Published June7,2018by Karen Walsh•4min read
職場におけるHIPAA違反は、医療提供者だけでなく、対象企業およびそのビジネス 雇用者は、従業員に医療を提供したり、障害給付の一部として健康情報を要求したりすると、HIPAAに違反する可能性があります。 毎日の人事活動の一環としてHIPAA職場違反が発生する可能性があるため、すべての企業は自分自身と従業員を保護する方法を認識する必要があり,
HIPAAとは何ですか?
1996年に制定された健康保険の可搬性と説明責任に関する法律(HIPAA)は、ある仕事から別の仕事に移ったときに個人の健康情報を保護することを さらに、米国保健福祉省(HHS)は2003年にプライバシールールを可決し、保護された健康情報(PHI)を”健康状態、医療の提供、または個人にリンクできる医療の支払いに関するカバーされたエンティティが保持するすべての情報”と定義しました。,”2005年、HIPAAへのセキュリティルールの更新は、電子的に格納されたPHI(ePHI)に焦点を当てました。 プライバシールールとは別に、医療情報を共有するためのデジタルプラットフォームの使用の増加は、以前よりも多くの情報システム
どのような従業員情報がPHIまたはePHIの資格を持っていますか?
HIPAAプライバシールールには、従業員のヘルスケア計画を管理するために収集した医療記録または健康計画記録が組み込まれています。 雇用記録に健康関連の情報が含まれていても、雇用記録には適用されません。,
たとえば、病気休暇や労働者の補償を文書化するために従業員に健康情報の提供を依頼した場合、この情報はプライバシールールには該当しません。 ただし、従業員の医療提供者に連絡すると、プロバイダーが提供する情報はプライバシールールに該当します。
人事部は何を知る必要がありますか?
多くの人事部門は、従業員のための医療給付を組み込んでいます。, 会社が従業員に対象健康計画を提供している場合は、セキュリティルールに準拠するためのしきい値を満たすかどうかを判断する必要があります。
まず、管理する計画のタイプと関与する人の数を調べる必要があります。
あなたのプランは50人以上の参加者をカバーしていますか?
答えが”はい”の場合、セキュリティルールが適用されます。
答えがいいえの場合:
第三者はあなたの健康保険プランを管理していますか?
この質問に対する答えが”はい”の場合は、HIPAAセキュリティルール違反について心配する必要があります。,
グループのヘルスケアの計画のスポンサーとして作用する(これはあなたの適用範囲が広い支出勘定および従業員支援プログラムのための売り手を使
しかし、この最後の質問に対する答えは”はい”です。”ここで混乱する部分は、計画のスポンサーだけであっても、計画管理者または第三者のベンダーを確認する必要がある人として機能している可能性があ たとえば、従業員に柔軟な支出口座または従業員支援プログラムを提供する場合、セキュリティルールが適用されます。
セキュリティ管理プロセスとは何ですか?,
職場HIPAA違反から会社を保護するための最初のステップは、リスク分析を作成することにあります。 組織が保有するすべての情報、データが存在する場所、およびePHIの機密性、整合性、可用性に影響を与える可能性のある潜在的なリスクと脆弱性を決定する
リスク分析を完了したら、これらのリスクと脆弱性の可能性を減らすためのセキュリティ対策を作成する必要があります。 これらのリスクを軽減するには、情報を保護する方針、手順、およびプロセスを確立する必要があります。, たとえば、文書の盗難のリスクを軽減するロックなどの物理的な保護を作成したり、多要素認証を組み込んでデバイスを不正な使用から保護したりすることができます。
セキュリティ対策を確立した後、それらが機能することを確認する必要があります。 セキュリティ対策を確認するときは、技術的な観点と非技術的な観点の両方からそれらを見たいと考えています。, この評価中に、セキュリティ対策が組織を保護しなくなったため、従業員、環境、技術の変化に対応するためにコントロールを調整する必要があること
HIPAA職場違反を防ぐためにどのような従業員情報を保護する必要がありますか?
健康保険プログラムを管理するために第三者の管理者を雇っても、人事部門はPHIおよびePHIにアクセスできます。, あなたの人事部門と福利厚生担当者があなたのベンダーと医療計画を調整する場合、それらの会話に含まれる情報はHIPAAの対象となる場合があります。
組織は、人事部門がアクセスするという点でPHIとePHIをどのように保護できますか?
まず、人事および福利厚生担当者は、送信された情報、保存方法、および管理機能を実行するための情報の使用方法をカタログ化する必要があ,
さらに、人事部および福利厚生担当者は、従業員がイントラネットを介して送信できる情報と同様に、サードパーティのサービスプロバイダーとの通信がセキ したがって、保管中および転送中の情報を保護するポリシーとプロセスを作成する必要があります。 これらの保護に取り組む必要がありおイントラネット、インターネットや電子メールとベンダー
最後に、IT部門はアクセス制御を確立する必要があります。, これらはタイプの行政機能、システム使用用途システムの機能をアプリケーション、データファイル、分野内のファイルです。 次に、HRとITが連携して、どの従業員グループがそれぞれにアクセスする必要があるかを決定し、ファイルのセキュリティ設定を読み取り、作成、変更、削除、
認識されたHIPAA違反から保護するにはどうすればよいですか?,
会社でHIPAA違反が発生したかどうかを判断する上で最も難しいのは、誰が情報を共有し、どのように情報を取得したかを理解することです。
HIPAAは、人事ファイルとレコードPHIを考慮していません。 したがって、レコードに従業員の健康状態に関する情報が含まれていても、HIPAAは適用されません。 しかし、従業員が理解できない。 混乱した従業員は、公民権庁(OCR)に違反を申し立てることができます。 この調査は、守るために時間とお金がかかります。,
あなたの人事部門は、従業員が保護されていると認識する記録を保護するポリシーと手順を開発する必要があります。 たとえば、PHIを呼び出すように見える不適切な質問に関する管理を訓練することができます。 HIPAAはこれらを規制していませんが、従業員はそれを認識せず、主張を確立しようとするかもしれません。
ZENGRCがHIPAAコンプライアンスを可能にする方法
ZenGRCは、さまざまな標準やフレームワークにわたってコントロールをマッピングするためのシードコンテンツ この速度のヶ処理することができるのでギャップ分析,
医療提供者は、適切なIT HIPAAコンプライアンスを確保するために、HITRUST、COBIT、COSO、ISO、PCI DSS、およびNISTフレームワークから選択できます。 さらに、HIPAA準拠を目指すビジネスパートナーは、ギャップ分析ツールを使用して現在のコンプライアンスを迅速に表示し、追加作業を行う必要があるかどうかを判断できます。
ZENGRCを使用してHIPAAコンプライアンスの負担を軽減し、スケーラビリティのプロセスを高速化する方法の詳細については、デモをスケジュールしてくださ