特に厳しい管理が求められる医療機関での情報管理（2）

●医療機関に大きな影響を与えたHIPAA

米国では特に医療機関で個人情報保護するための法律が、連邦政府で制定されている。そもそも、このHIPAAとは何だろう。正式名称は医療保険の携行性と責任に関する法律(The Health Insurance Portability and Accountability Act)で1996年に可決されたが、発効は2003年4月。医療情報の電子化の推進とそれにまつわるプライバシー保護、セキュリティ確保について定めた。

実は当初の目的は、団体医療保険に加入している雇用者が転職するなどで、雇用主を変更した場合、既存の条件の権利放棄を得られるようにするものだった。それが、発効までの間に法解釈がどんどん変わり、医療機関はプライバシーの権利と医療情報のセキュリティを守るという内容も追加された。例えば、セキュリティセーフガードの実装を命じた項目もあり、米国内外で医療機関などに大きな影響を与えている。

HIPAAで定義されている保護すべき情報は、個人の特定が可能な情報だ。医療機関は
　　・情報の完全・機密性の確保
　　・情報のセキュリティおよび完全性に対する脅威や危険への対策
　　・情報の認可されていない使用や開示などに対し、妥当かつ適切な管理上、技術上、および物理的な保護対策の維持
が求められる。そのため、具体的に
　　・病院等でプライバシー保護の方針を定める
　　・従業員にその方針を教育
　　・徹底を目指して、全体を監視する担当者を定める
というものだ。

読んだ限りでは常識的なものだが、法定化、そして違反の場合は罰金を課すことになったため、医療機関側にとっては非常にコストのかかるものになった。厳しく明確に規定されたことで、医療機関では担当者を新たに雇用したり、社外のサービスを利用する必要があったためだ。今回紹介したコンピュータ盗難や内部犯による情報盗難はHIPAAの違反などとは解釈されていない。

●ブログに個人情報をポスティング

これは3月11日、米国カイザー・パーマネンテの元社員が、ブログに140名の患者の極秘情報を発表したとして、通知を行ったことを『Mercury News』が報道したものだ。

ブログに掲載した女性は、安全でないウェブサイトに患者の情報をカイザーがポスティングしたと『Mercury News』に語っている。「カイザーに（連絡をして）注意を促した」が放置されていたので、さらに「（社会に事実を知ってもらうために）ブログとして出すことにより、誰もがこの情報にアクセスできるということを指摘した。（警告を無視して、カイザーは情報を）1年以上にわたり、インターネット上に放置した」というのだ。また、市民権局(Office of Civil Rights)にセキュリティ違反だと通報したという。

【執筆：バンクーバー新報　西川桂子】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd