web-dev-qa-db-ja.com

「守秘義務」の程度は異なりますか?心理学者が患者とのコミュニケーションの機密性を維持するための最良の方法は何ですか?

私の技術に精通していない友人は心理学者です。彼女には、テキスト、電子メール、ボイスメール、その他の媒体など、あらゆる種類の媒体を介して通信するように常に彼女を招待する多くの患者がいます。しかし、彼女は情報セキュリティについて十分な知識がないことを懸念しており、詳細を知りたいと考えています。

医師(臨床心理士の実践)として、彼女には2つの主要な目標があります。

  1. 彼女の患者とのコミュニケーションの機密性を維持できるようにするため。
  2. 情報をオフレコのままにする必要がある場合に、オフレコのままの方法でコミュニケーションする方法を知っているように、コミュニケーション方法についてインテリジェントな選択を行うこと。

最近の情報セキュリティの問題を考えると、彼女はこれらの目標を達成するための最善の方法がわからないので、私は情報セキュリティSEに質問をすることを提案しました。

明らかに、私の友人は情報セキュリティについてたくさん読みたがらないでしょう。彼女はまた、おそらくすべての心理学者に共通する、これら2つの特定の目標に合わせた情報を探しています。

私の質問:

上記の2つの目標を達成するための最良の方法は何ですか?

1
Stan Shunpike

私は、電子メールが、特に心理学者とその患者との間のあらゆる種類の機密情報交換にとって十分に安全である可能性があるという考えに反対したいと思います。

よく引用されるルールは、暗号化されていない電子メール通信は、はがきの裏に書いたかのように、常に機密扱いにする必要があるというものです。実際には、ポストカードでメッセージのインデックス作成、検索、フィルタリングを行うのはかなりの作業であるため(特に最初にコピーを作成する必要があるため)、それよりも少し悪いですが、電子メールでも同じことを行うのは簡単です。

少なくとも、心理学者のメールプロバイダーと患者のメールプロバイダーの両方で機密性の侵害があります。さらに悪いことに、患者のメールプロバイダーは、交換される情報に実際に関心を持っている可能性のある雇用主である可能性があり、さらに悪いことに、内部ポリシーが多くの方法で設定されている場合は、その電子メールを検査する法的権利を持っている可能性があります。

また、「攻撃者が誰かのライフストーリーを読むインセンティブはない」という考えにも反対したいと思います。例として、アルコール乱用のカウンセリングに行くと言うかもしれない政治家を考えてみましょう。野党の政治家はそれについての情報がたくさんのお金の価値があると思うだろうと私は確信している。仕事関連の病気の症状が出ている従業員や離婚の両親など、他の多くの場合にも同じことが言えます。

最後になりましたが(免責事項:私は法律の専門家ではなく、HIPAAに関する知識は大雑把です)、HIPAAが適用される可能性は非常に高く、電子メールで患者に伝えることができるものがある場合はそれを規制する可能性が非常に高いと思います。

全体として、予定を設定する以外の目的で暗号化されていない電子メール通信を使用しないことをお勧めします。それでも、私は非常に警戒します。偶然にも、友人は自分とクライアントの証明書を設定し、暗号化された電子メールを使用することを検討するでしょう。電子メールの件名は決して暗号化されないことに注意してください。

[〜#〜] edit [〜#〜]これは、メールとの不一致を確認したかっただけの質問に対する答えではないことに気付きました声が出ました。後でもっと時間があれば、もっと包括的な答えを書きます。

EDIT2それで、アイデアを破壊するためにたくさんの言葉を費やしたので、建設的にしようとしましょう。電子メール(暗号化されていない)を使用できない場合、どのできるを使用できますか?

「最も簡単な」ソリューションは暗号化された電子メールです。サブジェクトフィールドに機密情報を入力しないように注意することを前提とすると、これは正しく設定された場合に非常に安全なソリューションです。

暗号化された電子メールを使用する際の通常の問題は、両方の当事者が証明書を持っている必要があり、信頼チェーンを正しく設定する必要があることです。これは通常、証明書が一元管理されていない場合は特に、かなり難しいと思われます。暗号化された電子メールは、組織内で非常にうまく機能します。組織内では、できれば社内ITから定期的に証明書が発行され、同じITによって電子メール、コンピューター、および適切に設定されているものが保証されます。悲しいことに、ほとんどの人が証明書の管理と使用に苦労する傾向があることを欠いています。それでも、人々が適切かつ一貫して使用される暗号化された電子メールを使用してこれらの障害に対処できると仮定すると、本当に非常に安全です。

私が検討するもう1つの方法は、適度に強化されたHTTPSを使用した接続のみを許可する通常のWebサーバーをセットアップし、そのサーバー上に非常に単純なメッセージングシステムをセットアップすることです。各クライアントは、最初に来たときにユーザー名とパスワードを選択できます。このパスワードは、HTTPSを介してシステムにログインするために使用されます。その後、Webサイトは、クライアントと心理学者の間で送信されたメッセージを保存して表示する以外のことはほとんど行いません。今ではこれは非常にうまく実装できますが、おそらく一人の医師にとってはやり過ぎでしょう。うまくやれば、それでも簡単に多くの人に役立つでしょう。

確かに完全に安全ではないが、妥当な程度のセキュリティで問題を解決する可能性のあるものでそれを締めくくるには、とにかくメールするよりもはるかに優れています。友人が機密情報を送信する必要があるのはごくまれですが、暗号化されたZipアーカイブを使用するのが非常に簡単で無料の方法の1つです。すべての最新のZipプログラム(winzip、7-Zip、gzipも)は、パスワードから派生したキーを使用した最先端の対称暗号化に対応しています。もちろん、キーを配布するという問題が残りますが、それは、事前に定義されたキー(少し厄介)を使用するか、たとえばSMS(あまり安全ではありません)を使用してキーを送信することによって処理できます。 SMSを使用してキーを送信することは確かに特に安全ではありませんが、データとキーを少なくとも2つの異なるチャネルに分割します。メッセージに到達したい場合は、適切な処理を行う必要があります。仕事量。連邦政府、NSA、地元の警察、あるいは本当に熱心な私立探偵に対しても安全ではありません。メールのみを使用してメッセージを送信するだけではありません。

個人的に私があなたの友人だった場合、彼らがその地域の他の医師によって使用されている可能性のある、または彼らが契約している可能性のある医療保険会社を通じて利用できる可能性のある、すでに設定された安全なメッセージングソリューションに参加できないかどうかを調べます。

最後になりましたが最も重要などのソリューションを選択した場合でも、HIPAA規制について幅広い知識を持っている人に相談することを強くお勧めします。オンラインでいくつかのことを調べていないので、コンプライアンス違反に対する罰則は非常に苦痛になる可能性があります http://www.aaos.org/news/aaosnow/aug12/managing5.asp 約50ドルについて000罰金。

4
DRF