HIPAAコンプライアンスの最も重要な決定要因の一つは、送信される情報の性質です:それは機密PII(個人を特定できる情報)ではない場合、それは安全 PIIとは何ですか? 敏感なPIIは何であり、何ではありませんか? (印刷可能な版のためにここにかちりと鳴らしなさい)。
米国によると Office of Management and Budget,pii–または個人を特定できる情報–は、個人を一意に識別、連絡、または特定するために使用できる情報、または他の情報源と一緒に使用して個人を一意に識別することができる情報です。
機密性の高いPIIは、開示されたときに、名前または身元が情報にリンクされている個人に害を及ぼす可能性のあるものです。 PIIが機密であるかどうかを判断する際には、情報が使用されるコンテキストを考慮する必要があります。 たとえば、政府のニュースレターの購読者のリストはPIIではありません; 精神保健障害の治療を受けている人のリストです。
コンテキストを考慮するだけでなく、PII要素の関連付けは、保護の必要性を作成することができます。 以下の種類のPIIは、個人に関連付けられている場合は機密とみなされ、電子的に送信される場合は保護する必要があります:
- 出生地
- 生年月日
- 母親の旧姓
- 生体情報(その特性または特性による人間の識別)
- 医療情報
- 個人金融情報
- クレジットカードま>
- 人を中傷したり、悪影響を与える可能性のある情報
(このリストは網羅的なものではなく、他のデータが含まれている可能性があります 特定の状況に応じて敏感。最後の4桁のみを使用する省略されたSsnを含む社会保障番号(Ssn)は、個人に関連付けられているかどうかにかかわらず、機密性が高いと見なされます。
以下のタイプのPIIは、保護を必要とするほど十分に敏感ではないと考えられているため、保護なしで電子的に送信される可能性があります:
- 仕事、自宅、携帯電話番号
- 仕事と自宅の住所
- 仕事と個人の電子メールアドレス
- SSNが含まれていない履歴書やSSNが隠されている履歴書
- 履歴書や伝記に見られる個人に関する一般的な背景情報
- 評価なしの職位の説明とパフォーマンスプラン
PIIが機密ではないという判断は、それが公にリリース可能であることを意味するものではありません。 情報を公に公開する選択は、そのような決定を下す権限を与えられた公式によってのみ行うことができます。 機密性のないPIIの電子送信は、米国の郵便、プライベート配信サービス、宅配便、ファックスまたは音声を介して同じ情報を送信することに相当します。 これらの配信にはそれぞれ脆弱性がありますが、送信された情報は、盗難、詐欺、またはその他の違法行為の結果としてのみ侵害される可能性がありま