毎年恒例のHIPAAコンプライアンスチェックの時間です!

公開: 2018-03-10

HIPAAはおそらくあなたのインターン(そしておそらくあなたの従業員の何人か)よりも年上なので、GDPRのおかげで私たち全員がデータ保護規制に注意を払っていますが、HIPAAコンプライアンスについて簡単に復習しましょう。

では、HIPAAとは何ですか?

1996年に設立されたHIPAAは、すべて米国の組織に関するものです。 これは、医療保険の相互運用性と説明責任に関する法律の略であり、顧客の健康情報にアクセスできる組織がその機密性の高い情報を適切に保護することを目的とした規則を定めています。

HIPAAが他のデータ規制ポリシーと異なる点は何ですか?

PIIではなくPHI

あなたが私たちのようであるなら、あなたはここ数ヶ月間脳にGDPRを持っています(そしてあなたが脳にGDPRを持っていないなら、多分私たちの規制に関する17の必知事項を後でではなく早くチェックしてください)。 GDPRは、すべてPII、つまり個人を特定できる情報に関するものです。 ただし、HIPAAは、保護された医療情報(PHI)に重点を置いています。 2つの間には多くの重複がありますが、PHIは特に、個人の過去、現在、または将来の潜在的な身体的または精神的健康状態に関連する、医療提供者によって作成または受信された情報を指します。

それをもう少し分解しましょう。 PHIには、医療記録、検査結果、入院日、退院日など、より明白な要素のいくつかが含まれます。実際、テレビの医師が病院のベッドの足元にあるクリップボードで探していると想像できるものはすべて含まれます。 ただし、患者の名前、電子メールアドレス、社会保障番号、IPアドレス、アカウント番号、画像、人口統計情報など、一意の個別のデータポイントも指します。

要するに、個人に関連する健康状態を暗示またはほのめかす可能性のある情報は、保護された健康情報と見なされるべきです。

「対象事業体」に適用されます

グローバルブランドの80%に影響を与えると言われているGDPRとは異なり、HIPAAは「対象エンティティ」に対してのみ義務付けられています。 この用語は次のことを指します。

  • 健康保険会社(HMO、会社の健康計画、メディケア、メディケイド)
  • 医療提供者(医師、診療所、専門家、薬局)
  • 健康データ会社
  • 請求会社、弁護士、会計士、ITチームなど、上記のいずれかにサービスを提供する会社および個人

ペナルティ

多くの規制と同様に、HIPAAに準拠しないことに関連する罰金があります。 HIPAAの罰金は、他の規制で見られるものほど高くはありませんが、ほとんどの場合、年間上限は約150万ドルです(GDPRの2,000万ユーロ、つまり年間収益の4%と比較してください)。

とはいえ、コンプライアンス違反の最も深刻なケース(組織が問題の修正に失敗し、明確な欺瞞的意図がある場合)では、コンプライアンス違反の企業の共犯者は、最高5年の懲役刑に処せられる可能性があります。 ええ、それは混乱させるものではありません。

待って、ブレイズHIPAAに準拠していますか?

はい、そうです! Brazeは対象エンティティではありませんが、従業員、クライアント、およびその顧客のセキュリティは私たちにとって最も重要です。 HIPAAは、他の規制とは少し異なります。これは、独自の地位を維持するためにすべてのサブプロセッサが準拠している必要がないためです。データに関しては、回避策を使用する必要があります(これについては後で説明します)。後で)。

とはいえ、Brazeプラットフォームは、「SecuritybyDesign」の概念に基づいて構築されています。 私たちは信頼と透明性を信じており、HIPAAの影響を受けるお客様には、ビジネス目標を達成するために可能な限り最善かつ安全な方法で当社のテクノロジーを使用するオプションを提供してほしいと考えています。

HIPAAの実際:では、顧客に何を言うことができますか?

これは、HIPAAで避けるべきメッセージの種類を理解するための経験則です。顧客が上司と会議を行っている、または共有画面でプレゼンテーションを行っていると仮定します。 あなたのメッセージが彼らを彼らの同僚の前に忍び寄らせる(または、単に彼らが共有したくないであろう個人情報を彼らの同僚に与える)なら…あなたはおそらくそれを送るべきではありません。

恐れることはありません。対象エンティティは、PHIを引き込まない限り、基本的なパーソナライズを使用できます。 さらに、HIPAAに準拠したまま、効果的なメッセージングに活用できる優れたツールがいくつかあります。

意味のある、準拠したマーケティングのためのヒント

念のため、コンプライアンスに関する法的アドバイスを提供することはできません。 ただし、PHIをシステムに通さずに、より魅力的なエクスペリエンスを顧客に提供するために、一部のクライアントが使用しているヒントとコツをいくつか紹介します。

セグメンテーション:

一部のブランドは、特定の素因を持つ人々にメッセージを送信していることを技術者に伝えずに、特定の顧客に関連するメッセージを送信できるように、コード化されたセグメンテーションまたはCSVを使用することを選択します。 内部システムで顧客をセグメント化し、A / B / C、1/2/3、またはペンギン/キリン/ユニコーン(これは仮名情報と呼ばれます)のラベルを付けてから、そのファイルをエンゲージメントプラットフォームにアップロードするだけです。 そうすれば、HIPAAに違反することなく、たとえば予約をしている人や年次試験の予定がある人に適切なメッセージを送信できます。

クロスチャネルメッセージング:

クロスチャネルメッセージングを引き続き使用でき、ユーザーのアクティビティを中心に洗練された調整されたキャンペーンを作成することもできます。 結局のところ、誰かがプッシュ通知を行ったかどうかはPHIではありません。

しかし、経験則テストに戻りましょう。 会議中にテスト結果に関する情報を含むプッシュ通知を表示しますか、それとも「あなたのためだけに選んだ:成人のほくろの色の変化パターンに関する新しい研究」というWebプッシュ通知を表示しますか? おそらくそうではありません。 電子メールも特に脆弱なチャネルになる可能性があります。 考えてみてください。あなたはまだ大学のメールを所有していますか? または、次の[email protected]に渡されましたか? どのメッセージを伝達するためにどのチャネルを使用するかを慎重に検討することは、顧客への働きかけが、到達しようとしている人々にとって価値があり適切であると見なされるようにするための重要な部分です。

最終的な考え?

選択するチャネルに注意し、会議のテストを常に念頭に置いてください。 メッセージについては、「こんにちは! あなたへの新しいメッセージがあります。 患者ポータルにログインして確認してください。」 そうすれば、デバイスが悪意のあるユーザーの手に渡った場合でも、ユーザーは誰がどのメッセージを見るかを制御できます。