公民権局がHIPAA違反を発表
保健福祉省公民権局は、保護された医療情報へのアクセス権を含む医療保険の携行性と責任に関する法律 (HIPAA) プライバシー規則の潜在的な違反を理由に、4人の医療提供者担当者に対して2022年最初のHIPAA違反訴訟を起こしたと発表した。
違反行為に該当する特定された当事者
ペンシルバニア州の歯科医であるドナルド・ブロックリー博士に加え、ノースカロライナ州のU・フィリップ・イグビナドロール博士(DM,D)(UPI)、カリフォルニア州の精神保健サービス提供者であるジェイコブ・アンド・アソシエイツ、およびアラバマ州のフェアホープとその周辺地域で歯科医院を経営するノースカット・デンタル・フェアホープとの和解でも、HIPAA違反による罰金が課せられた。
OCRディレクターの声明
OCRのリサ・ピノ局長は声明の中で、今回の執行手続きの目的は、医療提供者にHIPAA遵守の責任を負わせることだと述べました。ピノ局長は、「保護されていない医療情報のデータ漏洩が増加していること、そして医療業界に影響を与えるサイバーセキュリティの脅威が続いていることを考えると、HIPAAの対象となる事業体はHIPAA遵守の責任を真剣に受け止めることが不可欠です」と付け加えました。公民権局は、プライバシーとセキュリティ違反の執行を通じて医療情報の保護に尽力しており、これには、発見されない違反に対する民事罰金の訴追も含まれます。
合意内容によると、和解のうち2件はHIPAAのアクセス権基準の違反疑惑に関連している。
歴史的背景と前例
同団体によると、患者が自分の医療情報にタイムリーにアクセスできることを保証することを目的としたOCRプログラムが2018年に導入されて以来、27の医療提供者がHIPAAの罰則に直面し、アクセス権の不履行の可能性について当局と和解に達したという。
UPIの物議を醸した事件
消費者権利局(OCR)は、低評価のレビューに激怒した歯科医師と和解に至りました。公民権局(OCR)は、UPIがOCRのデータ開示要求と行政召喚状に応じなかったことを受け、同社に民事罰金として5万ドルを科しました。UPIはOCRの結論に対して異議を唱えることも怠っていました。この和解と判決は、2015年に発生した異例の出来事の結果です。
事件の起源
2013年から2014年にかけて、ある患者がUPIで歯科治療を受けました。2015年、この患者は偽名を使ってUPIに対する否定的なレビューをGoogleに投稿しましたが、後に削除されました。UPIは数週間後にこの否定的なレビューに対応し、その過程で患者の氏名と個人健康情報を公開しました。これは当時のデータ漏洩であり、違法行為でした。
UPIの記事では、この患者が特定され、2013年10月以降、このクリニックを2回しか訪れていないことを理由に、同クリニックが「根拠のない主張」をしていると非難された。UPIはさらに、各診察の内容や治療内容について説明し、捜査の準備として患者とそのIQを貶めたとされている。
患者から、UPIがHIPAAプライバシー規則に基づく権利を侵害したという苦情が公民権局に提出されました。OCRはUPIに監査の通知を行い、OCRはオンラインでの患者レビューへの対応に関するポリシーとプロセス、PHIの利用と開示、PHIの安全対策、HIPAA研修の受講証明に関する情報の提供を求めました。調査は翌年に開始されました。
UPIの継続的な非協力
しかし、UPIは患者の否定的なレビューに返答し、プライバシー慣行に関する通知を公民権局(OCR)に提出したことを認めたが、同局に研修文書、規則、手順を一切提供しなかった。
OCRは、UPIによるレビューへのオンライン回答を審査した結果、「PHIの違法な開示に該当する」と判断し、UPIは回答を「直ちに削除」すべきであると勧告しました。また、UPIは「保護対象医療情報の開示、特にソーシャルメディアにおける保護対象医療情報の共有に関する規則や手順がまだ整備されていない場合は、これらを策定すべきである」と勧告されました。
その後、UPIと規制当局の間では1年に及ぶ争いが続き、OCRは保護対象医療情報(PHI)の開示に関連するソーシャルメディアの使用に関するUPIのポリシーと手順のコピーの要求や、UPIがウェブサイトから否定的なレビューへの回答を削除したかどうかの要求などを行った。
UPIは研修の受領確認書を送付したものの、研修内容を説明する資料は一切添付されていませんでした。歯科医は、GoogleプロフィールページからPHIを削除しなかったことについて、「この警告の日付時点で回答は公開されています」と述べています。この医療機関は、ソーシャルメディアのルールと手順を消費者権利局にまだ提出していません。
公民権局(OCR)は、患者の否定的なレビューに対する対応はHIPAAプライバシー規則に違反しているとして、これらの決定の要因となった民事金銭罰の額を適切に確定するためにUPIから財務データを入手しようとした。
しかし、プロバイダーは「要求された記録は『HIPAAに関連しない』ため提供できない」と述べ、参加を拒否しました。HIPAA違反事件の増加を踏まえると、この姿勢は憂慮すべきものです。HIPAAの罰則を監督し、HIPAA対象事業体の遵守を確保する責任を負う公民権局(OCR)は、要求の目的を改めて明確にし、参加拒否がさらに増加し、「法廷で会おう」と述べました。
HIPAA違反とそれに伴う罰金の増加を考えると、OCRの勤勉さは驚くべきことではありません。UPIは2017年11月、公民権局から関連記録の提出を求める召喚状を受け取りました。これほど頑固な不遵守が、HIPAA違反による巨額の罰金につながるのではないかと疑問に思う人もいるかもしれません。
HIPAA によれば、「OCR が調査またはコンプライアンスレビューを実施する場合、対象事業体は OCR に協力しなければなりません。」これは、HIPAA 規制ガイドラインの対象となるすべての医療保険プランおよび事業体にとって、HIPAA 規制を理解することの重要性を強調しています。
この執行措置は、UPIの非協力疑惑を浮き彫りにしました。本件は、ポリシー、手順、および実務に関するHIPAAの義務を遵守することの重要性を強調する多くの違反事例の一つに過ぎません。
その他の注目すべきHIPAA違反事例
ブロックリー歯科の違反と罰則
話を別の状況に移しましょう。Brockley Dentalは、一般的なHIPAA違反に起因する厳しい罰金に直面しました。患者からの苦情に関する監査で不遵守が明らかになった後、公民権局と3万ドルで和解し、是正措置計画を締結しました。2020年、HIPAA違反に対する罰金を監督する米国保健福祉省(HHS)は、アクセスの不備を理由に、HIPAA違反として10万4000ドルの罰金を科す可能性がありました。しかし、綿密な審議の結果、罰金は大幅に減額されました。
この合意により、Brockley社は包括的なHIPAAポリシーと手順を導入・周知し、従業員がアクセス権の要件を理解し尊重することを確保する必要がありました。さらに、全従業員に研修を実施し、将来のHIPAA違反を最小限に抑えるための重要なステップを踏むことになりました。
ジェイコブ・アンド・アソシエイツの違反
注目を集めたもう一つの事例は、データ漏洩問題を抱えていたジェイコブ・アンド・アソシエイツ社の事例です。患者からの医療記録へのアクセスを求める度重なる要請に応じなかったため、同社は公民権局に2万8000ドルの支払いを命じられました。このような事例は、HIPAA(医療保険の携行性と責任に関する法律)のプライバシーとセキュリティ基準を遵守しなかった場合の結果を如実に示しています。
さらに、調査では、当該プロバイダーにはHIPAA規制の遵守を確保する上で重要な役割を担う専任のプライバシー担当者がいないことが判明しました。このような担当者の不在は、データ漏洩のリスクを高める可能性があります。
ノースカット・デンタル・フェアホープにおける個人データの不正使用
別のケースでは、ノースカット・デンタル・フェアホープがHIPAAプライバシー規則違反の疑いでスキャンダルに巻き込まれました。この事例は、医療提供者がデータを私利私欲のために利用していたとみられ、特に憂慮すべきものでした。ノースカット医師が患者情報を選挙運動の責任者と共有するという決定は、世間の注目を集め、多額の罰金につながりました。
結論として、これらの事例はHIPAA規制の重要性と、HIPAAを遵守しない対象事業体に及ぼす潜在的な影響を強調しています。意図的か偶発的かを問わず、いかなる過失も厳しい罰則につながる可能性があります。さらに、OCRによる調査は、たとえ軽微な苦情を理由に開始されたとしても、HIPAAに関連する他の多くの矛盾点を発覚する可能性があります。