HIPAA違反とは何ですか？

HIPAA違反とは、HIPAA規則に従わないあらゆる行為を指します。これには、保護対象保健情報（PHI）への不正なアクセス、使用、または開示、患者にPHIへのアクセスを提供しないこと、PHIを保護するための安全対策の欠如、定期的なリスク評価の未実施、またはHIPAA規則に関する従業員教育の不足などが含まれます。

「HIPAA違反とは何か」という問いに最も適切に答えるには、HIPAAとは何か、誰に適用されるのか、そしてHIPAA違反の定義とは何かを説明する必要があります。というのも、多くの人はHIPAAコンプライアンス違反が何であるかを知っていると思い込んでいますが、証拠はそうではないことを示唆しているからです。

また、本記事を当社のHIPAA違反チェックリストと併用することで、完全なコンプライアンスを確保するために何が求められるかを理解できます。チェックリストの無料コピーをご希望の方は、このページのフォームをご利用ください。

HIPAA違反に関する誤解

HIPAA違反とは何かについて誤解がある可能性を示す根拠は、保健福祉省（HHS）の「Enforcement Highlights（執行ハイライト）」ウェブページにあります。このページは、HIPAA違反に関する苦情、コンプライアンス審査、執行措置に関する統計で定期的に更新されています。

最新の更新によると、HHSはプライバシールールのコンプライアンス適用日（2003年4月）以降、約37万5,000件の苦情を受理しています。これを受けて、公民権局（OCR）は数万件に及ぶコンプライアンス審査を実施したり、審査が必要になる前に技術支援を行って介入したりしています。

しかし、25万件を超えるケースでは、HIPAA違反を申し立てられた組織がHIPAAの対象事業体（Covered Entity）ではなかった、または申し立てられた行為がHIPAA規則に違反していなかったなどの理由により、HHSが受理した苦情はOCRによって審査されていません。審査が実施された1万5,500件超のケースでも、HIPAA違反は認定されませんでした。

これらの統計は、3分の2を超える人々がHIPAA違反とは何かを理解していないことを示唆していますが、統計はHHSが受理した苦情にのみ関連し、患者、プラン加入者、従業員が対象事業体や州司法長官に直接申し立てた苦情は反映していない点を踏まえて文脈の中で捉えることが重要です。それでも、違反に該当する行為のHIPAA上の定義や、HIPAA規則の適用対象者を確認することが重要な場合があります。

HIPAAとは何か、誰に適用されるのか？

1996年の医療保険の携行性と責任に関する法律（HIPAA）は、主として、従業員が転職の間も医療保険の補償を維持でき、既往症を理由に差別されないようにするために導入されました。保険会社がコンプライアンス費用をプラン加入者や雇用主に転嫁することを防ぐため、議会は医療の事務手続きを簡素化し、無駄を排除し、医療詐欺を防止する目的で、同法に第2編を追加しました。

HIPAA成立以降、規制活動の大半は、45 CFR第160部、第162部、第164部に定められた「事務簡素化（Administrative Simplification）」規定を中心に展開してきました。これらの「部」には、HIPAAの一般規定、取引およびコードセット規則、そして—「HIPAA違反とは何か」という文脈で最も重要な—HIPAAプライバシールール、HIPAAセキュリティルール、HIPAA侵害通知ルールの公表が含まれます。

これらのルールに含まれるいずれの基準に従わないことも、たとえ害が生じていなくてもHIPAA違反とみなされます。例えば、最も一般的な苦情の一つは、請求があったにもかかわらず患者にPHIの写しを提供しないことに関するものです。その他のHIPAA違反の例は、HIPAA違反が発生した場合に適用され得る罰則とともに、以下で示します。

HIPAA基準は、§160.102により「規定される範囲で」、対象事業体（covered entities）およびビジネスアソシエイト（business associates）に適用されます。対象事業体は、医療保険プラン、医療情報交換機関（clearinghouses）、およびHHSが基準を採用した取引に関連してPHIを電子的に送信する医療提供者と定義されます。ほとんどの医療提供者は対象事業体に該当しますが、一部は適用除外であることに注意が必要です。

ビジネスアソシエイトとは、規制対象の活動や機能を実施するために、対象事業体がPHIを共有する相手先企業を指します。2013年に最終オムニバス規則が公表されて以降、ビジネスアソシエイトは、45 CFR第160部、第162部、第164部に定められたHIPAAプライバシー、セキュリティ、侵害通知ルールの適用基準について、対象事業体と同等の遵守要件を負うようになりました。

PHI違反とは何ですか？

許可された使用および開示の範囲を超えてPHIが無断で開示されることを伴うHIPAA違反は、最も一般的なタイプのHIPAA違反です。PHI違反は、許容される開示の目的を達成するために必要な最小限必要な量を超える情報を提供することから、暗号化されていないデータベースがハッキングされ、数千人の患者のPHIが露出することまで、幅広く起こり得ます。

PHI違反を避けるためには、対象事業体およびビジネスアソシエイトは、HIPAAプライバシーおよびセキュリティルールで定められた安全対策を実装するだけでなく、PHI違反のリスクを最小化するための適切な方針・手順が整備されていることを確保する必要があります。また、各組織の従業員は、方針・手順および不遵守に対する制裁について訓練を受ける必要があります。

その他のHIPAA法違反の種類

HIPAAに関するよくある誤解の一つは、PHIの許可された使用および開示に関わる場合にのみ違反になるというものです。対象事業体やビジネスアソシエイトがHIPAAに違反する方法は他にも数多くあります。例えば、従業員に方針・手順の教育を行わない、または教育を文書化しないことなどです。

また、侵害の詳細を、侵害の影響を受けた個人、公民権局、そして—特定の状況では—メディアに対して秘匿することもHIPAA法違反です。近年では、侵害通知ルールへの不遵守、または許容される期間内にルールを遵守しなかったことに起因するHIPAA法違反に対して罰金が科されています。

追加のHIPAA違反例

前述の例に加えて、対象事業体およびビジネスアソシエイトがHIPAAに違反する方法は他にも多数あります。以下に、追加のHIPAA違反例をいくつか挙げます。

• 許されないPHIの開示
• PHIの不適切な廃棄
• リスク分析の未実施
• PHIの機密性・完全性・可用性に対するリスクの管理不備
• PHIの機密性・完全性・可用性を確保するための安全対策の未実装
• PHIアクセスログの維持および監視の不備
• PHIを共有する前にHIPAA準拠のビジネスアソシエイト契約（BAA）を締結しない
• 請求があった際に、患者へ開示の記録（accounting of disclosures）を提供しない
• PHIを閲覧できる者を制限するアクセス制御の未実装
• 不要になったPHIへのアクセス権を終了しない
• セキュリティ意識向上トレーニングの未実施
• 情報を受け取る権限のない個人へのPHIの無断提供
• 許可なく、オンラインまたはソーシャルメディアでPHIを共有する
• PHIの不適切な取り扱いおよび誤送付
• 暗号化されていないPHIのSMS送信
• PHIの暗号化を行わない、または不正アクセス／不正開示を防ぐための同等の代替措置を講じない
• PHIが、刑事・民事・行政上の調査に使用されないこと、または合法的な生殖医療の求め・取得・提供・支援に関して、いかなる者にも刑事・民事・行政上の責任を課す目的で使用されないことについての誓約（attestation）を取得せずに、法執行機関またはその他の公務員にPHIを開示する

組織内でPHIにアクセスできる者には、HIPAA違反とは何かを説明する HIPAAトレーニングが提供されることが重要です。また、対象事業体またはビジネスアソシエイトの従業員は、役割にかかわらず全員がセキュリティ意識向上トレーニングを受ける必要があります。

HIPAA違反はどのように発覚しますか？

多くのHIPAA違反は、HIPAA規制対象の組織が内部監査を通じて発見します。監督者がHIPAA規則に違反した従業員を特定することもあれば、従業員がHIPAA違反や同僚による潜在的な違反を自己申告することもよくあります。

HHSの公民権局はHIPAA規則の主要な執行機関であり、医療従事者、患者、医療保険プラン加入者、一般市民から報告されたHIPAA違反の苦情を調査します。OCRはまた、500件を超える記録の侵害を報告したすべての対象事業体を調査し、特定の小規模侵害についても調査を行い、さらにHIPAA対象事業体およびビジネスアソシエイトを定期的に監査します。

州司法長官にも侵害を調査する権限があり、潜在的なHIPAA違反に関する苦情や、患者記録の侵害報告を受けたことを理由に調査が行われることがよくあります。

HIPAA規則違反の罰則は何ですか？

HIPAA規則違反の罰則は、違反の性質、責任の程度、違反によって生じた害の大きさ、そして対象事業体またはビジネスアソシエイトが侵害やその影響を軽減するために行った努力に依存します。OCRは軽微な違反については技術支援により解決することを好みますが、多額の金銭的制裁を科す権限も有しています。OCRは通常、規制対象の組織に対し、非公式に違反を和解する機会を提供します。和解には、減額された制裁金と、不遵守の側面に対処するための是正措置計画が含まれます。

州司法長官にも侵害を調査する権限があり、潜在的なHIPAA違反に関する苦情や、患者記録の侵害報告を受けたことを理由に調査が行われることがよくあります。これらの罰則は、OCRまたは他州による措置とは独立しています。HIPAA規制対象の組織は、OCRおよび50州すべてからHIPAA違反で罰金を科される可能性があります。

HIPAA違反の区分

HIPAA違反には4つの区分があります。それぞれに、OCRが責任の程度に応じて金銭的制裁を科すことができる最小および最大の「上限」が定められています。4区分のうち2つは、合理的な注意義務（reasonable due diligence）を尽くしたことを示せる対象事業体およびビジネスアソシエイト向けであり、残り2つは故意の怠慢（willful neglect）に該当する組織向けです。

区分1 – HIPAA違反に気付いておらず、合理的な注意義務を尽くしてもHIPAA規則が違反されていたことを知り得なかった。

区分2 – 合理的な注意義務を尽くせば、対象事業体／ビジネスアソシエイトが違反を知っていた、または知るべきだったといえる合理的理由がある。

区分3 – HIPAA規則の故意の怠慢であるが、発見から30日以内に違反が是正され、結果が軽減された。

区分4 – HIPAA規則の故意の怠慢であり、発見から30日以内に違反の是正または結果の軽減の努力がなされなかった。

HIPAA違反の罰金

当初、HIPAA違反の金銭的罰則は小さく、HIPAA対象事業体がHIPAA規則に違反することを防ぐ適切な抑止力にはなっていませんでした。これらは2009年のHITECH法により大幅に引き上げられ、2015年以降は毎年インフレ調整されています。下表は2026年1月時点のHIPAA違反罰則を示しており、同一違反が複数回発生した場合に組織が科され得る最大額も含まれています。

OCRがHITECH法の罰則引き上げを再解釈

上表が示すとおり、年間の最大罰金は4つの罰則区分すべてで同じであり、奇妙に見えるかもしれません。2019年、HHSはHITECH法の文言を再検討し、罰金額に関して言語が誤って解釈されていたと判断しました。OCRは、年間の最大罰金は4区分のうち3区分で引き下げるべきだと判断し、年間上限をTier 1は$25,000、Tier 2は$100,000、Tier 3は$250,000、Tier 4は$1,500,000に設定しました。

これらの新しい最大罰金は、規則制定（rulemaking）を通じて公式化されていません。HHSの意図はそうであるように見えますが、代わりに、罰則構造の変更が公式化されるまで無期限に適用される「執行裁量の通知（notice of enforcement discretion）」によって対処されています。Tier 1では、違反1件あたりの最大罰金が年間上限の2倍となっており、今後の規則制定で明確化されることは間違いないでしょう。インフレ調整後、2024年8月8日以降に評価されたケースに適用される罰金額は、以下の表に示すとおりです。

認知されたセキュリティ実務（Recognized Security Practices）

2021年、HITECH法は、HIPAA規制対象の組織が「認知されたセキュリティ実務」を採用し、医療データを不正アクセスからより適切に保護することを促すために改正されました。これらのセキュリティ実務が採用され、12か月間継続して実施されている場合、OCRはデータセキュリティ事故への対応として金銭的制裁やその他の措置を決定する際の軽減要因として考慮します。認知されたセキュリティ実務を採用しても、HIPAAセキュリティルール違反に対する金銭的制裁を回避できるわけではありませんが、適切に実装していることを十分に示せれば、金銭的制裁は減額されます。また、認知されたセキュリティ実務を採用することで、HIPAA規制対象の組織は、監査や調査の範囲がより限定的になります。

よくある質問（FAQs）

組織がHIPAAに違反しているかどうかは、どうすれば分かりますか？

医療保険プラン加入者や患者として、あなたが自分の権利やPHIの許可された使用・開示に不慣れである場合、組織がHIPAAに違反しているかどうかを見分けるのは必ずしも容易ではありません。多くの場合、個人は侵害通知書を受け取るまで、組織がHIPAAに違反していたことに気付きません。しかし、組織がHIPAAに違反しているかどうか確信が持てない場合、取れる手順はいくつかあります。

プライバシーが侵害された可能性があると考える医療保険プラン加入者や患者は、まず当該組織に苦情を申し立てるべきです。組織は苦情を受理したことを認め、HIPAA違反がなかった理由の説明、または違反があった場合には、違反原因を是正するために組織が何をしているかの説明をもって回答すべきです。

苦情はHHSの公民権局または州司法長官にも申し立てることができます。これらの機関には、HIPAA対象事業体およびビジネスアソシエイトに対する苦情を審査する権限があります。回答が得られるまで時間がかかる場合があり、そもそも回答が得られないこともありますが、公民権局および州司法長官は、組織がHIPAAに違反しているかどうかを判断するために徹底的な調査を行い、必要に応じて措置を講じることができます。

リスク評価（risk assessment）とリスク分析（risk analysis）の違いは何ですか？

リスク評価とリスク分析の違いは、一般に、リスク評価は潜在的な脅威のレビューとみなされ、リスク分析はその脅威が発生する可能性の算定とみなされる点にあります。HIPAAでは、リスク評価とリスク分析の違いについて明確さを欠いています。というのも、セキュリティルールのリスク分析の条項（45 CFR § 164.308(a)）には次のように記載されているからです。

対象事業体およびビジネスアソシエイトは、対象事業体またはビジネスアソシエイトが保有する電子的保護対象保健情報の機密性・完全性・可用性に対する潜在的リスクおよび脆弱性について、正確かつ徹底的な評価を実施しなければならない—すなわち、ルールはリスクの分析を要求しているものの、分析プロセスについては詳述していません。

誰がHIPAAに違反し得ますか？

HIPAA規則の適用対象となる者は誰でもHIPAAに違反し得ます。しかし、誰が正確にHIPAAの対象となるのかについては—特にCOVID-19パンデミックの間—混乱がありました。HIPAAの遵守が求められるのは、医療保険プラン、医療情報交換機関（clearinghouses）、および適格な電子取引を行う医療機関（現在ではほとんどが該当）です。PHIが共有されるビジネスアソシエイトや請負業者もHIPAAに違反し得ます。

HIPAA規則の遵守要件は、対象事業体、ビジネスアソシエイト、または請負業者のすべての従業員にも適用されます。HIPAAは従業員（workforce）を、「対象事業体またはビジネスアソシエイトのための業務の遂行において、その対象事業体またはビジネスアソシエイトの直接の管理下にある行為を行う従業員、ボランティア、研修生、その他の者（対象事業体またはビジネスアソシエイトから報酬を受けるか否かを問わない）」と定義しています。

潜在的なリスクと脆弱性が特定された場合、次に何が起こりますか？

潜在的なリスクと脆弱性が特定された場合、対象事業体およびビジネスアソシエイトは、リスクと脆弱性を合理的かつ適切な水準まで低減するのに十分なセキュリティ対策を実装することが求められます。「合理的かつ適切な水準」を構成するものを判断するために、組織は（ 45 CFR § 164.306(b)に従い）次の点を考慮すべきです。

• 組織の規模、複雑性、および能力
• 組織の技術インフラ、ハードウェア、およびソフトウェアのセキュリティ能力
• 合理的かつ適切なセキュリティ対策のコスト
• ePHIの完全性に対する潜在的リスクの発生確率と重大性

「潜在的リスクの重大性（criticality of potential risks）」とはどういう意味ですか？

潜在的リスクの重大性という用語は、HIPAA違反によって生じ得る傷害の規模を指します。例えば、数千人の患者の支払情報や社会保障番号を含むクラウドストレージのボリュームが公衆インターネットに公開されたままになっている場合、患者Aの治療選択肢について2人の看護師が患者Bの聞こえる範囲で話すよりも、より大きな傷害を引き起こす可能性があります。

HIPAA法とは何ですか？

HIPAA法という用語は、医療保険の携行性と責任に関する法律の5つの編（Titles）すべてを指します。医療業界の組織にとって関連する編は第II編—「医療詐欺および濫用の防止；事務簡素化；医療責任改革」—であり、この部分がHIPAAプライバシー、セキュリティ、侵害通知ルールの創設につながりました。

HIPAA違反とみなされるものは何ですか？

HIPAA違反とは、「必須（required）」基準、または同等に有効な代替措置が実装されていない「対応可能（addressable）」基準への不遵守、あるいは当該基準を実装しないことについて文書化された理由が存在しない場合の不遵守とみなされます。必須基準への不遵守の例としては、役割にかかわらず従業員全員にセキュリティ意識向上トレーニングを提供しないことが挙げられます。

医療従事者ではない人でもHIPAAに違反し得ますか？

医療従事者ではない人でもHIPAAに違反し得ます。なぜならHIPAAは、対象事業体、そのビジネスアソシエイト、およびその従業員に適用されるからです。例えば、対象事業体の従業員のうち医療従事者ではない者（ITチームのメンバーなど）が無断でPHIを開示した場合、その者はHIPAA違反となります。ただし、影響を受けた個人への通知およびHHSの公民権局への開示報告を行う義務を負うのは雇用主です。

HIPAA違反とは何ですか？

HIPAA違反（複数形）とは、対象事業体が方針・手順への遵守状況を監視しないことに起因することが多い、一連の違反を指します。従業員が「仕事を終わらせるため」に不遵守の近道を取ったケースがあり、こうした近道が放置されると、不遵守が文化的規範として定着してしまう可能性があります。

誰がHIPAA法に違反し得ますか？

HIPAA規制対象の組織およびその従業員はHIPAA法に違反することは許されませんが、HIPAAの例外が多数存在するため、対象事業体およびビジネスアソシエイトはあらゆる状況でHIPAAに従う必要があるわけではありません。例えば、 軍事指揮例外（Military Command Exception）の下では、軍の医療専門職は、任務適性、任務遂行適性、または軍事任務に必要なその他の活動を遂行する適性について報告するために、患者の承認なしにPHIを開示することが認められています。

HIPAA違反を構成するものは何ですか？

HIPAA違反を構成するものは、通常、HIPAAプライバシー、セキュリティ、または侵害通知ルールのいずれかの違反として定義されます。一部の違反—例えば「付随的な使用および開示（incidental uses and disclosures）」—は、一般に金銭的制裁にはつながりません。このような形でHIPAAに違反した従業員は、追加のトレーニングを受けるよう求められる可能性が高いです。

HIPAA違反の3つの種類とは何ですか？

HIPAA違反の3つの種類は、行政上（administrative）、民事（civil）、刑事（criminal）の違反です。行政上のHIPAA違反の多くはメディケア・メディケイドサービスセンター（CMS）が調査し、民事のHIPAA違反はHHSの公民権局（OCR）が調査します。公民権局が刑事的動機の可能性がある事案を調査した場合、その事案は司法省に付託され調査されます。

CMSによれば、何がHIPAA違反になりますか？

CMSによれば、HIPAA違反となるのは、事務要件（Administrative Requirements：事務簡素化規則の第162部）に従わないことです。事務要件は、HHSが基準を公表している取引を実施する際に、対象事業体またはその代理として行動するビジネスアソシエイトが使用しなければならないコードセットおよび識別子を対象としています。CMSには不遵守に対して罰金を科す権限がありますが、これまで行政上のHIPAA違反は金銭的制裁ではなく是正措置によって解決されてきました。

FTCによれば、何がHIPAA違反に該当しますか？

FTCによれば、HIPAA違反に該当するものはありません。しかし、連邦取引委員会（FTC）はHIPAAの執行には関与しない一方で、連邦取引委員会法を執行しており、同法には「健康データ侵害ルール」があります。このルールにより、HIPAAの対象外である個人健康記録のベンダーおよび関連事業体が侵害通知を出さなかった場合、FTCは金銭的制裁を追及できます。2023年、FTCは、あるベンダーが当該情報は非公開に保たれると約束していたにもかかわらず、消費者の健康データを第三者に許されない形で開示したことについて個人に通知しなかったとして、初めて金銭的制裁を科しました。

HIPAA違反ではないものは何ですか？

HIPAA違反ではないとされる申し立ての一覧は非常に長いです。HHSの公民権局（OCR）が受理したHIPAA違反の申し立てのうち、3分の2を超えるものは、HIPAA規則の対象外の組織に対する苦情である、または保護対象保健情報の許されない使用・開示に関係しないとして、審査後に却下されています。

HIPAA違反は刑事事件になり得ますか？

HIPAA違反は、個人が社会保障法の§1320d-6に違反して、故意に不正にPHIを使用または開示した場合、刑事事件になり得ます。この種の違反は多くの場合司法省に付託され、司法省には最大25万ドルの罰金を科し、最長10年の拘禁刑を求刑する権限があります。

HIPAAはすべての人に適用されますか？

HIPAAは、団体医療保険プランの加入者である者、または対象事業体に該当する医療提供者の患者である者すべてに適用されます。というのも、HIPAAは、これらの人々の個人識別可能な健康情報のプライバシーを保護し、これらの人々の電子的保護対象保健情報の機密性・完全性・可用性を確保するからです。

HIPAA規則の遵守という観点では、HIPAAはすべての人に適用されるわけではありません。保護対象保健情報が共有される「対象事業体」および「ビジネスアソシエイト」のみがHIPAA規則の遵守を求められます。両タイプの組織の従業員は、雇用主がHIPAA遵守のために策定した方針・手順に従わなければなりません。

患者はHIPAAに違反し得ますか？

患者はHIPAAに違反することはできません。なぜなら患者は、HIPAA対象事業体、対象事業体のビジネスアソシエイト、または従業員に該当しないからです。たとえ患者が、自分が患者として受診している病院に雇用されていたとしても、HIPAAに違反することはできません。従業員が対象事業体の従業員であるのは、「当該対象事業体の管理下で業務を遂行している」間に限られるためです。

HIPAA違反はどのように報告しますか？

HIPAA違反の報告方法は、あなたが患者または団体プラン加入者であるか、あるいは対象事業体またはビジネスアソシエイトの従業員であるかによって異なる場合があります。患者または団体プラン加入者であれば、違反が発生したプライバシーオフィス、州司法長官、またはHHSの公民権局にHIPAA違反を報告する選択肢があります。

対象事業体またはビジネスアソシエイトの従業員である場合、誰にHIPAA違反を報告するかは雇用契約の内容（例：直属の上司）によって決まることがあります。雇用契約に報告方針がない場合、選択肢は患者または団体プラン加入者と同じです。

HIPAA違反の罰則は何ですか？

HIPAA違反の罰則は、違反の性質、その結果、違反者の過去の遵守履歴、そして違反者が組織であるか組織の従業員であるかによって異なります。

組織に軽微なHIPAA違反があり、その違反が被害者に与える影響が最小限である場合、技術支援によって解決される可能性が高いです。違反がより重大で、数千人に影響し、または再犯である場合、民事の金銭的制裁につながる可能性が高いです。

あなたが組織の従業員である場合、罰則は雇用主の制裁方針に依存します。軽微な違反は口頭注意となる場合がありますが、より重大な違反は書面での警告や解雇につながる可能性があります。

HIPAA違反の区分とは何ですか？

HIPAA違反の区分は、行政上の違反、民事の違反、刑事の違反です。行政上の違反の例としては請求取引で誤ったコードを使用することが挙げられ、民事のHIPAA違反の例としては患者に保護対象保健情報の写しへのアクセスを認めないことが挙げられます（データ侵害も民事のHIPAA違反の区分に含まれます）。

刑事のHIPAA違反とは、対象事業体、ビジネスアソシエイト、またはそのいずれかの従業員が、社会保障法の§1320d-6 で禁じられた目的のために、無断で保護対象保健情報に不正に、かつ故意にアクセス、取得、または送信した場合を指します。HIPAAの刑事違反は、多額の罰金および懲役刑を科され得ます。

HIPAA違反は重罪（felony）ですか？

HIPAA違反は、虚偽の口実の下でPHIを故意かつ意図的に開示した場合、および／または個人的利益、悪意ある害、または商業上の利益のためにPHIを販売、移転、または使用する場合を除き、重罪ではありません。これらの違反は、2005年に司法長官府の法律顧問室が公表した意見書で重罪に分類されました。

家族はHIPAAに違反し得ますか？

家族はHIPAAに違反することはできません。家族はHIPAAの遵守を求められていないからです。しかし、家族が（例えば）病院に雇用され、対象事業体の従業員として勤務している場合、そして対象事業体の従業員としての職務を遂行している間に、無断で患者の病歴にアクセスした場合、それはHIPAA違反となります。

HIPAA違反の報告期限はどれくらいですか？

HIPAA違反の報告期限は、誰に報告するかによって異なる場合があります。通常、選択肢は3つ—プライバシー責任者、州司法長官、またはHHSの公民権局—です。プライバシー責任者および州司法長官は、HIPAA違反を報告できる期間について独自の期限を設定できます。HHSの公民権局は、違反が発見された日から180日以内の報告のみを受け付けます。

HIPAA違反の結果はどうなりますか？

HIPAA違反の結果は、違反の性質、違反の影響、違反者の過去の遵守履歴、そして違反者が組織であるか組織の従業員であるかによって異なります。

組織がHIPAAに違反した場合、その結果は、自主的な遵守から、技術支援、是正措置計画、罰金まで幅があります。HIPAA違反のうち罰金に至るものは比較的少なく、多くは自主的な遵守と技術支援によって解決されます。

組織の従業員がHIPAAに違反した場合、その結果は組織のHIPAA制裁方針によって決まります。口頭注意から、再教育、書面での警告、解雇、そして免許喪失の可能性まで幅があります。

私のHIPAA上の権利が侵害されました。どこに苦情を申し立てればよいですか？

あなたのHIPAA上の権利が侵害された場合、権利が侵害された組織のプライバシー責任者に苦情を申し立てるべきです。プライバシーオフィスの連絡先は、医療提供者の患者として初めて登録したとき、または団体医療保険プランの加入者として初めて登録したときに渡されるHIPAAのプライバシー実務通知（Notice of Privacy Practices）に記載されています。

自分のHIPAA上の権利がなぜ侵害されたのか、また再発防止のために組織が何をしているのかについて満足のいく説明が得られない場合、苦情ポータルを通じてHHSの公民権局に苦情を申し立てることができます。ただし、苦情の提出期限は、あなたのHIPAA上の権利が侵害された日から180日以内である点にご注意ください。

HIPAA違反は違法ですか？

HIPAA違反は、社会保障法の§1320d-6の下で軽犯罪または重罪に該当する3つの犯罪のいずれかに該当しない限り、違法ではありません。3つの犯罪はいずれも、PHIの故意かつ不正な開示に関するものであり、これらの犯罪が発生することは稀です。その他のHIPAA違反はすべて民事違反です。

よくあるHIPAA違反3つは何ですか？

HHSのEnforcement Highlights（執行ハイライト）報告書によると、最も一般的なHIPAA違反3つは、PHIの許されない使用および開示、PHIに対する安全対策の欠如、そして患者がPHIにアクセスできないことです。厳密に言えば、これらは最も一般的な申し立てとしてのHIPAA違反ですが、各カテゴリーの申し立ての大半は正当である可能性が高いです。

医師がHIPAAに違反した場合、どうなりますか？

医師がHIPAAに違反した場合に何が起こるかは、その医師が対象事業体であるのか、対象事業体の従業員であるのか、または対象事業体のためにサービスを提供するビジネスアソシエイトであるのかによって異なります。

医師が対象事業体であるかどうかに関しては、すべての医療提供者が対象事業体に該当するわけではない点に注意が必要です。対象事業体に該当しない医療提供者は、対象事業体のためにビジネスアソシエイトとしてサービスを提供しない限り、HIPAAを遵守する必要はありません。

医師が自ら対象事業体である場合（例：個人開業医）、HHSの公民権局が調査してコンプライアンス上の問題を特定したときは、通常、自主的な遵守または技術支援によって問題の解決を試みます。違反が重大である場合—または医師に不遵守の履歴がある場合—同局は是正措置計画または民事の金銭的制裁を科すことがあります。

医師が対象事業体の従業員である場合、軽微なHIPAA違反の結果として想定されるのは、口頭注意と再教育（リフレッシャー）トレーニングです。しかし、医師に不遵守の履歴がある場合、書面での警告が出される可能性があり、—違反が繰り返された場合—対象事業体は医師の雇用を終了し、医師免許を管轄する委員会に付託する可能性があります。

医師が対象事業体に該当しないものの、対象事業体のためにサービスを提供する場合、医師はHIPAAプライバシールールの一部の基準（通常はビジネスアソシエイト契約の内容によって決まる）のみを遵守することが求められます。医師が遵守を求められるHIPAA基準に違反した場合、その事案は対象事業体に報告されるべきであり、対象事業体が違反を調査するか、HHSの公民権局に付託します。

HIPAA法に違反した場合の罰則は何ですか？

HIPAA法に違反した場合の罰則は、複数の要因に左右されます。これには—これらに限られませんが—誰が違反を行ったか、違反の結果がどうだったか、そしてHIPAAに違反した個人または組織の過去の遵守履歴が含まれます。

例えば、対象事業体の従業員が、最小限必要な範囲を超えるPHIを誤って開示し、結果が限定的で、かつ初回の違反であった場合、罰則は口頭注意となり、場合によっては再教育トレーニングが課される可能性があります。

一方で、遵守履歴が悪い組織が、商業上の利益のためにPHIを故意に開示した場合、HHSの公民権局、州司法長官、司法省から数百万ドル規模の罰金を科される可能性があり、司法省は加害者に対して刑事有罪判決を追及し、最長10年の禁錮刑が科される可能性もあります。

HIPAAプライバシールール違反とHIPAAセキュリティルール違反はどう違いますか？

HIPAAプライバシールール違反とHIPAAセキュリティルール違反の違いは、プライバシールールの目的が個人識別可能な健康情報のプライバシーを保護し、個人に自らの健康情報に関する権利を与えることであるのに対し、セキュリティルールの目的は、電子的保護対象保健情報（個人識別可能な健康情報の一部）の機密性・完全性・機密性を確保することにある点です。

この違いにより、HIPAAプライバシールール違反は、保護対象保健情報の許可された使用・開示に関する基準への違反、または個人が自らの権利を行使できるようにしないことに関する違反である可能性が高い一方、HIPAAセキュリティルール違反は、管理的・物理的・技術的安全対策に関する基準への違反である可能性が高いです。例えば、従業員がログイン認証情報を共有することを防止できていない場合などです。

偶発的なHIPAA違反で解雇されることはありますか？

対象事業体またはビジネスアソシエイトの従業員として、重大な結果を伴う偶発的なHIPAA違反の履歴がある場合、偶発的なHIPAA違反で解雇される可能性はあります。しかし、初回の偶発的なHIPAA違反が特に重大な結果を伴っていた場合や、雇用主の制裁方針に初回での解雇が含まれていた場合を除き、通常は口頭または書面での警告が科され、再教育のHIPAAトレーニングを受けるよう求められる可能性が高いです。

HIPAA違反の調査にはどれくらい時間がかかりますか？

HIPAA違反の調査にかかる時間は、さまざまな要因によって異なります。例えば、医療従事者がHIPAAプライバシールールの基準に偶発的に違反し、結果が最小限であった場合、HIPAA違反の調査は30分未満で終わることもあります。しかし、HHSの公民権局によるデータ侵害の調査で複数領域にわたる不遵守が発見された場合、HIPAA調査が結論に至るまで数か月かかることもあります。

HIPAA違反で訴えることはできますか？

HIPAA法は私的訴権（private right of action）を規定していないため、HIPAA法に基づいてHIPAA違反で訴えることはできません。しかし、HIPAA違反の結果として損害を被った場合、過失のある対象事業体またはビジネスアソシエイトをHIPAA違反で訴えるために利用できる、他の消費者保護法やプライバシー法が存在する可能性があります。理想的には、あなたの州の法律に精通した法律専門家に助言を求めるべきです。

HIPAA違反を報告するのに弁護士は必要ですか？

OCRの苦情ポータルを通じて苦情を提出する手続きは簡単であるため、HIPAA違反を報告するのに弁護士は必要ありません。しかし、プライバシー権侵害について民事請求を追及したい場合は、HIPAAが私的訴権を規定していないことから、苦情を提出する前にHIPAA違反に詳しい弁護士に相談するのがよいでしょう。