Der Health Insurance Portability and Accountability Act (HIPAA) wurde vom Kongress der Vereinigten Staaten von Amerika erlassen. HIPAA enthält eine Datenschutzrichtlinie, die die Verwendung und Veröffentlichung von geschützten Gesundheitsinformationen (PHI, Protected Health Information) regelt, eine Sicherheitsrichtlinie, die Sicherheitsvorkehrungen für elektronisch geschützte Gesundheitsinformationen (ePHI, Electronic Protected Health Information) festlegt, und eine Durchsetzungsrichtlinie, die Prozeduren für Ermittlungen bei Verstößen sowie Strafen für bestätigte Verstöße definiert.

Unter PHI versteht man persönliche Gesundheitsinformationen, die in irgendeiner Form oder mit irgendeinem Medium (elektronisch, mündlich oder auf Papier) durch eine abgedeckte juristische Person oder deren Geschäftspartner übermittelt werden (mit Ausnahme bestimmter Schulungs- und Beschäftigungsunterlagen). Persönliche Informationen ermöglichen Rückschlüsse auf die Identität der betroffenen Person durch den Ermittler.

Diese Richtlinie soll elektronisch geschützte Gesundheitsinformationen (ePHI) erkennen, die außer gesundheitsbezogener Terminologie eine persönliche Gesundheitsnummer enthalten. Es können Übereinstimmungen zurückgegeben werden, die falsch negativ sind, da Kombinationen von persönlichen Informationen, z. B. Name und Adresse, von dieser Richtlinie nicht als ePHI ausgelegt werden. Interne Untersuchungen haben ergeben, dass die meisten Datenübertragungen im Gesundheitswesen neben gesundheitsbezogenen Terminologien auch eine persönliche Gesundheitsnummer enthalten.