1 / 27

米国 HIPAA 法視察報告

保険医療福祉情報システム工業会. 平成17年度業務報告会. 米国 HIPAA 法視察報告. 平成17年7月1日 医事コンピュータ部会 副部会長 芝田 佳樹. AGENDA. 視察目的・内容 HIPAAの概要 HIPAA規定と適用状況 トランザクション規定 プライバシー規定 セキュリティ規定 まとめ. 視察の背景及び目的. (背景)  ◇日本   ・厚生労働省グランドデザイン レセ電算の推進   ・2005年4月個人情報保護法の施行  ◇米国   ・複雑な事務処理効率化のため 1996 年に HIPAA 法を制定

rufus
Download Presentation

米国 HIPAA 法視察報告

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 保険医療福祉情報システム工業会 平成17年度業務報告会 米国HIPAA法視察報告 平成17年7月1日 医事コンピュータ部会 副部会長 芝田 佳樹

  2. AGENDA • 視察目的・内容 • HIPAAの概要 • HIPAA規定と適用状況 トランザクション規定 プライバシー規定 セキュリティ規定 • まとめ

  3. 視察の背景及び目的 (背景)  ◇日本   ・厚生労働省グランドデザイン レセ電算の推進   ・2005年4月個人情報保護法の施行  ◇米国   ・複雑な事務処理効率化のため1996年にHIPAA法を制定   ①トランザクション規定、②プライバシー規定、③セキュリティ規定 (目的) 米国におけるHIPAA法の施行状況を日本と比較し普及の誘導施策や現状の課題と対策を調査することとし、産業界として何をすべきかを明確にする。

  4. 視察先 ○Center for Medicare & Medicaid Service  ◇連邦政府保健・福祉省のサブ機関(わが国の社会保険庁に相当)  ◇メディケア(高齢者医療保険制度)、メディケイド(低所得者医療保険制度)の   運営とHIPAA法の運営を行う。  ◇職員数4,500名。連邦政府保健・福祉省の予算の80%を使っている。   ($45億)。本部はワシントンD.C、ボルチモア(他に10支部) ○アメリカ病院協会  ◇米国病院の7割が加入する団体。  ◇ワシントンに100名、シカゴに300名の職員。  ◇個人と地域社会の健康に奉仕する団体・個人のメンバーシップ組織で構成 ○ジョンズ・ホプキンス病院  ◇1889年設立。全米病院ランキングで14年連続1位。  ◇ベッド数1,025床、外来患者数年間150万人、入院患者数年間70,000症例。  ◇従業員 医師2,000名以上、看護師その他約20,000名。 ○コロンビア大学メディカルセンター  ◇1868年設立の総合病院(1911年よりコロンビア大学医学部の付属病院)  ◇ベッド数2,405 床、年間40億ドルの収入、ニューヨーク州の27%のマーケットシェア  ◇従業員 医師3,000人、看護師3,000人、マネジメント3,000人、その他5,500人

  5. HIPAA法概要 ①背景 HIPAA法とは HIPAA法(Health Insurance Portability And Accountability Act of 1996) ~健康保険の相互運用及び説明責任に関する法律~ HIPAA法制定の背景 (保険制度) ・米国では、医療保険は基本的に民間に委ねられている。 ・国民は様々な医療保険会社と保険契約を行う。 (問題点) ・転職や、別州に引っ越した場合に、今まで加入していた医療保険が利用できない。 ・病院における保険請求業務が複雑(保険会社毎に書式等が異なる)で事務効率が悪いため、高コストとなっている。(約400種類の書式)

  6. HIPAA法概要 ②目的 HIPAA法(TitleⅡ)の主な目的  ① EDI(電子交換)の使用を通して健康保険の事務コスト削減  ② 健康保険の適用範囲(州をまたがった場合など)の継続  ③ 健康保険システムの悪用・不正の管理(セキュリティの充実)  ④ 連邦議会による患者のプライバシー保護 Health Insurance Portability & Accountability Act of 1996 TitleⅡ:Administrative Simplification Privacy Rule 2003/4/15 Transaction Sets 2003/10/21 Security Rule 2005/4/15

  7. HIPAA法概要 ③経過 1996年8月 HIPAA法 法制定 2001年4月 PrivacyStandard発行 2003年1月 Privacy情報のCodeの標準化 2003年2月 SecurityStandard発行 2003年4月 PrivacyStandard 適用デッドライン 2005年4月 SecurityStandard 適用デッドライン

  8. HIPAA規定と適用状況 ①トランザクション規定~HIPAA法請求に関連する組織~HIPAA規定と適用状況 ①トランザクション規定~HIPAA法請求に関連する組織~ ①保険者(Payer)  ・メディケア(連邦政府)  ・メディケイド(州政府)  ・民間保険会社   (ブルークロス・ブルーシールド、オックスフォード、DHAI等) ※各保険者がガイドラインを持っており、一番厳しい規則を持っているのが      メディケアである。 ②主要なクリアリングハウス  ・Claredi:http://www.claredi.com/ HIPAA対応のため公的に利用。病院でガイドラインなどを作る時にHIPAA   に準拠しているかの確認、修正を行う。  ・EDIFECS:http://www.edifecs.com/   州政府の保険であるメディケイドを扱う。  ・NDCHealth:http://www.ndchealth.com/   請求データを送る。病院のシステムはNDCHealthへのデータ送信のための   フロントエンドに使う。  ・Web MD:http://www.webmd.com/

  9. HIPAA規定と適用状況 ①トランザクション規定~請求処理とクリアリングハウスの役割~HIPAA規定と適用状況 ①トランザクション規定~請求処理とクリアリングハウスの役割~  請求業務においては病院が直接各保険会社に請求できるようなシステムとして対応ができていないため、 HIPAA法のコード設定の標準化対応については、それを代行する外部委託業者であるクリアリングハウスを利用していることが多い。また直接請求を行うと請求通りに支払いを受けられないリスクを解消する目的としても利用価値がある。 ◇クリアリングハウスの主な業務 ①HIPAA法遵守のトランザクション処理の代理 ②電子通信ネットワーク(広範囲) ☆クリアリングハウスへの支払いは1請求につき3セント程度 ※米国では日本と異なり保険請求は1日単位で行っている。

  10. HIPAA規定と適用状況 ①トランザクション規定~課題~HIPAA規定と適用状況 ①トランザクション規定~課題~ • コード情報やフォーマットの標準化は比較的順調に行われたが、情報量が膨大になってしまった。これについて、病院協会としては工程を簡素化したが、医療に関する情報の簡素化については課題がある。 • 請求に対する症状詳記が課題。請求時に保険者毎にユニークな情報を出さなければいけなくなると、非常に多くの時間と費用が必要となり、HIPAA法の目的から外れていってしまうと考えられる。

  11. HIPAA規定と適用状況 ②プライバシー規定~背景及び目的~HIPAA規定と適用状況 ②プライバシー規定~背景及び目的~ (背景) 医療保険の請求事務を簡素化することを目的として検討が始まったが、医療情報が電子交換されるにあたり個人情報の適切な取り扱いを規定する必要が生じた。 (目的)   「個人の医療情報が適切に保護されるとともに高品質のヘルスケアの提供と公衆衛生の向上目的で活用される」こと ※HIPAA法が制定された1996年からプライバシー規定が公布される2001年までの5年間の間に規定に対するコメントの受付が行われ、1999年の一般公開後には一般から52,000のコメントが提出された。2003年4月まで準備期間が設けられた。2002年8月には「研究目的の情報利用に対する基準緩和」と「商業目的の情報利用に対する基準強化」などを含む一部改正が行われている。

  12. HIPAA規定と適用状況 ②プライバシー規定~適用対象機関~HIPAA規定と適用状況 ②プライバシー規定~適用対象機関~  プライバシー規定が適用される機関(Covered Entity:以下CE)としては以下の機関があげられる。

  13. HIPAA規定と適用状況 ②プライバシー規定~保護される情報~HIPAA規定と適用状況 ②プライバシー規定~保護される情報~ ◇protected health information(PHI)  プライバシー規定では、電子、紙、口頭などの形を問わず、CEとその事業パートナーにより保持・伝送される全ての「個人が識別可能な医療情報」を保護しており、この情報をPHI(protected health information)と呼んでいる。 ◇個人が識別可能な医療情報  以下の情報と関連した情報であり、個人が識別可能な一般的な識別子(名前、住所、生年月日など)を含むもの。  ・個人の過去、現在もしくは未来の肉体的、精神的な健康状態  ・個人に対してのヘルスケアの提供  ・過去、現在もしくは未来における個人に対して提供されたヘルスケアへの支払い

  14. HIPAA規定と適用状況 ②プライバシー規定~患者の権利~HIPAA規定と適用状況 ②プライバシー規定~患者の権利~ プライバシー規定では、連邦政府が患者個人に対して認めた権利として、次のように5つの権利について明確に定義されている。

  15. HIPAA規定と適用状況 ②プライバシー規定~プライバシー取り扱い通知~HIPAA規定と適用状況 ②プライバシー規定~プライバシー取り扱い通知~ コロンビア大学メディカルセンターで 入手したプライバシーの取り扱い通知の例 ジョンズ・ホプキンス病院で入手した プライバシーの取り扱い通知の例

  16. HIPAA規定と適用状況 ②プライバシー規定~情報の利用と公開~HIPAA規定と適用状況 ②プライバシー規定~情報の利用と公開~ プライバシー規定が適用される機関(Covered Entity)においても以下の目的や状況の場合は、患者個人の同意なしにPHIの利用・公開が許可されている。 ① 患者本人に対して公開する場合 ② 診療行為、請求行為などのヘルスケア活動を行う場合 ③ 患者に意思を確認して利用・公開する場合 ④ 付随的な利用と公開の場合 ⑤ 公的な活動及び福祉活動目的の場合 ⑥ 限られたデータセット(匿名化された情報) その他の場合は基本的に患者の同意が必要

  17. HIPAA規定と適用状況 ②プライバシー規定~罰則規定~HIPAA規定と適用状況 ②プライバシー規定~罰則規定~ 規定が侵害された場合について民事・刑事の両方について罰則が規定されている。 ※ 民事については罰則件数0件

  18. HIPAA規定と適用状況 ②プライバシー規定~苦情処理~HIPAA規定と適用状況 ②プライバシー規定~苦情処理~ (1)苦情受付方法 ・保健・福祉省の市民権課のWebサイトで患者から苦情申し立てを直接受付 ・侵害行為が行なわれたと発覚してから180日以内に申し立て (2) 苦情処理方法 侵害行為が行なわれた疑いがある医療機関等に対して、直接調査を実施 (3) 苦情の事例   1) 個人情報が不適切に公開され使用   2) 医療機関等でセーフガードを設けていない   3) 必要以上の個人情報が公開された   4) 患者の情報公開のアクセス拒否

  19. HIPAA規定と適用状況 ②プライバシー規定~課題~HIPAA規定と適用状況 ②プライバシー規定~課題~ ・ペーパーワークの増大。今まで政府機関等に提出していた書類をフォーマットが変わることにより新たに書き直さなければならなくなったことや、新たに公共機関への届出が必要になった。 ・複雑な組織において一つの標準で統一する場合、同じ患者でも部署ごとに対応が異なることがあり、統合が困難であり、管理者のトップダウンによるサポート体制が欠かせない。 ・法律の制定により、患者情報の保護から、たとえ警察が患者のデータを要求しても見ることができなくなった。 ・患者の許可がない場合に、友人や家族からの電話の問い合わせに対応できなくなった。

  20. HIPAA規定と適用状況 ③セキュリティ規定~目的及び概要~HIPAA規定と適用状況 ③セキュリティ規定~目的及び概要~ (目的) 2003年2月に発行されたセキュリティ規定は、医療保険、ヘルスケア・クリアリングハウス、そしてヘルスケア提供者(病院等)に対する電子的医療情報のセキュリティの規定である。このセキュリティ規定を使用することは、メディケア/メディケイド、そして私的保険を含む全ての保険プログラムを改善することとし、また保護医療情報のある一定のプロテクションレベルを確立することにより、ヘルスケア産業の効果性と効率性を改善する。 (時期) ・小規模の医療機関、保険会社以外は2005年4月21日までに遵守 ・小規模医療機関、保険会社は2006年4月21日までに遵守 (規定の構成) ①管理運営における保護手段 ②物理的保護手段 ③技術的保護手段

  21. HIPAA規定と適用状況 ③セキュリティ規定~管理運営における保護手段~HIPAA規定と適用状況 ③セキュリティ規定~管理運営における保護手段~

  22. HIPAA規定と適用状況 ③セキュリティ規定~物理的保護手段~HIPAA規定と適用状況 ③セキュリティ規定~物理的保護手段~

  23. HIPAA規定と適用状況 ③セキュリティ規定~技術的保護手段~HIPAA規定と適用状況 ③セキュリティ規定~技術的保護手段~

  24. HIPAA規定と適用状況 ③セキュリティ規定~事例(コロンビア大学)~HIPAA規定と適用状況 ③セキュリティ規定~事例(コロンビア大学)~ ◇セキュリティにおける10個の方針(管理項目) ①リスクマネジメント ②アクセスコントロール  ③一般的な保護項目  ④端末の使用 ⑤監査 ⑥物理的なセキュリティ  ⑦事業の連続性  ⑧従業員管理  ⑨罰則・事例 ⑩事業パートナーとの契約 ※各項目について詳細な手続き、標準を定義している ◇セキュリティ確保のための方策 ①認証、認可、監査記録  ②ユーザーデータベース管理 ③ネットワーク、ホストコントロール ファイアウォール、VPN、ウイルス対策、スパム対策、侵入検知/予防  パスワード管理、単一認証/LDAP、CCOW、パッチ管理、プロセス隔離など ④資産データベース管理 ⑤資産や医療機器の数 ◇従業員研修 ①利用者  パスワード管理、罰則、事例報告、許可される利用方法 ②IT管理者  技術教育、アカウント作成・削除手続き、政策、監査手続、事例処理 ③経営者  必要最小限のデータ利用、政策、監査手続き、罰則事例

  25. HIPAA規定と適用状況 ③セキュリティ規定~課題~HIPAA規定と適用状況 ③セキュリティ規定~課題~ • HIPAA法のセキュリティ規定は具体的システムに対しての規定はないので、いろいろな対応方法が検討できる。小さい病院だとパスワード認証レベルでも対応可能だが、大きな病院になればバイオメトリクス認証が必要の可能性もある。 •  大病院では導入しているシステム数が百数十以上にものぼり、それぞれどのように対応していくか調整が困難である。 • PDA、Lap Topなど患者の診療情報を電子的に見る方法は様々であるが、それらをどのように保管、管理していくか。 •  医師、看護婦、運営関係者、IT関係者などの従業員への訓練方法

  26. TOPIC 施設見学者に対する守秘義務の覚書

  27. 全体のまとめ ◆実際の保険請求については、クリアリングハウス(保険請求代行会社)に依頼しており、施行前と作業の変化は少ない。 ◆請求に付加する病症詳記等については標準化されていないため、保険請求に対するトランザクションが大となり、現状は請求に対する作業効率が非常に悪い。今後早急に行政府と調整し標準化する必要がある。 ◆プライバシーに関しては施行直後で、現状は問題や課題が山積しており、これを解決すべく必死になって取り組んでいる状況である。 ◆病院における個人プライバシー保護については、病院という種々のセクションのある中では、トップダウンのサポート体制がなければ不可能。行政府から新しい規制も出ているので、職員への教育研修体制が必要。

More Related