電子カルテは完全にHIPAAに準拠することが可能ですが、相互運用性、固有のユーザーアクセス制御、業務委託先契約(Business Associate Agreement)、および役割に基づく従業員トレーニングは、適切な構成とHIPAAセキュリティ規則の保護措置によって管理しなければならない実務上のリスクを生みます。CMSのPromoting Interoperability Programsの頻繁な更新やHIPAAプライバシー規則の変更により、電子カルテとHIPAA準拠に関する要件に追随することは困難になり得ます。
注:電子カルテとHIPAA準拠について議論する目的で、本記事では、HHS(米国保健福祉省)情報セキュリティ局が提示した2022年の電子カルテ(EMR)および電子健康記録(EHR)の定義を使用します:
「EMRは、デジタル医療データの電子的な入力、保存、および維持を可能にする。EHRには、医師による患者記録が含まれ、属性情報、検査結果、病歴、現病歴(HPI)、および投薬情報が含まれる。EMRはEHRの一部である」。
電子カルテは相互運用可能か?
電子カルテは、患者の診療記録をデジタル化したものです。「スタンドアロン」の電子カルテには通常、単一の医療提供者に提供された保護対象保健情報(PHI)が含まれており、同一のログイン認証情報を使用する当該医療提供者またはその従業員(ワークフォース)のメンバーのみがアクセスできます。
電子カルテは、その機能および電子健康記録との互換性に応じて相互運用可能になり得ます。場合によっては、接続性を促進するためにEMRとEHRの間にサードパーティ製プラグインをインストールする必要があり、プラグインの機能に応じて部分的または完全な相互運用性となることがあります。
電子カルテとHIPAAにおける課題
電子カルテに対するHIPAAのセキュリティ要件を議論する以前に、EMR利用者にはHIPAA準拠上の課題があります。「スタンドアロン」の電子カルテの場合、従業員(ワークフォース)の2人以上が同じログイン認証情報を共有することは、HIPAAのアクセス制御基準(固有ユーザー識別)に違反します。
電子カルテが相互運用可能な電子健康記録に接続されている場合、EHRベンダーと業務委託先契約(Business Associate Agreement)を締結する必要があります。また、EHRとの接続性を促進するためにプラグインを使用する場合、そのプラグインが第三者(例:EMRベンダーではない提供者)から提供されているときは、プラグインのベンダーとも契約を締結する必要があります。
OptiMantraは、小規模な医療機関に最適なEMRです。柔軟なスケジューリング、統合決済、在庫管理、リアルタイムレポーティングを単一のプラットフォームで提供し、日々の業務を効率化します。OptiMantraは、正しく使用すれば完全にHIPAA準拠です。
EMRに対するHIPAAセキュリティ要件
EMRに対するHIPAAのセキュリティ要件とは、対象事業体および業務委託先が、電子カルテによって作成、受領、維持、または送信されるPHIの機密性、完全性、および可用性を確保し、EMRに保存される、またはEMRによって送信されるPHIのセキュリティに対して合理的に予見される脅威または危険から保護することです。
医療提供者がEMRに対するHIPAAセキュリティ要件にどのように準拠すべきかを規定する基準は、セキュリティ規則に含まれています。しかし、HHSの公民権局は2024年に新たなセキュリティ規則の基準を導入する意向であり、これらはメディケアおよびメディケイドへの参加条件としてCMSに採用される可能性もあります。
その他のHIPAA/EMR準拠要件
その他のHIPAA/EMR準拠要件には、対象事業体および業務委託先が、従業員(ワークフォース)のメンバーによるPHIの不許可の使用および開示を防止しなければならないことが含まれます。この要件により、従業員(ワークフォース)のメンバーは、プライバシー規則で許可される使用および開示についてHIPAAトレーニングを受ける必要があります。
電子カルテとHIPAA準拠の文脈では、トレーニングには患者の同意(consent)と患者の承認(authorization)の違いの説明を含めるべきです。また、生殖医療に関するPHIが、禁止された目的のためにさらに開示されないことの誓約(attestation)がある場合にのみ開示できる状況も含めるべきです。
Promoting Interoperabilityに起因するリスク
Promoting Interoperabilityプログラムは、医療における技術の採用を促進・拡大し、その技術—特にEMRおよびEHR—を用いて医療の質、患者安全、サービス提供の効率を向上させるために、2009年のHITECH法に含まれていた指標から発展したインセンティブプログラムです。
これはスコアリングシステムに基づくインセンティブプログラムであるため、医療提供者が、電子処方、医療情報交換、提供者から患者への情報交換といった目標で最大スコアを達成するために、HIPAA準拠を近道で済ませてしまう可能性があります—特に、EMRがEHRと部分的にしか接続できない場合はなおさらです。
HIPAA準拠のEMRとは?
HIPAA準拠のEMRとは、HIPAA準拠を支援する機能を備え、PHIのセキュリティに対して合理的に予見される脅威または危険を軽減するよう構成され、HIPAAに従って権限を付与された従業員(ワークフォース)のメンバーによって使用される電子カルテのことです—すなわち、従業員(ワークフォース)の各メンバーごとに別々のログイン認証情報を使用します。
EMRがEHRまたは他の医療システム(例:Epic Community Link経由)とどのように接続するかによって、EMRをPHIの作成、受領、維持、または送信に使用する前に、1つ以上の業務委託先契約を締結する必要があります。また、接続された患者ポータルを安全に使用する方法について患者に助言することも推奨されます。
結論:電子カルテとHIPAA準拠
HIPAAは電子カルテの管理を規制していますが、HIPAA準拠にはいくつかの課題が生じ得ます。これらの課題は、CMS Promoting Interoperability Programで最大スコアを達成したいという意向によって悪化する可能性があり—準拠の近道が取られると、PHIのプライバシーとセキュリティに対して回避可能なリスクを招くおそれがあります。
すべての医療提供者が、HIPAA準拠のEMRを導入し、脅威や危険を軽減するように構成し、従業員(ワークフォース)のメンバーに十分なトレーニングを提供するためのリソースや知識を備えているわけではありません。貴組織が電子カルテとHIPAA準拠に関して課題に直面している場合は、医療コンプライアンスの専門家に相談することが推奨されます。
翻訳元: https://www.hipaajournal.com/electronic-medical-records-and-hipaa/
