consumer-rights
ヘルスケアセクターにおけるビジネスのコンプライアンス戦略
Table of Contents
規制風景を理解する
ヘルスケアコンプライアンスは、適用される法令の徹底的な理解から始まります。最も著名な連邦政府の法令には、以下が含まれます。
HIPAA プライバシーとセキュリティ規則
HIPAAは、個人識別可能な健康情報の保護のための国家規格を設定します。プライバシールールは、セキュリティルールの管理者、物理的、および電子PHI(ePHI)のための技術的な保護のための技術的な保護を管理しながら、PHIがどのように使用し、開示することができるかを規定しています。 カバーされたエンティティ(健康計画、ヘルスケアクリアハウス、およびほとんどのヘルスケアプロバイダー)およびそのビジネスアソシエイトは、これらの規則を遵守しなければならない。 セキュリティルールは、アクセス制御、監査、インテグリティティティ、および$ 500,000 / 罰金の範囲で、$ 100万ドルのセキュリティを補償するなどの対策を組織が必要です。
HITECH法
HITECHは、2009年のアメリカの回復と再投資法の一部として制定されました。HIPAAの施行を強化し、違反に対する罰則の増加、および侵害通知の要件の拡大。また、電子健康記録(EHR)の採用を促進し、ビジネス関係者のための新しいプライバシーとセキュリティ規定を確立しました。HITECHの下で、ビジネスアソシエイトはHIPAAの違反について直接責任を負い、セキュリティルールを遵守しなければなりません。法律はまた、HA BreachtIPAの通知を、個人や団体に通知する、または個人を通知する必要のある人体内に通知しました。
メディケアとメディカイドのコンプライアンス
連邦医療プログラムに参加する組織は、偽のクレーム法、反キックバック法、Stark法、プログラム固有の規則を遵守しなければなりません。 コンプライアンスには、正確な請求、適切な文書、不正な慣行の回避が含まれます。 メディケア&のためのセンター;メディカディッドサービス(CMS)は、プログラムの完全性を確保するためにガイドラインを提供し、監査を実施します。 違反は、連邦政府プログラムからの民事的な罰則、および犯罪行為の疑いをもたらすことができます。 犯罪行為は、$ 5,500ドルの罰金を申し立てます。
州特産医療法
多くの州は、連邦の対向よりも厳しい要件を課す追加のプライバシー法(例えば、カリフォルニア州のCCPA / CPRA、ニューヨークのシールド法)を制定しています。 州間線を横断するヘルスケア事業は、規制のこのパッチワークをナビゲートし、彼らが動作するすべての管轄区域の遵守を確保しなければなりません。 例えば、カリフォルニア州コンシューマープライバシー法(CCPA)は、個人情報が収集されるか、それを削除する権利、およびそのリスクを防止する権利を患者に与える権利を、および適切な措置を含むニューヨーク法や適切な措置を制限します。
包括的なコンプライアンス戦略の開発
堅牢なコンプライアンス戦略は、一回限りのプロジェクトではなく、組織の文化に統合された継続的なプロセスです。次の重要なステップは、効果的なコンプライアンスプログラムの基盤を形成します。
定期的なリスク評価を実施
リスクアセスメントは、PHIの取り扱いにおける脆弱性を特定し、潜在的な侵害の可能性と影響を評価する。HIPAAでは、被覆されたエンティティティティティティティティティティティティティティティティティティクルを分析し、特定リスクを軽減するための対策を実施しなければならない。]民事権のためのHHSオフィス(OCR)は、徹底した評価を行う上で、詳細なガイダンスを提供します。NISTのサイバーセキュリティフレームワークは、プロセスを強化することができます。リスクアセスメントツール(HAR)は、または、組織のセキュリティ対策を組み合わせることがよくあります。
スタッフ研修プログラムの実施
ヒューマンエラーは、データ侵害の大きな原因です。包括的なトレーニングプログラムは、プライバシーポリシー、セキュリティ手順、フィッシング意識、PHIの適切な処理、およびインシデントレスポンスプロトコルをカバーしるべきです。トレーニングは、さまざまなロールに合わせて調整され、少なくとも毎年実施されなければなりません。ポリシーの変更やセキュリティインシデント後の追加のセッション。例えば、臨床スタッフは、患者の同意に関するトレーニングを必要とし、家族と情報を共有する必要があります。ITスタッフは、暗号化、アクセス制御、およびログ監視に関するより深い技術的トレーニングを必要とします。ロールベースのトレーニングは、文書の遵守に関するリスクを低減します。
明確な方針およびプロシージャを確立して下さい
文書化されたポリシーと手順は、コンプライアンスプログラムのバックボーンです。 主な文書には、次のものが含まれます。
- プライバシー通知 - 自分の権利の患者とその情報がどのように使用されるかを通知します。最初のサービス配信で提供され、著名に投稿する必要があります。
- [セキュリティポリシー] - パスワード要件、デバイス暗号化、リモートアクセス、および物理的な保護をアドレスします。モバイルデバイスと電子メールの許容使用ポリシーが含まれています。
- インシデント・レスポンス・プラン – 検出、調査、含んだ手順と報告違反の手順を概説します。 コミュニケーション・テンプレートとエスカレーション・パスを含める必要があります。
- Sanctions Policy] - 懲戒処分を非遵守のために保障する。 重大な違反の断続的な警告から終端まで進行する規準。
法令や業務内容の変化を反映するために定期的に見直し、更新する必要があります。 監査の信頼性のために、バージョン管理と承認ログが不可欠です。
データセキュリティのテクノロジー活用
テクノロジーは、ePHIを保護する上で重要な役割を果たしています。 重要なセキュリティ対策は次のとおりです。
- 暗号化 - 残りとすべてのePHIのためのtransitで。 転送中のデータに対して、AES-256を残りの部分で使用し、TLS 1.2以上のデータを転送します。
- [アクセス制御] - ロールベースのアクセス、マルチファクタ認証、および監査ログ。 少なくとも特権原則を実行し、ロール変更または終了時にすぐにアクセスを再開します。
- []侵入検知システム[] - 疑わしい活動のためのネットワークトラフィックを監視します。 より優れたカバレッジのためのシグネチャベースの行動検出を組み合わせます。
- 自動バックアップソリューション - ランサムウェアやシステム障害の場合のデータ復旧を保証します。 3-2-1バックアップルール(コピー、3つのメディアタイプ、1つのオフサイト)に従ってください。
組織は、定期的に脆弱性スキャンや侵入テストを実施し、結果を使用して弱点を是正する必要があります。パッチ管理ポリシーは、ePHIを処理するシステムにおける重要な脆弱性を優先する必要があります。
コンプライアンスへの取り組みのモニタリングと監査
監視と内部監査を経由して、ポリシーと制御が意図どおりに機能していることが確認されます。 主な活動は次のとおりです。
- アクセスログを見直し、不正な PHI アクセスを検出します。 長時間アクセス、繰り返し失敗したログイン、または従業員のロール外に記録へのアクセスなどの異常なパターンを探します。
- コンプライアンスの請求のための定期的なチャート監査を実施します。 ドキュメントは、請求されたコードをサポートし、更新または不平のためにレビューする検証します。
- 模擬HIPAA監査と侵害シミュレーションを実行します。 事件の応答速度と精度をテストします。
- どんな検索結果でも是正措置を追跡します。 リスクレジスタを使用して、是正と閉鎖を追跡します。
シニア管理への定期的な報告と、ボードは、コンプライアンスのための説明責任とリソース割り当てを維持するのに役立ちます。ダッシュボードは、主要なコンプライアンスメトリック(例えば、トレーニングの完了、監査結果、インシデント応答時間)を示すため、可視性を高めます。
コンプライアンス・オフィサーの役割
専任コンプライアンスオフィサーは、HIPAAおよび多くの州法に基づく効果的なプログラムの必須コンポーネントです。この個人は、規制上の問い合わせに対する連絡窓口として、組織のコンプライアンス活動の監督、およびコンプライアンスプログラムの現在残っていることを確実にする責任を負います。役員は、役員のリーダーシップと十分な権限を直接アクセスして、ポリシーを実施する必要があります。より大きな組織では、法律、IT、臨床、行政部門の代表者が役員をサポートしているコンプライアンス委員会は、役員を支持することができます。また、コンプライアンス・オフィサーは、コンプライアンス・アフィレータメント(C)や、およびヘルスケア・アクセシフィサー(C)などのコンプライアンス・組織の調整を継続する必要があります。
ベンダー管理とビジネスアソシエイト協定
医療事業は、クラウドストレージ、課金、転写、またはEHRサポートなどのサービスのために、サードパーティベンダーに依存しています。 HIPAAでは、これらのベンダーは、ビジネスアソシエイトと見なされ、PHIを保護するためにそれらを契約的に義務付けているビジネスアソシエイト協定(BAA)に入らなければなりません。デューデリジェンスには、ベンダーのセキュリティ慣行を評価し、SOC 2レポートを見直し、定期的な再評価を実施する必要があります。 - 第三者機関に指定されたセキュリティ機関は、または関連するリスクを通知する必要があります。
データ ブリーチの応答および通知
未保護のPHIが発生したとき、組織は特定の通知要件に従う必要があります。 HIPAAは、影響を受ける個人、HHS OCR、および(場合によっては)メディアへの通知を必要とします。 タイムラインは重要である:通知は、不当な遅延なしで行われなければならないと60日以内に発見。 多くの状態は、追加の通知期限(例えば、いくつかの状態の30日)を意味します。 適切に実施されたインシデントレスポンスプランは、組織が迅速に違反を認め、リスクを判断し、今後の対応を防止することを可能にします。
- [] 識別と封入 – 影響を受けるシステムを分離し、ログを保存し、ITフォレンジックを関与させます。
- リスク評価 - 侵害の性質と範囲、PHIの種類、および害の確率を決定する。
- [通知] - 影響を受ける個人を、それらが自分自身を保護するために取ることができるステップに関する情報を含む、必要な時間枠内で通知します。 オンラインポータルを介してHHS OCRを通知します。 違反が州の500人以上の住民に影響を及ぼす場合は、著名なメディアアウトレットに通知します。
- [Documentation] - 侵害調査、リスク評価、通知行動、および是正措置の詳細な記録を保持します。 この文書は、監査または訴訟の場合に必要である場合があります。
法律、IT、コミュニケーション、および執行のリーダーシップを含むクロス機能のチームと応答プランをテストするために毎年恒例の卓上演習を行います。
コンプライアンスの訓練と文化
正式な訓練を超えて、コンプライアンスの文化を育むことは、倫理的および法的基準を日常業務に埋め込むことを意味します。 リーダーシップは、リソース割り当て、オープンコミュニケーション、および懸念を報告する従業員に対する再帰に対するゼロの許容度によるコンプライアンスへのコミットメントを実証しなければなりません。 従業員に質問をしたり、匿名のホットラインを介して潜在的な違反を報告したり、継続的な教育に参加したりすることは、全体的なコンプライアンス姿勢を強化します。 最適な慣行をモデル化するコンプライアンスチャンピオンを認識し、報酬を受け取ります。 コンプライアンスの目標を定期的に確認し、すべての人に通知や通知を守ることは、すべての人に通知するかどうかを把握します。
コンプライアンス課題の解決
テレヘルスとリモートケア
COVID-19の流行によって加速されるテレヘルスの急速な拡大は、新しい順守の考察を示します。 提供者はテレヘルスのプラットホームがHIPAAのセキュリティ要件を満たし、適切な忍耐強い同意を得、州のlicensureの法に付着することを保障しなければなりません。 OCRは公衆衛生緊急事態の間に免除そして指導を、永久的な調整の予想は進化し続けます出しました。 焦点の主要分野は下記のものを含んでいます:
- プラットフォームセキュリティ] – エンドツーエンド暗号化、セキュアセッション管理、およびプロバイダと患者の両方の適切な認証。
- [ 機密文書と文書] – 文書の患者は、テレヘルスへの同意を承諾し、選択した技術が、ケアの基準を低下させないことを保証します。
- [ 状態の licensure - 患者が位置している状態でプロバイダがライセンスされていることを確認します。 一部の状態は、州間医療用ライセンスのコンパクトの一部ですが、すべてではありません。
- リモート監視] - リモート患者モニタリングに使用するデバイスとアプリがHIPAAに準拠し、データを安全に送信することを確認します。
人工知能とデータ分析
臨床決定支援、診断イメージング、または患者のエンゲージメントに使用されるAI主導のツールは、潜在的なバイアス、透明性の問題、およびデータプライバシーに関する懸念をもたらします。コンプライアンスプログラムは、HIPAAコンプライアンスのAIベンダーを評価する必要があります。アルゴリズムが不公平に開示し、自動決定の人権を維持しないことを保証します。AIを使用してPHIを分析するとき、AIモデル自体がビジネスアソシエイトを構成するかどうかを判断する必要があります。HIPAA Safe Harborメソッドや専門家の決定など、データ識別技術は、AIが重要な決定を下す可能性があるため、AIは、定期的に監査および規制当局が重要視されていることを確認し、AIが確認します。
相互運用性・健康情報交換
ヘルスケア企業全体でのデータ共有が増加するにつれて、組織は、健康情報交換(HIEs)およびAPIに関連するプライバシーおよびセキュリティリスクを管理しなければなりません。 コンプライアンスは、明確なデータ使用協定、患者の同意管理、および技術保護措置を必要とし、送信中に不正なアクセスを防ぐことができます。 21世紀の治療法は、相互運用性を促進しますが、また、情報がブロックせずに共有される必要があります。 組織は、第三者のアプリを介して、患者が自分のデータにアクセスできるようにするFHIRベースのAPIを実行する必要があります。 セキュリティーへのアクセスを強化する際、OAuth認証および個人認証を承諾できるか否か、または個人認証を識別するかどうかを把握する必要があります。
外部リソースと教育のやりとり
医療コンプライアンスは、ダイナミックな分野です。組織は、規制機関や業界団体からリソースを活用し、情報を維持する必要があります。 ] HHS OCRは、執行データ、FAQ、および監査プロトコルを提供しています。 ]]CMSウェブサイトは、メディケアコンプライアンスガイダンス[]]を提供します。 ヘルスケアコンプライアンス協会(HCCA)などの専門機関への参加は、ネットワーク、ウェビナー、認証(Eaggy Management)、および認定資格(Egt.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.C.
コンテンツ
効果的なコンプライアンス戦略は、単なる罰則を回避することではありません。彼らは、信頼できる高品質の医療を提供するための基礎的です。規制のフルスコープを理解し、堅牢な政策と構造化されたコンプライアンスプログラムを開発し、技術やトレーニングに投資し、新興課題に積極的に取り組むことで、医療組織は患者データを保護し、リスクを削減し、完全性のための評判を築くことができます。コンプライアンスは、組織のすべてのレベルにコミットメントを必要とする継続的な旅ですが、利点 - 改善された患者の信頼、運用効率、および法的セキュリティ - 侵害の危険性を検証するという問題に対する決定的な取り組みです。