1996年に、米国議会は、医療機関が患者の医療情報をどのように開示するかを規制するために、健康保険の携帯性と説明責任に関する法律 - HIPAA - を可決しました。保健社会福祉省は、医療機関が法律にどのように準拠しているかを監視しています。監査人は、企業の医療データ記録プロセスをテストするときにチェックリストを使用します。
リスク分析と評価
HIPAAは、すべての医療機関、特に医療情報の収集、保持および転送に関与する機関が、定期的なリスク分析および評価セッションを実施することを要求しています。 HIPAAコンプライアンスを審査する監査人は、すべての事業部門がデータ漏洩による損失を被る可能性があるリスクを確実に監視します。リスク分析は、HIPAAセキュリティコンプライアンスのために主要な運用上の脅威となっている企業領域を特定します。リスクアセスメントは、インサイダー攻撃またはアウトサイダー攻撃の場合に機関が被る可能性のある損失の程度を決定します。
ギャップ分析
HIPAA用語では、ギャップ分析とは、セキュリティ要件を医療機関の既存のセキュリティインフラストラクチャにマッピングするために必要な手順のことです。言い換えれば、監査人は規制ガイドラインを分析し、それらを企業のセキュリティシステムと比較して、これらのシステムが法を遵守しているかどうかを検証します。ギャップ分析は、4つのステップ、ギャップの特定、修復活動の決定、プロジェクトの優先順位付け、およびリソース割り当てに従います。セキュリティ上の弱点を識別した後、監査人は部門長が適切に緩和策を講じていることを確認します。その後、レビュー担当者は、セグメントチーフが緩和プロジェクトに十分なリソースを確実に割り当てるようにします。
修復
修復は、HIPAAの監査チェックリストにおける重要な項目です。監査人はHHS指令に頼って、組織が潜在的なセキュリティ侵害を改善するための適切なリソースを確保していることを確認します。最先端の技術的ツールは、修復手順に不可欠です。これらのツールには、顧客関係管理ソフトウェア、エンタープライズリソースプランニングアプリケーション、プロセスリエンジニアリングソフトウェア、および欠陥追跡ソフトウェアが含まれます。潜在的なセキュリティの脅威を解決するために使用される他のツールには、分類または分類ソフトウェア、カレンダーおよびスケジューリングソフトウェア、患者関係管理プログラムおよびプロジェクト管理ソフトウェアが含まれます。
緊急時対応計画
企業は、緊急事態、事故、その他の業務の中断によって企業活動が停止しないようにするため、緊急時対応計画を立てています。運用の停止に伴う大きな損失を防ぐために、企業は事業継続計画とも呼ばれる緊急時対応計画を作成します。 HIPAAの監査人は、医療機関の事業継続計画をチェックして、その計画が緊急事態で発生する可能性のある重要な業務上の問題に対処していることを確認します。具体的には、監査担当者は、災害が発生した場合に、企業が代替サイトの業務を復元し、代替機器を使用して業務を回復する方法を確認します。
人事ポリシー
HIPAAの監査人は、医療記録を管理している担当者がその職務に必要な技術的知識と適切なスキルを持っていることを確認するために、企業の人事方針を精査します。米国労働省の職業研究部門であるO * Net Onlineによると、これらの担当者には、医療記録技術者、医療記録および医療情報専門家、医療情報係およびコーダーが含まれます。