HIPAA解6.docxVIP

HIPAA报文最近的一年时间参与了HIPAA的一个解决方案的开发，客户是美国的一家保险公司，随着项目的顺利进展，我自己对HIPAA也有了一些了解，在此记录下来。?首先简单介绍一下HIPAA的历史。?在医疗保健领域，信息系统的应用越来越广泛，如医院信息管理系统、远程医疗诊断、网上就医、急救调度响应、疫情监控系统、医疗保险系统等。与此同时，随着医疗保健对信息系统的应用和依赖，也将不可避免地带来相应的信息安全问题，如病人的病例保密问题、网上就医系统的可靠性问题、急救调度响应系统的可用性问题等。?HIPAA是美国前总统克林顿签署的健康保险携带和责任法案（Health Insurance Portability and Accountability Act）的缩写。该法案对多种医疗健康产业都具有规范作用，包括交易规则、医疗服务机构的识别、从业人员的识别、医疗信息安全、医疗隐私、健康计划识别、第一伤病报告、病人识别等。该法案的主要目标如下：?1. 保证劳动者在转换工作时，其健康保险可以随之转移；?2. 保护病人的病例记录等个人隐私；?3. 促进国家在医疗健康信息安全方面电子传输的统一标准。?　　在HIPAA法案的相关标准中，有关医疗信息安全和电子签名标准的规范条例是其中的重要组成部分。目前，HIPAA安全条例还没有正式公布，但业内人士相信该条例将会在2001年上半年出台。到那时，在美国所有涉及医疗保健的机构中，包括医院、健康计划部门、保健服务商、相关票据交换所、医疗信息系统提供商、医科大学、甚至只有一个内科医生的办公室等，对任何形式的个人健康保健信息的存储、维护和传输都必须遵循HIPAA的安全条例规定。?　　在技术方面，HIPAA安全条例是中立的、可升级的。系统安全可在系统的建立、实现、监控、测试和管理过程中不断提高，并且每个环节都可采用多种工具。该条例是一种开放的安全标准，每个医疗机构可以选择适合自身的技术和解决方案。医疗机构必须保存HIPAA安全标准要求的相关文档，并接受对这些资料和相关过程的定期复查。　　HIPAA安全条例将安全标准分为四类，以保护信息系统的保密性、一致性和可用性：?管理流程（Administrative Procedures） 建立和落实安全策略；物理防护(Physical Safeguards) 描述如何保护计算机系统实体以及相关的环境和设备， 免受自然灾害或人为破坏；技术安全服务(Technical Security Services) 描述对数据访问的保护和监控；技术安全机制(Technical Security Mechanisms) 在网络中保护信息和限制数据访问的机制。HIPAA采用基于X12编码的电子数据交换（EDI），而华盛顿出版公司（WPC-Washington Publishing Corporation）负责编写HIPAA的实施指南（Implementation Guide）。?以下是一个非常简单的HIPAA解决方案的流程图：??该场景描述了合作伙伴发送一个EDI文件给HIPAA Solution，HIPAA Solution通过EDI Source接收EDI报文，同时对EDI文件进行验证，并将EDI文件转变成XML发送给自己的业务系统，并且发送回执给合作伙伴。?X12协议支持100-999的报文格式（transaction）。在这些报文中，HIPAA所支持的报文有：270，271，276，277，278Q、278R，820，834，835，837等等。?一些术语：?HMO(Health?Maintenance?Organizations, HMOs)-健康维护组织。是指一种在收取固定预付费用后，为特定地区主动参保人群提供全面医疗服务的体系。?PPO(Preferred Provider Oganization)-优先提供者组织。PPO代表投保人的利益，与医院和医生就服务收费进行谈判并签订合同。PPO同医院和合同医生按服务项目付费，一般压低价格15％左右。PPO保险费较低，并且可以自由选择医院和医生。?Payer-业务伙伴的一方，属于为医疗服务付费的角色。例如HMO、PPO、以及政府的医疗补助单位。?Provider-业务伙伴的一方，属于提供医疗服务的角色，比如医院。?Transaction Set-EDI中的一组信息，构成业务信息或其一部分。在X12编码体系中，每一个交易集合有一个唯一的三位数字组成的代码，称为Transaction Set Code，例如837表示医疗索赔，820表示支付及汇款通知等。信息技术和生命科学技术将是21世纪颇受关注的两个技术领域，它们都将为解决人类最根本的需求——健康需求而服务。在医疗保健领域，信息系统的应用越来越广泛，如医院信息管理系统、远程医疗诊断、网上就医