HIPAAの保管要件

HIPAAの保管要件では、特定の種類の文書を、作成日から、または最後に有効であった日からのいずれか遅い方を起算として6年間保管しなければなりません。どの文書を保管すべきかを明確にする必要がある理由は、HIPAAの保管要件と州の医療記録保管要件との混同を防ぐためです。

本記事は、HIPAAコンプライアンス規則の下でどの記録を保管すべきか、また対象事業体（Covered Entities）およびビジネス・アソシエイト（Business Associates）が考慮すべきその他のデータ保管要件には何があるかを明確にすることを目的としています。

HIPAAの行政簡素化規則（Administrative Simplification Regulations）全体を通じて、HIPAAのデータ保管に関する言及がいくつかあります。これらは一般に、HIPAAの医療記録保管とHIPAAの記録保管要件という2つのカテゴリーに分かれます。両者の違いは、HIPAAには医療記録の保管要件は存在しない一方で、その他の文書については要件が存在する点です。

HIPAAに医療記録保管要件がないことが混乱を招き得る理由の一つは、HIPAAプライバシールールの下で、個人は「保護対象保健情報（PHI）が指定記録集合（designated record set）に保管されている限り」PHIへのアクセスおよび訂正を請求できる一方で、対象事業体およびビジネス・アソシエイトは、請求の前6年間におけるPHIの開示の記録（accounting of disclosures）を提供する義務があるためです。

HIPAAに医療記録の保管期間がない理由

HIPAAプライバシールールが医療記録をどのくらいの期間保管すべきかを規定していない理由は、義務付けられたHIPAAの医療記録保管期間が存在しないためです。これは、各州が医療記録の保管を規律する独自の法律を有しており、また医療保険の携行性と責任に関する法律（Health Insurance Portability and Accountability Act）の他の分野とは異なり、HIPAAが州のデータ保管法を優先（preempt）しないためです。

その結果、各対象事業体およびビジネス・アソシエイトは、特定のHIPAA医療記録保管期間ではなく、医療記録をどのくらい保管しなければならないかについて州法に拘束されます。州の保管期間は、記録の性質や誰に属するかによって大きく異なる場合があります。例えば：

• アーカンソー州では、成人の病院医療記録は退院後10年間保管しなければなりませんが、マスター患者インデックスのデータは永久に保管しなければなりません。
• フロリダ州では、医師は最後の患者接触から5年間医療記録を保管しなければならない一方、病院は7年間保管しなければなりません。
• ジョージア州では、医師は患者記録に含まれる評価、診断、予後、検査報告書、または生検スライドを、作成日から10年間保管しなければなりません。
• ネバダ州では、医療提供者は医療記録を最低5年間保管することが求められ、また未成年の場合は患者が23歳に達するまで保管しなければなりません。
• ノースカロライナ州では、病院は退院日から11年間患者記録を保管しなければならず、未成年に関する記録は患者が30歳に達するまで保管しなければなりません。

その他の文書について、どのようなHIPAA保管要件があるのか？

医療記録についてのHIPAA保管要件はありませんが、その他のHIPAA関連文書をどのくらいの期間保管すべきかについては要件があります。これらの要件は45 CFR 164.316および45 CFR 164.530に規定されており、いずれも、対象事業体およびビジネス・アソシエイトは、［HIPAAへの］準拠のために実施した方針および手順、ならびに方針・手順に関するあらゆる行為、活動、または評価の記録、またはHIPAA侵害通知規則（HIPAA Breach Notification Rule）における立証責任を満たすのに十分な記録を文書化しなければならないと定めています。

両基準はまた、文書は作成時から最低6年間、または方針の場合は最後に有効であった時点から最低6年間保管しなければならないと規定しています。例えば、ある方針が改訂されるまで3年間実施されていた場合、当初の方針の記録は作成後最低9年間保管しなければなりません。これらのHIPAAデータ保管要件は、州法がより短い文書保管期間を要求している場合には州法に優先します。

HIPAA保管要件の対象となる文書の一覧は、対象事業体またはビジネス・アソシエイトが行う事業の性質によって異なります。以下の一覧は、HIPAA文書保管要件の対象となる最も一般的な文書の例です。ただし、例えば医療クリアリングハウスはHIPAAのプライバシー慣行通知（Notices of Privacy Practices）を発行しないため、その写しを保管する必要はありません：

• HIPAAのプライバシー慣行通知（Notices of Privacy Practices）。
• PHI開示のための同意書（Authorizations）。
• リスク評価およびリスク分析。
• 職員のHIPAA研修記録
• 災害復旧およびコンティンジェンシー計画。
• ビジネス・アソシエイト契約（BAA）。
• 情報セキュリティおよびプライバシー方針。
• 従業員制裁方針。
• インシデントおよび侵害通知に関する文書。
• 苦情および解決に関する文書。
• 物理的セキュリティの保守記録。
• PHIへのアクセスおよび更新を記録する監査ログ。
• ITセキュリティシステムのレビュー（実装された新しい手順または技術を含む）。

HIPAAの記録保管に加えて考慮すべきこと

上記で、HIPAAの保管要件は混乱を招き得ると述べましたが、他の規制要件も考慮に入れると、確かにその可能性があります。これは例えば、HIPAAの記録保管に加えて、健康保険会社はFINRAの複雑な要件の対象となる場合があり、また対象事業体である雇用主は、従業員退職所得保障法（Employee Retirement Income Security Act）および公正労働基準法（Fair Labor Standards Act）の記録保管要件に従う必要がある場合があるためです。場合によっては、記録を無期限に保管することを意味することもあります。

メディケア・メディケイド・サービスセンター（CMS）は、コストレポートを提出する医療提供者の記録を、コストレポートのクローズ後少なくとも5年間保管すること、またメディケア・マネジドケア・プログラムの提供者が記録を10年間保管することを求めています。提供者およびサプライヤーは、患者である各メディケア受給者について医療記録を維持する必要があります。CMSのコストレポートを裏付ける文書の多くは、HIPAAの記録保管目的で必要となるものと同一であることが多いものの、検索の目的上、2種類の記録は分けて保管しなければなりません。

すべての対象事業体およびビジネス・アソシエイトに対して、人的損害（personal injury）または契約違反（breach of contract）の紛争で必要となり得る文書は、必要な限り保管することが推奨されます。「必要な限り」の期間は、当該事業体が事業を行う州で適用される時効（Statute of Limitations）に依存します。多くの場合、時効はHIPAAの記録保管期間よりも長くなります。

HIPAAの記録保管と破棄／廃棄

医療記録およびHIPAA文書の必要最低限の保管期間に達した場合、データ廃棄の要件があります。HIPAAは、PHIの不適切な開示を防ぐため、不要になった時点であらゆる形態のPHIを安全に破棄または廃棄することを求めています。HIPAAプライバシールールおよびセキュリティルールは特定の廃棄方法を要求しておらず、HHSは、対象事業体およびビジネス・アソシエイトが自らの状況を見直し、破棄および廃棄を通じてPHIを保護するために合理的な手順が何かを判断することを推奨しています。

HHSはまた、HIPAAのデータ保管要件の期限が切れた後にPHIを破棄または廃棄するための安全な方法をいくつか提案しています。紙の記録については、PHIが実質的に読めず、判読不能で、かつ再構成できない状態になるよう、シュレッダー処理、焼却、パルプ化、または粉砕を提案しています。一方、ラベル付き処方薬ボトルなど他の物理的PHIについては、HHSは、廃棄業者をビジネス・アソシエイトとして利用し、回収してシュレッダー処理またはその他の方法でPHIを破棄することを提案しています。

電子的PHI（ePHI）については、HIPAAはビジネス・アソシエイトに対し、ビジネス・アソシエイト契約の終了時にすべてのPHIを返却または破棄することを求めています。この基準に準拠するため、HHSは、クリアリング（ソフトウェアまたはハードウェア製品を用いて媒体を非機微データで上書きする）、パージング（消磁、または強い磁場に媒体をさらして記録された磁区を乱す）、または媒体の破壊（分解、粉砕、溶解、焼却、またはシュレッダー処理）を提案しています。これらの方法は、PHIまたは文書がHIPAAの保管要件の対象でなくなった場合に、対象事業体が用いることもできます。

職員のHIPAA研修記録

オンラインのHIPAA研修を利用する組織は、その研修の記録を、作成日または最後に有効であった日のいずれか遅い方から少なくとも6年間保管しなければなりません。これには、コース修了、タイムスタンプ、クイズ結果、ユーザー進捗を示す学習管理システム（LMS）の記録に加え、オンライン研修コンテンツの写し、更新されたモジュール、関連方針、従業員の確認書（attestations）も含まれます。これらのオンライン研修記録を6年間、整理されアクセス可能な状態で保管することは、一貫したHIPAA研修プログラムを示す助けとなり、内部監査や調査を支援し、組織が規制当局の審査や照会の対象となった場合に相当の注意義務（due diligence）の証拠を提供します。

HIPAAの保管要件 – FAQS

対象事業体は、PHIの開示に関する患者の同意書をどのくらいの期間保管しなければなりませんか？

対象事業体は、PHIの開示に関する患者の同意書を6年間保管しなければなりません。ただし、その文書が患者の医療記録の一部である場合、州の医療記録保管要件の対象となり、より長い期間となる可能性があります。さらに、対象事業体が、私的訴権（private rights of action）の時効が6年を超える州で事業を行っている場合、時効が満了するまで当該文書を保管する必要があります。

なぜITセキュリティシステムのレビューはHIPAA関連文書と見なされるのですか？

ITセキュリティシステムのレビューがHIPAA関連文書と見なされるのは、HIPAAセキュリティルールの技術的保護措置（technical safeguards）の下で、対象事業体が、システムがePHIへのアクセスに使用されているかどうかにかかわらず、アクセス制御、パスワード方針、自動ログオフ、監査制御といったITセキュリティ対策を実施することが求められているためです。これらの対策は通常、ITセキュリティシステムのレビューに含まれ、レビューは最低6年間保管しなければなりません。

対象事業体およびビジネス・アソシエイトは、HIPAA関連文書をどのように廃棄すべきですか？

対象事業体およびビジネス・アソシエイトは、HHSがPHIの廃棄として推奨するのと同じ方法で、HIPAA関連文書を廃棄すべきです。紙の記録の場合、これは「PHIが実質的に読めず、判読不能で、かつ再構成できない状態になるよう、記録をシュレッダー処理、焼却、パルプ化、または粉砕する」ことを意味します。電子媒体に保管されたePHIおよび文書については、HHSはデータのクリアリングまたはパージング、あるいは粉砕、溶解、または焼却による媒体の破壊を推奨しています。

対象事業体およびビジネス・アソシエイトは、HIPAA関連文書の不適切な廃棄で罰金を科されることがありますか？

対象事業体またはビジネス・アソシエイトがHIPAA関連文書の不適切な廃棄で罰金を科された事例はありませんが、PHIの不適切な廃棄についてはHHSにより複数の制裁が科されています。文書にHIPAA関連文書とPHIの両方が含まれる場合（例えば患者の同意書など）、医療活動に関するすべての文書を正しい方法で廃棄するために、組織としては職員を研修することが最善の利益となります。

HIPAAの行政簡素化規則（Administrative Simplification Regulations）とは何ですか？

HIPAAの行政簡素化規則には、HIPAAのタイトルIIおよびHITECH法のサブタイトルDに準拠するために、保健福祉省（HHS）が策定した規則および基準が含まれます。行政簡素化規則には、HIPAAプライバシー、セキュリティ、および侵害通知規則だけでなく、一般行政要件、対象取引（covered transactions）の基準、ならびにHHSがどのようにコンプライアンス調査を実施するかを説明する執行規則（Enforcement Rule）も含まれます。

HIPAAはいつ州のデータ保管法に優先しますか？

HIPAAが州のデータ保管法に優先するのは、州に（例えば）方針文書を5年間保管することを求める法律がある一方で、その文書の一部がHIPAAのデータ保管要件（例：苦情および解決に関する文書）の対象となる場合です。このような場合、HIPAAのデータ保管要件の対象となる文書は、5年ではなく最低6年間保管しなければなりません。

HIPAAではPHIを6年間保管しなければならないとされている一方、州法では医療記録を10年間保管することが求められている場合、どちらの法律が優先しますか？

HIPAAではPHIを6年間保管しなければならないとされている一方、州法では医療記録を10年間保管することが求められている場合、どちらの法律も他方に優先しません。なぜなら、両法は異なる種類の情報に関するものだからです。

HIPAAのデータ保管要件は、方針、手順、評価、レビューなどの文書にのみ適用されます。対象事業体は、医療記録の保管については関連する州法に従うべきです。

ただし、医療記録の保管期間が満了し、医療記録が破棄される際には、HIPAAはPHIの不適切な開示を防ぐためにどのように破棄すべきかを規定しています。同じ手順は、HIPAA文書の破棄にも用いるべきです。

HIPAA侵害通知規則（HIPAA Breach Notification Rule）における立証責任（burden of proof）とは何ですか？

HIPAA侵害通知規則における立証責任は、データ侵害に該当し得る、保護されていないPHI（unsecured PHI）の不適切な使用または開示に関するものです。HIPAA侵害通知規則の下では、対象事業体およびビジネス・アソシエイトは、影響を受けた個人およびHHSの公民権局（Office for Civil Rights）に通知しない場合に、不適切な使用または開示がデータ侵害に該当しなかったことを示す立証責任を負います。

そのような事象が通知対象のデータ侵害に該当する場合、対象事業体およびビジネス・アソシエイトは、必要なすべての通知（すなわち、個人、HHSの公民権局、そして必要に応じてメディアへの通知）が行われたことを示す立証責任も負います。

PHIの開示に関する同意書は、どのくらいの期間保管する必要がありますか？

HIPAAプライバシールールで許可されていないPHIの開示に関する同意書には、個人または開示目的に関連する有効期限日または失効事由（例：「研究終了時」）を含めるべきです。6年間のHIPAA保管期間は、同意書に署名した日から6年ではなく、有効期限日または失効事由から6年で終了します。

HIPAAの記録保管（record retention）とHIPAAのデータ保管（data retention）の違いは何ですか？

HIPAAの記録保管とHIPAAのデータの違いは、「HIPAAの記録保管」という用語が最も一般的にHIPAA文書（リスク評価、方針、セキュリティレビュー、患者のアクセス請求など）と関連付けられる一方で、「HIPAAのデータ保管」という用語は多くの場合PHIに関係し、PHIについてはHIPAAの保管要件が存在しない点です。PHIの保管要件は、各州が個別に義務付けています。

HIPAAに医療記録保管要件はありますか？

各州が医療記録の保管要件を定めているため、HIPAAに医療記録保管要件はありません。州別の要件はこのPDFで確認できます。ただし、医療記録が保管期間の終わりに達した場合、医療記録はHIPAAに準拠して廃棄（または破壊）しなければなりません。

紙で保管された医療記録の場合、これは「PHIが実質的に読めず、判読不能で、かつ再構成できない状態になるよう、記録をシュレッダー処理、焼却、パルプ化、または粉砕する」ことを意味します。電子的に保管された医療記録については、HHSはデータのクリアリングまたはパージング、あるいは粉砕、溶解、または焼却による媒体の破壊を推奨しています。

一部の記事が、HIPAAのデータ保管は6年ではなく7年だと主張するのはなぜですか？

一部の記事が、HIPAAのデータ保管は6年ではなく7年だと主張するのは、HIPAAの保管要件と、特定の州が義務付ける医療記録要件を混同しているためです。例えば、カリフォルニア州、インディアナ州、ペンシルベニア州は、医師および／または病院に医療記録を最低7年間保管することを求める州の一部です。

HIPAAの保管要件は、HIPAA関連文書が最後に有効であった時点から常に6年です。つまり、HIPAAに準拠するための方針が2010年に作成され、2020年まで有効（その後新しい方針に置き換え）であった場合、当初の方針文書は16年間（有効だった10年と、その後の6年）保管しなければなりません。

CMSの10年間の記録保管要件とは何ですか？

CMSの10年間の記録保管要件は、メディケア・マネジドケア・プログラムの提供者（例えばメディケア・アドバンテージ・プランの提供者）に適用されます。プログラム参加者にサービスを提供する医療機関ではなく、プログラム提供者が、より長い州の保管要件が存在しない限り、患者記録を最低10年間維持しなければなりません。

HIPAAにおけるPHIの保管要件は何ですか？

HIPAAの下ではPHIの保管要件はありません。PHIは支払いおよび医療記録の「指定記録集合」に保管され、各州が独自の医療記録保管期間を定めているためです。ただし、州が義務付ける医療記録保管期間が終了した場合、PHIはHIPAAに準拠して破棄または廃棄しなければなりません。

HIPAAのログ保管要件とは何ですか？

HIPAAのログ保管要件は、ログ、メモ、または記録がHIPAAの方針または手順に関連する場合、そのログ、メモ、または記録は、内容が最後に使用された日または最後に有効であった日から6年間保管しなければならないというものです。

例えば、HIPAAセキュリティルールは、対象事業体およびビジネス・アソシエイトに対し、情報システム活動の記録を定期的にレビューすることを求めています。この種のレビューでは、アクセスレポートや監査ログを分析します。アクセスレポートおよび監査ログは、レビューの結果として実施される新しい手順の鍵となるため、次回のレビューの日（その時点でより最新のアクセスレポートおよび監査ログに置き換えられる）から少なくとも6年間保管しなければなりません。

HIPAAのデータ保管方針テンプレートはどこで入手できますか？

「HIPAAデータ保管方針テンプレート」というものは存在しません。なぜなら「HIPAAデータ」というもの自体が存在しないからです。この用語は、HIPAAプライバシールールがPHIを保護しているため、PHIを指して誤って用いられることがよくあります。しかし、各州が医療記録に対して独自のデータ保管要件を適用しているため、医療データの保管方針はHIPAAではなく州法に準拠すべきです。

HIPAAのバックアップ保管要件とは何ですか？

HIPAAはバックアップをどのくらいの期間保管すべきかを規定していないため、HIPAAのバックアップ保管要件はありません。ただし、データがシステムから恒久的に削除される前にバックアップされ（例えばストレージ容量を確保するため）、そのデータにHIPAA関連文書が含まれる場合、バックアップは、HIPAA関連文書が最後に使用された日または最後に有効であった日から6年間保管しなければなりません。

このシナリオでは、無断アクセスを防ぐため、バックアップ媒体がHIPAAセキュリティルールの物理的保護措置によって保護されていることが重要です。また、一部のバックアップ媒体にはデータを保持できる期間に限界がある点にも注意が必要です。例えば、USBドライブに保管されたデータは5年以内に劣化する可能性があり、必要時に文書を復元できないおそれがあるため、HIPAA文書の保存には不向きとなり得ます。