La Ley de Responsabilidad y Portabilidad de Seguros de Salud (HIPAA) fue sancionada por el Congreso de los Estados Unidos de América. La HIPAA incluye una regla de privacidad que regula la utilización y divulgación de información de salud protegida (PHI), una regla de seguridad que define las protecciones de seguridad necesarias para la información electrónica de salud protegida (ePHI) y una regla de aplicación que define los procedimientos para las investigaciones sobre infracciones y las penalidades de las infracciones confirmadas.

La PHI se define como información de salud de identificación individual y que transmite o mantiene en cualquier forma o medio (electrónico, oral o en papel) una empresa amparada o sus socios comerciales. Quedan excluidos ciertos registros de empleo y educativos. "De identificación individual" significa que el investigador determina o puede determinar la identidad del sujeto o que este puede asociarse a partir de la información.

Esta directiva está diseñada para detectar la PHI electrónica, que contiene un número personal de salud además de la terminología relacionada con la salud. Pueden surgir algunos resultados negativos falsos dado que las combinaciones de información de identificación personal, como el nombre y la dirección, no se considerarían ePHI con esta directiva. La investigación interna indica que la mayoría de la comunicación sobre la salud contendrá un número personal de salud además de terminología relacionada con la salud.