这取决于许多因素。

由于医疗记录编号 (MRN) 是受保护的医疗保健信息 (PHI)，因此您应对其机密性、完整性和可用性负责，并负责识别和保护其安全（和完整性）免受合理预期的威胁以及合理预期的不允许使用或披露。HIPAA 安全规则

尽管 HTTPS 将保护参数不被拦截，但 GET 请求的日志条目将在客户端和服务器上显示未加密的完整 URL。这些至少会产生合理预期的披露（例如对未经授权的员工），并且还需要控制。

客户端机器和服务器之间有什么样的访问控制？如果任何机器提供指示授权用户的用户 ID 和密码，它可以连接吗？还是只有某些机器与某些用户结合？服务器端的任何人都可以访问不应访问患者数据的日志文件吗？（例如，患者记录是否在加密数据库中，但任何技术人员都可能偶然发现日志）客户端日志文件是否加密和/或是否在所有浏览器上禁用了浏览器历史记录？

URL 中的 MRN（或患者 ID）本身不是问题。athenahealth 的基于 REST 的 API 直接在 URL 中获取患者 ID，我猜他们有比你更好的律师。

问题是，如果 URL 本身或您的服务的使用通常会允许某人暗示有关患者的某些事情。例如，如果您有这样的 URL，/history/{MRN}/suicide/definitely-at-risk那就不行了。但是，如果您的 URL 是良性的（每个人都有“病史”），那么将 MRN（或患者 ID）放在 URL 中就可以了。

我认为真正的答案是 HTTPS。如果允许链接的两端访问患者信息，那么您只需在传输过程中对其进行保护。使用 HTTPS，GET 参数被封装在加密数据中：SSL with GET 和 POST

即使您使用 POST，您仍然必须对传输中的信息进行加密，除非您控制整个网络路径，甚至可能在那时。

（这是技术答案，不是法律答案。）

我对§164.514与使用和披露受保护健康信息有关的其他要求的阅读（pdf第96页）是，如果您在请求、日志、url等中没有健康信息，那么即使它是病历号，您也可以使用通用登记号。换句话说，如果您遵守一般隐私准则、使用 HTTPS 等并且不暴露任何健康信息（如 Christopher Shultz 所指出的），则使用病历编号是可以的，甚至是合适的（用于审计和类似的）。当这与健康数据相结合时，它会被明确排除，因此病历编号与其他信息一起成为 PHI，因为它在个人和健康信息之间建立了联系，并且任何人都有可能发生这种情况想要建立联系。

事实上，孤立的数字似乎是唯一的，没有任何其他有意义的数据，并且在 URL 中使用，即使它们指向医疗记录，也不是 PHI。它们是指向记录的指针。一旦该记录中包含的任何数据与唯一编号相结合，无论该编号称为什么（医疗记录等）都无关紧要，它将成为 PHI 并且本节的细节适用。根据唯一号码的性质（例如社会安全号码），可能适用其他规则。

当这些类型的唯一编号（以及其他识别详细信息）从健康数据中删除时，它就会被取消识别。

事实上，如果发生带有 URL 的日志等信息泄露，除非事件包含健康信息，否则无需报告。所以保持这种类型的日志，只要它们不包含健康信息，似乎不需要特殊的 HIPAA 特定协议或处理。

我阅读MIT COUHES HIPAA 指南对理解这个话题很有帮助。请阅读法律，与专家确认，并分享任何更正。