−HIPAA−HIPAAとは、米国の医療保健の携行性と責任に関する法律で、正式には「個人保健情報のプライバシー保護に関する国家標準」と呼ばれています。
2003年4月14日に施行されたHIPAAのプライバシールールは、患者の保健情報が流通するあらゆる事業体に適用されるもので、病院、医師、健康保険会社、薬局、その他の医療サービス提供業者などがその対象ですが、実はこれらに限られません。患者の状態、受けている治療、医療に対する支払いなどに関係のある保健情報のうちで個人を識別できるようなものを、医療提供業者がどのように利用したり開示したりしているかが、この標準の条件の下で慎重に精査されなければならないのです。

■善意の法律
　→HIPAAのようなセキュリティに関係する規制を、押し付けがましく感じてしまうのは当然のことでしょう。しかし、これらの法規が善意の法であることを忘れてはいけません。電子化された情報の交換を標準化することによって、通信とトランザクションを簡便にして、安全性を高めることができます。すなわち、個人の保健情報が不当な利用や開示から確実に保護されるということです。HIPAA標準への準拠性が完全に達成されれば、一律の国家標準が確立されることにより、年何十億ドルもの節約になることが期待されています。ソフトウェアを開発し保守するためのコストが下がり、医療トランザクションの処理に必要な時間と費用が軽減されるからです。
この標準は、個人の医療記録やその他の個人保健情報の保護を特定の目的として施行される国家標準としては初めてのものです。HIPAA標準は広大なもので、その影響はあらゆる規模の医療事業体のあらゆるレベルの従業員にまで及びます。このプライバシールールの施行により、米国の医療産業はHIPAAルールの仕上げに向けて、一歩近づくことになります。

■患者の権利強化
　→プライバシールールによって患者の権利が強化されます。患者は、自分の医療記録の内容と開示に関して、これまで以上のコントロールができるようになるからです。このルールの下では、医療記録は患者の要求があってから30日以内に届けなければなりません。また、患者は、希望すれば自分の記録を吟味しコピーすることができます。さらに、患者の訴えが正当と認められれば、患者は自分の記録への修正を求めることができます。

■プライバシー要件
　→具体的にHIPAAプライバシールールの内容を覗いてみましょう。
・セキュリティに関する担当責任者と組織のポリシーを明確にする
・ポリシーへの苦情受け付け窓口を設置する
・職員にそれぞれの立場でセキュリティ教育を受けさせる
・患者に対して医療情報の取り扱い方を書面で説明する
・個人に対して、事前の同意がなく商品の送りつけができない
・情報コンサルタントは患者のプライバシー保護を契約で義務付けられる
・要件に違反した者は罰則が科せられる

■罰則
・違反１回に付き100ドル以下、同一の違反に付き年間2万5000ドル以下の民事罰金を科される
・標準に準拠しないベンダーは、メディカルケアの分野から追放される
・刑事犯罪が適用される

日本においても先日、個人情報保護法が成立しました。HIPAAのようなメディケアに特化したものはまだ存在しませんが、ガイドラインレベルの指針書は各省庁から既に配信されています。では、医療ベンダは患者情報の取り扱いについて、どのように対応すべきなのでしょうか。
患者情報の流通は特定の事業部だけに限ったものではなく、会社全体で個人情報保護に取り組まなければなりません。普段から口うるさく言われているウイルス対策や電子メールの扱いは、実はとても重要なことなのです。
今後、医療業界における個人情報漏洩事件が高い確率で発生することは容易に想像できます。なぜなら、我々ベンダーが情報保護の体制を整えても、病院サイドのITセキュリティ対策が必ずしも高いレベルであるとは限らないからです。