安泰人寿保险公司及其附属实体（Aetna）已同意向美国卫生与公共服务部（HHS）的民权办公室（OCR）支付1,000,000美元，并采取纠正措施计划以解决潜在的违反健康保险可移植性和责任法案（HIPAA）中的隐私和安全规则。安泰保险是一家由美国管理的医疗保健公司，主要销售传统的和以消费者为导向的医疗保险及相关服务。

2017年6月，安泰向OCR提交了一份违规报告，声明在2017年4月27日，安泰发现用于向健康计划成员显示计划相关文档的两个web服务允许无需登录凭证即可访问文档，并随后被各种互联网搜索引擎编入索引。安泰报告称，有5002人受到这一违规行为的影响，披露的受保护健康信息（PHI）包括姓名、保险识别号、索赔金额、程序服务代码和服务日期。

2017年8月，安泰向OCR提交了一份违规报告，声明2017年7月28日，福利通知使用窗口信封邮寄给会员。邮件寄出后不久，安泰就收到会员投诉，称可以从会员姓名和地址下方的信封窗口看到“艾滋病药物”字样。安泰报告说，11887人受到这一不允许的披露的影响。

2017年11月，安泰向OCR提交了一份违规报告，声明2017年9月25日，一封发给安泰计划成员的研究报告邮件在信封上包含了他们参与的心房颤动（不规则心跳）研究的名称和徽标。安泰保险报告称，1600人受到这一不允许披露的影响。

OCR的调查显示，除了不允许的披露外，安泰未能对影响其电子PHI（ePHI）安全性的运营变化进行定期的技术和非技术的影响评估；实施程序验证寻求访问ePHI的个人或实体的身份；将PHI披露限制在达到使用或披露目的所必需的最低要求；并有适当的管理、技术和物理保护措施，以保护PHI的隐私。

“当个人签订医疗保险合同时，他们希望保护自己的医疗信息不被曝光。不幸的是，安泰未能遵守HIPAA规则，导致在六个月内发生三次违规行为，导致这笔金额达百万美元的和解，”OCR主管Roger Severino说。（文章来源：数据法盟）