HIPAA 没有明确要求对通过电子邮件发送的 PHI 进行加密。在通过电子邮件发送 PHI 时，HIPAA 需要“合理的”保护/注意事项等。

HIPAA 确实需要PHI 的安全传输，这很容易被违反（例如，通过 http 与 https 使用 webmail 客户端）。

因此，这并不直接违反 HIPAA。然而，底线是未加密的电子邮件是一种危险的方法。你依赖于电子邮件隐私政策的遵守，你依赖于永远不会意外地发送给错误的人（这是报告为 HIPAA 违规的必要事件），以及其他问题。

正如 Freiheit 所提到的，DIRECT 是一种直接交换协议，它不仅可以确保正确的接收者，而且还可以通过预先建立的信任圈将发送者验证为可信来源。

其他基本服务，例如 Zix（非常简单的安全电子邮件服务，基本上会通过电子邮件向您的收件人发送一条消息“嘿，有些东西已发送...单击此处并证明是您 [登录到安全服务器] 来阅读它）。

如果这是关于您的线程的理论辩论，您可以说“从技术上讲它是合法的”。如果考虑构建工作流来分享这个原因，请选择另一条路径。

一些体面的意见/描述：http: //blogs.hcpro.com/hipaa/2010/01/phi-in-e-mail/

这是由医疗保健提供者创建的个人可识别健康信息。

我认为您应该加密该电子邮件。来自：http ://www.hipaa.com/2009/09/hipaa-protected-health-information-what-does-phi-include/

受保护的健康信息

要获得受保护的健康信息，您必须检查公共法 104-191（1996 年 8 月 21 日）副标题 F 部分 C 部分第 1171 节中的两个定义： 1996 年健康保险流通和责任法案：行政简化。这些法定定义是健康信息和个人可识别的健康信息。

“健康信息是指任何信息，无论是口头的还是以任何形式或媒介记录的——

(A) 由医疗保健提供者、健康计划、公共卫生当局、雇主、人寿保险公司、学校或大学或医疗保健票据交换所创建或接收；和

(B) 与任何个人的过去、现在或未来的身体或精神健康或状况、向个人提供的医疗保健或过去、现在或未来为向个人提供医疗保健的付款有关。 ”

“个人可识别的健康信息是健康信息的子集，包括从个人收集的人口统计信息，并且：

(1) 由医疗保健提供者、健康计划、雇主或医疗保健票据交换所创建或接收；和

(2) 与个人过去、现在或未来的身心健康或状况有关；向个人提供医疗保健；或过去、现在或将来为个人提供医疗保健的付款；和

(i) 识别个人；或者

(ii) 有合理依据认为该信息可用于识别个人身份。”