米国と言えば、患者データ漏えいなどの法令違反に関連して高額の制裁金を課すことで知られている。その矛先が、医療機関や医療保険者から外部委託先へと向かってきた。
2017年4月20日、米国保健福祉省(HHS)の公民権室(OCR)は、イリノイ州の小児消化器医療センター(CCDH)が、「医療保険の携行性と責任に関する法律(HIPAA:Health Insurance Portability and Accountability Act of 1996)」違反事案に関連して民事制裁金3万1000米ドルを支払い、是正処置計画の実行に同意したことをWebサイトで公表した(図1、関連情報)。
小児消化器医療センター(CCDH)は、イリノイ州内7カ所で小児専門診療所を運営する小規模の営利医療機関である。2015年8月、HHS公民権室(OCR)は、CCDHに対するコンプライアンスレビューを開始し、同時並行で外部委託先の事業提携者(BA:Business Associate)であるファイルファクス(Filefax Inc.)に対する調査を実施した。その結果、ファイルファクスは、2003年よりCCDHから提供された保護対象保健情報(PHI:Protected Health Information)を含む記録をファイルストレージに保存していたが、2015年10月12日までの間、両者はHIPAAで義務付けられた事業提携契約書(BAA:Business Associate Agreement)を締結していなかったことが判明した。
HIPAAでは、適用主体(例:医療機関、医療保険者)に代わって、保護対象保健情報(PHI)を生成、収集、維持、交換する者を事業提携者(BA:Business Associates)と定義している。事業提携者(BA)は、適用主体と締結した事業提携契約書(BAA)で認められた場合もしくは法令で要求された場合のみ、保護対象保健情報(PHI)を利用/開示できる。この規定は、事業提携者(BA)の下請事業者にも直接適用される。HHS公民権室(OCR)は、CCDHが事業提携契約書(BAA)を締結しないまま、保護対象保健情報(PHI)を事業提携者(BA)に開示していた点についてHIPAA違反の可能性があるとしている。
CCDHは、是正処置計画の中で、書面により策定したポリシーをHHSに提出し、レビューおよび承認を受けた上で全従業員に配布し、研修を実施すること、事業提携者(BA)および特定のベンダーとの契約書をHHSに報告すること、年次報告書を提出することなどを掲げている。
HHSは、保護対象保健情報(PHI)の漏えい事案に対し高額の民事制裁金を課してきたが、今回のような中小医療機関の不適切な外部委託管理に対しても厳格な措置を講じた点が注目される。HHSでは、HIPAAに基づき、事業提携者(BA)を直接調査するケースが増えており、CCDHのような事案は、今後増えることが見込まれる。
2003年4月、HIPAAプライバシー規則の順守が求められるようになって以降、HHS公民権室(OCR)は15万507件の苦情を受け付けている(2017年2月28日時点、関連情報)。OCRが、適用主体や事業提携者に対する調査を実施し、プライバシー慣行の修正や是正処置を求めた事案は延べ2万4879件に上る。またOCRにより民事制裁金が課せられた事案は計47件で、制裁金総額は6721万982米ドルに上る。換算すると、1件当たり平均約143万米ドルの制裁金を課せられていることになる。
これらOCRの調査による主な指摘事項を整理すると、以下のような順になる。
また、是正処置を求められた適用主体を形態別に分類すると、以下のような順になる。
なお、OCRが取扱った事案のうち、司法省(DoJ)による刑事捜査の対象になったのは604件となっている。
Copyright © ITmedia, Inc. All Rights Reserved.