前回は国際レベルの医療機器サイバーセキュリティ動向を取り上げたが、米国カリフォルニア州に代表される地域レベルでも新たな取り組みが進んでいる。
前回は国際レベルの医療機器サイバーセキュリティ動向を取り上げたが、米国カリフォルニア州に代表される地域レベルでも新たな取り組みが進んでいる。
本連載第4回では、健康増進向けのウェアラブル機器、遠隔モニタリングセンサーなど、米国食品医薬品局(FDA)が所管しない「非医療機器」を取り巻く標準化や法規制の動向を取り上げた。また本連載第13回では、モバイルヘルスアプリケーション開発に関連して、米国連邦取引委員会(FTC)が所管する13歳未満の子どもを対象とした児童オンラインプライバシー保護法(COPPA)の法規制動向を取り上げた。米国の場合、「非医療機器」については、消費者保護の観点から取り組むFTCや、技術規格の標準化に取り組む国立標準技術研究所(NIST)の影響力が強い領域となっている。
米国に限らず、世界各国・地域で「非医療機器」に該当する製品・サービスがターゲットとしているのが、健康増進用途だ。この領域では、消費者の個人データを軸に、ハードウェア製品や対面サービスに加えて、ソフトウェアやソーシャルメディア(例:SNS、ブログ、動画共有サービス)などが連携するエコシステムが拡大している半面、従来のスタンドアロン利用では想定できない新たなプライバシー/セキュリティのリスクも生まれている。
2019年9月4日、米国FTCは、グーグル(Google)および傘下のYouTubeが、COPPA違反事案に関連して、連邦取引委員会(FTC)に対し1億3600万米ドル、ニューヨーク州司法長官に対し3400万米ドルの総額1億7000万米ドルを支払うことを発表した(関連情報)。このケースでは、YouTubeの子供向けチャンネル/コンテンツで、13歳未満の子どもの視聴者を対象に、保護者の同意を求める通知など適切な「オプトイン」の仕組みを提供せずにcookieを使い、個人情報を収集していたことが、COPPA違反と認定された。図1は、FTCが公表したGoogleに対する主要なプライバシー関連司法判断の推移を示しており、米国だけでなく、イタリア、フランスなど、各国・地域に影響が及んでいることが分かる。
現在、世界各国・地域の保健医療行政機関や民間企業、非営利団体などが、子供を対象とする健康増進啓発活動に、外部の動画共有サービスを活用しており(関連情報)、YouTubeのケースは対岸の火事でなくなっているのが実情だ。健康増進サービスを支えるプラットフォーム事業者側に法令違反や技術的トラブルが発生すると、その影響はユーザー側に拡大する可能性があるので、注意が必要だ。
他方、ソーシャルメディア利用に関連して米国では、テキサス州の民間歯科診療所が、「Yelp」のレビューページ上の投稿で複数患者の保護対象保健情報(PHI)を開示していたことに対して、2019年10月2日、保健福祉省(HHS)の公民権室(OCR)が、「医療保険の相互運用性と説明責任に関する法律(HIPAA)」のプライバシー規則違反を認定し、1万米ドルの制裁金を支払うことで和解した事案が公表されている(関連情報)。このケースでOCRは、HIPAAプライバシー規則に準拠して、ソーシャルメディアのやりとりが患者のPHIを保護することを保証するポリシー・手順や、プライバシー保護に関する通知がなかった点を指摘し、歯科診療所に対して、今後2年間、HIPAA順守状況のモニタリングを実施することを併せて公表している。
日本の個人情報保護法では、違反企業に対して「6カ月以下の懲役または30万円以下の罰金」の刑事罰が規定されているが、米国のCOPPAやHIPAAが規定するペナルティーのレベルは厳格化の傾向にある。FDAが所管しない「非医療機器」であっても、FTCやOCRは容赦しないので、事前リスク評価などの対策が不可欠である。
Copyright © ITmedia, Inc. All Rights Reserved.