自己保険型グループ健康保険プランにおけるHIPAAコンプライアンス

自己保険型グループ健康保険プラン（または自己運営型の健康保険グループプラン）におけるHIPAAコンプライアンスは、自己保険型グループ健康保険プランの運営形態が多様であること、ならびにHIPAAコンプライアンスからの免除が適用され得ることから、HIPAA法制の中でも複雑な領域です。

医療保険の携行性と責任に関する法律（HIPAA）の「行政簡素化規則（Administrative Simplification Rule）」は、医療情報交換機関、特定の医療提供者、および健康保険プラン（総称して「対象事業体（covered entities）」）に対し、個人を特定できる健康情報のプライバシーおよび電子的な保護対象保健情報（Protected Health Information：PHI）のセキュリティに関する全国基準を遵守することを求めました。

これらの基準は米国保健福祉省（U.S. Department of Health & Human Services）によって策定され、2000年（HIPAAプライバシールール）および2003年（HIPAAセキュリティルール）に公表されました。その後の改正、ガイダンス、および関連規則により、技術の進歩や働き方の変化を踏まえて、自己保険型グループ健康保険プランにおけるHIPAAコンプライアンスが形成されてきました。2009年には侵害通知ルール（Breach Notification Rule）が追加されました。

自己保険型グループ健康保険プランの定義

HIPAAの複雑な性質を踏まえ、また自己保険型グループ健康保険プランにおけるHIPAAコンプライアンスに何が含まれるのかをよりよく理解するために、自己保険型グループ健康保険プランとは何かを定義しておくことが実務的です。自己保険型グループ健康保険プランとは、雇用主が保険会社から「完全保険型（fully-insured）」プランを購入するのではなく、従業員に医療給付を提供するための財務リスクを自ら負担するプランを指します。

通常、自己保険型の雇用主は、会社および従業員の拠出金を充当するための特別信託基金を設けるか、一般資金を用いて発生した請求を支払い、プランを自社で運営するか、（より一般的には大規模雇用主の場合）第三者管理者（third-party administrator）のサービスを利用します。自己保険型グループ医療保険プランには、医療費償還のフレキシブル支出口座（medical FSA）プランや、医療費償還口座（HRA）プランが含まれる場合もあります。

自己保険型企業におけるHIPAAコンプライアンスの免除

自己保険型企業に対するHIPAAコンプライアンス免除はまれです。グループ健康保険プランが自己保険型であり、自己運営であり、かつ雇用主の従業員数が50人未満である場合に限り、当該企業はHIPAAコンプライアンスの対象外となります。ただし、medical FSAおよびHRAも雇用主が運営しており、外部の第三者管理者が運営していないことが条件です。従業員支援プラン（employee assistance plan）やウェルネスプランを提供することでも、自己保険型企業にHIPAAコンプライアンスが適用される場合があります。

当然ながら、自己保険型企業におけるHIPAAコンプライアンスには「部分的コンプライアンス（partial compliance）」と呼ばれるグレーゾーンがあります。部分的コンプライアンスは、グループ健康保険プランのスポンサーも保険代理人も、保護対象保健情報（PHI）に電子的にアクセスせず、また電子的に送信もしない場合に適用されます。こうした「関与しない（hands off）」グループ健康保険プランは特定の状況でのみ発生し、一般的に、ほとんどの自己保険型グループ健康保険プランはHIPAAコンプライアンスの対象となります。

自己保険型グループ健康保険プランにおけるHIPAAコンプライアンスは何で構成されるのか？

自己保険型グループ健康保険プランにおけるHIPAAコンプライアンスには複数の要素があり、その多くはすべての状況に当てはまるわけではありません。コンプライアンス要件は、企業規模、事業の性質、対外窓口の有無、社内組織などの要因により企業ごとに異なります。以下は、自己保険型グループ健康保険プラン向けの簡易HIPAAコンプライアンスチェックリストです。

プライバシー責任者およびセキュリティ責任者を任命する

自己保険型グループ健康保険プランを有する企業は、HIPAAプライバシー責任者（Privacy Officer）およびHIPAAセキュリティ責任者（Security Officer）を任命しなければなりません。これらの職務は同一人物が担うこともでき、また既存の従業員が担うことも可能です。最初の役割は、グループ健康保険プランによりPHIがどこで、なぜ、どの程度作成・受領・保管・送信されているかを特定することです。これには、IT、法務、給与、HRなど多くの部門が関与する可能性があります。

PHIの利用および開示を分析する

PHIの把握が完了したら、プライバシー責任者およびセキュリティ責任者は、PHIの利用および開示がHIPAAプライバシールールで許容される範囲内であることを確保するために分析すべきです。必要に応じて、プライバシー責任者は、PHIの一部の利用・開示について従業員から同意（authorization）を取得する必要がある場合があります。注：雇用主は、同意を拒否した従業員に対して報復措置を取ったり差別したりすることは認められていません。

HIPAA準拠のプライバシーポリシーを策定する

自己保険型グループ健康保険プランにおけるHIPAAコンプライアンスの次の段階は、PHIをどのように利用・開示できるかを定めるHIPAA準拠のプライバシーポリシーを策定することです。ここでは、（ビジネスアソシエイトとして）HIPAAセキュリティルールおよび侵害通知ルール、ならびにHIPAAプライバシールールの一部にも準拠しなければならない第三者管理者を考慮する必要があり、また当該第三者管理者とは HIPAAビジネスアソシエイト契約（HIPAA Business Associate Agreement） を締結する必要があります。

HIPAA準拠のセキュリティポリシーを策定する

HIPAAセキュリティルールの要件の一つは、対象事業体が電子的PHIの完全性を確保するために、管理的・物理的・技術的な保護措置を実装することです。この要件を満たすために、セキュリティ責任者はリスク評価を実施して、電子的PHIへの不正アクセスにつながり得る脆弱性を特定し、さらにリスク分析を踏まえて、脆弱性に対処するための適切な対策およびポリシーを実装すべきです。

侵害通知ポリシーを策定する

自己保険型グループ健康保険プランにおけるHIPAAコンプライアンスを達成するために企業が最善を尽くしても、PHIの無許可開示が発生することがあり得ます。自己保険型企業はそのような事態に備える必要があり、個人情報が侵害された可能性があることを従業員に通知するため、侵害通知ポリシーを策定すべきです。また、必要に応じてHHSの公民権局（Office for Civil Right）への通知についてもポリシーに含めるべきです。

自己保険型グループ健康保険プラン管理者向けHIPAAトレーニング

自己保険型グループ健康保険プラン管理者向けのHIPAAトレーニングは必須です。これらのプランは、加入手続、適格性判定、請求処理、異議申立て、ケアマネジメント活動、ならびにプラン運営のために保護対象保健情報を取り扱うためです。トレーニングでは、給付管理の文脈でHIPAAプライバシー、セキュリティ、および侵害通知ルールがどのように適用されるかを説明し、必要最小限の利用（minimum necessary use）、情報開示前の本人確認、TPA、ストップロス保険会社、ブローカー、ベンダーなど第三者への定型的な開示の管理に関する実践的な指針を提供すべきです。また、メールやファイル共有の運用、HRおよび給付システムのアクセス制御、印刷物の保護、会員データを狙うフィッシングやソーシャルエンジニアリングの試みの見分け方など、プラン運営における一般的なリスクポイントにも対処すべきです。自己保険型の仕組みでは、健康保険プラン、雇用主、外部サービス提供者間の緊密な連携が求められることが多いため、トレーニングでは、明確な社内手続の重要性、プラン関連コミュニケーションの適切な取り扱い、インシデントの迅速なエスカレーション、ならびにコンプライアンス目的でトレーニング修了を立証できる文書を維持することの重要性を強調すべきです。

自己保険型グループ健康保険プランの加入者として、各従業員には、PHIの完全性を維持することが不可欠である理由を説明するために利用できる、プランのプライバシー慣行に関する通知（notice of privacy practices）を提供すべきです。また、各従業員には、プライバシー、セキュリティ、および侵害通知ポリシーに従わなかった場合の結果を説明する会社の制裁ポリシー（sanctions policy）の写しも提供すべきです。

自己保険型企業におけるHIPAAコンプライアンスに関する追加情報

保健福祉省（Department of Health and Human Service）はウェブサイト上で多くのHIPAA情報を提供していますが、そのうち自己保険型グループ健康保険プランにおけるHIPAAコンプライアンスに関連するものは比較的少数です。自社のコンプライアンス要件に不安がある企業は、専門家の支援を求め、まず自社のプランがHIPAA要件の対象であるかを判断し、そのうえでHIPAAコンプライアンスチェックリストの項目を順に満たしていくための支援を受けるべきです。

自己保険型グループ健康保険プランにおけるHIPAAコンプライアンス：FAQ

プランがHMOまたはPPOの場合でも、同じHIPAAルールが適用されますか？

自己保険型グループ健康保険プランが健康維持機構（HMO）モデルで運営されているか、優先提供者機構（PPO）モデルで運営されているかにかかわらず、従業員の個人を特定できる健康情報のプライバシーと、電子的な保護対象保健情報のセキュリティを確保するための要件は同じです。

「個人を特定できる健康情報」と「電子的な保護対象保健情報」の違いは何ですか？

個人を特定できる健康情報とは、それ単独で、または他の一般的な識別子と組み合わせることで、健康保険プランの加入者を特定できる可能性のある健康情報です。加入者の氏名、生年月日、住所などの一般的な識別子が、健康情報とともに指定記録セット（designated record set）に保存される場合、それらの識別子も健康情報と同等の保護を受けます。

プライバシー責任者および／またはセキュリティ責任者の役割を担える人が社内にいない場合はどうすればよいですか？

企業に、プライバシー責任者および／またはセキュリティ責任者の役割を担うのに十分な知識を持つ既存の従業員がいない場合、またフルタイムのコンプライアンス担当者を雇用するリソースがない場合には、既存の従業員がコンプライアンス役割を担えるだけのスキルと知識を身につけるまでの間、短期のコンプライアンス支援サービスを契約することが可能です。

HIPAAに違反した場合の罰則は何ですか？

HIPAAに違反した場合の罰則は、違反の性質、（もしあれば）データ侵害で露出した記録数、対象事業体が違反リスクを許容可能かつ合理的な水準まで低減するために行った努力などの考慮事項に応じて異なります。

多くの場合、HHSの公民権局（Office for Civil Rights）は、違反の再発防止のための技術的支援を提供するか、違反が根底にある不遵守文化に起因する場合には是正措置計画（corrective action plan）を課します。HHSの公民権局が金銭的な民事罰を科すのは少数のケースに限られます。その場合、罰金額（2025年12月時点の現行額）は責任の程度を反映します。

労災補償目的でのPHIの開示は、HIPAAプライバシールールの下で許容されますか？

はい。ただし、労災補償目的でのPHIの開示は「必要最小限基準（minimum necessary standard）」に従わなければなりません。この基準は、意図した目的を達成するために必要な最小限のPHIのみを開示すべきであると定めています。ただし、州運営の労災補償プログラムが45 CFR §164.502(b)(2)(v) および §164.512(a)(1) に基づき免除されている場合を除きます。