HIPAA違反は解雇の理由になりますか？

HIPAA違反は、違反の性質、違反による結果、従業員の過去の遵守履歴、そして雇用主の制裁方針に応じて、解雇の理由となり得ます。

本記事では、この疑問を掘り下げて解説します。 また、完全なHIPAAコンプライアンスを確保するために何が求められるかを理解するために、無料のHIPAA違反チェックリストのコピーを請求することもできます。

HIPAA施行規則の導入以降、HHS（米国保健福祉省）の公民権局（Office for Civil Rights）は、HIPAA違反に対する金銭的罰則を追及できるようになりました。

HIPAA規則に違反した、またはHIPAA規則に沿った方針・手順を実装していなかったことが判明した組織は、厳しい金銭的罰則に直面する可能性があります。では、HIPAAおよび患者プライバシーを、誤って、あるいは意図的に違反した個々の従業員はどうなるのでしょうか？

多くの医療機関はHIPAA違反を解雇の理由とみなしますか？

すべてのHIPAA違反が同じというわけではありませんが、HIPAA規則へのいかなる違反も、医療機関による調査と対応を要する重大事項です。

HIPAA違反が（従業員、同僚、または患者によって）報告されると、医療機関は事案を調査し、HIPAA法が違反されたかどうか、違反がどのように発生したか、プライバシー侵害を受けた患者への影響、違反に起因する潜在的な法的問題、規制当局による措置の可能性などを特定しようとします。医療機関は、将来同様の違反が起きないようにするための措置を講じることに強い関心を持ちます。

従業員が、故意であれ過失であれ、HIPAAコンプライアンス規則に違反したことが判明した場合、当該個人には何らかの影響が及ぶ可能性が高いでしょう。

善意で権限の範囲内において、職員が意図せず保護対象保健情報（PHI）を取得・アクセス・使用した場合、その取得・アクセス・使用は報告対象の侵害には当たらず、必ずしも懲戒処分につながるとは限りません。

一部の医療機関はHIPAA規則違反に関して厳格なルールを設けており、HIPAA違反を理由に従業員を解雇することがあります。別の組織では、軽微なHIPAA違反は社内で対処する方針を採っています。違反の性質によっては、当該個人に対する懲戒処分が妥当とされ、調査が完了するまで従業員が停職となる場合もあります。HIPAA違反による解雇は起こり得る結末の一つです。

HIPAA違反の影響は、組織における方針と違反の重大性によって異なります。最小限必要情報基準（Minimum Necessary Information Standard）への違反は、状況によっては解雇ではなく社内の懲戒処分の対象とみなされることがあります。許可なく患者の診療記録を閲覧した場合は、当該事案が迅速に報告され、患者に害がなく、アクセスが偶発的または善意で行われたものでない限り、解雇につながる可能性が高いでしょう。

医療提供者がHIPAA違反を解雇の理由と判断した最近の事例

• PHIをビジネスアソシエイトに送信した従業員が解雇
• 患者の病状を医師に口頭で開示した看護師が解雇
• PHIの不適切な廃棄により従業員が解雇
• 医科大学が2017年にHIPAA違反で従業員13名を解雇
• 患者の性器を撮影し画像を共有した手術室看護師が解雇
• 無許可で診療記録にアクセスした医療従事者が解雇

HIPAA違反に対する刑事罰

従業員がHIPAA規則に違反した場合、解雇が最悪の結果とは限りません。医療従事者はHIPAA違反について刑事責任を問われる可能性があり、事件が司法省に送致されて起訴されることもあります。

HIPAA規則の刑事違反は、医療従事者に対する金銭的罰則や禁錮刑につながる可能性があります。PHIを故意に取得し、不許可の形で開示した場合、最大5万ドルの罰金および1年の禁錮が科される可能性があります。虚偽の口実を伴う違反では最大10万ドルの罰金および5年の禁錮が科される可能性があり、悪意の目的または私的利益のためにHIPAA規則が違反された場合には、最大25万ドルの罰金および最大10年の禁錮が科される可能性があります。加重身元盗用（aggravated identity theft）の場合、さらに2年が刑期に加算されることがあります。

従業員に対するHIPAA違反の罰則

従業員に対するHIPAA違反の罰則は、組織によって異なります。一般的に、違反が過失か故意か、違反が報告された速さ、その後の調査への協力状況、初回違反かどうかといった要因に応じて、罰則は3段階または4段階に分けられます。

軽い方の罰則としては、口頭注意や追加研修などが含まれる場合があります。違反の重大性や頻度が増すにつれて、罰則も重くなります。従業員は書面による警告、停職、または（すでに書面警告を受けている場合）契約解除となることがあります。

初回違反での自動解雇は通常、悪意または有害な意図をもってPHIを故意に無断で盗用または開示し、かつ従業員がそれを隠そうとした場合に限られます。このような場合、従業員は免許を所管する機関や法執行当局に通報されることもあり、違反が42 USC § 1320d-6で定義されるPHIの不正開示に該当する場合には特にそうなり得ます。

HIPAA違反は解雇の理由になりますか？FAQ

偶発的なHIPAA違反でも解雇されますか？

違反が重大な違反であり、過去にも偶発的なHIPAA違反の履歴がある場合、偶発的なHIPAA違反でも解雇される可能性があります。偶発的な違反で解雇されるかどうかは、雇用主の制裁方針の内容によって決まりますが、同様の違反で口頭または書面の警告をすでに受けている場合、次の段階として契約解除が選択されることがあります。

従業員に対するHIPAA違反の罰則は何ですか？

従業員に対するHIPAA違反の罰則は、HIPAA制裁方針において雇用主が定めます。多くの場合、影響が軽微な初回違反の罰則は口頭注意および／または再研修です。しかし、違反の性質がより重大である場合や、以前の警告に続く違反である場合、罰則は書面警告、停職、または契約解除へとエスカレートすることがあります。

HIPAA違反は記録に残りますか？

多くの場合、HIPAA違反は記録に残るため、再度HIPAAに違反した場合、雇用主は組織の制裁方針に従って適切な罰則を適用する前に、過去の遵守履歴を振り返ることができます。さらに、社会保障法の§1177に違反して前科が付いた場合、その違反は無期限に記録に残ります。

HIPAA違反で告発された場合、どうすべきですか？

HIPAA違反で告発された場合に何をすべきかは、誰が告発しているのか、そして告発が正当かどうかによって異なります。HHSの公民権局への苦情の3分の2が、執行の対象となる事案がないとして却下されていることを踏まえると、一般の人々の相当数が、HIPAAとは何か、どの情報が保護されるのか、そしてどのように保護されるのかを理解していないことが明らかです。

この理解不足のため、一般の人からHIPAA違反で告発された場合、最初にすべきことは苦情をプライバシーオフィサーにエスカレーションすることです。苦情が正当でない場合、プライバシーオフィサーは一般の人に対して、なぜ正当でないのかを説明できます。正当である場合は、影響を軽減するためにも、プライバシーオフィサーが早めに把握している方が望ましいでしょう。

同僚から正当にHIPAA違反で告発された場合も、（違反により処分を受ける可能性があるとしても）告発をプライバシーオフィサーにエスカレーションすべきです。これは、プライバシーオフィサーに違反を隠そうとするよりも、後で発覚した場合の罰則の方が、違反そのものに対する罰則よりはるかに重くなり得るためです。

HIPAA違反の後に再雇用されることはありますか？

HIPAA違反の後でも再雇用される可能性はあります。ただし、以前に医療専門職として雇用されており、刑事上のHIPAA違反または重大な不正行為とみなされる違反を理由に契約が解除された場合、業務に従事するための免許も取り消されている可能性があります。以前のHIPAA違反が軽微な違反であれば、再雇用の妨げにはならないはずですが、以前の違反が雇用記録に残っている可能性はあります。

職場におけるHIPAA違反とは何ですか？

職場におけるHIPAA違反とは、行政簡素化規則（すなわち、HIPAAの一般規則、プライバシー規則、セキュリティ規則、侵害通知規則、およびパート162の行政要件）に準拠するために組織が実施した方針に従わないことを指します。職場におけるHIPAA違反は、その組織が対象事業体（covered entity）またはビジネスアソシエイトである場合にのみ発生し、すべての職場でHIPAA規則のすべてが全面的に適用されるわけではありません。

HIPAA違反は身元調査（バックグラウンドチェック）で判明しますか？

HIPAA違反が社会保障法の§1177に関係する場合、身元調査で判明します。これは、§1177違反が刑事性を有するとみなされ、不正に、かつ故意に、個人を特定できる健康情報を取得または開示した者は軽犯罪で起訴され得るためです。また、取得または開示が虚偽の口実の下で行われた場合、または私的利益、商業上の利益、競争上の優位、あるいは悪意ある害を与える目的で行われた場合には、重罪となり得ます。

研修不足が原因でHIPAA違反が起きた場合でも解雇されますか？

研修不足が原因でHIPAA違反が起きた場合でも、違反の性質が重大な不正行為とみなされ、かつその事案が悪意のある性質であることをあなたが知っていた、または合理的に知っていると期待され得た場合には、解雇される可能性があります。例えば、多数の従業員が介護施設の入居者を虐待し、その虐待を撮影して、ソーシャルメディアに投稿したことで解雇されています。これらの出来事（いずれもHIPAA違反）が研修不足によって起きたと正当化するのは困難です。

自分の診療記録を見たことで解雇されますか？

自分の診療記録を見たことで解雇されるかどうかは、複数の要因によって異なります。最初の検討事項は、（対象事業体の従業員として）あなたに診療記録へアクセスする権限があったかどうかです。HIPAAは患者に診療記録の写しを請求する権利を与えていますが、診療記録に対する正当なアクセス権限がなかった場合、雇用主の方針・手順を通じてHIPAAに違反したことになります。

権限がなかった場合、自分の診療記録を見たことで解雇されるかどうかは、雇用主の制裁方針によります。これが初めてのHIPAA違反であれば、違反による害が最小限であるため、口頭注意を受け、再研修を受けることになる可能性が高いでしょう。しかし、違反の履歴がある場合、雇用主はより厳しい制裁を適用でき、雇用契約の解除を含む場合もあります。

従業員のHIPAA違反で罰金を科されることはありますか？

従業員のHIPAA違反で罰金を科される可能性はありますが、それは違反の性質が社会保障法の§1177（「個人を特定できる健康情報の不正開示」）の下で刑事とみなされる場合に限られます。それ以外の場合、従業員のHIPAA違反に対する制裁は雇用主の制裁方針で定義され、通常は再研修、口頭注意、書面警告、そして（反復または重大な違反の場合）契約解除で構成されます。

HIPAA違反で雇用主を訴えることはできますか？

HIPAA違反を理由に雇用主を訴えることはできません。なぜなら、HIPAAの下では、雇用主は雇用主としての役割においてHIPAAの適用対象ではなく、私的救済（private right of action）が認められていないためです。雇用主が、別の州法または連邦法に違反してあなたの個人を特定できる健康情報を使用または開示した場合、その法律に基づいて雇用主を訴えることが可能な場合はありますが、HIPAAに基づいて訴えることはできません。

医療情報が誤った相手に送られた場合、HIPAA違反になりますか？

医療情報が誤った相手に送られた場合、送信者が対象事業体またはビジネスアソシエイトに勤務しているのであればHIPAA違反となります。ただし、送信者が雇用主としての役割で医療情報を送っている場合（例えば、チームマネージャーが従業員の病欠届を人事部に送る場合）は除きます。

同様に、対象事業体が「to」または「cc」機能を使って複数の受信者に非医療情報をメール送信した場合でも、HIPAA違反となり得ます。これは、各受信者が他のすべての受信者を閲覧でき、他の受信者が対象事業体との黙示の治療関係を有していることを特定できてしまうためです。

HIPAA違反で解雇された看護師は何人いますか？

HIPAA違反で解雇された看護師が何人いるかは不明です。というのも、その種の情報は公になることがほとんどないためです。看護師が関与するHIPAA違反が見出しになる場合、その多くは 重大な不正行為 または、 私的利益のためにPHIを取得した として有罪となり禁錮刑に至るような、HIPAAの刑事違反であることが多いからです。