La loi HIPAA a été promulguée par le Congrès des États-Unis d'Amérique. La loi HIPAA inclut une règle de confidentialité réglementant l'utilisation et la communication des renseignements médicaux protégés (PHI), une règle de sécurité définissant les mécanismes de sécurité requis pour les renseignements médicaux protégés électroniques (ePHI), et une règle d'application qui définit les procédures pour les recherches de violation et les dommages-intérêts pour les violations confirmées.

Les renseignements médicaux protégés sont définis comme étant des informations de santé individuellement identifiables, qui sont transmises ou conservées sous toute forme ou sur tout support (électronique, oral ou papier) par une entité couverte ou ses associés, non comprises certaines données relatives à l'éducation et à l'emploi. Par « individuellement identifiables », on entend que l'identité du sujet est ou peut être aisément déterminée par l'enquêteur ou associée à l'information.

Cette politique est élaborée pour détecter les renseignements médicaux protégés électroniques, qui contiennent un numéro médical personnel en plus d'une terminologie de santé. Certains faux négatifs peuvent se produire car des combinaisons d'informations personnellement identifiables, telles que le nom et l'adresse, ne sont pas considérées comme des renseignements médicaux protégés électroniques dans cette politique. Les recherches internes indiquent que la plupart des communications médicales contiendront un numéro médical personnel en plus d'une terminologie de santé.