医療情報秘密保持法(CMIA)は、カリフォルニアにおける医療プライバシーに適用され、職員が患者情報をどのように取り扱うかに影響を与える、複数ある州法・規制のうちの一つにすぎません。HIPAAとCMIAに加えて、医療機関は患者の医療記録アクセス法(PAHRA)、Medi-Calの守秘規則、カリフォルニア消費者プライバシー法およびカリフォルニア・プライバシー権法(CCPA/CPRA)、医療における人工知能を規律する州の規則(CCPAの自動意思決定に関する規制を含む)、そして患者のアクセスと保護に関するSB81にも準拠しなければならない場合があります。これらの法律は総合的に、カリフォルニアのプライバシーおよびセキュリティ方針が他州のものと異なって見える理由を説明しています。
- 連邦の基準(ベースライン)としてのHIPAA
- 医療情報秘密保持法(CMIA)
- 患者の医療記録アクセス法(PAHRA)
- Medi-Calの守秘規則、カリフォルニア消費者プライバシー法、カリフォルニア・プライバシー権法
- SB81(カリフォルニアの患者アクセスおよび保護法)
- カリフォルニアのあらゆるプライバシー法を尊重するための医療従事者向け研修
連邦の基準(ベースライン)としてのHIPAA
HIPAAは、プライバシーとセキュリティの全国的な「最低基準(フロア)」を作るために設計されましたが、カリフォルニアではそのフロアは出発点にすぎません。州法が特定の領域でHIPAAよりも多くの権利や強い保護を患者に与える場合、その論点についてはカリフォルニア法が優先され、HIPAAは背景として引き続き適用されます。その結果、カリフォルニアの医療提供者は、健康情報の利用・開示・保護を決定する際に、重なり合う複数の規則を調整しなければならないことがよくあります。
HIPAA研修
CA医療プライバシー法対応
当社の研修は、10年以上にわたる侵害報告の知見に基づき、HIPAAインシデントの大半を引き起こすミスに焦点を当て、カリフォルニアの医療プライバシー法に関する包括的なレッスンも含みます。
HIPAA研修のゴールドスタンダード
The HIPAA Journalチームより
CA医療プライバシー法対応のHIPAA研修
当社の研修は、10年以上にわたる侵害報告の知見に基づき、HIPAAインシデントの大半を引き起こすミスに焦点を当て、カリフォルニアの医療プライバシー法に関する包括的なレッスンも含みます。
The HIPAA JournalチームによるHIPAA研修のゴールドスタンダード
AIツールなどの新たな課題を扱うレッスン | CEUおよび修了証 | 修了状況の追跡 | 個人向けHIPAA研修
医療情報秘密保持法(CMIA)
CMIAは、カリフォルニアの医療プライバシーに関する中核的な法令です。識別可能な医療情報を保存または処理する場合、医療提供者、保険プラン、請負業者、そして多くの消費者向けデジタルヘルスアプリに広く適用されます。CMIAは、承認なしに情報を利用または開示できる場面を厳格に制限し、機微なサービスに対する追加の保護を設け、電子情報に対する安全対策を求めます。HIPAAとの重要な違いは、CMIAには私的訴権がある点で、患者は、害を与える意図がなかった場合でも、過失による無断開示について訴えることができます。これが、カリフォルニアの組織が厳格なアクセス管理、記録の「知る必要がある場合のみ」の利用、のぞき見や噂話に対するゼロトレランスを強調する大きな理由です。
患者の医療記録アクセス法(PAHRA)
PAHRAは、HIPAAを超えて患者のアクセス権を強化し、迅速化します。カリフォルニアの医療提供者は一般に、アクセス請求を数日以内に確認または対応し、HIPAAよりもはるかに短い期限で写しを提供しなければなりません。患者は記録を訂正または明確化するための追補(アデンダム)を提出することもでき、その追補は将来の関連する開示に添付されなければなりません。PAHRAとCMIAはまた、未成年者が治療に同意する権利を有する場合に、未成年者の機微な記録への親のアクセスも制限するため、職員は誰が何を閲覧できる権利を持つのかに細心の注意を払う必要があります。
Medi-Calの守秘規則、カリフォルニア消費者プライバシー法、カリフォルニア・プライバシー権法
他の重要な法律は、HIPAAとCMIAだけでは十分にカバーされない隙間を埋めます。Medi-Calの規則は、受給資格や給付に用いられる社会・経済データを含む受益者情報を保護し、その利用を主として治療、請求、プログラム運営に制限します。CCPA/CPRAは、PHIまたはCMIA上の「医療情報」に該当しない個人情報(ウェブサイトのトラッキングデータ、マーケティングリスト、一部の人事記録など)について、対象となる事業者に適用されます。CCPA/CPRAはまた、消費者に対し、データを知る権利、訂正する権利、場合によっては削除する権利を付与します。カリフォルニアは、透明性、セキュリティ、人間の臨床判断の維持を重視するプライバシー・消費者・専門職規則の組み合わせにより、医療におけるAIの利用を規制しています。実務上、これらの規則はしばしば内部方針として現れます。すなわち、どのAIツールを使用できるか、どの種類のデータを入力できるか、出力をどのようにレビューしなければならないか、そしていつ患者に通知しなければならないか、という点です。
SB81(カリフォルニアの患者アクセスおよび保護法)
SB81(カリフォルニアの患者アクセスおよび保護法)は、移民関連情報に対する的を絞った保護を追加します。患者の出生地および移民ステータスを保護対象の医療情報として扱い、有効な承認または裁判所命令がない限り、移民取締り目的での開示を禁止します。また、公立大学の保健センターを含む医療機関に対し、適切な法的権限がない限り移民当局が立ち入れないよう、患者が不安なく診療を受けられる「安全な」非公開エリアを設けることを求めます。この法律は、受付、警備、臨床チームが法執行機関からの要請にどう対応するかに影響し、こうした場面について職員が特別な研修を受けるべき理由にもなっています。
カリフォルニアのあらゆるプライバシー法を尊重するための医療従事者向け研修
カリフォルニアのプライバシー規制は、HIPAAとCMIAを超え、PAHRA、Medi-Calの守秘、CCPAおよびCPRA、AI関連規則、SB81を含む研修を求めます。従業員は、適用に関するシンプルなルールを学ばなければなりません。すなわち、連邦の基準としてHIPAAに従い、そのうえで当該状況においてより強い保護を与えるカリフォルニアの要件を適用することです。カリフォルニアにおける医療プライバシー研修では、誰が記録にアクセスできるか、PAHRAに基づく請求をどう処理するか、CMIAの下でいつ承認が必要か、CCPAおよびCPRAの対象となる非PHIの個人情報をどう扱うか、承認されたAIツールを適切なレビューとともにどう使用するか、SB81に基づく移民関連の要請にどう対応するかを扱わなければなりません。従業員は、本人確認、同意、文書化、期限内の対応、疑問が生じた際のプライバシー部門またはコンプライアンス部門へのエスカレーションについて、明確な手順を伴う一般的なシナリオを実践できるよう学ぶ必要があります。このアプローチにより、HIPAA対象事業体およびHIPAAビジネスアソシエイトは、医療記録に適用されるカリフォルニアのすべてのプライバシー規制に準拠できます。
HIPAA研修
CA医療プライバシー法対応
当社の研修は、10年以上にわたる侵害報告の知見に基づき、HIPAAインシデントの大半を引き起こすミスに焦点を当て、カリフォルニアの医療プライバシー法に関する包括的なレッスンも含みます。
HIPAA研修のゴールドスタンダード
The HIPAA Journalチームより
CA医療プライバシー法対応のHIPAA研修
当社の研修は、10年以上にわたる侵害報告の知見に基づき、HIPAAインシデントの大半を引き起こすミスに焦点を当て、カリフォルニアの医療プライバシー法に関する包括的なレッスンも含みます。
The HIPAA JournalチームによるHIPAA研修のゴールドスタンダード
AIツールなどの新たな課題を扱うレッスン | CEUおよび修了証 | 修了状況の追跡 | 個人向けHIPAA研修
翻訳元: https://www.hipaajournal.com/medical-privacy-regulations-california/
