ヘルスケア保険の携行と責任に関する法律 (HIPAA) は、アメリカ合衆国議会により立法化されました。HIPAA には、保護されている医療情報 (PHI) の使用と公開を規制するプライバシー ルール、電子的に保護される医療情報 (ePHI) で必要なセキュリティ保護を定義するセキュリティ ルール、および違反の調査と確定した違反に対する罰則に関する手順を定義した施行ルールが含まれています。

PHI は、対象とされる法人または共同経営者により、任意の形式または媒体(電子的、口頭、または紙)で伝達または維持される個人識別可能な医療情報として定義されています。ただし、特定の教育または雇用記録は除きます。個人識別可能とは、対象の身分が調査者により直ちに確かめられる、またはその情報と関連付けられる、またはその可能性があるような情報を意味します。

このポリシーは、電子的な PHI を検出するように設計されています。この PHI は、個人医療番号に加えて、医療関連の用語を含んでいます。名前や住所など、このポリシーが ePHI とは見なさない個人識別可能な情報を組み合わせるものであるため、いくらかの偽陰性が発生する可能性があります。内部調査は、医療関連の通信内容の大部分が、個人医療番号と、医療関連の用語を含んでいることを示しています。