HIPAAがすべての注目を集めている間医療業界では、HITECHによって具体的に義務付けられていることを理解することが重要です。特に、HITECHでは、保護された医療情報（PHI）を保護するだけでなく、デジタル化して患者や医師と電子的に共有する必要があることを考慮してください。企業はまた、HITECHがHIPAA要件を変更および拡大する方法を理解し、両方の要件に対応できるファイル暗号化および電子メールコンプライアンスソリューションを考案する必要があります。

HITECHコンプライアンスの基本

HITECH 、または経済的および臨床的健康のための医療情報技術法は、組織が電子健康記録（EHR）の「採用と有意義な使用を促進する」ことを奨励するために作成された2009年の法律です。HITECHは、医療記録をデジタル化し、それらを使用して改善するためのインセンティブを課します。医療の質、およびEHRを十分に活用できなかった場合の罰則。

HITECH法はまた、罰則を強化し、HIPAA違反の施行を変更し、罰則を増やしながら4つのレベルの違反を作成しました。最大150万ドルの罰金。HITECHにより、違反が発生したことを知らなかった場合でも、違反は最低のカテゴリに分類されますが、エンティティは罰則の対象となります。HITECHでは組織も許可されています。違反が怠慢によるものではない場合にペナルティを免れるためのイオンであり、30日以内に修正されます。

HITECHコンプライアンス目標

HITECHの最終的な目標は、安全で相互運用可能な使用を促進することです。米国全体のEHRこれを行うには、意味のある使用の3つのフェーズがあり、品質とセキュリティの保護手段とともに、EHRの展開を増やす必要があります。

ステージ1のルールは、専門家や組織によって多少異なります。対象となる医療専門家は、15のコア目標、10の「メニュー」目標のうち5つ、および6つの臨床品質測定（CQM）を満たす必要があります。病院には15のコア、5つのメニュー、および15のCQMがあります。プロバイダーは、適用されない基準を満たすことを免除されます。たとえば、カイロプラクター処方箋を書かないため、電子処方箋を使用する必要はありません。

主な目的には、薬物の相互作用のチェック、重要な兆候の記録とグラフ化など、医療の質を高めるための対策が含まれます。 EHRの導入や保護など、意味のある使用目標。

HITECHステージ2では、プロバイダーは高度な方法でEHRの使用を開始する必要があります。HITECHに準拠するには、プロバイダーはEHRまたはコンピューターリソースを使用して次のことを行う必要があります。

• 少なくとも5つの臨床決定をサポートする
• 処方箋の60％以上を記録し、ラボと放射線の両方の注文の30％を記録する
• 処方箋の50％以上を送信する
• 患者が転送されたときにケア記録を送信する
• 患者固有の教育を提供するn〜10％を超える患者
• 患者が転送されたときに薬の正確なリストを編集して確認する
• 患者に自分の健康記録へのオンラインアクセスを提供する
• 患者に提供するオンラインで安全に通信する方法、および
• 予防接種やその他の公衆衛生データを追跡する。

電子セキュリティは、フェーズ2HITECHコンプライアンスの最初の目標です。暗号化、セキュリティリスク分析、セキュリティ更新はすべて、「患者の健康情報を保護する」ために特に義務付けられています。

HITECHフェーズ3はまだ解決されておらず、プログラム全体が進化し続けています。ただし、変化は、ヘルスケアを改善するためにEHRを使用する必要性と、患者の記録を保護するための優れたセキュリティの必要性です。

HITECHおよびHIPAAコンプライアンス

HITECHは、プロバイダーがHIPAA認定を受ける必要があります。オムニバスルールの基準。前述のように、HITECHコンプライアンスルールはHIPAA違反のペナルティを強化し、ステージ3はHIPAAによってすでに課されているセキュリティとリスク評価の要件をさらに強化する可能性があります。

HITECHもHIPAAを強化しました。違反通知ルール以前のHIPAAコンプライアンス要件では、対象となるエンティティが、保護された健康情報（PHI）に違反した当事者に危害を加えるリスクがあると判断した場合にのみ通知が必要でした。現在、セキュリティで保護されていないPHIには、tへの通知が必要です。彼は関係者、HHS、場合によってはメディアに影響を与えました。

HITECHは、PHIを使用、保存、または処理するすべてのビジネスパートナーを対象とするようにHIPAAコンプライアンス要件も拡大しました。つまり、EHRを保存するコンピューターで作業している請求会社、コンサルタント、IT技術者は、同じセキュリティ基準とプライバシー基準を維持するためのフックにいます。

医療機関が直面するPCIコンプライアンスルールを追加すると、不可能になります。セキュリティを少しずつ処理するために—説明することが多すぎて、重複する領域が多すぎます。組織は、すべてのコンプライアンス要件にまとめて対処する全体的なセキュリティ戦略を採用する必要があります。

意味のある使用の確保

意味のある使用要件の各段階で新しい技術的課題とリスク。ただし、医療提供者は、HITECHコンプライアンス要件だけでなく、セキュリティが技術的ニーズを満たしていることを確認する必要があります。ほとんどの組織にとって、これはHITECHが必要とするものを超えることを意味します。

ステージ1のHITECHコンプライアンスは特に暗号化を義務付けていませんが、HIPAA準拠の組織として、すでにすべての電子PHI（ePHI）に使用しているはずです。 ）、EHRおよび患者とのコミュニケーションを含みます。暗号化は長いデジタルキーでファイルをスクランブルし、ファイルにアクセスできない人がファイルを読み取れないようにします。

ファイルと電子メールの暗号化を使用すると、適切に暗号化されたファイルは保護されていると見なされるため、違反通知要件からも保護されます。 ;企業がePHIに違反したが、それを読み取るために必要なキーがない場合、ファイルを読み取ることができないため、通常、違反とは見なされません。 VirtruProの安全なメールやVirtruProのGoogleApps（現在はG Suiteとして知られています）暗号化などのプログラムをインストールし、スタッフにそれらの使用法を教えるために数分を費やすと、悪い報道や高額の違反からあなたを救うことができます。

ステージ1では、41 CFR.308で定義されているように、組織はセキュリティを確認し、欠陥を修正する必要があります。新しいポリシーを作成するだけでは不十分です。組織はまた、セキュリティを危険にさらす労働者を修正し、EHRやその他の医療データへのアクセスを追跡する必要があります。システムは、誰かがPHIまたはその他の保護されたデータにアクセスするたびに記録し、変更を追跡し、バックアップコピーを保存する必要があります。また、セキュリティ違反を監視する専任のセキュリティスタッフが必要です。

組織がEHRへの依存度を高めるにつれてステージ2の健康状態を改善するには、データを安全かつ便利に共有し、患者や他の医療提供者と通信するためのツールが必要です。多くのプロバイダーは、ヘルスケアポータルを使用して患者と通信し、EHRを共有することを選択します。それらはかなり安全ですが、便利にはほど遠いです。新しいユーザー名とパスワードが必要で、インターフェースが不格好で、相互に通信できない傾向があります。

患者が別のポータルを使用する別の病院やプロバイダーに行く必要がある場合は、記録を交換するための確立された方法、そして患者は複数のシステムを学ぶ必要があります。この種の不便さは、人々をあきらめて暗号化されていない電子メールの添付ファイルを送信するだけで、HITECHコンプライアンスを破り、そもそもポータルを持つという目的を無効にします。

Virtru Pro電子メール暗号化は、より優れたソリューションを提供します。標準の電子メールアカウントに強力なデータ中心の暗号化を追加します。患者と医療提供者は、暗号化されたファイルと添付ファイルをワンクリックで送信できます。Virtruがインストールされていない受信者にも送信できます。 Virtru Pro for G Suiteを追加することで、クラウド内のファイルを暗号化することもでき、EHRを安全に保存して共有する簡単な方法を提供します。

ステージ3については、何が来るのかわかりません。次。 HIPAAおよびHITECHコンプライアンス規則は、おそらく大きな変更に向かっています。これにより、規制が簡素化され、意味のある使用法が別の標準に置き換わる可能性があります。ただし、変更されないのは、EHRと電子メールを暗号化するための安全なツールの必要性と、リークを防止および軽減するためのセキュリティのベストプラクティスです。

継続的なHITECHコンプライアンスとセキュリティ

テクノロジーだけでは解決できない問題がたくさんあります。たとえば、暗号化によって従業員が弱いパスワードを選択するのを防ぐことはできません。また、自動ログアウトによって、ログイン中に患者がワークステーションを一瞥するのを防ぐことはできません。医療機関は、適切な監査、インテリジェントなテクノロジーポリシー、頻繁な監視を組み合わせる必要があります。セキュリティの文化を維持するためのフィードバック。

HIPAAコンプライアンスのベストプラクティス、特に物理的および管理上の保護手段は、ITセキュリティ以外で行うべきことの概要を示しています。物理的には、組織はEHRまたはその他のPHIが保存されているエリアへのアクセスを制御する必要があります。小さな診療所では、コンピューターが使用されている場所や古い記録が保管されている場所に患者を近づけないようにするのと同じくらい簡単ですが、大規模な病院では、アクセスを制御するには、警備員、セキュリティキーカード、施設の監視が必要になる場合があります。

HIPAAコンプライアンスルールに基づく管理上の保護措置により、組織は従業員とパートナー間の良好なセキュリティに責任を負います。セキュリティルールは、社内およびパートナーと署名するビジネスアソシエイト契約（BAA）の両方で詳しく説明し、頻繁なトレーニングによってバックアップする必要があります。

ただし、HITECHコンプライアンスはあなただけにとどまりません。組織とパートナー。別の病院に送られる、または患者と共有されるePHIを保護する必要があります。これは、すべての患者が使用するのに十分簡単なセキュリティツールとポリシーでのみ達成できます。

HITECHコンプライアンスには誰でも使用できるツールが必要です

HITECH法がEHRの使用を推進しているため 、より多くの患者と医療専門家がクラウド内の機密医療情報にアクセスしています。 残念ながら、これらの人々のすべてがセキュリティを気にかけているわけではなく、セキュリティを理解しているわけでもありません。 組織はこれまで以上に、誰でも使用できるセキュリティツールを必要としています。

Virtru Proは、ユーザーフレンドリーな安全な電子メールソリューションとファイル暗号化を提供します。 ポータルとは異なり、複雑なインストールや学習プロセス、または覚えておくための新しいログインIDは必要ありません。 Virtru Proは、HIPAAおよびHITECHに準拠した電子メールを医療提供者に提供し、ボタンを押すだけでメッセージとファイルを保護します。 誰でもメールを使用できるため、採用率が高くなり、違反のリスクが低くなり、HITECHコンプライアンス基準への準拠が向上します。