HIPAA違反の罰金

HIPAA違反の罰金は、HIPAAの規則を遵守しなかった場合に、保健福祉省(HHS)公民権局(OCR)および各州司法長官から科される可能性があります。

Image本記事では、HIPAA規制対象機関がHIPAAの規則に違反したと認定された事案において科されたHIPAA違反の罰金について詳しく解説します。

また、本記事は当サイトが提供する無料の「HIPAA違反チェックリスト」と合わせてご活用いただけます。完全なコンプライアンスに必要な事項をご確認いただくため、このページのフォームからチェックリストのご請求をお申し込みください。

HIPAA違反の罰金の多くは和解によるもの

ほとんどのケースでは、対象機関やビジネスアソシエイトがHIPAAの規則の特定の要件を満たさなかった可能性を認め、和解金額を合意した上で、責任を認めることなく案件が解決されます。和解に加えて、HIPAA違反を是正するための是正措置計画(CAP)が発行されます。対象機関やビジネスアソシエイトが調査結果に異議を唱え、罰則の決定を争うことも可能です。その場合、罰則免除を支持する証拠を提示する機会が与えられます。免除が認められなかった場合には、民事制裁金が科されます。民事制裁金の額は、違反を和解により解決した場合に支払う金額よりも高くなります。なお、民事制裁金が科された場合、OCRは是正措置計画を発行することができません。

OCRがHIPAA違反に対して罰金を科す一方、州司法長官はHIPAAではなく州法に基づいてHIPAA規制対象機関に金銭的ペナルティを求めるケースも多くあります。州法違反に基づく措置は勝訴しやすく、州レベルのペナルティ体系では、HIPAA単独よりも高額の制裁を科せる場合があります。HIPAA/HITECH法のもとで認められている権限を行使し、HIPAA対象機関やそのビジネスアソシエイトに対してHIPAA規則違反を理由に訴訟を提起した州はごく一部にとどまります。ただし、すべての州が少なくとも一度は複数州による共同措置に参加しています。

HIPAA違反に対するペナルティ体系

Image

罰金額は生活費の上昇を反映するために毎年改定されます。2026年1月28日に連邦官報(Federal Register)に掲載された最新の改定は、2015年11月2日以降に科されるすべての制裁金に適用されます。行政管理予算局(OMB)が設定した2025年のインフレ乗数は1.02598です。OMBはこの乗数を2025年1月15日までに適用するよう定めていますが、HHSは例外規定が適用されると判断しており、通常は年次改定の適用を大幅に遅らせています。たとえば、2025年のインフレ乗数は1年以上にわたって適用されませんでした。2026年現在のHIPAA違反に対するペナルティは以下の表のとおりです。

ペナルティ区分 責任の程度 違反1件あたりの最低罰金額 違反1件あたりの最高罰金額 年間罰金上限額
第1区分 相当な注意を払っていた場合 $145 $73,011 $2,190,294
第2区分 監督の欠如 $1,461 $73,011 $2,190,294
第3区分 過失あり(30日以内に是正済み) $14,602 $73,011 $2,190,294
第4区分 過失あり(30日以内に是正されず) $73,011 $2,190,294 $2,190,294

※表は2026年1月28日に最終更新。2025年の生活費調整乗数(1.02598)を反映しています。

上記の表はHIPAA違反に対する公式のペナルティ額を示していますが、OCRは2019年4月にHITECH法の文言を再検討した結果、3つのペナルティ区分における年間上限額を引き下げる旨の「執行裁量に関する通知」を発行しました。年間ペナルティ上限は、第1区分が$25,000、第2区分が$100,000、第3区分が$250,000に変更されました。第4区分の年間最高罰金上限は$1,500,000のまま据え置かれています。これらの上限額も毎年のインフレ調整の対象となっています。以下の表はHIPAAジャーナルが作成したもので、毎年のインフレ改定を反映し、OCRの「執行裁量に関する通知」を適用しています。

第1区分における違反1件あたりの最高罰金額が同区分の年間上限額を上回っているのは、執行裁量に関する通知が年間ペナルティ上限のみを引き下げ、違反1件あたりの最高罰金額は変更しなかったためです。この齟齬は、将来的なルール策定により新解釈に基づくペナルティ体系が正式に採択された際に解消される可能性があります。ただし、執行裁量に関する通知は法的拘束力を持たず、OCRはいつでも取り消すことができるため、無期限に効力を持ちます。OCRはHIPAA違反に対するペナルティ強化のため議会に働きかけており、HITECH法の再解釈要件を正式に採択する追加のルール策定は行われない見込みです。

年間ペナルティ上限 違反1件あたりの最低罰金額 違反1件あたりの最高罰金額 年間ペナルティ上限額
第1区分 知識の欠如 $145 $36,505.50 $36,505.50
第2区分 合理的な原因  $1,461 $73,011 $146,053
第3区分 故意による過失 $14,602 $73,011 $365,052
第4区分 故意による過失(30日以内に是正されず) $73,011 $2,190,294 $2,190,294

※表は2026年1月28日に最終更新。

州司法長官は、違反カテゴリーごと・年間あたり最大$25,000のHIPAA違反罰金を科すことができます。これらのペナルティも毎年のインフレ調整の対象です。

以下に、HIPAA執行規則が法律として署名されて以降、HHSの公民権局(OCR)が科したHIPAA違反の罰金・和解の一覧、および各州司法長官によるHIPAA規則・同等の州法違反に対する執行措置を掲載します。

Image

Image

2026年のHIPAA違反罰金・和解

HHSの公民権局(OCR)は、HIPAAのアクセス権および リスク分析に関する執行イニシアチブを継続しており、2026年2月16日には新たに委任された権限に基づいてパート2規則の執行を開始しました。OCR局長は、2026年にはリスク分析に関する執行イニシアチブをリスク管理分野にも拡大すると表明しています。

機関名 金額 和解/民事制裁金 理由
2026 Spencer Gifts LLC Flexible Benefits and Welfare Benefit Plans $450,000 和解 リスク分析の不備、HIPAAプライバシー規則・セキュリティ規則・違反通知規則に関するポリシーおよび手順の欠如
2026 Assured Imaging Affiliated Covered Entities $375,000 和解 リスク分析の不備、244,813人のePHIの不正開示
2026 Regional Women’s Health Group(Axia Women’s Health) $320,000 和解 リスク分析の不備
2026 Consociate Health $225,000 和解 リスク分析の不備
2026 Star Group, L.P. Health Benefits Plan $245,000 和解 リスク分析の不備、9,316人のePHIの不正開示
2026 MMG Fusion $10,000 和解 リスク分析の不備、違反通知の不備、1,500万人の患者のPHIの不正開示
2026 Top of the World Ranch Treatment Center $103,000 和解 リスク分析の不備

2025年のHIPAA違反罰金・和解

機関名 金額 和解/民事制裁金 理由
2025 Concentra Inc. $112,500 和解 HIPAAアクセス権違反
2025 Cadia Healthcare Facilities $182,000 和解 無断でのソーシャルメディアへの情報開示、違反通知規則の不備
2025 Syracuse ASC(Specialty Surgery Center of Central New York) $250,000 和解 リスク分析の不備、HHS長官および患者への遅延したデータ侵害通知
2025 Deer Oaks – The Behavioral Health Solution $225,000 和解 リスク分析の不備、ePHIの不正開示
2025 Comstar LLC $75,000 和解 リスク分析の不備
2025 BayCare Health System $800,000 和解 情報アクセス管理(最小限必要な基準)、リスク管理、情報システムのアクティビティレビュー
2025 Vision Upright MRI $5,000 和解 HIPAAリスク分析違反、HIPAA違反通知違反
2025 Comprehensive Neurology $25,000 和解 HIPAAリスク分析違反
2025 PIH Health $600,000 和解 HIPAAリスク分析違反、189,763人のePHIの不正開示、メディアへの侵害通知の不備、HHSおよび影響を受けた患者への適時通知の不備
2025 Guam Memorial Hospital Authority $25,000 和解 HIPAAリスク分析違反
2025 Northeast Radiology $350,000 和解 HIPAAリスク分析違反
2025 Health Fitness Corporation $227,816 和解 HIPAAリスク分析違反
2025 Oregon Health & Science University $200,000 民事制裁金 HIPAAアクセス権違反
2025 Warby Parker, Inc. $1,500,000 民事制裁金 HIPAAセキュリティ規則違反:ePHIを含む情報システムにおけるリスク分析、リスク管理、アクティビティ監視
2024 Northeast Surgical Group $10,000 和解 HIPAA準拠のリスク分析の不実施
2024 Memorial Health System $60,000 和解 HIPAAアクセス権違反
2024 Solara Medical Supplies $3,000,000 和解 リスク分析の不備、リスク管理の不備、違反通知の不備、114,007人および1,531人の患者のePHIの不正開示
2024 USR Holdings $337,750 和解 リスク分析の不備、情報システムにおけるアクティビティ記録の不備、ePHIの正確な複製を作成・維持する手順の欠如、2,903人のePHIの不正開示
2024 Virtual Private Network Solutions $90,000 和解 リスク分析の不備
2024 Elgon Information Systems $80,000 和解 リスク分析の不備

2024年のHIPAA違反罰金・和解

OCR局長は2024年12月31日に年末報告を発表し、2024年にはデータ侵害および苦情に関する22件の調査が民事制裁金または和解に至り、HIPAA執行において最も活発な年の一つとなったと述べました。ただし、発表されたのはうち16件のみで、残る6件はOCRが2025年1月初旬、政権交代前に公表しました。

機関名 金額 和解/民事制裁金 理由
2024 Inmediata Health Group $250,000 和解 リスク分析の不備、情報システムにおけるアクティビティ監視の不備、1,565,338人のePHIの不正開示
2024 Children’s Hospital Colorado Health System $548,265 民事制裁金 6,666人の職員へのHIPAAプライバシー規則研修の不実施、適切なリスク分析の不備、10,840人のePHIの不正開示
2024 Holy Redeemer Family Medicine $35,581 和解 患者の医療記録の不正開示
2024 Rio Hondo Community Mental Health Center $100,000 民事制裁金 医療記録への適時アクセス提供の不備(7か月の遅延)
2024 Bryan County Ambulance Authority $90,000 和解 リスク分析の未実施
2024 Plastic Surgery Associates of South Dakota $500,000 和解 リスク分析の不備、リスク管理の不備、システムアクティビティログの分析なし、セキュリティインシデント対応ポリシーの欠如
2024 Gums Dental Care $70,000 民事制裁金 医療記録への適時アクセス提供の不備
2024 Providence Medical Institute $240,000 民事制裁金 ePHIへのアクセスを権限ある者またはソフトウェアプログラムのみに制限しなかったこと、ビジネスアソシエイト契約(BAA)の欠如
2024 Cascade Eye and Skin Centers $250,000 和解 リスク分析の不備、システムアクティビティ記録のレビュー不備
2024 American Medical Response $115,200 民事制裁金 医療記録への適時アクセス提供の不備(370日の遅延)
2024 Heritage Valley Health System $950,000 和解 リスク分析の不実施、緊急時対応のポリシー・手順の欠如、ePHIを含むシステムへのアクセス制限に関する技術的ポリシーおよび手順の欠如
2024 Essex Residential Care(Hackensack Meridian Health、West Caldwell Care Center) $100,000 民事制裁金 医療記録への適時アクセス提供の不備
2024 Phoenix Healthcare $35,000 和解 医療記録への適時アクセス提供の不備
2024 Green Ridge Behavioral Health $40,000 和解 包括的なリスク分析の不実施、ePHIへのリスク低減措置の不備、ePHIを含む情報システムにおけるアクティビティ監視のポリシーおよび手順の欠如、14,000人のePHIの不正開示
2024 Montefiore Medical Center $4,750,000 和解 包括的なリスク分析の不実施、情報システムのアクティビティ記録の定期的なレビュー手順の未整備、ePHIを含むすべての情報システムにおけるアクティビティを記録・検査するハードウェア・ソフトウェア・手順上の仕組みの未導入

2023年のHIPAA違反罰金・和解

機関名 金額 和解/民事制裁金 理由
2023 Optum Medical Care of New Jersey $160,000 和解 6人の患者への医療記録の適時提供の不備
2023 Lafourche Medical Group $480,000 和解 2021年のセキュリティ侵害前にリスク分析を実施しておらず、侵害前のシステムアクティビティログの定期的なレビュー手順も整備されていなかった
2023 St. Joseph’s Medical Center $80,000 和解 患者からの事前承認を得ることなく、3人の患者とその臨床情報へのレポーターのアクセスを許可した
2023 Doctors’ Management Services $100,000 和解 リスク分析、システムアクティビティ記録のレビュー、HIPAAセキュリティ規則準拠のための合理的かつ適切なポリシー・手順の不備、206,695人のPHIの不正開示
2023 L.A. Care Health Plan $1,300,000 和解 リスク分析の不備、不十分なセキュリティ措置、情報システムのアクティビティ記録のレビュー不備、環境・業務変更に対する評価の不備、情報システムにおけるアクティビティの記録・検査の不備、1,498人のePHIの不正開示
2023 UnitedHealthcare $80,000 和解 HIPAAアクセス権違反
2023 iHealth Solutions(Advantum Health) $75,000 和解 サーバのセキュリティ確保不備によるePHI窃取、リスク分析の不備、267人のePHIの不正開示
2023 Yakima Valley Memorial Hospital $240,000 和解 救急部門の警備員23人が419人の患者の医療記録を無断閲覧。OCRはHIPAAのポリシーおよび手順の欠如を認定
2023 Manasa Health Center, LLC $30,000 和解 Googleレビューへの否定的な投稿に対する返信として4人のPHIを不正開示、HIPAAプライバシー規則および違反通知規則のポリシーおよび手順の未整備
2023 MedEvolve Inc. $350,000 和解 230,572人のPHIの不正開示、サブコントラクターとのBAA(ビジネスアソシエイト契約)の欠如、不完全なリスク分析
2023 David Mente, MA, LPC $15,000 和解 HIPAAアクセス権違反
2023 Banner Health $1,250,000 和解 リスク分析、システムアクティビティ記録のレビュー、PHIへのアクセス時の本人確認、技術的保護措置の欠如
2023 Life Hope Labs, LLC $16,500 和解 HIPAAアクセス権違反

2022年のHIPAA違反罰金・和解

機関名 金額 和解/民事制裁金 理由
2022 Health Specialists of Central Florida Inc $20,000 和解 HIPAAアクセス権違反
2022 New Vision Dental $23,000 和解 PHIの不正開示、プライバシー慣行の通知、ソーシャルメディアへのPHI公開
2022 Great Expressions Dental Center of Georgia, P.C. $80,000 和解 HIPAAアクセス権違反(遅延・手数料)
2022 Family Dental Care, P.C. $30,000 和解 HIPAAアクセス権違反
2022 B. Steven L. Hardy, D.D.S., LTD(Paradise Family Dental) $25,000 和解 HIPAAアクセス権違反
2022 New England Dermatology and Laser Center $300,640 和解 PHIの不適切な廃棄、適切な保護措置の不備
2022 ACPM Podiatry $100,000 民事制裁金 HIPAAアクセス権違反
2022 Memorial Hermann Health System $240,000 和解 HIPAAアクセス権違反
2022 Southwest Surgical Associates $65,000 和解 HIPAAアクセス権違反
2022 Hillcrest Nursing and Rehabilitation $55,000 和解 HIPAAアクセス権違反
2022 MelroseWakefield Healthcare $55,000 和解 HIPAAアクセス権違反
2022 Erie County Medical Center Corporation $50,000 和解 HIPAAアクセス権違反
2022 Fallbrook Family Health Center $30,000 和解 HIPAAアクセス権違反
2022 Associated Retina Specialists $22,500 和解 HIPAAアクセス権違反
2022 Coastal Ear, Nose, and Throat $20,000 和解 HIPAAアクセス権違反
2022 Lawrence Bell, Jr. D.D.S $5,000 和解 HIPAAアクセス権違反
2022 Danbury Psychiatric Consultants $3,500 和解 HIPAAアクセス権違反
2022 Oklahoma State University – Center for Health Sciences $875,000 和解 リスク分析、セキュリティインシデントの対応・報告、評価、監査管理、違反通知、279,865人のPHIの不正開示
2022 Dr. Brockley $30,000 和解 HIPAAアクセス権違反
2022 Jacob & Associates $28,000 和解 HIPAAアクセス権違反、プライバシー慣行の通知、HIPAAプライバシー責任者の不在
2022 Dr. U. Phillip Igbinadolor, D.M.D. & Associates, P.A., $50,000 民事制裁金 ソーシャルメディア上での不正開示
2022 Northcutt Dental-Fairhope $62,500 和解 マーケティング目的の不正開示、プライバシー慣行の通知、HIPAAプライバシー責任者の不在

2021年のHIPAA違反罰金・和解

機関名 金額 和解/民事制裁金 理由
2021 Advanced Spine & Pain Management $32,150 和解 HIPAAアクセス権違反
2021 Denver Retina Center $30,000 和解 HIPAAアクセス権違反
2021 Dr. Robert Glaser $100,000 民事制裁金 HIPAAアクセス権違反
2021 Rainrock Treatment Center LLC(Monte Nido Rainrock) $160,000 和解 HIPAAアクセス権違反
2021 Wake Health Medical Group $10,000 和解 HIPAAアクセス権違反
2021 Children’s Hospital & Medical Center $80,000 和解 HIPAAアクセス権違反
2021 The Diabetes, Endocrinology & Lipidology Center, Inc. $5,000 和解 HIPAAアクセス権違反
2021 AEON Clinical Laboratories(Peachstate) $25,000 和解 HIPAAセキュリティ規則違反(リスク評価、リスク管理、監査管理、HIPAAセキュリティ規則のポリシーおよび手順の文書化不備)
2021 Village Plastic Surgery $30,000 和解 HIPAAアクセス権違反
2021 Arbour Hospital $65,000 和解 HIPAAアクセス権違反
2021 Sharpe Healthcare $70,000 和解 HIPAAアクセス権違反
2021 Renown Health $75,000 和解 HIPAAアクセス権違反
2021 Excellus Health Plan $5,100,000 和解 複数の違反:リスク分析の不備、リスク管理の不備、情報システムのアクティビティレビューの欠如、ePHIへの不正アクセスを防止する技術的ポリシーの欠如、9,358,891件の記録の侵害
2021 Banner Health $200,000 和解 HIPAAアクセス権違反

2020年のHIPAA違反罰金・和解

機関名 金額 和解/民事制裁金 理由
2020 Peter Wrobel, M.D., P.C.(Elite Primary Care) $36,000 和解 HIPAAアクセス権違反
2020 University of Cincinnati Medical Center $65,000 和解 HIPAAアクセス権違反
2020 Dr. Rajendra Bhayani $15,000 和解 HIPAAアクセス権違反
2020 Riverside Psychiatric Medical Group $25,000 和解 HIPAAアクセス権違反
2020 City of New Haven, CT $202,400 和解 アクセス権の適切な終了手続き不備、リスク分析の不備、プライバシー規則のポリシー未整備、一意のID発行の不備、498人のPHIの不正開示
2020 Aetna $1,000,000 和解 ePHIセキュリティに影響する環境・業務変更への対応評価の不備、本人確認の不備、最小限必要な情報の原則の不遵守、管理的・技術的・物理的保護措置の欠如
2020 NY Spine $100,000 和解 HIPAAアクセス権違反
2020 Dignity Health(St. Joseph’s Hospital and Medical Center) $160,000 和解 HIPAAアクセス権違反
2020 Premera Blue Cross $6,850,000 和解 リスク評価の不備、リスク管理の不備、不十分なハードウェアおよびソフトウェアの制御
2020 CHSPSC LLC $2,300,000 和解 リスク分析の不備、情報システムのアクティビティレビューの未実施、セキュリティインシデント対応手順の不備、不十分なアクセス制御
2020 Athens Orthopedic Clinic PA $1,500,000 和解 リスク分析の不実施、リスク管理の不備、監査管理の欠如、HIPAAのポリシーおよび手順の未整備、ビジネスアソシエイト契約の欠如、職員へのHIPAAプライバシー規則研修の不実施
2020 Housing Works, Inc. $38,000 和解 HIPAAアクセス権違反
2020 All Inclusive Medical Services, Inc. $15,000 和解 HIPAAアクセス権違反
2020 Beth Israel Lahey Health Behavioral Services $70,000 和解 HIPAAアクセス権違反
2020 King MD $3,500 和解 HIPAAアクセス権違反
2020 Wise Psychiatry, PC $10,000 和解 HIPAAアクセス権違反
2020 Lifespan Health System Affiliated Covered Entity $1,040,000 和解 暗号化の欠如、デバイスおよびメディア管理の不備、ビジネスアソシエイト契約の不備
2020 Metropolitan Community Health Services(Agape Health Services) $25,000 和解 HIPAAセキュリティ規則への組織的な不遵守
2020 Steven A. Porter, M.D $100,000 和解 リスク分析およびリスク管理の不備

2019年のHIPAA違反罰金・和解

対象機関 金額 和解/民事制裁金 理由
2019 West Georgia Ambulance $65,000 和解 リスク分析の不備、セキュリティ意識向上研修プログラムの欠如、HIPAAセキュリティ規則のポリシーおよび手順の未整備
2019 Korunda Medical, LLC $85,000 和解 HIPAAアクセス権違反
2019 Sentara Hospitals $2,175,000 和解 違反通知の不備、ビジネスアソシエイト契約の不備
2019 University of Rochester Medical Center $3,000,000 和解 フラッシュドライブ・ノートパソコンの紛失、暗号化の欠如、リスク分析の不備、リスク管理の不備、デバイスメディア管理の欠如
2019 Elite Dental Associates $10,000 和解 ソーシャルメディアへの情報開示、プライバシー慣行の通知、PHIの不正開示
2019 Bayfront Health St Petersburg $85,000 和解 HIPAAアクセス権違反
2019 Medical Informatics Engineering $100,000 和解 リスク分析の不備、350万件の記録の不正開示
2019 Touchstone Medical Imaging $3,000,000 和解 BAAの欠如、不十分なアクセス権、リスク分析の不備、セキュリティインシデントへの対応不備、違反通知の不備、メディア通知の不備、307,839人のPHIの不正開示
2019 Texas Department of Aging and Disability Services $1,600,000 民事制裁金 リスク分析の不備、アクセス制御の不備、情報システムのアクティビティ監視の不備、6,617人の患者のePHIの不正開示
2019 Jackson Health System $2,154,000 民事制裁金 プライバシー規則、セキュリティ規則、違反通知規則の複数の違反

HIPAA違反チェックリストを入手する

メールアドレスにチェックリストのリンクを無料・即時でお届け

正しいメールアドレスをご入力ください。

プライバシーを尊重します

HIPAA Journal プライバシーポリシー

2018年のHIPAA違反罰金・和解

対象機関 金額 和解/民事制裁金 理由
2018 Fresenius Medical Care North America $3,500,000 和解 リスク分析の不備、ePHIの不正開示、電子機器に関するポリシーの欠如、暗号化の欠如、不十分なセキュリティポリシー、不十分な物理的保護措置
2018 Filefax, Inc. $100,000 和解 PHIの不正開示
2018 University of Texas MD Anderson Cancer Center $4,348,000 民事制裁金 ePHIの不正開示、暗号化の欠如
2018 Massachusetts General Hospital $515,000 和解 患者の同意なき撮影
2018 Brigham and Women’s Hospital $384,000 和解 患者の同意なき撮影
2018 Boston Medical Center $100,000 和解 患者の同意なき撮影
2018 Anthem Inc $16,000,000 和解 リスク分析の不備、システムアクティビティレビューの不備、侵害検知後の対応の不備、ePHIへの不正アクセスを防止する技術的管理の不備
2018 Allergy Associates of Hartford $125,000 和解 記者へのPHI開示、従業員への制裁なし
2018 Advanced Care Hospitalists $500,000 和解 PHIの不正開示、BAAの欠如、不十分なセキュリティ措置、2014年4月1日以前のHIPAAコンプライアンス取り組みなし
2018 Pagosa Springs Medical Center $111,400 和解 退職従業員のアクセス権終了手続き不備、BAAの欠如
2018 Cottage Health $3,000,000 和解 リスク分析の不備、リスク管理の不備、BAAの欠如

2017年のHIPAA違反罰金・和解

対象機関 金額 和解/民事制裁金 理由
2017 21st Century Oncology $2,300,000 和解 HIPAA規則の複数違反
2017 Memorial Hermann Health System $2,400,000 和解 PHIの不適切な取り扱い
2017 St. Luke’s-Roosevelt Hospital Center Inc. $387,000 和解 PHIの無断開示
2017 The Center for Children’s Digestive Health $31,000 和解 ビジネスアソシエイト契約の欠如
2017 Cardionet $2,500,000 和解 PHIの不正開示
2017 Metro Community Provider Network $400,000 和解 セキュリティ管理プロセスの欠如
2017 Memorial Healthcare System $5,500,000 和解 ePHIアクセス制御の不備
2017 Children’s Medical Center of Dallas $3,200,000 民事制裁金 ePHIの不正開示
2017 MAPFRE Life Insurance Company of Puerto Rico $2,200,000 和解 ePHIの不正開示
2017 Presense Health $475,000 和解 侵害通知の遅延

2016年のHIPAA違反罰金・和解

対象機関 金額 和解/民事制裁金 理由
2016 University of Massachusetts Amherst (UMass) $650,000 和解 セキュリティリスク管理の不備
2016 St. Joseph Health $2,140,500 和解 リスク分析の不実施
2016 Care New England Health System $400,000 和解 ビジネスアソシエイト契約の欠如
2016 Advocate Health Care Network $5,550,000 和解 HIPAA規則の複数違反
2016 University of Mississippi Medical Center $2,750,000 和解 HIPAA規則の複数違反
2016 Oregon Health & Science University $2,700,000 和解 ビジネスアソシエイト契約の欠如
2016 Catholic Health Care Services of the Archdiocese of Philadelphia $650,000 和解 ePHIの保護措置の不備
2016 New York Presbyterian Hospital $2,200,000 和解 患者の承認なき撮影
2016 Raleigh Orthopaedic Clinic, P.A. of North Carolina $750,000 和解 ビジネスアソシエイト契約の欠如
2016 Feinstein Institute for Medical Research $3,900,000 和解 PHIの不正開示
2016 North Memorial Health Care of Minnesota $1,550,000 和解 ビジネスアソシエイト契約の欠如
2016 Complete P.T., Pool & Land Physical Therapy, Inc. $25,000 和解 PHIの不正開示
2016 Lincare, Inc. $239,800 民事制裁金 PHIの保護措置の不備

2015年のHIPAA違反罰金・和解

対象機関 金額 和解/民事制裁金 理由
2015 University of Washington Medicine $750,000 和解 リスク分析の不実施
2015 Triple S Management Corporation $3,500,000 和解 HIPAA規則の複数違反
2015 Lahey Hospital and Medical Center $850,000 和解 HIPAA規則の複数違反
2015 Cancer Care Group, P.C. $750,000 和解 リスク分析の不実施
2015 St. Elizabeth’s Medical Center $218,400 和解 HIPAA規則の複数違反
2015 Cornell Prescription Pharmacy $125,000 和解 PHIの不適切な廃棄

HIPAA違反チェックリストを入手する

メールアドレスにチェックリストのリンクを無料・即時でお届け

正しいメールアドレスをご入力ください。

プライバシーを尊重します

HIPAA Journal プライバシーポリシー

2014年のHIPAA違反罰金・和解

対象機関 金額 和解/民事制裁金 理由
2014 Anchorage Community Mental Health Services $150,000 和解 ePHIのリスク管理の不備
2014 Parkview Health System, Inc. $800,000 和解 PHIの保護措置の不備
2014 New York and Presbyterian Hospital and Columbia University $4,800,000 和解 リスク分析の不実施
2014 QCA Health Plan, Inc., of Arkansas $250,000 和解 ePHIの保護措置の不備
2014 Concentra Health Services $1,725,220 和解 ePHIの保護措置の不備
2014 Skagit County, Washington $215,000 和解 ePHIの保護措置の不備

2013年のHIPAA違反罰金・和解

対象機関 金額 和解/民事制裁金 理由
2013 Adult & Pediatric Dermatology, P.C. $150,000 和解 ePHIの保護措置の不備
2013 Affinity Health Plan, Inc. $1,215,780 和解 ePHIの完全消去の不備
2013 WellPoint $1,700,000 和解 ePHIの保護措置の不備
2013 Shasta Regional Medical Center $275,000 和解 患者の同意なきPHIの開示
2013 Idaho State University $400,000 和解 ePHIの保護措置の不備

2012年のHIPAA違反罰金・和解

対象機関 金額 和解/民事制裁金 理由
2012 The Hospice of Northern Idaho $50,000 和解 暗号化されていないノートパソコンの盗難
2012 Massachusetts Eye and Ear Infirmary and Massachusetts Eye and Ear Associates, Inc. $1,500,000 和解 HIPAA規則の複数違反
2012 Alaska DHSS $1,700,000 和解 リスク分析の不実施/リスク管理の不備
2012 Phoenix Cardiac Surgery $100,000 和解 HIPAA保護措置の欠如
2012 Blue Cross Blue Shield of Tennessee $1,500,000 和解 適切な管理的保護措置の未整備

2011年のHIPAA違反罰金・和解

対象機関 金額 和解/民事制裁金 理由
2011 University of California at Los Angeles Health System $865,500 和解 医療記録へのアクセス制限の不備
2011 General Hospital Corp. & Massachusetts General Physicians Organization Inc. $1,000,000 和解 PHIの保護措置の不備
2011 Cignet Health of Prince George’s County $4,300,000 民事制裁金 患者への医療記録へのアクセス拒否

2010年のHIPAA違反罰金・和解

対象機関 金額 和解/民事制裁金 理由
2010 Management Services Organization Washington Inc. $35,000 和解 リスク分析の不備/不十分なセキュリティ措置
2010 Rite Aid Corporation $1,000,000 和解 HIPAA規則の複数違反

2009年のHIPAA違反罰金・和解

対象機関 金額 和解/民事制裁金 理由
2009 CVS Pharmacy Inc. $2,250,000 和解 HIPAA規則の複数違反

2008年のHIPAA違反罰金・和解

対象機関 金額 和解/民事制裁金 理由
2008 Providence Health & Services $100,000 和解 適切な管理的保護措置の未整備

州司法長官によるHIPAA違反罰金・和解

州司法長官にはHIPAA違反に対して金銭的ペナルティを科す権限がありますが、HIPAAが実際に違反されていても、処罰は州法違反に基づいて行われるケースが多くあります。以下の一覧は、HIPAA規則および同等の州法違反を理由として科された民事制裁金および和解の事例を掲載しています。

HIPAA違反チェックリストを入手する

メールアドレスにチェックリストのリンクを無料・即時でお届け

正しいメールアドレスをご入力ください。

プライバシーを尊重します

HIPAA Journal プライバシーポリシー

HIPAA規則に潜在的な違反の可能性がある場合は、金銭的ペナルティが州法違反を理由として科された事案も掲載しています。

機関名 金額 影響を受けた個人数 理由
2026 マサチューセッツ州・コネチカット州 Comstar LLC $515,000 585,621人(マサチューセッツ州居住者326,426人・コネチカット州居住者22,829人) HIPAAセキュリティ規則およびマサチューセッツ州データセキュリティ規制の違反
2025 ニューヨーク州 Orthopedics NY LLP $500,000 656,086人 HIPAAセキュリティ規則および州の医療プライバシー・セキュリティ法の違反
2024 インディアナ州 Westend Dental $350,000 不明 HIPAAプライバシー規則・セキュリティ規則・違反通知規則の違反、インディアナ州セキュリティ侵害開示法、インディアナ州不正消費者販売法の違反
2024 ニューヨーク州 HealthAlliance $1,400,000(うち$850,000は執行猶予) 242,641人 ニューヨーク州ビジネス・行政法の違反
2024 ニューヨーク州 Albany ENT & Allergy Services $1,000,000(うち$500,000は執行猶予)、サイバーセキュリティへの$2.24M投資 213,935人 ニューヨーク州ビジネス・行政法の違反
2024 ニューヨーク州・ニュージャージー州・コネチカット州 Enzo Biochem/Enzo Clinical Labs $4,500,000 2,400,000人 HIPAAセキュリティ規則12条項の違反、ニューヨーク州一般ビジネス法の違反
2024 ワシントン州 Allure Esthetic $5,000,000 21,000人 オンラインレビューの改ざん、違法な秘密保持契約、患者にHIPAAの権利を放棄させる行為
2024 カリフォルニア州 Adventist Health Hanford $10,000 2人 法執行機関への患者情報の不法な開示(申し立て)
2024 カリフォルニア州 Blackbaud $6,750,000 5,500,000人 データセキュリティ確保のための適切な保護措置の未整備および侵害対応の不備。HIPAAセキュリティ規則・違反通知規則および州消費者保護法の違反
2024 カリフォルニア州 Quest Diagnostics $5,000,000、サイバーセキュリティへの$1.2M投資 未確認 有害廃棄物、医療廃棄物、患者の個人健康情報の違法な廃棄
2024 ニューヨーク州 Refuah Health Center Inc. $450,000、サイバーセキュリティへの$1.2M投資 260,740人 HIPAAセキュリティ規則の複数違反、HIPAAウウ違反通知規則の違反、ニューヨーク州ビジネス法の違反
2023 ニューヨーク州 New York Presbyterian Hospital $300,000 54,396人 ピクセルやその他のウェブサイトトラッキングツールを使用して第三者にPHIを開示したことによるHIPAAプライバシー規則およびニューヨーク州行政法の違反
2023 ニューヨーク州 Healthplex $400,000 89,955人(ニューヨーク州居住者62,922人) ニューヨーク州データセキュリティおよび消費者保護法の違反(データ保持・ログ管理、多要素認証、データセキュリティ評価)
2023 インディアナ州 CarePointe ENT $120,000 48,742人 既知の脆弱性への対応不備、ビジネスアソシエイト契約の不備
2023 ニューヨーク州 U.S. Radiology Specialists $450,000 198,260人(ニューヨーク州居住者92,540人) 合理的な期間内に既知の脆弱性に対処するためのハードウェアのアップグレードの不備
2023 ニューヨーク州 Personal Touch Holding Corp $350,000 753,107人(ニューヨーク州居住者316,845人) 非公式な情報セキュリティプログラムしか持たず、アクセス制御が不十分で継続的な監視システムがなく、暗号化の欠如および不十分なスタッフトレーニング
2023 複数州(32州およびプエルトリコ) Inmediata $1.4 million 1,565,338人 データセキュリティ確保のための適切な保護措置の未整備および侵害対応の不備。HIPAAセキュリティ規則・違反通知規則および州の違反通知法の違反
2023 複数州(49州およびワシントンDC) Blackbaud $49.5 million 5,500,000人 HIPAAおよび州消費者保護法の違反:機密情報保護のための適切な保護措置の欠如、侵害対応・通知の不備
2023 コロラド州 Broomfield Skilled Nursing and Rehabilitation Center $60,000(うち$25,000は執行猶予) 677人 HIPAAデータ暗号化要件の違反、州データ保護法の違反、不正な取引慣行
2023 インディアナ州 Schneck Medical Center $250,000 89,707人 HIPAAプライバシー規則・セキュリティ規則・違反通知規則の違反、インディアナ州セキュリティ侵害開示法、インディアナ州不正消費者販売法の違反
2023 カリフォルニア州 Kaiser Foundation Health Plan Foundation Inc. and Kaiser Foundation Hospitals $49,000,000 7,700人 HIPAA規則の違反、カリフォルニア州有害廃棄物管理法、医療廃棄物管理法、カリフォルニア州医療情報機密性法、カリフォルニア州顧客記録法、カリフォルニア州不正競争法の違反
2023 カリフォルニア州 Kaiser Permanente $450,000 167,095人 PHIの不正開示およびカリフォルニア州医療情報機密性法(CMIA)に違反したPHIの不適切な管理・廃棄
2023 ニューヨーク州 Professional Business Systems Inc(Practicefirst Medical Management Solutions、PBS Medcode Corp) $550,000 1,200,000人 データセキュリティの不備:パッチ管理、データ暗号化、脆弱性スキャン、ペネトレーションテスト
2023 オレゴン州・ニュージャージー州・フロリダ州・ペンシルベニア州 EyeMed Vision Care $2,500,000 2,100,000人 アクセス制御を含むデータセキュリティの不備
2023 ニューヨーク州 Heidell, Pittoni, Murphy & Bach LLP $200,000 61,438人 HIPAAプライバシー規則およびセキュリティ規則の17条項の違反
2023 ペンシルベニア州・オハイオ州 DNA Diagnostics Center $400,000 2,100,000人 保護措置の欠如、資産台帳の更新不備、業務上不要な資産の無効化・削除の不備
2022 オレゴン州・ユタ州 Avalon Healthcare $200,000 14,500人 違反通知の遅延、情報セキュリティプログラムの不備
2022 マサチューセッツ州 Aveanna Healthcare $425,000 166,000人 フィッシング対策のセキュリティ保護措置の欠如(多要素認証なし)
2022 ニューヨーク州 EyeMed Vision Care $600,000 2,100,000人 HIPAAおよびニューヨーク州一般ビジネス法の複数違反
2021 ニュージャージー州 Regional Cancer Care Associates(RCCA MSO LLC、RCCA MD LLC) $425,000 105,000人 PHIの機密性・完全性・可用性の確保不備、合理的に予見されるリスクへの対策不備、リスク低減のためのセキュリティ措置の不備、正確なリスク評価の不実施、セキュリティ意識向上・研修プログラムの欠如
2021 ニュージャージー州 Command Marketing Innovations, LLC and Strategic Content Imaging LLC $130,000(うち$65,000は執行猶予) 55,715人 PHIの機密性確保の不備、PHI保護措置の欠如、手順変更後のセキュリティ措置の見直し不備
2021 ニュージャージー州 Diamond Institute for Infertility and Menopause $495,000 14,663人 プライバシー規則およびセキュリティ規則の複数違反、消費者詐欺防止法の違反
2021 複数州 American Medical Collection Agency $21 million(執行猶予) 21,000,000人 データ侵害の検知不備を含むセキュリティ上の不備
2020 複数州 CHSPSC LLC $5,000,000 6,100,000人 合理的なセキュリティ慣行の実施・維持の不備
2020 複数州 Anthem Inc $48.2 million 78,000,000人 HIPAAおよび州法の複数違反
2019 複数州 Premera Blue Cross $10,000,000 10,400,000人 HIPAA規則の複数違反
2019 複数州 Medical Informatics Engineering $900,000 3,500,000人 HIPAA規則の複数違反
2019 カリフォルニア州 Aetna $935,000 1,991人 2件の郵便物送付によるPHIの露出(心房細動、HIV関連情報)
2018 マサチューセッツ州 McLean Hospital $75,000 1,500人 バックアップテープの紛失
2018 ニュージャージー州 EmblemHealth $100,000 81,000人 郵送ミスによる社会保障番号(SSN)の露出
2018 ニュージャージー州 Best Transcription Medical $200,000 1,650人 検索エンジン経由でのePHIの露出
2018 コネチカット州 Aetna $99,959 13,160人 2件の郵便物送付によるPHIの露出(心房細動、HIVデータ)
2018 ニュージャージー州 Aetna $365,211.59 13,160人 2件の郵便物送付によるPHIの露出(心房細動、HIVデータ)
2018 ワシントンDC Aetna $175,000 13,160人 2件の郵便物送付によるPHIの露出(心房細動、HIVデータ)
2018 マサチューセッツ州 UMass Memorial Medical Group/UMass Memorial Medical Center $230,000 15,000人 ePHIのセキュリティ確保不備および複数の侵害
2018 ニューヨーク州 Arc of Erie County $200,000 3,751人 ePHIのセキュリティ確保不備
2018 ニュージャージー州 Virtua Medical Group $417,816 1,654人 HIPAA規則の複数違反
2018 ニューヨーク州 EmblemHealth $575,000 81,122人 ePHIの不正開示
2018 ニューヨーク州 Aetna $1,150,000 12,000人 2件の郵便物送付によるPHIの露出(心房細動、HIVデータ)
2017 カリフォルニア州 Cottage Health System $2,000,000 54,000人以上 医療記録の保護措置の不備
2017 マサチューセッツ州 Multi-State Billing Services $100,000 2,600人 PHIを含む暗号化されていないノートパソコンの盗難
2017 ニュージャージー州 Horizon Healthcare Services Inc., $1,100,000 3,700,000人 暗号化されていないノートパソコンの紛失
2017 バーモント州 SAManage USA, Inc. $264,000 660人 検索エンジンにインデックスされたスプレッドシートによるPHIの閲覧可能な状態
2017 ニューヨーク州 CoPilot Provider Support Services, Inc $130,000 221,178人 侵害通知の遅延
2015 ニューヨーク州 University of Rochester Medical Center $15,000 3,403人 患者リストが新しい職場に転職した看護師に持ち出された
2015 コネチカット州 Hartford Hospital/EMC Corporation $90,000 8,883人 PHIを含む暗号化されていないノートパソコンの盗難
2014 マサチューセッツ州 Women & Infants Hospital of Rhode Island $150,000 12,000人 PHIを含むバックアップテープの紛失
2014 マサチューセッツ州 Boston Children’s Hospital $40,000 2,159人 PHIを含むノートパソコンの紛失
2014 マサチューセッツ州 Beth Israel Deaconess Medical Center $100,000 3,796人 PHIを含むノートパソコンの紛失
2013 マサチューセッツ州 Goldthwait Associates $140,000 67,000人 不適切な廃棄
2012 ミネソタ州 Accretive Health $2,500,000 24,000人 PHIの不適切な取り扱い
2012 マサチューセッツ州 South Shore Hospital $750,000 800,000人 PHIを含むバックアップテープの紛失
2011 バーモント州 Health Net Inc. $55,000 1,500,000人 暗号化されていないハードドライブの紛失/侵害通知の遅延
2011 インディアナ州 WellPoint Inc. $100,000 32,000人 合理的な期間内の侵害報告の不備
2010 コネチカット州 Health Net Inc. $250,000 1,500,000人 暗号化されていないハードドライブの紛失/侵害通知の遅延

HIPAA違反罰金に関するよくある質問

上記リストはOCRが発行したすべてのHIPAA違反罰金を網羅していますか?

2022年6月時点で、HHSの公民権局(OCR)は30万件以上の苦情やデータ侵害の報告を受理しているにもかかわらず、罰金の科課または和解合意に至った事案は110件のみです。HIPAA違反があったと認定されたその他の案件の大半は、技術的支援や是正措置計画の発行によって解決されています。

OCRはHIPAA違反に対して刑事訴追を行うこともできますか?

公民権局(OCR)が事案を審査し、刑事有罪判決の可能性があると判断した場合、当該案件は司法省(DOJ)に移送されます。司法省にはHIPAA違反に対して刑事訴追を行う権限があり、HIPAA違反に関与した複数の個人が禁固刑を受けています。その事例は以下のとおりです。

最近の和解にHIPAAアクセス権違反が多い理由

2019年以降、公民権局(OCR)は、PHIのコピーへのアクセスに障害や遅延を経験した患者からの苦情の増加に対処するため、アクセス権に関する執行イニシアチブを展開しています。これはOCRがその他のHIPAA違反を見逃しているわけではなく、他の違反やデータ侵害についても引き続き調査を行っています。

HIPAA違反の罰金が年間ペナルティ上限を超える場合がある理由

年間ペナルティ上限は違反の種類ごとに適用されます。したがって、たとえばある対象機関が4つの項目でコンプライアンス違反と認定された場合、違反ごとの最高罰金額または年間上限額(責任の程度に応じたもの)を上限として、最大4件の罰金が科される可能性があります。

4段階のペナルティ区分(責任の程度)の意味

第1区分:HIPAA遵守に向けて合理的な注意を払っていたとしても、現実的に回避できなかったと認められる違反。対象機関またはビジネスアソシエイトがその違反を認識していなかった場合に該当します。

第2区分:HIPAA遵守に向けて合理的な注意を払っていたとしても回避できなかったものの、対象機関またはビジネスアソシエイトが違反を認識していたか、認識すべきであった場合に該当します。

第3区分:対象機関またはビジネスアソシエイトが違反の是正を試みた場合における、「故意による過失」の直接的な結果として生じた違反。

第4区分:対象機関またはビジネスアソシエイトが是正の努力をまったく行っていない、故意による過失に起因するHIPAA違反。

HIPAA違反チェックリストを入手する

メールアドレスにチェックリストのリンクを無料・即時でお届け

正しいメールアドレスをご入力ください。

プライバシーを尊重します

HIPAA Journal プライバシーポリシー

翻訳元: https://www.hipaajournal.com/hipaa-violation-fines/

ソース: hipaajournal.com