HIPAAにおいてPHIとみなされるものとは？

HIPAAの下では、PHIは個人の健康、治療、および支払いに関する情報、ならびに同一の指定記録セット内で管理されている追加情報のうち、個人を特定できる、または記録セット内の他の情報と組み合わせて個人を特定するために使用できる情報とみなされます。

本記事は、PHIの完全かつ正確な定義を提供することを目的としています。 HIPAAの規則・規制は本質的にPHIの保護に関するものであり、PHIの保護に何が求められるかを理解するために、当社のPHIガイド＆チェックリストのご利用をおすすめします。

HIPAA規則の下でPHIとみなされるものは？

HIPAAコンプライアンス規則の下で何がPHIとみなされるかを最もよく説明するには、まず健康情報から始めて、行政簡素化規則（§160.103）の定義セクションを確認する必要があります。

このセクションによれば、健康情報とは、遺伝情報を含むあらゆる情報であり、口頭であるか、いかなる形式または媒体に記録されているかを問わず、次の条件を満たすものを意味します。

「医療提供者、健康保険プラン、公衆衛生当局、雇用主、生命保険会社、学校または大学、もしくは医療情報交換機関によって作成または受領され、かつ、個人の過去・現在・将来の身体的または精神的健康もしくは状態、個人に対する医療の提供、または個人に対する医療提供の対価の過去・現在・将来の支払いに関連するもの。」

ここから、個人を特定できる健康情報の定義に進む必要があります。そこでは、「個人を特定できる健康情報[…]とは、個人から収集された人口統計情報を含む健康情報の一部であり、医療提供者、健康保険プラン、雇用主、または医療情報交換機関によって作成または受領され[…]、かつ、個人を特定する、または[…]個人を特定するために使用できるもの」とされています。

最後に、保護対象保健情報（protected health information）の定義に進みます。そこでは、「保護対象保健情報とは、電子媒体により送信される、電子媒体に保持される、またはその他いかなる形式または媒体で送信または保持される、個人を特定できる健康情報を意味する」とされています。

HIPAAの下でPHIとみなされるものについての詳細

HIPAAの下でPHIとみなされるものの定義を簡略化すると、健康情報とは、患者の状態、医療の過去・現在・将来の提供、またはその支払いに関連するあらゆる情報です。そこに識別子が付加されると個人を特定できる健康情報となり、（対象事業体によって）いかなる形式であれ送信または保持されると保護対象となります。

一般に、HIPAAの対象事業体（covered entity）は、健康保険プラン、医療情報交換機関、ならびに保健福祉省（HHS）が基準を公表している電子取引を実施する要件を満たす医療提供者に限定されます。基準は、HIPAA行政データ基準のサブパートIからSに記載されています。要件を満たす医療提供者に関して、HIPAAの下でPHIとみなされるものの文脈では次のとおりです。

• 「脚の骨折」は健康情報です。
• 「ジョーンズ氏は脚を骨折している」は個人を特定できる健康情報です。
• 対象事業体が「ジョーンズ氏は脚を骨折している」と記録した場合、識別子（「ジョーンズ氏」）と健康情報（「脚の骨折」）は保護対象となります。

ビジネスアソシエイトはどのように関係するのか？

対象事業体がHIPAAの下で何がPHIとみなされるかを理解しなければならないのと同様に、ビジネスアソシエイトがPHIの定義を認識していることも重要です。これは、対象事業体のため、または対象事業体に代わってサービスを提供する過程で、ビジネスアソシエイトが作成、受領、保持、または送信する個人を特定できる健康情報も保護対象となるためです。

ビジネスアソシエイトは、対象事業体のため、または対象事業体に代わってサービスを提供する際、HIPAAセキュリティ規則および侵害通知規則に準拠することが求められ、さらに§160.102により「適用される場合」にHIPAAのその他の適用基準にも準拠する必要があります。これは、提供するサービスの性質によっては、ビジネスアソシエイトがHIPAAの行政要件の一部およびHIPAAプライバシー規則の一部にも準拠する必要があることを意味します。

指定記録セット（Designated Record Set）とは？

指定記録セットは、45 CFR §164.501において、「対象事業体によって、または対象事業体のために保持される記録の集合であり、個人に関する医療記録および請求記録[…]であって、対象事業体によって、または対象事業体のために、全部または一部が個人に関する意思決定に使用されるもの」と定義されています。さらに同基準では、「記録（record）とは、保護対象保健情報を含み、対象事業体によって、または対象事業体のために保持、収集、使用、または配布される情報のあらゆる項目、集合、またはグループを意味する」としています。

この定義から読み取るべき点は2つあります。1つ目は、PHIの単一項目が指定記録セットになり得ること、また複数のPHI項目を含む個人の医療履歴全体も指定記録セットになり得ることです。つまり、例えば小児科の診療所に送られた新生児の写真は、画像が個人を特定し、かつ（含意として）その個人が過去に医療を受けたことを示すため、PHIの単一項目を含む指定記録セットとなります。

2つ目は、PHIのプライバシーは不正アクセスおよび許されない開示から保護されなければならないため、健康情報や支払い情報ではないが同一の指定記録セットに含まれる個人の識別情報も保護されなければならないという点です。例えば、赤ちゃんの写真に添えられ、赤ちゃんの名前が記載されたサンキューカードは、健康情報や支払い情報を含まなくても保護される必要があります。

PHIの許容される使用および開示

HIPAAの下で何がPHIとみなされるかを知ることが重要な理由の1つは、HIPAAプライバシー規則が、PHIの使用および開示のうち、義務付けられるもの、許容されるもの、またはPHIの対象者からの書面による承認が必要なものを規定しているためです。対象事業体、または対象事業体の従業員が、HIPAAの下で何がPHIとみなされるかを理解していない場合、HIPAAの複数の違反や、保護されていないPHIの侵害が発生し、HHSの公民権局への苦情や罰金につながる可能性があります。

逆に、対象事業体がHIPAA違反や保護されていないPHIの侵害のリスクを軽減するために、あらゆる情報項目を一律にロックダウンすることを選択すると、業務フローが妨げられる可能性があります。過度に情報をロックダウンする例として、搬送手配に必要な情報がアクセス制御の背後に置かれ、搬送担当者が業務に必要な情報へアクセスできなくなるケースが挙げられます。

HIPAAの下で何がPHIとみなされ、何がそうでないかを理解することで、対象事業体は、業務フローを妨げることなくPHIのプライバシーを保護し、電子PHIの機密性・完全性・可用性を確保する、HIPAA準拠の方針および手順を策定し、従業員にそれらを教育できます。HIPAAの下で何がPHIとみなされるかを理解できていない対象事業体は、専門的なコンプライアンス助言を求めるべきです。

PHIと個人のプライバシー規則上の権利

HIPAAの下で何がPHIとみなされるかを知ることが重要な2つ目の理由は、特に指定記録セットに関して、個人には自分のPHIの写しを請求する権利、ならびにPHIが不正確または不完全である場合に修正を請求する権利があるためです。アクセスおよび訂正の請求、ならびに開示の記録（Accounting of Disclosures）の請求に対応するため、対象事業体はPHIがどこに保持されているか、またPHIが複数の指定記録セットにまたがって複製されている場合にそれを把握しておく必要があります。

PHIの写しを提供しない、規定の期限内（現在は30日—まもなく15日に短縮予定）に写しを提供しない、または完全な開示の記録を作成できない場合、患者またはプラン加入者が苦情を申し立てると、HHSの公民権局の注意を引く可能性があります。苦情の根拠が「対象事業体がHIPAAの下で何がPHIとみなされるかを理解していない」ことである場合、組織全体にわたるHIPAAコンプライアンス監査につながる可能性が高く、業務を妨げるだけでなく、HHSの監査官が複数のHIPAA違反を発見した場合には高額な費用が発生するおそれもあります。

いつPHIはPHIではなくなるのか？

すべての健康情報がHIPAAの下でPHIとみなされるという一般的な誤解がありますが、そうではありません。

まず、同一の指定記録セットに識別子が含まれているかどうかによります。HIPAAの下では、情報と個人を結び付け得るすべての識別子が取り除かれると、PHIはPHIではなくなります。識別子が除去された健康情報は、匿名化（de-identified）PHIと呼ばれます。HIPAAは匿名化PHIには適用されず、当該情報はHIPAA規則に違反することなく使用または開示できます。

また、HIPAA規則の適用対象ではない事業体によって作成、受領、保持、または送信される場合、健康情報はPHIではありません。例えば、学校や大学に医療施設がある場合でも、公立学校の生徒に関する健康情報は、家族教育権とプライバシー法（FERPA）の対象であり、FERPAは生徒の健康情報を教育記録の一部として分類します。

雇用主が従業員の雇用記録の一部として保持する健康情報は、HIPAAの下でPHIとはみなされません。ただし、50人を超える加入者を有する自己資金型健康保険プランを運営する雇用主は、PHIの許されない開示を避けるため、雇用記録を健康保険プランの記録から分離して保持することに関して一定の要件を満たす必要があります。

これらの例には例外が存在することに注意することが重要です。最も複雑な例の1つは、健康情報を作成、収集、保持、または送信する個人用健康機器の開発者、ベンダー、およびサービス提供者に関するものです。個人用健康機器分野の事業体は、対象事業体またはビジネスアソシエイトのため、またはそれらに代わってサービスを提供する契約を結んでいない限り、HIPAAの下で対象事業体またはビジネスアソシエイトには該当しません。

しかし、個人用健康機器分野の事業体は、保護されていないPHIの侵害が発生した場合、連邦取引委員会法第5条に基づく健康侵害通知規則（Health Breach Notification Rule）に準拠することが求められます。つまり、個人用健康機器分野の事業体はHIPAAプライバシー規則およびセキュリティ規則に準拠する必要はないものの、健康侵害通知規則に準拠するためには、HIPAAの下で何がPHIとみなされるかを把握しておく必要があります。

情報がHIPAAの下でPHIとみなされるかどうかを判断することが複雑であることは、医療従事者と非医療従事者の双方が、PHIの定義についてのHIPAA研修を受けるべきであることを示唆しています。また、州法がPHIに対してHIPAAより強い保護を提供する場合や、HIPAAより多くの個人の権利を認める場合には、これらの州法がHIPAAに優先するため、従業員全員がどの基準が適用されるかを知っておくことも重要です。

HIPAAの下でPHIとみなされるものに関するFAQ

18のHIPAA識別子とは何ですか？

18のHIPAA識別子とは、「セーフハーバー」方式による匿名化（§164.514参照）において、指定記録セット内の残りの健康情報が匿名化されたものとみなされる前に、指定記録セットから除去しなければならない識別子のことです。しかし、このリストは古いため、もはや信頼できる指針ではありません。リストが最初に公表された1999年以降、個人を特定する方法ははるかに増えています。

例えば、対象事業体が指定記録セットからリストにある18のHIPAA識別子をすべて除去したとしても、健康情報の対象者は、ソーシャルメディアの別名、LGBTQのステータス、感情支援動物に関する詳細など、リストに含まれていない他の識別子によって特定され得ます。HIPAA違反を防ぐため、対象事業体は、匿名化された健康情報を第三者（すなわち研究者）に開示する前に、記録セット内に追加の識別子が残っていないことを確認しなければなりません。

また、18のHIPAA識別子のリストは20年以上前のものであるため、HIPAAの下で何がPHIとみなされるかを説明するために使用すべきではありません。なお、これらの識別子のいずれも、個人を特定できる健康情報とは別に保持されている場合、多くの状況ではPHIではなく、HIPAAプライバシー規則の保護を受けるものではありません。

例えば、病院が駐車料金の支払いに使用された車両ナンバープレート番号とクレジットカード番号を取得し、2つのデータ要素が別のデータベースに保存されている場合、これらのデータ要素は患者の健康、治療、または支払いに関連しないためPHIとはみなされません。車両ナンバープレート番号や口座番号がHIPAA識別子のリストに含まれているとしても同様です。

HIPAAにおけるPHIとは何ですか？

HIPAAにおけるPHIとは、HIPAAの対象事業体またはビジネスアソシエイトに該当する組織によって収集または保持される、個人を特定できる健康情報です。健康情報に加えて、同一の指定記録セット内に保持され、健康情報の対象者を特定する、または他の情報と組み合わせて特定できる非健康情報も、HIPAAの下でPHIとなります。

PHIには何が含まれますか？

PHIには、個人の身体的または精神的健康状態、その状態の治療、または治療費の支払いに関する情報が含まれます。PHIにはまた、同一の記録セット内に保持され、健康・治療・支払い情報の対象者を特定する、または特定に使用できるあらゆる情報も含まれます。

PHIの例にはどのようなものがありますか？

PHIの例には、検査結果、X線、スキャン、医師の所見、診断、治療、適格性承認、請求、送金（remittances）などが含まれます。これらの情報と組み合わさることで、PHIには氏名、電話番号、メールアドレス、メディケア受給者番号、生体識別子、感情支援動物、その他あらゆる識別情報も含まれます。

どの形式のPHI記録がHIPAAの対象ですか？

PHI記録のあらゆる形式がHIPAAの対象です。これには（これらに限定されませんが）口頭のPHI、紙に書かれたPHI、電子PHI、健康情報の対象者を特定し得る物理的またはデジタル画像が含まれます。PHI記録がHIPAAの対象となるのは、それが対象事業体またはビジネスアソシエイトの保有下にある場合に限られることを忘れないでください。

PHIとePHIの違いは何ですか？

PHIとePHIの違いは、ePHIが電子的に作成、使用、共有、または保存される保護対象保健情報を指す点にあります。例えば、電子カルテ上、メールの内容、またはクラウドデータベース内などです。PHIとePHIはいずれもHIPAAプライバシー規則の下で同じ保護の対象となり、HIPAAセキュリティ規則は主としてePHIに関係します。

プライバシー規則は紙と電子の健康情報の両方に適用されますか？

プライバシー規則は、紙と電子の健康情報の両方に適用されます。これは、当初の医療保険の携行性と責任に関する法律（Health Insurance Portability and Accountability Act）の文言が、HIPAAは電子健康記録にのみ適用されるという誤解を招いたにもかかわらずです。電子健康記録の保護はHIPAAセキュリティ規則で扱われますが、HIPAAプライバシー規則は、紙か電子か、あるいは口頭で伝達されるかにかかわらず、あらゆる種類の健康情報に適用されます。

個人が歯科医院に予約の電話をし、氏名と電話番号を残した場合、それはPHIですか？

個人が歯科医院に予約の電話をし、氏名と電話番号を残した場合、その氏名と電話番号は、その時点ではPHIではありません。それらに関連付けられた健康情報が存在しないためです。個人が治療を受け、氏名と電話番号が治療記録に追加されて初めて、その情報は保護対象保健情報となります。

将来の病状に関する健康情報が、どのように「保護対象」とみなされ得るのですか？

将来の病状に関する健康情報は、予後、治療計画、リハビリ計画などを含む場合、保護対象とみなされ得ます。これらが改ざん、削除、または無権限でアクセスされた場合、患者に重大な影響を及ぼし得るためです。この理由から、将来の健康情報も過去または現在の健康情報と同様に保護されなければなりません。

医療従事者が患者の医療について話し合う場合、HIPAAプライバシー規則は適用されますか？

医療従事者が患者の医療について話し合う場合、HIPAAプライバシー規則は適用されます。治療提供のためであれば承認なしにPHIを共有できるとはいえ、医療従事者が患者の医療について話し合う際には、私的な場所（すなわち一般の人々の耳に入らない場所）で行わなければならず、また、各医療従事者と当該患者との治療関係に応じて、最小必要基準（Minimum Necessary Standard）が適用される場合があります。

医療従事者が患者の雇用主と患者の治療について話し合った場合、その情報は保護されますか？

医療従事者が患者の雇用主と患者の治療について話し合った場合、その情報が保護されるかどうかは状況によります。通常、治療費の支払いに関する話し合いである場合、または雇用主が患者と健康保険プランの間の仲介者として行動している場合を除き、医療従事者が雇用主と治療について話し合うには患者の同意が必要です。

ただし、職場での負傷または疾病に関連する情報である場合、HIPAAプライバシー規則の下で雇用主へのPHIの開示は許容されます。そのような状況では、医療従事者は、州法またはOSHAの報告要件を満たすために雇用主が必要とする情報を開示することが許されます。これらの状況では、医療従事者は承認なしに患者の雇用主と患者の治療について話し合うことができます。

メールはPHIですか？

メールがPHIであるかどうかは、誰が送信したか、内容は何か、どこに保存されるかによって異なります。PHIであるためには、メールが対象事業体またはビジネスアソシエイトによって送信され、個人を特定できる健康情報を含み、かつ、対象事業体またはビジネスアソシエイトによって、識別子を伴って（メール自体にすでに識別子が含まれていない場合）指定記録セットに保存されている必要があります。

医療におけるPHIとは何ですか？

医療におけるPHIは、Protected Health Information（保護対象保健情報）の略であり、プライバシーを確保するためにHIPAAプライバシー規則によって保護される情報を意味します。医療におけるPHIは、患者の承認なしに許容される目的のためにのみ使用または開示でき、患者は、医療提供者が自分のPHIのプライバシー保護に失敗していると考える場合、HHSの公民権局に苦情を申し立てる権利があります。

HIPAA識別子とは何ですか？

HIPAA識別子とは、HIPAAプライバシー規則によって保護される健康情報の対象者を特定するために、単独で、または他の情報と組み合わせて使用できる情報片のことです。いくつかの情報源はHIPAA識別子をPHIと混同していますが、個人の健康情報と一緒に保持されていない識別子は、PHIと同じ保護を受けないことを認識しておくことが重要です。

PHIに該当するものは何ですか？

PHIに該当するものは、個人を特定できる健康情報、および同一の指定記録セットに保存される識別可能な非健康情報です。対象事業体は同一個人について複数の指定記録セットを保持し得ること、また指定記録セットは単一の項目から構成され得ることに注意してください（例：小児科医の「赤ちゃんの写真壁」にある赤ちゃんの写真はPHIに該当します）。

医療記録番号はPHIですか？

医療記録番号は、医療を受けている個人を特定できる場合にはPHIです。しかし、一見ランダムな英数字コードそれ自体（医療記録番号はしばしばそうです）は、「医療記録番号」という文言が先行していない、または氏名やその他個人を特定するために使用できる情報が付随していない場合、必ずしも個人を特定するものではありません。

PHIには何が含まれますか？

PHIには、対象事業体またはビジネスアソシエイトによって保持される個人を特定できる健康情報であって、個人の過去・現在・将来の身体的または精神的健康状態、その状態の治療、または治療費の支払いに関連するものが含まれます。また、PHIの対象者を特定するために使用できる非健康情報も含まれ得ます。

人の性別はPHIですか？

人の性別は、HIPAAの対象事業体またはビジネスアソシエイトによって、個人を特定できる健康情報と同一の指定記録セットに保持されている場合、他の情報と組み合わせて個人を特定できる可能性があるためPHIとなります。しかし、人の性別が、個人を特定できる健康情報を含まないデータセット（例：搬送ディレクトリ）に保持されている場合、それはPHIではありません。

患者の氏名だけでPHIとみなされますか？

患者の氏名だけではPHIとはみなされません。対象事業体またはビジネスアソシエイトによって、個人を特定できる健康情報とともに指定記録セットに含められた場合にのみ、HIPAAの下でPHIとみなされます。

HIPAAプライバシー規則の下で、どの情報をPHIとみなすべきですか？

HIPAAプライバシー規則の下でPHIとみなすべき情報は、個人を特定できる健康情報の対象者を特定するために使用できるあらゆる識別子に関係する情報です。しかし、複数の情報源がHIPAAの下で何がPHIとみなされるかを誤るのは、HIPAA行政簡素化規則（45 CFR Part 160）の冒頭にある一般規定におけるPHIの定義を無視しているためです。

PHI識別子のリストはありますか？

HIPAAにはPHI識別子のリストはありません。あるのは、セーフハーバー方式の下で指定記録セットから除去しなければならない識別子の、古いリストだけであり、その後に指定記録セットに残るPHIが匿名化される前提となっています。このリストは非常に古く、現在では個人を特定できる多くの方法を除外しているため、対象事業体およびビジネスアソシエイトは、従業員向け方針を策定する前に、HIPAAの下で何がPHIとみなされるかを十分に理解することが推奨されます。

電話番号はPHIですか？

電話番号は、HIPAAの対象事業体またはビジネスアソシエイトによって指定記録セットに保持されている場合、同一の記録セットに保持される個人を特定できる健康情報の対象者を特定するために使用できる可能性があるためPHIです。しかし、電話番号が、個人を特定できる健康情報を含まないデータベースに保持されている場合、それはPHIではありません。

HIPAAはPHIをどのように定義していますか？

HIPAAの本文はPHIを定義していません。というのも、「Protected Health Information」という用語は、法律本文のどこにも登場しないためです。PHIが「Protected Health Information」の略語として使用されるようになったのは、1999年にプライバシー規則案が公表された後であり、対象事業体によって保持または送信される個人を特定できる健康情報と、非対象事業体によって保持または送信される健康情報とを区別するために、この用語が採用されました。

1人の個人は、いくつの指定記録セットを持ち得ますか？

個人は、数十の指定記録セットを持ち得ます。例えば、その個人が複数の医療ユニットのケアを受けており、医療提供者がアクセス制御をより適切に適用するために、単一の指定記録セットを分割している場合があり得ます。同様に、対象事業体は複数のビジネスアソシエイトとPHIを共有することがあり、最小必要基準に準拠するため、各ビジネスアソシエイトが提供するサービスに関連するPHIのみを共有する場合があります。

なぜ一部の情報源は、医療におけるPHIとは何かを誤って定義するのですか？

一部の情報源が医療におけるPHIとは何かを誤って定義するのは、PHIの意味を説明するのに役立つ定義が、行政簡素化規則の一般規定（45 CFR §160.103）と、HIPAAプライバシー規則の導入部（45 CFR §164.501）に分散しているためです。

「PHI、PII、IIHIとは何か？」および「指定記録セットとは何か？」という問いに個別に答えることは比較的容易ですが、どの情報を保護すべきか、また患者がどの情報へのアクセス権を有するかを判断するために、すべての答えを統合することは容易ではありません。

患者の同意（consent）と患者の承認（authorization）の違いは何ですか？

（HIPAAの文脈における）患者の同意と患者の承認の違いは、HIPAAプライバシー規則が、正式な承認ではなく非公式な同意が許容されるシナリオを限定的に認めている点にあります。これらのシナリオには、施設ディレクトリのための限定的な開示や、患者の安否について友人や家族が問い合わせる場合の限定的な開示が含まれます。

対象事業体は、患者の非公式な同意により、病院ディレクトリに限定的な患者情報を含め、友人や家族に限定的な情報を提供できます。ただし、患者が同意できない場合には、開示が患者の最善の利益にかなうかどうかを判断するために専門的判断を用いるべきです。

「開示の記録（accounting of disclosures）」にはどのような情報が含まれますか？

開示の記録に含まれる情報は、過去6年間におけるPHIのあらゆる「開示」です。ただし、本人への開示、治療・支払い・医療業務のための開示、本人が承認した開示、その他いくつかの例外を除きます（完全な一覧は45 CFR §164.528参照）。「記録」には、開示日、開示先、開示内容、開示目的を含めなければなりません。

PIIとPHIとは何ですか？

PIIとPHIは、常に別物とは限りません。PIIはPersonally Identifiable Information（個人を特定できる情報）の略であり、PHIと同じ指定記録セットに保存されている場合、PHI（Protected Health Information）となり得ます。これは、PHIに該当する健康情報および支払い情報を保護するために、健康情報および支払い情報の対象者を特定するために使用できる情報（例えばPII）も、同一の指定記録セットにある間は保護されなければならないためです。

HIPAA PIIとは何ですか？

HIPAA PIIは、個人を特定できる非健康情報が、個人を特定できる健康情報と同一の記録セットに保持されている状況を説明するために、時に用いられる用語です。このシナリオでは、PIIは保護対象保健情報（PHI）と同じ属性を持ち、HIPAAプライバシー規則が規定する範囲でのみ使用または開示できます。

PHIとPIIの比較：プライバシー規則で保護されるのはどちらですか？

PHIとPIIの比較、およびプライバシー規則で保護されるのはどちらかを論じる場合、PHIは常にプライバシー規則で保護されます。一方、PIIはPHIと同一の指定記録セットに保持されている場合に、プライバシー規則で保護され得ます。しかし、PIIがPHIと同一の指定記録セットに保持されない場合もあり、その場合、PIIはHIPAAプライバシー規則では保護されません（ただし州のプライバシー法で保護される可能性はあります）。