAAアクセス権違反 |
| 2021 | Rainrock Treatment Center LLC(Monte Nido Rainrock) | $160,000 | 和解 | HIPAAアクセス権違反 |
| 2021 | Wake Health Medical Group | $10,000 | 和解 | HIPAAアクセス権違反 |
| 2021 | Children’s Hospital & Medical Center | $80,000 | 和解 | HIPAAアクセス権違反 |
| 2021 | The Diabetes, Endocrinology & Lipidology Center, Inc. | $5,000 | 和解 | HIPAAアクセス権違反 |
| 2021 | AEON Clinical Laboratories(Peachstate) | $25,000 | 和解 | HIPAAセキュリティ規則違反(リスク評価、リスク管理、監査管理、HIPAAセキュリティ規則のポリシーおよび手順の文書化不備) |
| 2021 | Village Plastic Surgery | $30,000 | 和解 | HIPAAアクセス権違反 |
| 2021 | Arbour Hospital | $65,000 | 和解 | HIPAAアクセス権違反 |
| 2021 | Sharpe Healthcare | $70,000 | 和解 | HIPAAアクセス権違反 |
| 2021 | Renown Health | $75,000 | 和解 | HIPAAアクセス権違反 |
| 2021 | Excellus Health Plan | $5,100,000 | 和解 | 複数の違反:リスク分析の不備、リスク管理の不備、情報システムのアクティビティレビューの欠如、ePHIへの不正アクセスを防止する技術的ポリシーの欠如、9,358,891件の記録の侵害 |
| 2021 | Banner Health | $200,000 | 和解 | HIPAAアクセス権違反 |
2020年のHIPAA違反罰金・和解
| 年 | 機関名 | 金額 | 和解/民事制裁金 | 理由 |
| 2020 | Peter Wrobel, M.D., P.C.(Elite Primary Care) | $36,000 | 和解 | HIPAAアクセス権違反 |
| 2020 | University of Cincinnati Medical Center | $65,000 | 和解 | HIPAAアクセス権違反 |
| 2020 | Dr. Rajendra Bhayani | $15,000 | 和解 | HIPAAアクセス権違反 |
| 2020 | Riverside Psychiatric Medical Group | $25,000 | 和解 | HIPAAアクセス権違反 |
| 2020 | City of New Haven, CT | $202,400 | 和解 | アクセス権の適切な終了手続き不備、リスク分析の不備、プライバシー規則のポリシー未整備、一意のID発行の不備、498人のPHIの不正開示 |
| 2020 | Aetna | $1,000,000 | 和解 | ePHIセキュリティに影響する環境・業務変更への対応評価の不備、本人確認の不備、最小限必要な情報の原則の不遵守、管理的・技術的・物理的保護措置の欠如 |
| 2020 | NY Spine | $100,000 | 和解 | HIPAAアクセス権違反 |
| 2020 | Dignity Health(St. Joseph’s Hospital and Medical Center) | $160,000 | 和解 | HIPAAアクセス権違反 |
| 2020 | Premera Blue Cross | $6,850,000 | 和解 | リスク評価の不備、リスク管理の不備、不十分なハードウェアおよびソフトウェアの制御 |
| 2020 | CHSPSC LLC | $2,300,000 | 和解 | リスク分析の不備、情報システムのアクティビティレビューの未実施、セキュリティインシデント対応手順の不備、不十分なアクセス制御 |
| 2020 | Athens Orthopedic Clinic PA | $1,500,000 | 和解 | リスク分析の不実施、リスク管理の不備、監査管理の欠如、HIPAAのポリシーおよび手順の未整備、ビジネスアソシエイト契約の欠如、職員へのHIPAAプライバシー規則研修の不実施 |
| 2020 | Housing Works, Inc. | $38,000 | 和解 | HIPAAアクセス権違反 |
| 2020 | All Inclusive Medical Services, Inc. | $15,000 | 和解 | HIPAAアクセス権違反 |
| 2020 | Beth Israel Lahey Health Behavioral Services | $70,000 | 和解 | HIPAAアクセス権違反 |
| 2020 | King MD | $3,500 | 和解 | HIPAAアクセス権違反 |
| 2020 | Wise Psychiatry, PC | $10,000 | 和解 | HIPAAアクセス権違反 |
| 2020 | Lifespan Health System Affiliated Covered Entity | $1,040,000 | 和解 | 暗号化の欠如、デバイスおよびメディア管理の不備、ビジネスアソシエイト契約の不備 |
| 2020 | Metropolitan Community Health Services(Agape Health Services) | $25,000 | 和解 | HIPAAセキュリティ規則への組織的な不遵守 |
| 2020 | Steven A. Porter, M.D | $100,000 | 和解 | リスク分析およびリスク管理の不備 |
2019年のHIPAA違反罰金・和解
| 年 | 対象機関 | 金額 | 和解/民事制裁金 | 理由 |
| 2019 | West Georgia Ambulance | $65,000 | 和解 | リスク分析の不備、セキュリティ意識向上研修プログラムの欠如、HIPAAセキュリティ規則のポリシーおよび手順の未整備 |
| 2019 | Korunda Medical, LLC | $85,000 | 和解 | HIPAAアクセス権違反 |
| 2019 | Sentara Hospitals | $2,175,000 | 和解 | 違反通知の不備、ビジネスアソシエイト契約の不備 |
| 2019 | University of Rochester Medical Center | $3,000,000 | 和解 | フラッシュドライブ・ノートパソコンの紛失、暗号化の欠如、リスク分析の不備、リスク管理の不備、デバイスメディア管理の欠如 |
| 2019 | Elite Dental Associates | $10,000 | 和解 | ソーシャルメディアへの情報開示、プライバシー慣行の通知、PHIの不正開示 |
| 2019 | Bayfront Health St Petersburg | $85,000 | 和解 | HIPAAアクセス権違反 |
| 2019 | Medical Informatics Engineering | $100,000 | 和解 | リスク分析の不備、350万件の記録の不正開示 |
| 2019 | Touchstone Medical Imaging | $3,000,000 | 和解 | BAAの欠如、不十分なアクセス権、リスク分析の不備、セキュリティインシデントへの対応不備、違反通知の不備、メディア通知の不備、307,839人のPHIの不正開示 |
| 2019 | Texas Department of Aging and Disability Services | $1,600,000 | 民事制裁金 | リスク分析の不備、アクセス制御の不備、情報システムのアクティビティ監視の不備、6,617人の患者のePHIの不正開示 |
| 2019 | Jackson Health System | $2,154,000 | 民事制裁金 | プライバシー規則、セキュリティ規則、違反通知規則の複数の違反 |
HIPAA違反チェックリストを入手する
メールアドレスにチェックリストのリンクを無料・即時でお届け
正しいメールアドレスをご入力ください。
プライバシーを尊重します
HIPAA Journal プライバシーポリシー
2018年のHIPAA違反罰金・和解
| 年 | 対象機関 | 金額 | 和解/民事制裁金 | 理由 |
| 2018 | Fresenius Medical Care North America | $3,500,000 | 和解 | リスク分析の不備、ePHIの不正開示、電子機器に関するポリシーの欠如、暗号化の欠如、不十分なセキュリティポリシー、不十分な物理的保護措置 |
| 2018 | Filefax, Inc. | $100,000 | 和解 | PHIの不正開示 |
| 2018 | University of Texas MD Anderson Cancer Center | $4,348,000 | 民事制裁金 | ePHIの不正開示、暗号化の欠如 |
| 2018 | Massachusetts General Hospital | $515,000 | 和解 | 患者の同意なき撮影 |
| 2018 | Brigham and Women’s Hospital | $384,000 | 和解 | 患者の同意なき撮影 |
| 2018 | Boston Medical Center | $100,000 | 和解 | 患者の同意なき撮影 |
| 2018 | Anthem Inc | $16,000,000 | 和解 | リスク分析の不備、システムアクティビティレビューの不備、侵害検知後の対応の不備、ePHIへの不正アクセスを防止する技術的管理の不備 |
| 2018 | Allergy Associates of Hartford | $125,000 | 和解 | 記者へのPHI開示、従業員への制裁なし |
| 2018 | Advanced Care Hospitalists | $500,000 | 和解 | PHIの不正開示、BAAの欠如、不十分なセキュリティ措置、2014年4月1日以前のHIPAAコンプライアンス取り組みなし |
| 2018 | Pagosa Springs Medical Center | $111,400 | 和解 | 退職従業員のアクセス権終了手続き不備、BAAの欠如 |
| 2018 | Cottage Health | $3,000,000 | 和解 | リスク分析の不備、リスク管理の不備、BAAの欠如 |
2017年のHIPAA違反罰金・和解
| 年 | 対象機関 | 金額 | 和解/民事制裁金 | 理由 |
|---|---|---|---|---|
| 2017 | 21st Century Oncology | $2,300,000 | 和解 | HIPAA規則の複数違反 |
| 2017 | Memorial Hermann Health System | $2,400,000 | 和解 | PHIの不適切な取り扱い |
| 2017 | St. Luke’s-Roosevelt Hospital Center Inc. | $387,000 | 和解 | PHIの無断開示 |
| 2017 | The Center for Children’s Digestive Health | $31,000 | 和解 | ビジネスアソシエイト契約の欠如 |
| 2017 | Cardionet | $2,500,000 | 和解 | PHIの不正開示 |
| 2017 | Metro Community Provider Network | $400,000 | 和解 | セキュリティ管理プロセスの欠如 |
| 2017 | Memorial Healthcare System | $5,500,000 | 和解 | ePHIアクセス制御の不備 |
| 2017 | Children’s Medical Center of Dallas | $3,200,000 | 民事制裁金 | ePHIの不正開示 |
| 2017 | MAPFRE Life Insurance Company of Puerto Rico | $2,200,000 | 和解 | ePHIの不正開示 |
| 2017 | Presense Health | $475,000 | 和解 | 侵害通知の遅延 |
2016年のHIPAA違反罰金・和解
| 年 | 対象機関 | 金額 | 和解/民事制裁金 | 理由 |
|---|---|---|---|---|
| 2016 | University of Massachusetts Amherst (UMass) | $650,000 | 和解 | セキュリティリスク管理の不備 |
| 2016 | St. Joseph Health | $2,140,500 | 和解 | リスク分析の不実施 |
| 2016 | Care New England Health System | $400,000 | 和解 | ビジネスアソシエイト契約の欠如 |
| 2016 | Advocate Health Care Network | $5,550,000 | 和解 | HIPAA規則の複数違反 |
| 2016 | University of Mississippi Medical Center | $2,750,000 | 和解 | HIPAA規則の複数違反 |
| 2016 | Oregon Health & Science University | $2,700,000 | 和解 | ビジネスアソシエイト契約の欠如 |
| 2016 | Catholic Health Care Services of the Archdiocese of Philadelphia | $650,000 | 和解 | ePHIの保護措置の不備 |
| 2016 | New York Presbyterian Hospital | $2,200,000 | 和解 | 患者の承認なき撮影 |
| 2016 | Raleigh Orthopaedic Clinic, P.A. of North Carolina | $750,000 | 和解 | ビジネスアソシエイト契約の欠如 |
| 2016 | Feinstein Institute for Medical Research | $3,900,000 | 和解 | PHIの不正開示 |
| 2016 | North Memorial Health Care of Minnesota | $1,550,000 | 和解 | ビジネスアソシエイト契約の欠如 |
| 2016 | Complete P.T., Pool & Land Physical Therapy, Inc. | $25,000 | 和解 | PHIの不正開示 |
| 2016 | Lincare, Inc. | $239,800 | 民事制裁金 | PHIの保護措置の不備 |
2015年のHIPAA違反罰金・和解
| 年 | 対象機関 | 金額 | 和解/民事制裁金 | 理由 |
|---|---|---|---|---|
| 2015 | University of Washington Medicine | $750,000 | 和解 | リスク分析の不実施 |
| 2015 | Triple S Management Corporation | $3,500,000 | 和解 | HIPAA規則の複数違反 |
| 2015 | Lahey Hospital and Medical Center | $850,000 | 和解 | HIPAA規則の複数違反 |
| 2015 | Cancer Care Group, P.C. | $750,000 | 和解 | リスク分析の不実施 |
| 2015 | St. Elizabeth’s Medical Center | $218,400 | 和解 | HIPAA規則の複数違反 |
| 2015 | Cornell Prescription Pharmacy | $125,000 | 和解 | PHIの不適切な廃棄 |
HIPAA違反チェックリストを入手する
メールアドレスにチェックリストのリンクを無料・即時でお届け
正しいメールアドレスをご入力ください。
プライバシーを尊重します
HIPAA Journal プライバシーポリシー
2014年のHIPAA違反罰金・和解
| 年 | 対象機関 | 金額 | 和解/民事制裁金 | 理由 |
|---|---|---|---|---|
| 2014 | Anchorage Community Mental Health Services | $150,000 | 和解 | ePHIのリスク管理の不備 |
| 2014 | Parkview Health System, Inc. | $800,000 | 和解 | PHIの保護措置の不備 |
| 2014 | New York and Presbyterian Hospital and Columbia University | $4,800,000 | 和解 | リスク分析の不実施 |
| 2014 | QCA Health Plan, Inc., of Arkansas | $250,000 | 和解 | ePHIの保護措置の不備 |
| 2014 | Concentra Health Services | $1,725,220 | 和解 | ePHIの保護措置の不備 |
| 2014 | Skagit County, Washington | $215,000 | 和解 | ePHIの保護措置の不備 |
2013年のHIPAA違反罰金・和解
| 年 | 対象機関 | 金額 | 和解/民事制裁金 | 理由 |
|---|---|---|---|---|
| 2013 | Adult & Pediatric Dermatology, P.C. | $150,000 | 和解 | ePHIの保護措置の不備 |
| 2013 | Affinity Health Plan, Inc. | $1,215,780 | 和解 | ePHIの完全消去の不備 |
| 2013 | WellPoint | $1,700,000 | 和解 | ePHIの保護措置の不備 |
| 2013 | Shasta Regional Medical Center | $275,000 | 和解 | 患者の同意なきPHIの開示 |
| 2013 | Idaho State University | $400,000 | 和解 | ePHIの保護措置の不備 |
2012年のHIPAA違反罰金・和解
| 年 | 対象機関 | 金額 | 和解/民事制裁金 | 理由 |
|---|---|---|---|---|
| 2012 | The Hospice of Northern Idaho | $50,000 | 和解 | 暗号化されていないノートパソコンの盗難 |
| 2012 | Massachusetts Eye and Ear Infirmary and Massachusetts Eye and Ear Associates, Inc. | $1,500,000 | 和解 | HIPAA規則の複数違反 |
| 2012 | Alaska DHSS | $1,700,000 | 和解 | リスク分析の不実施/リスク管理の不備 |
| 2012 | Phoenix Cardiac Surgery | $100,000 | 和解 | HIPAA保護措置の欠如 |
| 2012 | Blue Cross Blue Shield of Tennessee | $1,500,000 | 和解 | 適切な管理的保護措置の未整備 |
2011年のHIPAA違反罰金・和解
| 年 | 対象機関 | 金額 | 和解/民事制裁金 | 理由 |
|---|---|---|---|---|
| 2011 | University of California at Los Angeles Health System | $865,500 | 和解 | 医療記録へのアクセス制限の不備 |
| 2011 | General Hospital Corp. & Massachusetts General Physicians Organization Inc. | $1,000,000 | 和解 | PHIの保護措置の不備 |
| 2011 | Cignet Health of Prince George’s County | $4,300,000 | 民事制裁金 | 患者への医療記録へのアクセス拒否 |
2010年のHIPAA違反罰金・和解
| 年 | 対象機関 | 金額 | 和解/民事制裁金 | 理由 |
|---|---|---|---|---|
| 2010 | Management Services Organization Washington Inc. | $35,000 | 和解 | リスク分析の不備/不十分なセキュリティ措置 |
| 2010 | Rite Aid Corporation | $1,000,000 | 和解 | HIPAA規則の複数違反 |
2009年のHIPAA違反罰金・和解
| 年 | 対象機関 | 金額 | 和解/民事制裁金 | 理由 |
|---|---|---|---|---|
| 2009 | CVS Pharmacy Inc. | $2,250,000 | 和解 | HIPAA規則の複数違反 |
2008年のHIPAA違反罰金・和解
| 年 | 対象機関 | 金額 | 和解/民事制裁金 | 理由 |
|---|---|---|---|---|
| 2008 | Providence Health & Services | $100,000 | 和解 | 適切な管理的保護措置の未整備 |
州司法長官によるHIPAA違反罰金・和解
州司法長官にはHIPAA違反に対して金銭的ペナルティを科す権限がありますが、HIPAAが実際に違反されていても、処罰は州法違反に基づいて行われるケースが多くあります。以下の一覧は、HIPAA規則および同等の州法違反を理由として科された民事制裁金および和解の事例を掲載しています。
HIPAA違反チェックリストを入手する
メールアドレスにチェックリストのリンクを無料・即時でお届け
正しいメールアドレスをご入力ください。
プライバシーを尊重します
HIPAA Journal プライバシーポリシー
HIPAA規則に潜在的な違反の可能性がある場合は、金銭的ペナルティが州法違反を理由として科された事案も掲載しています。
| 年 | 州 | 機関名 | 金額 | 影響を受けた個人数 | 理由 |
| 2026 | マサチューセッツ州・コネチカット州 | Comstar LLC | $515,000 | 585,621人(マサチューセッツ州居住者326,426人・コネチカット州居住者22,829人) | HIPAAセキュリティ規則およびマサチューセッツ州データセキュリティ規制の違反 |
| 2025 | ニューヨーク州 | Orthopedics NY LLP | $500,000 | 656,086人 | HIPAAセキュリティ規則および州の医療プライバシー・セキュリティ法の違反 |
| 2024 | インディアナ州 | Westend Dental | $350,000 | 不明 | HIPAAプライバシー規則・セキュリティ規則・違反通知規則の違反、インディアナ州セキュリティ侵害開示法、インディアナ州不正消費者販売法の違反 |
| 2024 | ニューヨーク州 | HealthAlliance | $1,400,000(うち$850,000は執行猶予) | 242,641人 | ニューヨーク州ビジネス・行政法の違反 |
| 2024 | ニューヨーク州 | Albany ENT & Allergy Services | $1,000,000(うち$500,000は執行猶予)、サイバーセキュリティへの$2.24M投資 | 213,935人 | ニューヨーク州ビジネス・行政法の違反 |
| 2024 | ニューヨーク州・ニュージャージー州・コネチカット州 | Enzo Biochem/Enzo Clinical Labs | $4,500,000 | 2,400,000人 | HIPAAセキュリティ規則12条項の違反、ニューヨーク州一般ビジネス法の違反 |
| 2024 | ワシントン州 | Allure Esthetic | $5,000,000 | 21,000人 | オンラインレビューの改ざん、違法な秘密保持契約、患者にHIPAAの権利を放棄させる行為 |
| 2024 | カリフォルニア州 | Adventist Health Hanford | $10,000 | 2人 | 法執行機関への患者情報の不法な開示(申し立て) |
| 2024 | カリフォルニア州 | Blackbaud | $6,750,000 | 5,500,000人 | データセキュリティ確保のための適切な保護措置の未整備および侵害対応の不備。HIPAAセキュリティ規則・違反通知規則および州消費者保護法の違反 |
| 2024 | カリフォルニア州 | Quest Diagnostics | $5,000,000、サイバーセキュリティへの$1.2M投資 | 未確認 | 有害廃棄物、医療廃棄物、患者の個人健康情報の違法な廃棄 |
| 2024 | ニューヨーク州 | Refuah Health Center Inc. | $450,000、サイバーセキュリティへの$1.2M投資 | 260,740人 | HIPAAセキュリティ規則の複数違反、HIPAAウウ違反通知規則の違反、ニューヨーク州ビジネス法の違反 |
| 2023 | ニューヨーク州 | New York Presbyterian Hospital | $300,000 | 54,396人 | ピクセルやその他のウェブサイトトラッキングツールを使用して第三者にPHIを開示したことによるHIPAAプライバシー規則およびニューヨーク州行政法の違反 |
| 2023 | ニューヨーク州 | Healthplex | $400,000 | 89,955人(ニューヨーク州居住者62,922人) | ニューヨーク州データセキュリティおよび消費者保護法の違反(データ保持・ログ管理、多要素認証、データセキュリティ評価) |
| 2023 | インディアナ州 | CarePointe ENT | $120,000 | 48,742人 | 既知の脆弱性への対応不備、ビジネスアソシエイト契約の不備 |
| 2023 | ニューヨーク州 | U.S. Radiology Specialists | $450,000 | 198,260人(ニューヨーク州居住者92,540人) | 合理的な期間内に既知の脆弱性に対処するためのハードウェアのアップグレードの不備 |
| 2023 | ニューヨーク州 | Personal Touch Holding Corp | $350,000 | 753,107人(ニューヨーク州居住者316,845人) | 非公式な情報セキュリティプログラムしか持たず、アクセス制御が不十分で継続的な監視システムがなく、暗号化の欠如および不十分なスタッフトレーニング |
| 2023 | 複数州(32州およびプエルトリコ) | Inmediata | $1.4 million | 1,565,338人 | データセキュリティ確保のための適切な保護措置の未整備および侵害対応の不備。HIPAAセキュリティ規則・違反通知規則および州の違反通知法の違反 |
| 2023 | 複数州(49州およびワシントンDC) | Blackbaud | $49.5 million | 5,500,000人 | HIPAAおよび州消費者保護法の違反:機密情報保護のための適切な保護措置の欠如、侵害対応・通知の不備 |
| 2023 | コロラド州 | Broomfield Skilled Nursing and Rehabilitation Center | $60,000(うち$25,000は執行猶予) | 677人 | HIPAAデータ暗号化要件の違反、州データ保護法の違反、不正な取引慣行 |
| 2023 | インディアナ州 | Schneck Medical Center | $250,000 | 89,707人 | HIPAAプライバシー規則・セキュリティ規則・違反通知規則の違反、インディアナ州セキュリティ侵害開示法、インディアナ州不正消費者販売法の違反 |
| 2023 | カリフォルニア州 | Kaiser Foundation Health Plan Foundation Inc. and Kaiser Foundation Hospitals | $49,000,000 | 7,700人 | HIPAA規則の違反、カリフォルニア州有害廃棄物管理法、医療廃棄物管理法、カリフォルニア州医療情報機密性法、カリフォルニア州顧客記録法、カリフォルニア州不正競争法の違反 |
| 2023 | カリフォルニア州 | Kaiser Permanente | $450,000 | 167,095人 | PHIの不正開示およびカリフォルニア州医療情報機密性法(CMIA)に違反したPHIの不適切な管理・廃棄 |
| 2023 | ニューヨーク州 | Professional Business Systems Inc(Practicefirst Medical Management Solutions、PBS Medcode Corp) | $550,000 | 1,200,000人 | データセキュリティの不備:パッチ管理、データ暗号化、脆弱性スキャン、ペネトレーションテスト |
| 2023 | オレゴン州・ニュージャージー州・フロリダ州・ペンシルベニア州 | EyeMed Vision Care | $2,500,000 | 2,100,000人 | アクセス制御を含むデータセキュリティの不備 |
| 2023 | ニューヨーク州 | Heidell, Pittoni, Murphy & Bach LLP | $200,000 | 61,438人 | HIPAAプライバシー規則およびセキュリティ規則の17条項の違反 |
| 2023 | ペンシルベニア州・オハイオ州 | DNA Diagnostics Center | $400,000 | 2,100,000人 | 保護措置の欠如、資産台帳の更新不備、業務上不要な資産の無効化・削除の不備 |
| 2022 | オレゴン州・ユタ州 | Avalon Healthcare | $200,000 | 14,500人 | 違反通知の遅延、情報セキュリティプログラムの不備 |
| 2022 | マサチューセッツ州 | Aveanna Healthcare | $425,000 | 166,000人 | フィッシング対策のセキュリティ保護措置の欠如(多要素認証なし) |
| 2022 | ニューヨーク州 | EyeMed Vision Care | $600,000 | 2,100,000人 | HIPAAおよびニューヨーク州一般ビジネス法の複数違反 |
| 2021 | ニュージャージー州 | Regional Cancer Care Associates(RCCA MSO LLC、RCCA MD LLC) | $425,000 | 105,000人 | PHIの機密性・完全性・可用性の確保不備、合理的に予見されるリスクへの対策不備、リスク低減のためのセキュリティ措置の不備、正確なリスク評価の不実施、セキュリティ意識向上・研修プログラムの欠如 |
| 2021 | ニュージャージー州 | Command Marketing Innovations, LLC and Strategic Content Imaging LLC | $130,000(うち$65,000は執行猶予) | 55,715人 | PHIの機密性確保の不備、PHI保護措置の欠如、手順変更後のセキュリティ措置の見直し不備 |
| 2021 | ニュージャージー州 | Diamond Institute for Infertility and Menopause | $495,000 | 14,663人 | プライバシー規則およびセキュリティ規則の複数違反、消費者詐欺防止法の違反 |
| 2021 | 複数州 | American Medical Collection Agency | $21 million(執行猶予) | 21,000,000人 | データ侵害の検知不備を含むセキュリティ上の不備 |
| 2020 | 複数州 | CHSPSC LLC | $5,000,000 | 6,100,000人 | 合理的なセキュリティ慣行の実施・維持の不備 |
| 2020 | 複数州 | Anthem Inc | $48.2 million | 78,000,000人 | HIPAAおよび州法の複数違反 |
| 2019 | 複数州 | Premera Blue Cross | $10,000,000 | 10,400,000人 | HIPAA規則の複数違反 |
| 2019 | 複数州 | Medical Informatics Engineering | $900,000 | 3,500,000人 | HIPAA規則の複数違反 |
| 2019 | カリフォルニア州 | Aetna | $935,000 | 1,991人 | 2件の郵便物送付によるPHIの露出(心房細動、HIV関連情報) |
| 2018 | マサチューセッツ州 | McLean Hospital | $75,000 | 1,500人 | バックアップテープの紛失 |
| 2018 | ニュージャージー州 | EmblemHealth | $100,000 | 81,000人 | 郵送ミスによる社会保障番号(SSN)の露出 |
| 2018 | ニュージャージー州 | Best Transcription Medical | $200,000 | 1,650人 | 検索エンジン経由でのePHIの露出 |
| 2018 | コネチカット州 | Aetna | $99,959 | 13,160人 | 2件の郵便物送付によるPHIの露出(心房細動、HIVデータ) |
| 2018 | ニュージャージー州 | Aetna | $365,211.59 | 13,160人 | 2件の郵便物送付によるPHIの露出(心房細動、HIVデータ) |
| 2018 | ワシントンDC | Aetna | $175,000 | 13,160人 | 2件の郵便物送付によるPHIの露出(心房細動、HIVデータ) |
| 2018 | マサチューセッツ州 | UMass Memorial Medical Group/UMass Memorial Medical Center | $230,000 | 15,000人 | ePHIのセキュリティ確保不備および複数の侵害 |
| 2018 | ニューヨーク州 | Arc of Erie County | $200,000 | 3,751人 | ePHIのセキュリティ確保不備 |
| 2018 | ニュージャージー州 | Virtua Medical Group | $417,816 | 1,654人 | HIPAA規則の複数違反 |
| 2018 | ニューヨーク州 | EmblemHealth | $575,000 | 81,122人 | ePHIの不正開示 |
| 2018 | ニューヨーク州 | Aetna | $1,150,000 | 12,000人 | 2件の郵便物送付によるPHIの露出(心房細動、HIVデータ) |
| 2017 | カリフォルニア州 | Cottage Health System | $2,000,000 | 54,000人以上 | 医療記録の保護措置の不備 |
| 2017 | マサチューセッツ州 | Multi-State Billing Services | $100,000 | 2,600人 | PHIを含む暗号化されていないノートパソコンの盗難 |
| 2017 | ニュージャージー州 | Horizon Healthcare Services Inc., | $1,100,000 | 3,700,000人 | 暗号化されていないノートパソコンの紛失 |
| 2017 | バーモント州 | SAManage USA, Inc. | $264,000 | 660人 | 検索エンジンにインデックスされたスプレッドシートによるPHIの閲覧可能な状態 |
| 2017 | ニューヨーク州 | CoPilot Provider Support Services, Inc | $130,000 | 221,178人 | 侵害通知の遅延 |
| 2015 | ニューヨーク州 | University of Rochester Medical Center | $15,000 | 3,403人 | 患者リストが新しい職場に転職した看護師に持ち出された |
| 2015 | コネチカット州 | Hartford Hospital/EMC Corporation | $90,000 | 8,883人 | PHIを含む暗号化されていないノートパソコンの盗難 |
| 2014 | マサチューセッツ州 | Women & Infants Hospital of Rhode Island | $150,000 | 12,000人 | PHIを含むバックアップテープの紛失 |
| 2014 | マサチューセッツ州 | Boston Children’s Hospital | $40,000 | 2,159人 | PHIを含むノートパソコンの紛失 |
| 2014 | マサチューセッツ州 | Beth Israel Deaconess Medical Center | $100,000 | 3,796人 | PHIを含むノートパソコンの紛失 |
| 2013 | マサチューセッツ州 | Goldthwait Associates | $140,000 | 67,000人 | 不適切な廃棄 |
| 2012 | ミネソタ州 | Accretive Health | $2,500,000 | 24,000人 | PHIの不適切な取り扱い |
| 2012 | マサチューセッツ州 | South Shore Hospital | $750,000 | 800,000人 | PHIを含むバックアップテープの紛失 |
| 2011 | バーモント州 | Health Net Inc. | $55,000 | 1,500,000人 | 暗号化されていないハードドライブの紛失/侵害通知の遅延 |
| 2011 | インディアナ州 | WellPoint Inc. | $100,000 | 32,000人 | 合理的な期間内の侵害報告の不備 |
| 2010 | コネチカット州 | Health Net Inc. | $250,000 | 1,500,000人 | 暗号化されていないハードドライブの紛失/侵害通知の遅延 |
HIPAA違反罰金に関するよくある質問
上記リストはOCRが発行したすべてのHIPAA違反罰金を網羅していますか?
2022年6月時点で、HHSの公民権局(OCR)は30万件以上の苦情やデータ侵害の報告を受理しているにもかかわらず、罰金の科課または和解合意に至った事案は110件のみです。HIPAA違反があったと認定されたその他の案件の大半は、技術的支援や是正措置計画の発行によって解決されています。
OCRはHIPAA違反に対して刑事訴追を行うこともできますか?
公民権局(OCR)が事案を審査し、刑事有罪判決の可能性があると判断した場合、当該案件は司法省(DOJ)に移送されます。司法省にはHIPAA違反に対して刑事訴追を行う権限があり、HIPAA違反に関与した複数の個人が禁固刑を受けています。その事例は以下のとおりです。
- フロリダ州の医療クリニック職員、PHI窃取により禁固48か月の判決
- 患者データを窃取した退役軍人省(VA)職員に禁固3年の判決
- ニューヨーク州の元歯科医院受付職員、HIPAA違反により禁固2〜6年の判決
- UPMCの患者ケアコーディネーター、HIPAA違反により禁固1年の判決
最近の和解にHIPAAアクセス権違反が多い理由
2019年以降、公民権局(OCR)は、PHIのコピーへのアクセスに障害や遅延を経験した患者からの苦情の増加に対処するため、アクセス権に関する執行イニシアチブを展開しています。これはOCRがその他のHIPAA違反を見逃しているわけではなく、他の違反やデータ侵害についても引き続き調査を行っています。
HIPAA違反の罰金が年間ペナルティ上限を超える場合がある理由
年間ペナルティ上限は違反の種類ごとに適用されます。したがって、たとえばある対象機関が4つの項目でコンプライアンス違反と認定された場合、違反ごとの最高罰金額または年間上限額(責任の程度に応じたもの)を上限として、最大4件の罰金が科される可能性があります。
4段階のペナルティ区分(責任の程度)の意味
第1区分:HIPAA遵守に向けて合理的な注意を払っていたとしても、現実的に回避できなかったと認められる違反。対象機関またはビジネスアソシエイトがその違反を認識していなかった場合に該当します。
第2区分:HIPAA遵守に向けて合理的な注意を払っていたとしても回避できなかったものの、対象機関またはビジネスアソシエイトが違反を認識していたか、認識すべきであった場合に該当します。
第3区分:対象機関またはビジネスアソシエイトが違反の是正を試みた場合における、「故意による過失」の直接的な結果として生じた違反。
第4区分:対象機関またはビジネスアソシエイトが是正の努力をまったく行っていない、故意による過失に起因するHIPAA違反。
HIPAA違反チェックリストを入手する
メールアドレスにチェックリストのリンクを無料・即時でお届け
正しいメールアドレスをご入力ください。
プライバシーを尊重します
HIPAA Journal プライバシーポリシー
翻訳元: https://www.hipaajournal.com/hipaa-violation-fines/