アクセッション番号+サービス(CPTコード)+サービスの日付は、HIPAAの下でPHI(保護された健康情報)と見なされますか?
医師向けの期限切れのワークリストで構成されるシステムを設計しているとします(たとえば、Doctor Xには3つの期限切れの研究があります)。通知では、受入番号/ CPTコード/勤務日によって医師がレビューする必要のある研究を識別できるため、医師は欠落している研究を確認できます(3つの期限切れの研究に同意できない場合)。
そのアクセッション番号/サービス/サービスの日付は、病院以外のシステムに送信または転送される可能性がある電子メールに含まれていますか?
一方で、アクセッション番号+サービス+日付の知識では、患者(特定できない)や追加情報なしの研究結果を特定することはできません。
一方、各アクセッション番号は1人の個人にのみ関連付けられているため、研究目的などでデータを匿名化するときに通常削除されるのはPHIのタイプです。
ここHIPAA法 に基づいて質問した数か月後、私はこれに自分で回答しました(66ページを参照-セクション164.514を参照)。
要約すると、研究目的で使用する前に臨床データを匿名化する場合は、アクセッション番号(一意の識別番号)を削除する必要があります。ただし、暗号化されていない電子メールに対して日常的なビジネス目的で(たとえば、詳細な患者データに接続せずに)アクセッション番号を使用する(たとえば、医師の期限切れのワークリストを生成する)ことはおそらく問題ありません。
アクセッション番号自体は、特定の病院で行われる各サービスに関連付けられた6〜10桁の無意味な番号です。特定の患者に対して行われた特定のサービスにアクセッション番号を結びつけるその病院の特定のデータベースにアクセスできないと、患者を特定することはできません。この種のシナリオでは簡単に議論できます。アクセッション番号はPHIではなく、HIPAAは特に、この番号を使用して誰かを特定できるリスクは無視できる(この場合のように)と判断する専門家には例外があります。
ただし、臨床データ(実際のMRIスキャンや詳細なテスト結果など)を匿名化する場合は、すべてのアクセッション番号を削除することをお勧めします。これにより、通常のデータベースシステムを使用して、アクセッション番号に関連付けられているユーザーを確認し、匿名化が不十分なデータを使用して、他の方法では取得できなかった詳細なレコードを取得できなくなります。
HIPAAに基づく特定されていないデータのセーフハーバー規定の対象にはなりません。