HIPAA認可(Authorization)とは、対象事業体(covered entity)がHIPAAプライバシールールで許可されていない目的のためにPHI(保護対象保健情報)を使用または開示しようとする場合に、患者または健康保険プラン加入者が記入しなければならない書式です。有効なHIPAA認可を取得しないことは、HIPAAコンプライアンスに対する重大な違反とみなされます。
HIPAA認可(Authorization)とは?
HIPAAプライバシールール(2003年4月14日施行)は、保健情報の許容される使用および開示に関する基準を導入し、情報を誰に、どのような状況で開示できるか、また保護対象保健情報をどのような状況で共有できるかを定めました。
HIPAAプライバシールールは、一定の状況下で、医療提供者、健康保険プラン、医療情報交換機関(ヘルスケア・クリアリングハウス)、HIPAA対象事業体のビジネスアソシエイト、ならびにHIPAA規則の適用を受けるその他の事業体による保健情報の共有を認めています。一般的に、許容される使用および開示は、治療、支払い、または医療業務(ヘルスケア・オペレーション)のため、ならびに家庭内虐待などの問題を公衆衛生機関へ報告することなどです。
HIPAA認可(Authorization)とは、患者または健康保険プラン加入者から取得する同意であり、対象事業体またはビジネスアソシエイトが、HIPAAプライバシールールでは本来許可されない目的のために、個人/事業体に対してPHIを使用または開示することを認めるものです。HIPAA認可がなければ、そのようなPHIの使用または開示はHIPAA規則に違反し、重い金銭的制裁を受ける可能性があり、場合によっては刑事犯罪と判断されることもあります。
HIPAA認可(Authorization)が必要となるのはいつですか?
45 CFR §164.508 は、情報を共有または使用する前に、患者/プラン加入者から認可を取得する必要があるPHIの使用および開示について詳述しています。HIPAA認可が必要となるのは、以下の場合です:
- HIPAAプライバシールールで許可されていないPHIの使用または開示
- マーケティング目的でのPHIの使用または開示(ただし、対象事業体と個人との対面でのコミュニケーション、または名目上の価値の販促用ギフトに関するコミュニケーションの場合を除く)
- 特定の治療、支払い、または医療業務以外の目的での心理療法ノートの使用または開示(45 CFR §164.508(a)(2)(i) および (a)(2)(ii) を参照)
- 薬物乱用および治療記録の使用または開示
- 研究目的でのPHIの使用または開示
- 保護対象保健情報の販売に先立つ場合
HIPAA認可(Authorization)フォームには何を含める必要がありますか?
HIPAA認可は、保護対象保健情報の特定の使用および開示について、詳細に完全な形で説明する文書です。
認可に署名することで、個人は、認可に記載された理由のために自身の保健情報が使用または開示されることに同意します。対象事業体またはビジネスアソシエイトによるいかなる使用または開示も、フォームに記載された内容と一致していなければなりません。
認可フォームは、容易に理解できるよう平易な言葉で作成されなければならず、少なくとも以下の要素を含める必要があります:
- 使用または開示される情報の説明を含む、具体的で意味のある情報
- 要求された使用または開示を行う権限を与えられる者(またはその他の具体的な識別情報)、もしくはその者の区分(クラス)の名称
- 情報が開示される相手方となる者(複数可)またはその他の具体的な識別情報、もしくはその者の区分(クラス)の特定
- 要求された使用または開示の目的の説明。目的の記載がない場合は、「本人の求めにより(at the request of the individual)」で足ります
- 有効期限日を含む、認可の具体的な期間。研究に関連する使用および開示の場合は「研究終了時(at the end of the study)」を使用でき、研究データベースまたは研究リポジトリの作成の場合は「なし(none)」とすることもできます
- 認可を与える個人の署名および日付。認可が個人の権限ある代理人によって与えられる場合は、その者が個人に代わって行為する権限の内容を詳細に記載しなければなりません。
また、HIPAA認可には、以下について個人に通知するための記載も含めなければなりません:
書面により認可を撤回する権利、および以下のいずれか:
- 撤回権の例外と、撤回権を行使する方法の説明;または
- 情報が組織のプライバシー慣行の通知に含まれる範囲
以下のいずれかを記載することにより、認可を条件として治療、支払い、加入、または給付の受給資格を左右できるか否か:
- 対象事業体は、個人が認可に署名するかどうかを条件として、治療、支払い、加入、または給付の受給資格を左右してはならないこと;または
- 対象事業体が、認可の取得を条件として治療、健康保険プランへの加入、または給付の受給資格を左右することが許される場合に、認可への署名を拒否したときの結果。
同意を提供する個人には、自己の記録のために認可フォームの写しを提供しなければなりません。
HIPAA認可(Authorization)とは? よくある質問
対象事業体およびビジネスアソシエイト以外で、HIPAA規則の適用を受ける可能性があるのはどのような事業体ですか?
一部の組織は「部分的(partial)」または「ハイブリッド(hybrid)」事業体とみなされます。これらは通常、主たる機能が医療や健康保険ではないものの、保護されるべき保健情報にアクセスできる組織です。部分的またはハイブリッド事業体の例としては、公衆に保健サービスを提供する教育機関が挙げられます。
同意(consent)と認可(authorization)の違いは何ですか?
状況によっては、HIPAAプライバシールールの要件を満たすために、正式な認可ではなく非公式な同意で十分な場合があります。これらの状況は「同意または異議の機会を伴う使用および開示(Uses and Disclosures with an Opportunity to Agree or Object)」と呼ばれ、施設ディレクトリへの掲載や、友人・家族への通知(病院への入院の通知)などが含まれます。
個人が認可を与えられない場合はどうなりますか?
患者が上記(「HIPAA認可が必要となるのはいつですか?」)に挙げた活動について認可を与えられない場合、対象事業体は、患者またはその法定代理人が認可を与えられるようになるまで待たなければなりません。非公式な同意のみが必要な状況では、対象事業体は、PHIの使用または開示が患者の最善の利益にかなうかどうかを、専門的判断により決定できます。
HIPAA認可の要件は全国で同じですか?
必ずしもそうではありません。プライバシールールは、許容される使用および開示に関する「連邦の最低基準(federal floor)」を提供しますが、より厳格な規制を有する州法がHIPAAに優先する(pre-empt)場合があります。また、一部の州(例:テキサス州)の患者は、治療を受ける場所にかかわらず、より厳格なプライバシー保護の恩恵を受ける場合もあります。
「対象事業体は、治療、支払い、加入、または給付の受給資格を条件にできない」とはどういう意味ですか?
この条項は、患者またはプラン加入者が、対象事業体に対して自身のPHIの追加的な使用を認める認可への署名を拒否したことを理由に、対象事業体が治療、支払い、加入、または給付の受給資格を留保できないことを意味します。患者またはプラン加入者は、HIPAAプライバシールールで許可される範囲を超えるPHIの使用および開示を認可するよう、いかなる強要も受けるべきではありません。
HIPAA認可は口頭でも可能ですか?
いいえ。HIPAAは、HIPAAプライバシールールで要求または許可されていないPHIのあらゆる使用または開示について、書面による認可が必要であると定めています。さらに、HIPAA認可の撤回も書面で行わなければなりません。この規定は、個人が以前に認可したPHIの使用または開示について苦情を申し立てた場合に、対象事業体を保護するためのものであり、HIPAAトレーニングで扱われるべき内容です。
HIPAAの同意(consent)は口頭でも可能ですか?
HIPAAの同意は口頭でも可能ですが、それは認可ではなく同意が選択肢となる状況に限られます。一般に、患者を病院のディレクトリに掲載する場合や、家族または友人への通知に限られます。ただし、いずれの場合も、PHIの開示は患者の氏名、一般的な容体、施設内での所在に限定されるべきです。
翻訳元: https://www.hipaajournal.com/what-is-hipaa-authorization/
