HIPAAとは何ですか？

米国の医療情報に関する包括的なプライバシー・セキュリティ法。医療機関やその取引先に対して、患者の医療情報（PHI）の保護を義務付ける。違反すると高額な罰金が科される。

HIPAAのポイントは？

患者の医療情報（PHI）の取り扱いに関する米国連邦法。プライバシールール、セキュリティルール、違反通知ルールで構成。医療機関だけでなくクラウドベンダーなどの取引先も対象。違反した場合、最大約2,000万ドルの罰金が科される可能性がある

【ひっぱー】

💡 あなたの病歴は厳重に守られるべき、米国医療情報保護の法律

📌 このページのポイント

HIPAAの構成

ひよこ

HIPAAって、アメリカだけの法律なの？

ペンギン先生

そうだよ、米国の連邦法だね。でも米国の医療機関と取引する世界中の企業が対象になるから、日本の企業でも関係することがあるんだ。クラウドサービスで医療データを扱う場合は特に注意が必要だよ

ひよこ

何を守る法律なの？

ペンギン先生

患者のPHI（Protected Health Information：保護対象医療情報）を守る法律だよ。氏名、住所、生年月日、病歴、検査結果、保険情報など18種類の識別子が含まれるデータが対象なんだ

ひよこ

違反するとどうなるの？

ペンギン先生

違反の程度によって4段階の罰金があって、最も重い場合は1件あたり約200万ドル、年間最大2,000万ドルの罰金が科される可能性があるよ。実際に大手医療機関が数百万ドルの罰金を支払った事例もあるんだ

ひよこ

IT企業にも関係あるのかな？

ペンギン先生

大いにあるよ。HIPAAでは医療機関の取引先（Business Associate）も同じ義務を負うんだ。クラウドベンダー、SaaS提供者、ITサポート企業などが該当するよ。AWSやAzureにはHIPAA準拠の構成ガイドが用意されているんだ

まとめ：ざっくりこれだけ覚えればOK！

「HIPAA」って出てきたら「米国の医療情報を守る法律」と思えればだいたいOK！

📖 おまけ：英語の意味

「Health Insurance Portability and Accountability Act」＝医療保険の携行性と責任に関する法律

💬 1996年に制定された法律で、当初は保険の携行性が目的だったけど、プライバシー保護が主要な柱になったんだよ