HIPAAおよびテキサス医療記録プライバシー法/HB300に加えて、テキサス州では医療記録のプライバシーとセキュリティに適用される法律が他にも複数あります。テキサス身元盗用取締・保護法、テキサスデータプライバシー・セキュリティ法、テキサス責任あるAIガバナンス法、SB1188、テキサス医療行為法といった法律が、HIPAAの最低要件をしばしば上回る、重層的な保護の仕組みを形成しています。
- テキサス州における医療プライバシー法の変遷
- テキサス身元盗用取締・保護法(TITEPA)
- テキサスデータプライバシー・セキュリティ法(TDPSA)
- テキサス責任あるAIガバナンス法
- SB1188
- テキサス医療行為法
- 重複するテキサス州の医療プライバシー法に対応する従業員トレーニング
テキサス州における医療プライバシー法の変遷
HIPAA以前、テキサス州の医療機密は主にテキサス州保健安全法典によって規律されており、健康情報の利用・開示方法をすでに制限し、患者に記録閲覧の権利を与えていました。その後HIPAAが連邦のプライバシーおよびセキュリティ規則を導入しましたが、対象はより限定的な「対象事業体(covered entities)」に限られていました。そのギャップを埋めるため、テキサス州は2001年にテキサス医療記録プライバシー法を制定し、テキサス住民の健康情報を取り扱うより多くの組織にHIPAA型の保護を拡張しました。2011年に可決されたHB300は、電子的開示に関する規則の厳格化、患者のアクセス請求への対応期限の短縮、侵害通知要件の拡大により同法を強化しました。HB300は重要ですが、より広範なテキサス州のプライバシーおよびセキュリティ法体系と並行して運用されています。
HIPAAトレーニング
テキサス州医療プライバシーモジュール付き
当社のトレーニングは、10年以上にわたる侵害報告の知見に基づき、HIPAAインシデントの大半を引き起こすミスに焦点を当て、テキサス州の医療プライバシー法に関する包括的なレッスンを含みます。
HIPAAトレーニングのゴールドスタンダード
The HIPAA Journal チームによる
テキサス州医療プライバシーモジュール付きHIPAAトレーニング
当社のトレーニングは、10年以上にわたる侵害報告の知見に基づき、HIPAAインシデントの大半を引き起こすミスに焦点を当て、テキサス州の医療プライバシー法に関する包括的なレッスンを含みます。
The HIPAA Journal チームによるHIPAAトレーニングのゴールドスタンダード
AIツールのような新たな課題を扱うレッスン | CEUおよび修了証 | 修了状況のトラッキング | 個人向けHIPAAトレーニング
テキサス身元盗用取締・保護法(TITEPA)
テキサス身元盗用取締・保護法(TITEPA)は医療分野に限定されませんが、テキサス州居住者の個人識別情報を取り扱うあらゆる事業者に適用されるため、医療機関に大きな影響を与えます。同法における「機微な個人情報」の定義はHIPAAのPHIの定義より広く、PHIではない一部のデータも、PHIであるかのように保護する必要があります。組織はこの情報を安全に保護し、安全に廃棄し、コンピュータ化された機微な個人情報が権限のない者に取得された場合には、個人(場合によっては司法長官)に通知しなければなりません。これらの要件はHIPAAの侵害規則と並存するため、テキサス州の多くの医療組織は、患者に関連する情報をすべてPHI同様に扱い、全般にわたってHIPAAレベルの保護措置を適用しています。
テキサスデータプライバシー・セキュリティ法(TDPSA)
テキサスデータプライバシー・セキュリティ法(TDPSA)は一般に消費者データを対象としていますが、医療にも影響します。対象事業体およびビジネスアソシエイトはPHIについては適用除外ですが、マーケティングリスト、ウェブサイトのトラッキングデータ、予約取得の詳細、または一部の人事データなど、収集するその他の個人識別データについては適用除外ではありません。これらの非PHIデータについて、組織は収集を必要最小限に制限し、特定の利用(ターゲティング広告など)には十分な説明に基づく同意を取得し、適用される範囲でアクセス、訂正、削除請求の権利に対応しなければなりません。削除権は医療記録の保存要件を上書きしないため、PHIおよび医療記録は引き続きテキサス州の規則に従って保管する必要があります。
テキサス責任あるAIガバナンス法
テキサス責任あるAIガバナンス法およびSB1188は、AIおよびEHRに特化した義務を追加します。AIガバナンス法は、AIの開発者および利用者に広く適用され、臨床または事務のワークフローでAIを使用する医療組織も含まれます。緊急時を除き、診断または臨床意思決定支援でAIが使用される場合、患者に通知しなければなりません。また、PHIをAIシステムへ送信する目的が、治療、支払い、医療業務、または法令により要求される開示を超える場合には、患者の許可が必要です。
SB1188
SB1188はさらに踏み込み、AIが生成した診断アウトプットをテキサス医療委員会が定める基準に基づいてレビューし、その内容を医療記録に記載することを義務付けています。また、EHRに対して特定のセキュリティおよび機能要件を課します。クレジットスコアや有権者登録状況など、特定の種類のデータをEHRに保存することを制限し、未成年者の電子記録への親のアクセスに関する規則も定めています。これには、生殖医療、物質使用、またはメンタルヘルスケアなどの機微なサービスに関する例外が含まれます。
テキサス医療行為法
テキサス医療行為法および関連する法典規定は、これらすべてに加えて、免許を有する医療専門職に対し職業上の義務および守秘義務を課します。多くの場合、州法は、治療、支払い、医療業務、または法令により明示的に要求される開示を超える開示について、書面による同意を求め、さらにメンタルヘルス、物質使用、HIV検査、遺伝情報など特に機微なカテゴリーに追加の保護を付与します。これらの規定は定期的に更新され、特定の状況において他の法律の適用方法を上書きまたは精緻化することがあります。
重複するテキサス州の医療プライバシー法に対応する従業員トレーニング
これらのテキサス州法は相互に重複しているため、テキサス州居住者の医療情報を取り扱う組織は一般に「最も保護が強い法律を優先する」アプローチに従います。HIPAAおよびテキサス医療記録プライバシー法/HB300はテキサス州の医療プライバシー法の中核ですが、実務はTITEPA、TDPSA、責任あるAIガバナンス法、SB1188、医療行為法によっても形作られます。
テキサス州の健康プライバシー義務はHB300とHIPAAを超えて広がっています。患者情報を取り扱う従業員は、テキサス州の全体像をカバーするトレーニングを受けるべきです。すなわち、HIPAAおよびテキサス医療記録プライバシー法/HB 300、テキサス身元盗用取締・保護法、テキサスデータプライバシー・セキュリティ法、責任あるAIガバナンス法、SB 1188、テキサス医療行為法です。包括的なトレーニングは、テキサス州の規則がHIPAAより厳しい場面をスタッフが認識し、最も保護的な基準を適用し、同意、アクセス、開示、インシデント報告、AIまたはEHRの利用に関する明確な手順に従う助けとなります。
組織は、これらの州要件を、オンボーディングおよび年次のリフレッシャートレーニング(ビジネスアソシエイトのスタッフ向けトレーニングを含む)に組み込み、状況が不明確な場合にはプライバシー担当者またはコンプライアンス担当者に相談するよう従業員に指示すべきです。このアプローチにより、HIPAA対象事業体およびHIPAAビジネスアソシエイトは、連邦のHIPAA要件に加えてテキサス州の規制にも準拠できます。
HIPAAトレーニング
テキサス州医療プライバシーモジュール付き
当社のトレーニングは、10年以上にわたる侵害報告の知見に基づき、HIPAAインシデントの大半を引き起こすミスに焦点を当て、テキサス州の医療プライバシー法に関する包括的なレッスンを含みます。
HIPAAトレーニングのゴールドスタンダード
The HIPAA Journal チームによる
テキサス州医療プライバシーモジュール付きHIPAAトレーニング
当社のトレーニングは、10年以上にわたる侵害報告の知見に基づき、HIPAAインシデントの大半を引き起こすミスに焦点を当て、テキサス州の医療プライバシー法に関する包括的なレッスンを含みます。
The HIPAA Journal チームによるHIPAAトレーニングのゴールドスタンダード
AIツールのような新たな課題を扱うレッスン | CEUおよび修了証 | 修了状況のトラッキング | 個人向けHIPAAトレーニング
翻訳元: https://www.hipaajournal.com/medical-privacy-regulations-in-texas/
