TokyoBlackHatNews

hipaajournal.com 13分で読了

看護師がHIPAAに違反したらどうなるのか?

看護師がHIPAAに違反した場合にどうなるかは、違反の性質、違反の結果、看護師の過去の遵守履歴、そして対象事業体(Covered Entity)の制裁方針の内容によって異なります。

医療保険の携行性と責任に関する法律(HIPAA)のプライバシー規則、セキュリティ規則、侵害通知規則は、すべての対象事業体およびそのビジネス・アソシエイトが遵守しなければなりません。HIPAA規則に従わない場合、HIPAA対象事業体には重大な罰則が科される可能性があります。対象事業体のビジネス・アソシエイトもHIPAA違反について直接罰金を科されることがありますが、看護師のような個々の医療従事者はどうでしょうか?看護師がHIPAAコンプライアンス規則に違反した場合、どうなるのでしょうか?

HIPAA対象事業体に該当する医療機関は、制裁方針を施行することが求められます。制裁方針は通常、3~4段階の階層で構成され、各階層は違反の重大性とそれに対応する制裁を表します。たとえば、軽微な違反であればTier 1の口頭注意となるかもしれませんが、その軽微な違反が繰り返された場合、制裁はTier 2の書面注意へと引き上げられる可能性があります。より上位のTierでは、HIPAAの重大な違反により看護師が停職または解雇となることもあります。

看護師がHIPAAに違反した場合の罰則は?

看護師による偶発的なHIPAA違反は、HIPAA規則を遵守するよう注意していても起こり得ます。すべてのHIPAA違反は懲戒処分につながる可能性がありますが、多くの雇用主は、偶発的な違反は時折起こるものだと受け止めるでしょう。多くの場合、HIPAA規則の軽微な違反は悪影響を及ぼさず、内部で対処できます。雇用主は、HIPAAの要件が十分に理解されるよう、場合によっては追加研修を提供することを決めることもあります。

看護師が偶然にHIPAAに違反した場合、その出来事を組織内でHIPAAコンプライアンスを担当する人物(組織が任命している場合はプライバシー・オフィサー)または上司に報告することが極めて重要です。軽微な違反を報告しないことが重大な結果を招く可能性があります。偶発的なHIPAA違反についてはこちらで詳しく読めます。

悪意がなく行われた場合であっても、HIPAA規則の重大な違反は、解雇や看護師会(看護委員会)による処分を含む懲戒処分につながる可能性が高いです。HIPAA違反による解雇は、現在の雇用と福利厚生を失うだけではありません。看護師が別の職を見つけることを非常に困難にする可能性があります。HIPAA対象事業体は、過去にHIPAA規則違反で解雇された看護師を採用しようとしない可能性が高いでしょう。

個人的利益のためのPHI(保護対象保健情報)の窃取や、害を与える意図でのPHIの使用など、故意のHIPAA規則違反は、HIPAA違反に対する刑事罰につながる可能性があります。HIPAA対象事業体は、そのような事案を法執行機関に報告することが求められ、捜査が開始されます。公民権局(Office for Civil Rights)に提出されたHIPAA違反の苦情は、罰金や禁錮を含む刑事罰を求めて司法省に付託されることがあります。刑事訴追はまれですが、金銭的利益のためのPHI窃取は、最長10年の禁錮刑につながる可能性があります。

看護師によるHIPAA違反の例

看護師によるHIPAA違反の可能性は多岐にわたりますが、最も一般的な看護師のHIPAA違反を以下に挙げます。

  • 治療する必要のない患者のPHIにアクセスする
  • ゴシップ—特定の患者について話し、家族・友人・同僚に健康情報を開示する
  • 情報を受け取る権限のない者にPHIを開示する
  • 新しい雇用主にPHIを持ち出す
  • 個人的利益のためのPHI窃取
  • 害を与える目的でPHIを使用する
  • PHIの不適切な廃棄—保護対象保健情報を通常のゴミとして捨てる
  • 権限のない者がアクセスできる場所にPHIを放置する
  • 過剰なPHIを開示し、HIPAAの最小必要基準(Minimum Necessary Standard)に違反する
  • 他の従業員の認証情報を使ってEMRにアクセスする/ログイン情報を共有する
  • SNSでPHIを共有する(下記参照)

SNSでHIPAAに違反する看護師

SNS上で保護対象保健情報を共有することについては、さらに説明が必要です。近年、SNSでHIPAAに違反する看護師の事例が複数ありました。

閉鎖されたFacebookグループであっても、SNSに保護対象保健情報を投稿することは重大なHIPAA違反です。WhatsApp、Skype、Facebook Messengerなどのメッセージングアプリを通じて、患者の写真や動画を含むPHIを共有することも同様です。患者から事前に書面で承認を得ていない限り、看護師はSNSサイトで患者の写真や動画(またはあらゆるPHI)を共有することを避けるべきです。全米州看護師会協議会(NCSBN)は、看護師向けのSNS利用に関する有用なガイドを公表しています。

近年、看護師が患者の不適切な状況の写真や動画を撮影したり、介護施設での患者虐待を記録したり、恥をかかせたり侮辱的な写真を撮影してSNSで友人と共有したりする事例が複数ありました。

ProPublicaが、こうした行為がどの程度起きているかに関する報告書を公表したことで、この慣行は大きく報道されました(要約はこちら)。その事例では、Snapchatで患者の写真が共有されていました。35件の別個の事例が発見されました。

1月には、アルツハイマー病の患者への虐待の動画や写真をSnapchatで共有したとして、看護助手が解雇されました。刑事告訴が提起され、その後、プライバシー侵害により看護助手は30日間の禁錮刑を言い渡されました。

看護師がHIPAAに違反するとどうなる? よくある質問

看護師によるHIPAA違反の最も一般的な原因は何ですか?

看護師によるHIPAA違反の最も一般的な原因を特定することはできません。HHSが調査済み事案における上位5つの問題を示す表を公表しているものの、看護師によるHIPAA違反と他の職員による違反の区別がないためです。ただし、近年のHIPAA違反の一般的な原因のうち、看護師に起因し得るものとしては、PHIの不適切な使用および開示、患者のアクセス要求への対応不備(または対応の遅延)、最小必要基準への不遵守が挙げられます。

対象事業体が技術的保護措置を実装していなかったために看護師が誤ってePHIを開示した場合、誰に責任がありますか?

対象事業体が技術的保護措置を実装していなかったために看護師が誤ってePHIを開示した場合、責任の所在は多くの要因によって異なり得ます。たとえば、看護師は自分の行為がePHIの偶発的開示につながる可能性があることを知るべきだったのか?その行為はセキュリティおよび意識向上研修で扱われていたのか?技術的保護措置は「対応可能(addressable)」な保護措置だったのか、それとも「必須(required)」の保護措置だったのか?偶発的開示の影響は何だったのか?これらの質問への答えが分からなければ、偶発的開示の責任が誰にあるかを判断することはできません。

看護学生がHIPAAに違反したらどうなりますか?

看護学生がHIPAAに違反した場合の結果は、多くの要因によって異なり得ます。たとえば、看護学生はPHI/ePHIに触れる前に十分な研修を受けていたのか?看護学生には、HIPAA違反を防ぐべき指導者(プリセプター)または監督者が同伴していたのか?HIPAA違反は知識不足に起因するものか、それとも悪意ある行為だったのか?看護学生には対象事業体の制裁方針の写しが渡されていたのか?これらの質問への答えが分からなければ、想定される結果について議論することはできません。

看護部門で不遵守の出来事が頻繁に起きている場合でも、看護師はHIPAA違反の責任を問われますか?

看護部門で不遵守の出来事が頻繁に起きている場合でも、看護師はHIPAA違反の責任を問われることがあります。看護師は可能な限り効率的に働くよう強い圧力を受けており、その圧力のために「仕事を終わらせる」目的でHIPAA遵守に関して近道が取られることがあります。近道が「文化的な常識」になると、HIPAA違反がHIPAA違反として認識されないまま頻繁に起こり得ます。しかし、看護部門内でHIPAA違反として認識されていなくても、非公式な作業慣行から生じた—たとえ意図しない違反であっても—違反について、看護師が責任を問われる可能性はあります。

EMRのログイン情報を共有することがHIPAA違反となるのはなぜですか?

EMRのログイン情報を共有することがHIPAA違反となるのは、セキュリティ規則の管理的保護措置(45 CFR § 164.308)により、対象事業体はePHIを含むシステムへのアクセス者とアクセス時刻を含むシステム活動を記録する手順を実装することが求められているためです。看護師がEMRのログイン情報を共有すると、対象事業体はシステムアクセスを正確に監視したり、ePHIを含むシステムが権限のない者によってアクセスされたかどうかを特定したりすることが不可能になります。

看護師によるHIPAA違反の例はありますか?

看護師によるHIPAA違反の例は、HHS公民権局の侵害報告では見つけにくいです。というのも、看護師によるHIPAA違反の多くは影響を受ける人数が500人未満であることが多く、公表されないためです。看護師によるHIPAA違反は、発生した医療施設に報告され、内部で解決される可能性が高いです。

しかし2017年、ProPublicaは、介護施設および支援付き生活施設における50件超の患者プライバシー侵害を取り上げた報告書を作成しました。これらの出来事のすべてが看護師によるHIPAA違反に該当するわけではありません(介護施設がHIPAA対象事業体ではない場合など)が、公の注目を集めにくい違反の規模を示しています。

看護師が偶然にHIPAAに違反したらどうなりますか?

看護師が偶然にHIPAAに違反した場合にどうなるかは、違反の性質、違反の結果、雇用主のHIPAA違反に対する制裁、そして看護師の過去の偶発的HIPAA違反の履歴によって異なります。多くの場合、看護師が偶発的にHIPAAに違反し、結果が軽微で、偶発的違反の履歴がない場合、口頭注意および/またはHIPAA再研修が結果となります。

しかし、看護師に偶発的HIPAA違反の長い履歴があり、将来の行動について以前に警告を受けている場合、制裁は書面注意または契約解除となる可能性があります。違反が患者または雇用主のいずれかに深刻な結果をもたらした場合、事案が免許委員会に付託されることもあります。一方、偶発的HIPAA違反が犯罪行為と見なされる場合、看護師は法執行機関に通報される可能性があります。

看護師はHIPAA違反で解雇されますか?

違反が重大な不正行為、犯罪行為、または過去に警告を受けたにもかかわらず繰り返された違反に該当する場合、看護師はHIPAA違反で解雇され得ます。それ以外の状況でHIPAA違反を理由に解雇できるかどうかは、看護師の雇用契約の内容と雇用主の制裁方針によって異なります。

看護師に対するHIPAA違反の罰則は何ですか?

看護師に対するHIPAA違反の罰則は、違反の性質、看護師の過去の遵守履歴、違反の結果、雇用主の制裁方針に応じて、口頭注意および/またはHIPAA再研修から契約解除まで幅があります。HIPAA違反が患者または雇用主のいずれかに深刻な結果をもたらす重大な不正行為に該当する場合、看護師は免許委員会に通報されることもあります。一方、刑事違反(社会保障法§1177に基づく)は法執行機関に付託されます。

HIPAA違反で看護師免許を失うことはありますか?

違反の性質が刑事(社会保障法§1177に基づく)である場合、または違反が重大な不正行為に該当する場合、HIPAA違反で看護師免許を失う可能性があります。また、行為について警告を受け、追加研修も提供されたにもかかわらずHIPAA違反を継続し、雇用主が免許委員会に通報した場合にも、看護師免許を失う可能性があります。

HIPAA違反で看護師を通報するにはどうすればよいですか?

HIPAA違反で看護師をどのように通報するかは、あなたが患者(または患者の家族)なのか、看護師の同僚なのかによって異なります。患者(または家族)の場合、まず確認すべきことは、看護師の雇用主がHIPAA対象事業体かどうかです。対象事業体でない場合、HIPAA違反として看護師を通報することはできません—ただし、その出来事の性質によっては他の法律違反に該当する可能性があります。

看護師がHIPAA対象事業体で働いている場合、違反を対象事業体のプライバシー・オフィサーまたはHHS公民権局に通報できます。プライバシー・オフィサーに報告する場合、出来事は内部で対処されます。HHS公民権局に報告する場合、同局は苦情を審査し、正当と判断すれば違反を調査します。

HIPAAに違反した看護師の同僚である場合、HIPAA遵守に関する雇用主の手順に従うべきです。HIPAAには、HHS公民権局へ直接HIPAA違反を報告する従業員を保護する内部告発者条項がありますが、さらなる行動を取る前に(雇用主により)内部報告の提出を求められる場合があります。

介護施設におけるHIPAA違反の例はありますか?

2017年にProPublicaが公表した報告書のおかげで、介護施設におけるHIPAA違反の例は数多くあります。この報告書は、介護施設および支援付き生活施設で患者のプライバシーが侵害された50件超の出来事を扱っており、すべての出来事がHIPAA違反に該当したわけではないものの、違反の規模と、それを行った者に科される罰則を示しています。

SNSで看護師がHIPAAに違反したらどうなりますか?

SNSで看護師がHIPAAに違反した場合、違反の結果は、SNSにPHIを投稿した動機、雇用主の制裁方針の内容、そして看護師がPHIの不適切な開示についてどのような研修を受けているかによって異なります。

動機は重要です。というのも、患者の回復に関する良いニュースを共有するSNS投稿は、悪意あるものというより、軽率または偶発的なHIPAA違反である可能性が高いからです。このシナリオで想定される結果は、今後のSNS利用に関する注意となるでしょう。

SNS上での悪意あるPHI開示は、重大な不正行為と見なされる可能性が高く—その場合、罰則は契約解除および看護師の免許当局への付託となる可能性が高いです。場合によっては、開示が法執行機関に報告されることもあります。

看護師向けのHIPAA研修で最適なコースは何ですか?

看護師向けの最適なHIPAA研修コースは存在しません。というのも、看護師のHIPAA遵守は、行政簡素化条項の文言そのものよりも、雇用主のHIPAA方針に従うためです。特に小分けに受講できるモジュール型コースなど、オンラインのHIPAA研修コースを活用することで、雇用主のHIPAA方針をよりよく理解する助けになることがあります。

看護師が守秘義務に違反した場合、どうなりますか?

看護師が守秘義務に違反した場合にどうなるかは、違反の性質とその理由によって異なります。守秘義務違反と見なされ得る一部の開示は、保護対象保健情報が(たとえば)公衆衛生機関、法執行官、雇用主に開示される場合など、HIPAAプライバシー規則により許可されています。

看護師がHIPAAで許可されていない目的で守秘義務に違反した場合、その結果は、違反が善意(例:患者の回復を祝う)だったのか、悪意(例:患者を貶める)だったのかによって異なり得ます。前者のシナリオでは、罰則は注意と再研修となる可能性が高い一方、後者のシナリオでは、契約解除で解決される可能性が高い重大な不正行為となります。

クライアントの守秘義務違反を認識した場合、主任看護師はどのような対応を取るべきですか?

クライアントの守秘義務違反を認識した場合、主任看護師が取るべき対応は、違反の性質によって異なります。たとえば、クライアントの守秘義務違反と見なされる一部の事案は、HIPAAプライバシー規則および州のプライバシー法により許可されていることがあります。別の事案は、HIPAAプライバシー規則および/または州のプライバシー法の違反となり得ます。

患者の守秘義務違反がプライバシー規制違反となる場合とならない場合がある多様なシナリオが存在するため、主任看護師は違反報告を組織のプライバシー・オフィサーにエスカレーションし、プライバシー・オフィサーに対応を任せるべきです。許可されている開示について職員を叱責するのは誤りとなり得ます。

HIPAA違反は重罪ですか?

HIPAA違反が重罪となるのは、虚偽の口実の下で、または個人的利益、商業上の利益、もしくは悪意ある意図のために、個人を特定できる健康情報を故意かつ不正に取得または開示することが含まれる場合です。健康情報が虚偽の口実の下で取得・開示されていない、かつ/または個人的利益のためでない場合、その犯罪は軽罪として処罰されます。HIPAAのその他すべての違反は、雇用主の制裁方針またはHHS公民権局が定める制裁の対象となる民事違反です。

看護師は患者について話してもよいですか?

看護師は、患者について開示する個人を特定できる健康情報がHIPAAプライバシー規則で許可されており、かつ最小限必要な健康情報のみを開示する限り、患者について話すことができます。看護師がHIPAAプライバシー規則で許可されていない目的で患者の健康情報を開示した場合、または開示目的に対して最小限必要な範囲を超えて開示した場合、それはHIPAA違反です。

翻訳元: https://www.hipaajournal.com/what-happens-nurse-violates-hipaa/

ソース: hipaajournal.com
#HIPAA違反 #PHI(保護対象保健情報) #ソーシャルメディア投稿 #刑事罰・罰金 #医療情報漏えい #医療機関のコンプライアンス #患者のプライバシー #懲戒処分 #最小限必要基準(Minimum Necessary) #看護師

関連記事

未成年の子どもの診療記録へのHIPAAアクセス権行使を求め、両親がミネソタ州の病院を提訴

医療請求代行会社のデータ侵害、7つの医療グループに影響

医療機関、AIを悪用したアイデンティティ侵害への防御能力に自信なし