HIPAAプライバシールール

HIPAAプライバシールールは、許可なく「対象事業体（covered entities）」および「ビジネスアソシエイト（business associates）」が当該情報を使用・開示できる範囲を制限することにより、個人の健康情報およびその他の識別情報を保護する、連邦レベルのプライバシー基準（最低基準）を定めています。また、HIPAAプライバシールールは、個人に対し、自身の健康情報がどのように使用・開示されるかを管理する権利、自分に関して保管されている情報の写しを請求する権利、欠落や誤りがある場合に訂正を求める権利を付与します。

このHIPAAプライバシールールのガイドでは、なぜこのルールが存在するのか、誰に適用されるのか、何を保護するのか、そしてコンプライアンスをどのように維持するのかを説明します。本記事は、このページ上のいずれかのフォームから注文できる、無料で使いやすい「HIPAAプライバシールール チェックリストPDF」と併せてご利用ください。

HIPAAの文脈におけるプライバシールールとは？

HIPAAの文脈では、プライバシールールは行政簡素化規則（Administrative Simplifications Regulations）（45 CFR 第160部、第162部、第164部）の一部です。ただし、プライバシールールが個人を識別できる健康情報に提供する保護は、行政簡素化規則の他の部分にも及び、それらの部分に含まれる基準がどのように適用されるかにも影響します。

このため、通常はHIPAAプライバシールールの遵守を求められない事業体（例：データ保管サービスや個人用ヘルスデバイスのベンダー）にとっても、ルールが何をどのように保護するのかを理解することが重要です。また、プライバシールールによって情報が保護される当事者にとっても、誤解を防ぐために、HIPAAのプライバシー基準がどのように適用されるのかを理解することは有益です。

HIPAAプライバシールール ファクトシート

• プライバシールールは2002年に公表されました。HIPAAから発展した複数の基準群の一つです。
• 保護対象保健情報（Protected Health Information）の許容される使用・開示と、個人の権利を規定しています。
• ほとんどの健康保険プラン、医療情報交換機関（ヘルスケア・クリアリングハウス）、および医療提供者は、プライバシールールの遵守が求められます。
• ビジネスアソシエイトも、提供するサービス内容によってはプライバシールールの遵守が求められる場合があります。
• プライバシールールは、同一の指定記録集合（designated record set）に保管される識別子も保護対象保健情報に含まれると定義しています。
• すべての患者およびプラン加入者には、初回の接触時、または合理的に可能な限り速やかに、HIPAA「プライバシー慣行の通知（Notice of Privacy Practices）」を提供しなければなりません。
• プライバシー慣行の通知には、どの保護対象保健情報が、誰に、なぜ開示され得るのかを説明しなければなりません。
• プライバシー慣行の通知には、保護対象保健情報へのアクセス、訂正、または移転を求める個人の権利についても説明しなければなりません。
• 組織がHIPAAルールに違反した場合、個人は当該組織またはHHS（保健福祉省）の公民権局（Office for Civil Rights）に苦情を申し立てる権利があります。
• 公民権局は、是正措置計画または金銭的制裁を、非遵守の組織に課す権限を有します。

HIPAAプライバシールールの対象となるのは誰か

HIPAAプライバシールールがどの情報をどのように保護し、HIPAAプライバシー基準がどのように個人の権利を確保するのかを論じる前に、HIPAAルールが誰に適用されるのかを理解することが重要です。というのも、すべての組織がすべてのHIPAAルール、または各HIPAAルールのすべての部分に遵守義務を負うわけではないからです。また、各ルールの適用可能性には例外が存在し得ます。

一般に、行政要件（Administrative Requirements）の第162部に列挙された電子取引を行う健康保険プラン、医療情報交換機関、医療提供者は、HIPAAプライバシールール、HIPAAセキュリティルール、そして2009年にHITECH法の一部として導入されたHIPAA侵害通知ルールの遵守が求められます。これらの組織は総称して「対象事業体（covered entities）」と呼ばれます。

さらに、ビジネスアソシエイトはHIPAAセキュリティルールおよびHIPAA侵害通知ルールの遵守が求められ、また、対象事業体のために、または対象事業体に代わって提供するサービスの性質に応じて、行政要件およびHIPAAプライバシールールの該当する基準の遵守が求められる場合があります。上記の例外には、次のようなものがあります。

• 顧客に直接請求する医療提供者は、対象事業体ではありません。
• 二次的な給付として健康保険を提供する保険発行者も対象事業体ではありません。
• 特定の種類の給付について、別建てで提供される健康保険プランも対象事業体ではありません。
• 雇用主が団体健康保険プランを自己運営している場合、HIPAAルールが適用されることがあります。
• ただし、個人を識別できる健康情報を含む雇用記録には適用されません。
• 処方薬カードのスポンサーは、HIPAAプライバシールールの遵守のみが求められます。
• 個人用ヘルスデバイスのベンダーは、デバイスの機能によっては侵害通知ルールの遵守が求められる場合があります。

HIPAAルールの適用対象をさらに複雑にしているのは、ある活動はHIPAAの対象だが別の活動は対象外である場合に、組織がハイブリッド事業体となり得ること、または一時的にHIPAAルールの適用を受ける場合があることです。例えば、対象事業体に該当しない医療提供者が、ビジネスアソシエイトとして対象事業体のために、または対象事業体に代わってサービスを提供する場合などです。このような場合、医療提供者はサービス提供期間中、HIPAAルールを遵守しなければなりません。

なぜHIPAAプライバシールールは存在するのか？

デジタル技術の登場により、健康データの保存、アクセス、共有は容易になりました。この技術的飛躍は医療をより効率的かつ個別化した一方で、機微な健康データの不適切な利用や搾取のリスクももたらしました。これがHIPAAプライバシールール導入の背景です。

HIPAAプライバシールールは、HIPAA行政簡素化規則の一部です。行政簡素化規則は、健康保険の携行性と責任に関する法律（Health Insurance Portability and Accountability Act）の成立を受けて策定された規則であり、その目的は「特定の健康情報の電子的送信に関する基準および要件を確立することにより、健康情報システムの発展を促進すること」でした。

この目的を達成するため、保健福祉長官（Secretary of Health and Human Services）には、医療提供者と健康保険プラン間の取引を標準化するルール（行政要件）と、健康情報の完全性および機密性を確保し、合理的に予見される脅威から保護し、無許可の使用・開示を防止するルール（HIPAAセキュリティルール）を公布するよう指示が出されました。

さらに長官には、「特定の健康情報のプライバシーに関して」勧告を行うよう指示されました。少なくとも、勧告には次の事項を含める必要がありました。

• 個人を識別できる健康情報の対象となる個人が有すべき権利。
• そのような権利を行使するために整備すべき手続。
• 許可または義務付けられるべき当該情報の使用および開示。

この指示には、HIPAA成立から3年以内に、議会が個人を識別できる健康情報のプライバシーを保護する法案を成立させない場合、長官は最低限の勧告に対応する追加のルールを公布しなければならない、という付記があります。議会は3年以内にプライバシー法制を成立させなかったため、1999年にHIPAAプライバシールール案が公表されました。利害関係者のコメントへの対応を重ねた後、2002年にHIPAA最終プライバシールールが公表されました。

HIPAAプライバシールールによって保護される情報とは？

個人の過去・現在・将来の身体的または精神的状態、その状態に対する治療、または治療費の支払いに関する、個人を識別できる健康情報は、同じ「指定記録集合（designated record set）」に保管されている個人を識別できる非健康情報とともに、HIPAAプライバシールールによって保護されます。

指定記録集合に保管される情報は、たとえ集合の要素の一部に健康情報が含まれていなくても、保護対象保健情報（Protected Health Information：PHI）として扱われます。

HIPAAプライバシールールによって保護される情報のこの定義は混乱を招くことがあります。というのも、一部の情報源は、個人に関するすべての情報が保護されると主張していますが、必ずしもそうではないからです。個人を識別できる健康情報と、健康情報の対象者を識別する、または識別に用い得るその他の情報（「識別子（identifier）」）は、指定記録集合に保管されている間に限り保護されます。

識別子が個人を識別できる健康情報とは別に保管される場合、それらはもはや保護対象保健情報ではなくなり、HIPAAプライバシールールの保護も適用されなくなります。例として、指定記録集合に患者の診断名、自宅の電話番号、パートナーの氏名、医療費支払いの詳細が含まれている場合、これら4つの情報要素は同一の指定記録集合に保管されている間はすべて保護されます。

しかし、自宅の電話番号とパートナーの氏名のコピーを含む別の記録集合が作成された場合（例えば、患者の健康状態の更新情報をパートナーに提供するためなど）、その記録集合には健康情報が含まれていないため、これらの要素はHIPAAプライバシールールによって保護されません。このような状況ではHIPAAルールは適用されないものの、州のプライバシーおよびセキュリティ規則が適用され得ることに注意が必要です。

HIPAAプライバシー規則はどのように情報を保護するのか？

HIPAAプライバシー規則（または「基準」）は、保護対象保健情報の使用・開示が、いつ「義務」なのか、「許容」されるのか、または個人の承認（authorization）が必要なのかを定めることで情報を保護します。使用・開示が義務となるのは2つの場合だけです。すなわち、個人がアクセス権を行使する場合と、調査またはコンプライアンス審査のためにHHSの公民権局がアクセスを求める場合です。これらはいずれも後ほど詳しく説明します。

許容される使用・開示には、治療、支払い、または医療業務（health care operations）を実施するために必要なもの、法律により求められるものまたは公衆衛生活動のためのもの、健康または安全に対する重大な脅威を回避するために必要なものが含まれます。ただし、HIPAAで許容される開示の中には、州法により義務付けられているものもあります。例えば、虐待、ネグレクト、または家庭内虐待を報告するための開示などです。また、一部の「許容」開示は、緊急事案の際には「義務」になる場合もあります。

HIPAAプライバシー規則により義務付けられる、または許容される使用・開示（および、可能な場合には個人に異議の機会を与えるべき一部のもの）を除き、保護対象保健情報のその他すべての使用・開示は、保護対象保健情報の対象者である個人またはその個人代表が承認しない限り禁止されます。これには、マーケティング目的での使用や、心理療法ノートの開示が含まれます。

承認は明確な言葉で書面化され、どの保護対象保健情報が、誰に対して、何のために使用・開示されるのかを個人に説明しなければなりません。対象事業体が使用・開示の対価（remuneration）を受け取る場合は、その旨も承認に記載する必要があります。また、例えばそれがソーシャルメディアプラットフォームに掲載された場合など、対象事業体が保護対象保健情報のその後の開示をコントロールできない可能性があることについての警告も含めなければなりません。

2024年以降、生殖に関する健康情報には追加の保護が付与されました。追加の保護により、生殖に関する健康情報が、生殖医療を求める、受ける、提供する、またはそれを支援する者に対して、調査を行ったり責任を課したりする目的で使用・開示されることが防止されます。追加の保護を支えるため、対象事業体は、開示前に、PHIが禁止目的に使用されないことを確認する宣誓（attestation）を取得することが求められます。

HIPAAプライバシー基準はどのように個人の権利を確保するのか？

HIPAAプライバシー基準は、まず、対象となる健康保険プランおよび医療提供者に対し、可能な限り「初回の接触時（first encounter）」に、またはその後合理的に可能な限り速やかに、新規患者またはプラン加入者へHIPAA「プライバシー慣行の通知（Notice of Privacy Practices）」を提供することを義務付けることで、個人の権利を確保します。

通知には、対象事業体が保護対象保健情報を使用・開示し得る方法を記載し、個人が保護対象保健情報の写しへのアクセス権をどのように行使できるかを説明しなければなりません。

保護対象保健情報の写しへのアクセス権は、前述の「義務」開示に該当しますが、個人がアクセスできるのは指定記録集合に保管されている情報に限られることを理解することが重要です。

また、個人ごとに複数の指定記録集合が保管されている場合や、保護対象保健情報がビジネスアソシエイトの管理下にある場合には、アクセス請求への対応に時間を要することがある点も理解しておくことが重要です。

個人が保護対象保健情報の写しを受け取った後、HIPAAプライバシー基準は、その情報が不正確または不完全である場合に訂正を求めることを認めています。

個人はまた、情報を別の提供者へ移転すること、または特定の情報を特定の組織に対して非開示とすることを求めることもできます。例えば、患者が治療費を自費で支払った場合、その情報を保険会社に開示しないよう求める権利があります。

さらに、個人には開示の記録（accounting of disclosures）を請求する権利があります。この文書には、HIPAAプライバシー規則で許容される理由、または個人自身が承認した理由以外で、保護対象保健情報が開示された時点の一覧が含まれるべきです。個人は開示の記録の各項目について照会する権利があり、回答に満足できない場合には、プライバシー権が侵害されたとして苦情を申し立てることができます。

HIPAAプライバシールールを執行するのは誰か？

HIPAAプライバシールールの執行機関は、保健福祉省（Department of Health and Human Services）の公民権局（Office for Civil Rights：OCR）です。非遵守は民事および刑事の罰則につながる可能性があり、厳格な遵守の重要性が強調されます。

HIPAAプライバシー規則に違反するとどうなるのか？

プライバシー権の侵害は、HHSの公民権局に寄せられる苦情の主な理由の一つです。苦情が当局に受理された場合、HIPAA規則違反があったように見えるときは、審査され、調査されなければなりません。

HHSの公民権局が調査を行う際、対象事業体は、前述の「情報がどのように保護されるか」を説明したセクションで述べたとおり、必要な保護対象保健情報を開示しなければなりません。

HIPAA規則違反の多くは、技術的支援または是正措置計画によって解決されます。これは、対象事業体またはビジネスアソシエイトが、HIPAA規則違反の原因となった問題を解決するために、新たな方針および手続を策定し実施しなければならない可能性があることを意味します。その後、組織は新しい方針および手続について従業員を研修しなければならない場合があり、また、違反の規模に応じて、一定期間のコンプライアンス監視を受けることがあります。

HIPAA規則の故意の怠慢（willful neglect）があった場合、公民権局は、非遵守の組織に対して民事制裁金を課す権限を有します。歴史的には、金銭的和解や民事制裁金は、大規模なデータ侵害の後に最悪の違反者に対して留保されてきました。しかし近年、当局は、個人のプライバシールール上の権利を否定するHIPAA規則違反に対処するための取り組みを進めています。

組織が非遵守で罰則を受けるだけでなく、従業員も制裁を受ける可能性があります。制裁の程度は、違反の性質および組織の制裁方針の内容によって異なります。しかし、個人的利益のために故意かつ不正に開示した最悪のケースでは、司法省（Department of Justice）に付託されることがあり、その場合、最長10年の拘禁刑および最大250,000ドルの罰金が科され得ます。

HIPAAプライバシールール遵守の概要

本記事の情報は、HIPAAコンプライアンスの取り組みを支援するため、このページ上のいずれかのフォームから注文できる、無料で使いやすい「HIPAAプライバシールール チェックリストPDF」と併せてご利用ください。

プライバシールールに関するHIPAAコンプライアンスには、組織的な対応と技術的な予防措置が必要です。組織面では、対象事業体およびビジネスアソシエイトは、HIPAAプライバシールールに沿ったプライバシー方針および手続を策定し、施行しなければなりません。

これらの方針の策定および実施を監督するため、プライバシー責任者（privacy official）を任命すべきです。従業員がこれらの指針に習熟できるよう、定期的な研修を実施しなければなりません。

対象事業体はまた、個人に対して、プライバシー権および情報の利用可能性について周知しなければなりません。HIPAA「プライバシー慣行の通知」は、請求する者がいればいつでも入手できる状態にしておくべきです。

保護されていないPHI（unsecured PHI）の侵害は、影響を受けた個人、保健福祉長官、そして一定の状況ではメディアにも報告しなければなりません。

技術面では、対象事業体およびビジネスアソシエイトは、無許可のPHIアクセスを抑止するための保護措置（safeguards）を確立しなければなりません。これには、警報システムや施錠などの物理的対策、アクセス制御や暗号化などの技術的対策、セキュリティ管理プロセスや指定セキュリティ担当者などの管理的対策が含まれます。

PHIを共有する必要がある場合、対象事業体は、ビジネスアソシエイトが情報を保護することを確保する契約を作成すべきです。これらの契約はビジネスアソシエイト契約（Business Associate Agreements：BAAs）と呼ばれ、プライバシールールに関するHIPAAコンプライアンスの重要な要素です。

HIPAAプライバシールール FAQ

健康情報を保護すべきかどうかを判断する18の識別子とは何ですか？

HIPAAプライバシールールの§164.514に列挙されている18の「HIPAA識別子」が、常に保護対象保健情報であるという誤解が生じることがあります。しかし、これは正しくありません。これらの識別子は、セーフハーバー方式により、残存する健康情報または支払情報が匿名化（de-identified）されたものとみなされる前に、指定記録集合から削除しなければならない情報に関するものです。

前述のとおり、健康情報または支払情報とともに指定記録集合に保管される識別子は、同一の指定記録集合に保管されている間は保護されます。しかし、健康情報または支払情報を含まないデータベースに保管される場合、識別子はHIPAAでは保護されません（ただし、州のプライバシーおよびセキュリティ法が適用される場合があります）。

18のHIPAA識別子のリストは20年以上前に作成されたものであり、個人が識別され得る方法の変化を反映して更新されていない点に注意が必要です。例えば、患者の情緒支援動物（emotional support animal）の詳細が指定記録集合に保管されており、その情緒支援動物によって患者が識別され得る場合、これらの詳細も、残存する健康情報が匿名化される前に指定記録集合から削除する必要があります。

健康情報、個人を識別できる健康情報、保護対象保健情報の違いは何ですか？

HIPAAプライバシールールの文脈では、健康情報（または支払情報）には、健康状態、その状態に対する治療、または治療費の支払いが「誰に」関するものかという情報は含まれません。「患者は脚を骨折している」や「患者の治療費はメディケアが支払っている」は、HIPAAプライバシールール遵守の目的における健康情報です。

健康情報または支払情報と、個人を識別する、または識別に用い得る情報要素が結び付いた時点で、それは個人を識別できる健康情報になります。その識別情報が、対象事業体またはビジネスアソシエイトによって、健康情報と同じ指定記録集合に保管されている場合、それは保護対象保健情報となります。

HIPAAにおいて、セキュリティはプライバシーとどう違いますか？

HIPAAプライバシールールとHIPAAセキュリティルールはいずれも、保護対象保健情報の機密性、完全性、可用性を保護するという点で同じ目的を持っています。両者の違いは、HIPAAセキュリティルールは電子的な保護対象保健情報にのみ適用されるのに対し、HIPAAプライバシールールはあらゆる形式の保護対象保健情報に適用される点です。

HIPAAプライバシールールを執行するのは誰ですか？

対外的には、HIPAAプライバシールールは米国保健福祉省の公民権局（OCR）によって執行されます。OCR職員がHIPAAプライバシールール違反を把握する経路として最も多いのは、公的な苦情申立て、HIPAA監査、そして対象事業体がデータ侵害をOCRに通知する要件を遵守することです。OCRはHIPAAセキュリティルールおよびHIPAA侵害通知ルールも執行します。

対内的には、HIPAAプライバシールールはプライバシー責任者（Privacy Officer）によって執行されます。プライバシー責任者は、リスク評価の実施、リスクを合理的な水準まで低減するための方針および手続の策定、方針および手続についての従業員研修の実施、そして組織の方針および手続に違反した場合のHIPAA制裁方針の執行を担います。

HIPAA準拠の特定技術はありますか？

技術そのものがHIPAA準拠であることはありません。準拠性を決めるのは技術の能力ではなく、その技術がどのように設定され、どのように使用されるかです。ただし、保護対象保健情報にアクセスする技術を導入する場合、その技術のベンダーとの間で、HIPAA準拠のためにビジネスアソシエイト契約が必要になることがあります。

最小限必要基準（Minimum Necessary Standard）とは何ですか？

最小限必要基準は、保護対象保健情報の使用・開示は、使用または開示の意図された目的を達成するために必要な最小限に限定しなければならないと定めています。この基準は多くの使用・開示に適用されますが、不要な苦情を避けるためにも、この基準の例外があることを理解しておくことが重要です。

どのような状況で個人は保護対象保健情報の開示に異議を唱えられますか？

これらは一般に、施設名簿（facility directory）を通じた情報開示や、（例えば）個人が入院した際に家族へ通知することに関するものです。個人は、このような状況において限定的な情報の開示に同意することができます。また、個人が同意を提供できない場合には、対象事業体が、その開示が個人の最善の利益にかなうかどうかを判断できます。このような状況で開示できる情報は§164.510に列挙されています。

個人の同意（consent）と個人の承認（authorization）の違いは何ですか？

HIPAAプライバシールールにより義務付けられる、または許容されるもの以外の保護対象保健情報の使用・開示については、個人が同意または承認を与える必要があります。同意は口頭でも可能ですが、§164.510に含まれる使用・開示に限り認められます。それ以外のすべての使用・開示には、個人が署名した書面による承認が必要です。

承認なしに保護対象保健情報を開示した場合、どうなりますか？

保護対象保健情報を不適切に開示した場合、それはHIPAA違反です。HIPAA違反の結果は、違反の性質、個人への害、組織の制裁方針、違反者およびその所属組織の過去の遵守履歴など、さまざまな要因によって左右されます。

保護対象保健情報の不適切な開示はデータ侵害に該当する可能性があり、その場合は個人とHHSの公民権局の双方に事案を通知する必要があります。開示がデータ侵害に該当しない場合でも、個人はHHSの公民権局に苦情を申し立てることができ、同局は組織の遵守履歴に応じて調査を行うかどうかを判断する場合があります。

HIPAAの3つのルールとは何ですか？

対象事業体が遵守を求められるHIPAAの3つのルールは、HIPAAプライバシールール、HIPAAセキュリティルール、そして2009年のHITECH法により導入されたHIPAA侵害通知ルールです。HIPAAに関連付けられることの多いルールは他にも2つあります。すなわち、コンプライアンス調査の手続きを説明するHIPAA執行ルール（HIPAA Enforcement Rule）と、2013年にHITECH法で導入された他の措置によりHIPAAプライバシールールおよびHIPAAセキュリティルールを更新したオムニバスHIPAA最終ルール（Omnibus HIPAA Final Rule）です。

さらに、HIPAAの法律および規則で用いられる多くの用語を説明するHIPAA一般規定（第160部A小部）と、第164部の組織要件（§164.105）も見落とさないことが重要です。これらは、HIPAAプライバシールールのどの構成要素が非標準の対象事業体（例：Organized Health Care Arrangements等）に適用されるかを説明しています。また、一部の対象事業体およびビジネスアソシエイトは、取引およびコードセットに関する第162部ルールの遵守も求められる場合があります。

プライバシールールの目的は何ですか？

プライバシールールの目的は、個人を識別できる健康情報について、個人に対するプライバシー保護の連邦最低基準を定めることです。また、プライバシールールは、健康情報がどのように使用・開示されるかをより適切にコントロールする機会を個人に与え、医療への主体的な関与を促し、ニーズに最適な医療提供者を選択できるようにします。

HIPAAプライバシールールの対象外となるのは誰ですか？

対象事業体に該当しない組織、またはビジネスアソシエイトとして対象事業体のために、もしくは対象事業体に代わってサービスを提供しない組織は、HIPAAプライバシールールの対象外です。ビジネスアソシエイトは、プライバシールールについては「提供される範囲で」遵守が求められるにすぎず、これは通常、ビジネスアソシエイト契約で定められる点に注意が必要です。さらに、提供するサービスによっては、一部のビジネスアソシエイトはHIPAAプライバシールールの対象外となり、HIPAAセキュリティルールおよび侵害通知ルールの遵守のみが求められる場合があります。

プライバシールールが健康情報に適用されないのはいつですか？

プライバシールールが健康情報に適用されない状況はいくつかあります。例えば、組織がHIPAAの対象事業体またはビジネスアソシエイトに該当しない場合、健康情報が学生に属しFERPAの適用を受ける場合、HIPAAよりも厳格なルールが適用される場合、または個人が使用・開示を承認し、対象事業体がその後の使用・開示をコントロールできない可能性がある場合（例：ソーシャルメディアに掲載される場合）などです。

なぜプライバシールールは重要なのですか？

研究によれば、患者が自分の健康情報が保護されていると信じると、医療提供者に対して親密な詳細をより進んで話すようになります。より多くの情報が得られれば、医療提供者はより正確な診断を行い、より効果的な治療方針を処方できるため、患者の転帰の改善、職場の士気向上、病院満足度スコアの向上につながります。

HIPAAルールとは何で、なぜ違いがあるのですか？

HIPAAルールとは、行政簡素化規則に含まれる基準であり、対象事業体が保護対象保健情報のプライバシーをどのように保護しなければならないか、電子的な保護対象保健情報をどのように保護して機密性・完全性・可用性を確保すべきか、そして不適切な使用・開示またはデータ侵害が発生した場合に対象事業体がどのように対応すべきかを規定しています。

これらが「異なる」とみなされ得る理由は、HIPAAルールがプライバシーおよびセキュリティ基準のベースラインであるためです。多くの州では、より厳格なプライバシー／セキュリティ基準、または個人により大きなアクセス権を付与する規則が、HIPAAの一部または全部に優先（preempt）します。また、一部の州には州境を越えて適用されるプライバシーおよびセキュリティ基準があり、米国内のどこにいても州住民の個人を識別できる健康情報を保護します。

HIPAAのプライバシールール、HIPAAプライバシー法（Privacy Law）、HIPAAプライバシー法（Privacy Act）の違いは何ですか？

HIPAAのプライバシールール、HIPAAプライバシー法（Privacy Law）、HIPAAプライバシー法（Privacy Act）に違いはありません。これらは、HIPAA行政簡素化規則の第164部E小部に公表された「個人を識別できる健康情報のプライバシーに関する基準（Standards for the Privacy of Individual Identifiable Health Information）」を指す名称として用いられることがあります。

多くの情報源（HHSの公民権局を含む）は、行政機関が公布した基準を、議会が制定した法律（LawsやActs）と混同しないよう、「HIPAAプライバシールール」という呼称を用いています。例えば、HIPAA法（Act）は議会により制定されましたが、HIPAAルール（Rules）は米国保健福祉省により公布されました。