CIPP-US 試験問題 11
職場を離れた従業員に対する雇用主のプライバシー関連の責任を最もよく表しているのはどれですか?
CIPP-US 試験問題 12
生徒が高校を卒業し、公立の高等教育機関に通っています。どのような条件であれば、学校は生徒の両親の同意なしに教育記録を合法的に開示できますか?
CIPP-US 試験問題 13
シナリオ
次の質問に回答するには、以下を使用してください。
デクランさんはウッドランド病院の放射線科で看護助手として働き始めたばかりです。また、正看護師になるためのプログラムも始めました。
このキャリアに進む前、デクランは医療保険の携行性と責任に関する法律 (HIPAA) について漠然と知っていました。彼は現在、患者の保護対象医療情報 (PHI) のセキュリティを確保するために尽力する必要があることを認識しており、プライバシーの問題について慎重に考えています。
初日の朝、デクランは、新しく雇われた受付係が各患者に HIPAA プライバシー通知を渡していることに気づきました。彼は、再診患者にこれらのプライバシー通知を渡す必要があるかどうか、また、放射線科部門が 1 回限りの配布システムによって紙の無駄を減らせないかと考えました。
彼はまた、病院が請求会社を利用していることにも興味を持っていました。請求会社が患者の治療に関する詳細を知っている場合、病院は患者のプライバシーを保護するためにできる限りのことをしているのだろうかと疑問を呈しました。
初日にデクランは、病院の大きな放射線科のすべてのエリアに精通しました。途中で残された機器を整理していたとき、彼は 2 人の病院管理者の会話を耳にしました。彼は、暗号化されていない患者情報を含むポータブルハードドライブが紛失したと聞いて驚きました。管理者は、病院が責任を回避できることに安堵しました。デクランは驚き、何が起こったのか病院が適切に報告する計画があるかどうか疑問に思いました。
デクランはこの問題について懸念を抱いていたものの、電子医療記録 (EHR) を患者の日常的なケアに統合しようとする病院の取り組みに驚きました。全国のすべての医療施設で EHR にアクセスできれば、ケアをさらに効率化できる可能性があると考えました。
デクランは患者と多くの良い関係を築いた。初日の終わりに、彼はジョンという患者と話をした。彼の父親は変性性筋疾患と診断されたばかりだった。ジョンは血液検査を受けるところだったが、血液検査で病気の遺伝的素因が明らかになり、保険適用を受けられなくなるのではないかと心配していた。デクランはジョンに、そんなことはあり得ないと思うと伝えたが、患者は理由を説明する前に車椅子で運び去られてしまった。ジョンはこの件について同僚に尋ねるつもりだ。
デクランは、1 か月後に、自分の選んだ健康に関するトピックの授業でレポートを提出しなければなりません。それまでに、デクランは、事例として使える患者とのやり取りをたくさん経験しているでしょう。遺伝子検査についてもっと慎重に考えるきっかけを与えてくれたジョンに、デクランは名前を挙げて感謝の意を表すでしょう。
デクランの一日は多くの質問で終わりましたが、彼は新しい役職に満足していました。
このシナリオに基づいて、デクランの上司が病院の請求会社の使用に関する質問に最もよく答える方法は何でしょうか?
次の質問に回答するには、以下を使用してください。
デクランさんはウッドランド病院の放射線科で看護助手として働き始めたばかりです。また、正看護師になるためのプログラムも始めました。
このキャリアに進む前、デクランは医療保険の携行性と責任に関する法律 (HIPAA) について漠然と知っていました。彼は現在、患者の保護対象医療情報 (PHI) のセキュリティを確保するために尽力する必要があることを認識しており、プライバシーの問題について慎重に考えています。
初日の朝、デクランは、新しく雇われた受付係が各患者に HIPAA プライバシー通知を渡していることに気づきました。彼は、再診患者にこれらのプライバシー通知を渡す必要があるかどうか、また、放射線科部門が 1 回限りの配布システムによって紙の無駄を減らせないかと考えました。
彼はまた、病院が請求会社を利用していることにも興味を持っていました。請求会社が患者の治療に関する詳細を知っている場合、病院は患者のプライバシーを保護するためにできる限りのことをしているのだろうかと疑問を呈しました。
初日にデクランは、病院の大きな放射線科のすべてのエリアに精通しました。途中で残された機器を整理していたとき、彼は 2 人の病院管理者の会話を耳にしました。彼は、暗号化されていない患者情報を含むポータブルハードドライブが紛失したと聞いて驚きました。管理者は、病院が責任を回避できることに安堵しました。デクランは驚き、何が起こったのか病院が適切に報告する計画があるかどうか疑問に思いました。
デクランはこの問題について懸念を抱いていたものの、電子医療記録 (EHR) を患者の日常的なケアに統合しようとする病院の取り組みに驚きました。全国のすべての医療施設で EHR にアクセスできれば、ケアをさらに効率化できる可能性があると考えました。
デクランは患者と多くの良い関係を築いた。初日の終わりに、彼はジョンという患者と話をした。彼の父親は変性性筋疾患と診断されたばかりだった。ジョンは血液検査を受けるところだったが、血液検査で病気の遺伝的素因が明らかになり、保険適用を受けられなくなるのではないかと心配していた。デクランはジョンに、そんなことはあり得ないと思うと伝えたが、患者は理由を説明する前に車椅子で運び去られてしまった。ジョンはこの件について同僚に尋ねるつもりだ。
デクランは、1 か月後に、自分の選んだ健康に関するトピックの授業でレポートを提出しなければなりません。それまでに、デクランは、事例として使える患者とのやり取りをたくさん経験しているでしょう。遺伝子検査についてもっと慎重に考えるきっかけを与えてくれたジョンに、デクランは名前を挙げて感謝の意を表すでしょう。
デクランの一日は多くの質問で終わりましたが、彼は新しい役職に満足していました。
このシナリオに基づいて、デクランの上司が病院の請求会社の使用に関する質問に最もよく答える方法は何でしょうか?
CIPP-US 試験問題 14
シナリオ
次の質問に回答するには、以下を使用してください。
あなたは、米国州 A の大都市にある主要病院 HealthCo の最高プライバシー責任者です。HealthCo は HIPAA の対象事業体であり、100,000 人以上の患者に医療サービスを提供しています。サードパーティのクラウド コンピューティング サービス プロバイダーである CloudHealth は、HealthCo に代わってこれらの個人の電子保護医療情報 (ePHI) を保存および管理しています。CloudHealth はデータを州 B に保存します。HealthCo と CloudHealth とのビジネス アソシエート契約 (BAA) の一環として、HealthCo はデータを適切に保護するために、業界標準の暗号化手法を含むセキュリティ対策を CloudHealth に実装することを要求しています。
しかし、HealthCo は契約締結前に CloudHealth に対するデューデリジェンスを実施しておらず、CloudHealth のセキュリティ対策の監査も実施していません。
CloudHealth の従業員が最近フィッシング攻撃の被害者になりました。従業員が不審なメールのリンクをうっかりクリックしたため、HealthCo の患者 10,000 人以上の PHI が侵害され、その後、その情報がオンラインで公開されました。HealthCo のサイバーセキュリティ チームは、犯人が他の病院に対して同様の攻撃を仕掛けた既知のハッカーであることをすぐに特定しました。この攻撃では、著名人や政治家などの公人の PHI が漏洩しました。
調査の過程で、HealthCo は、CloudHealth が契約条件に従って PHI を暗号化していなかったことを発見しました。さらに、CloudHealth は従業員にプライバシーやセキュリティに関するトレーニングを提供していませんでした。法執行機関は、HealthCo に対し、侵害に関する調査報告書と影響を受けた個人の PHI のコピーを提供するよう要求しました。
侵害の影響を受けた患者は、HealthCo 社が個人の ePHI を適切に保護しなかったため、漏洩したデータによって患者が多大な損害を被ったと主張して同社を訴えました。患者の弁護士は、侵害で漏洩した ePHI に関する証拠開示請求を提出しました。
HIPAA セキュリティ ルールで要求される安全対策のうち、HealthCo の行動によって問題にならないのは次のどれですか。
次の質問に回答するには、以下を使用してください。
あなたは、米国州 A の大都市にある主要病院 HealthCo の最高プライバシー責任者です。HealthCo は HIPAA の対象事業体であり、100,000 人以上の患者に医療サービスを提供しています。サードパーティのクラウド コンピューティング サービス プロバイダーである CloudHealth は、HealthCo に代わってこれらの個人の電子保護医療情報 (ePHI) を保存および管理しています。CloudHealth はデータを州 B に保存します。HealthCo と CloudHealth とのビジネス アソシエート契約 (BAA) の一環として、HealthCo はデータを適切に保護するために、業界標準の暗号化手法を含むセキュリティ対策を CloudHealth に実装することを要求しています。
しかし、HealthCo は契約締結前に CloudHealth に対するデューデリジェンスを実施しておらず、CloudHealth のセキュリティ対策の監査も実施していません。
CloudHealth の従業員が最近フィッシング攻撃の被害者になりました。従業員が不審なメールのリンクをうっかりクリックしたため、HealthCo の患者 10,000 人以上の PHI が侵害され、その後、その情報がオンラインで公開されました。HealthCo のサイバーセキュリティ チームは、犯人が他の病院に対して同様の攻撃を仕掛けた既知のハッカーであることをすぐに特定しました。この攻撃では、著名人や政治家などの公人の PHI が漏洩しました。
調査の過程で、HealthCo は、CloudHealth が契約条件に従って PHI を暗号化していなかったことを発見しました。さらに、CloudHealth は従業員にプライバシーやセキュリティに関するトレーニングを提供していませんでした。法執行機関は、HealthCo に対し、侵害に関する調査報告書と影響を受けた個人の PHI のコピーを提供するよう要求しました。
侵害の影響を受けた患者は、HealthCo 社が個人の ePHI を適切に保護しなかったため、漏洩したデータによって患者が多大な損害を被ったと主張して同社を訴えました。患者の弁護士は、侵害で漏洩した ePHI に関する証拠開示請求を提出しました。
HIPAA セキュリティ ルールで要求される安全対策のうち、HealthCo の行動によって問題にならないのは次のどれですか。
CIPP-US 試験問題 15
サラさんはカリフォルニア州サンフランシスコに住んでいます。迷惑な商業メールが急増していることから、5,000 万人以上のユーザーを抱える大手ソーシャル メディア プラットフォームがサラさんの個人情報を大量に収集しているのではないかと考えています。このプラットフォームを運営する会社はニューヨークとフランスに拠点を置いています。
なぜサラはソーシャル メディア プラットフォームに対して、彼女について収集された個人情報を削除するよう要求する権利があるのでしょうか?
なぜサラはソーシャル メディア プラットフォームに対して、彼女について収集された個人情報を削除するよう要求する権利があるのでしょうか?