近年、健康増進用途の消費者向けウェアラブル端末やモバイルソフトウェアなど、医薬品医療機器等法(薬機法)の適用対象外となる「非医療機器」のマルチデバイス化が進んでいる。それに伴ってどのようなリスクが出てくるのか。米国の動向をみてみよう。
米国には、患者個人の特定が不可能となるように匿名化することやプライバシーを侵害しないことを義務付けた「HIPAA(Health Insurance Portability and Accountability Act of 1996:医療保険の携行性と責任に関する法律)」がある。所管するのは、米国食品医薬品局(FDA)ではなく、その上部組織の保健福祉省(HHS)だ。
「医療機器」「非医療機器」に関わらず、デバイスやソフトウェアが、ネットワークを介して、医療施設/医療保険者(Covered Entity)のシステムと連携し、患者の個人データなど保護対象保健情報(PHI:Protected Health Information)をやりとりすれば、HIPAAの適用対象となる。
また、PHIに関わるシステム業務やサービスを医療施設/医療保険者から受託する事業者(例:クラウドサービス事業者)は、提携事業者(BA:Business Associate)としての責務が課せられる。
医療デバイスに関わる最近のHIPAA違反事例としては、マサチューセッツ州のタフツ大学付属病院(Lahey Hospital and Medical Center)で、ポータブルCTスキャナーから医用画像を取り込み、医用画像保存通信システム(PACS)に保存するために利用していたラップトップPCが盗難に遭い、患者データ599件を紛失したケースがある(関連情報)。
HIPAAは、関係事業者に対し、患者の個人データ漏えいが発覚したら、HHSへの報告と当事者である患者/家族への告知の義務を課しており、各事業者の対応状況は、図1のようにHHSのサイトで逐一公開される(関連情報)。
また、HIPAA違反に対するペナルティは、事業者の法令順守の度合いに応じて加減される仕組みになっている。この事案では、559件の患者データ漏えいに対して、病院側が総額85万米ドル(約1億円)を民事制裁金として支払うことで、HHSと和解した。1件当たり1520米ドル(約18万円)はかなりの金額だ。
被害を受けた患者/家族が損害賠償請求訴訟を提起したら、制裁金とは別に、損害賠償金や裁判費用の問題が発生する。特に米国の場合、クラスアクション(集団訴訟)が提起されるケースが一般的で、被害を受けた当事者の数が多ければ多いほど、賠償金額の総額が膨れ上がることになる。
この事案で盗難に遭ったのはラップトップPCだが、例えば、個人データをローカルに保存する機能を持ったウェアラブル端末が病院の医療情報システムと連携していたら、同じようなリスクを抱えることになる。アイデンティティー/アクセス管理、データ暗号化といったセキュリティ機能の実装は、マルチデバイス化する個々の「非医療機器」に欠かせない。
Copyright © ITmedia, Inc. All Rights Reserved.