HIPAA違反とは何ですか?

HIPAA違反は、医療情報のプライバシーとセキュリティを侵害するPHIの準拠していない開示です。 基本的に、HIPAA違反は、情報を保護するための十分な予防措置がなかったため、誰かがすべきではないことを学んだときに発生します。,

組織または従業員がPHIが侵害された可能性が低いことを証明できない限り、ほとんどの場合、PHIの不正使用または開示は違反とみなされます。 HIPAAコンプライアンスの規制は厳格であり、HIPAA違反は、対象事業体(例えば、すべての病院、医療センター、医師のオフィス、医療提供者、および健康計画)およびビジネスアソシエイト(対象事業体の代わりに働く第三者)にとって高価になる可能性があります。

HIPAA違反に対する罰則は何ですか?,

保健福祉省公民権庁(OCR)は、小規模および大規模のHIPAA違反の両方に関わる病院、保健センター、または健康関連サービスを罰することにより、HIPAAコンプラ 患者の健康情報が侵害されていなくても、HIPAA違反の罰則は厳しくなる可能性があります。

HIPAA違反のコストは、以下を含むさまざまな要因に基づいて$100から$50,000の範囲です。

  • 悪意があったかどうか(市民対,asonable警戒
  • $10,000から$50,000違反が故意に怠慢に起因するが、30日以内に修正された場合
  • $50,000違反が故意に怠慢に起因し、30日以内に修正されない場合

刑事罰

  • $50,000プラス刑期の一年まで誰かが故意にPHIを開示したときに違反が発生した場合
  • $100,000プラス刑期の五年まで違反が発生した場合
  • $100,000プラス刑期の五年まで違反が発生した場合偽の口実の下で発生します
  • $250,000プラスまで10違反が個人的な利益のためにコミットされている場合の懲役期間の年(e.,g.PHIの販売)

個人はまた、過失による害をもたらす州法に対するHIPAA違反について民事訴訟または州訴訟を提起することができます。 いくつかのインスタンスでは、これらのHIPAA違反訴訟のケースは、OCRが発行することができます違反あたりの最大ペナルティである$1.5百万以上の罰金

HIPAA違反ケースの7例

意図的および偶発的なHIPAA違反ケースを発見し、解決するために公民権保健福祉省オフィスのために数ヶ月と数年かかること, また、調査中に追加のHIPAA違反が発見されることもあります。 以下のHIPAAケースの最も悲惨な違反のいくつかについて学びます。

イリノイ州に拠点を置く医療ネットワークは、徹底的なリスク分析を行うことができません。

2016年には、最大のHIPAA決済は、四百万人に影響を与える三つのデータ侵害に起因しました。 イリノイ州のヘルスケアネットワークは、暗号化されていないラップトップが従業員の車から盗まれた後、$5.5百万を支払い、別の事件では、四つのコンピュータが盗まれました。, 公民権局は、病院システムは、所定の位置にある技術的なセーフガードに加えて、物理的および管理上のセーフガードを占めるリスク分析を確立することが

学ぶべき教訓:HIPAA違反は、紛失または盗難された組織のデバイスの結果として一般的であるため、潜在的なリスクを分析し、適切なセーフガードでそれらを軽減することが非常に重要です。

テネシー州のイメージング会社は、複数のHIPAAルールに違反しています。,

2018では、テネシー州に拠点を置く医療画像サービス会社が3万ドルの罰金を支払い、HIPAA違反を解決するための是正行動計画(CAP)を採択しました。 のFBI発見されたのサーバーをインターネットで閲覧でき、誰でも検索-閲覧できますPHI上300,000個人経由の検索エンジンです。 発見後、彼らは当初、保護された情報が公開されていることを認めず、影響を受けた個人に147日間通知しませんでした。 これは、調査の遅れと報告規則の違反のために追加の罰則をもたらしました。, 調査を通じて、OCRはまた、HIPAAの下での要件であるサードパーティベンダーとのサービスに関するビジネスアソシエイト契約を締結していない例を発見しました。

学ぶべき教訓:疑わしいまたは既知のセキュリティ侵害が発生した場合、対象企業は報告ガイドラインに従い、60日以内に影響を受ける個人に通知

フィッシング詐欺を使用してサイバー犯罪者によって盗まれたメンバーデータ。

米国の大手健康保険会社は、2015年に標的とされたサイバー攻撃の犠牲者でした。, 2018で$16百万の和解で結ばれた調査では、サイバー犯罪者がネットワークとアクセスプランのメンバーのデータを入力するためにフィッシングを使用したため、78 OCRは、ePHIのプライバシーを維持するための技術的な方針と手順が不十分であったため、ePHIへの不正アクセスを防止できなかったことを含む、複数のHIPAA 史上最大のHIPAA和解として、彼らはまた、プライバシーが侵害されたメンバーに損害賠償を支払った。,

学ぶべき教訓:大規模な医療機関は、ハッカーのための特定のターゲットであるため、大規模な医療機関は強力なパスワードポリシーを確立し、潜在的なリ

テキサス州の保健システムは、プレスリリースで不正な識別可能な情報を開示しています。

2015年、テキサス州に拠点を置く保健システムは、報道機関へのメモを持つ患者による詐欺的なIDカードの使用に関する事件に対応しました。, プレスリリースでは、病院システムは、OCRがプライバシーに対する患者の権利を保護するために意図的な失敗であると判断したタイトルに自分の名前を含めることにより、関係する患者のプライバシーを侵害しました。 患者の名前を警察に公開することは許されましたが、病院システムによって発行された公的声明は、患者のプライバシーを保護しているはずです。 そうする失敗はそれらに$2.4百万を要した。,

学ぶべき教訓:ほとんどのHIPAA違反の和解は、医療記録の多数に影響を与えますが、OCRは、ただ一人の個人の医療データが関与している場合でも、HIPAA法を守るために深刻な措置を講じています。 HIPAAのプライバシー原則を必要とするPHIへの不正な不開示とさせていただきます。