　CCPAが施行された2020年1月1日、カリフォルニア州では、IoT（モノのインターネット）機器セキュリティ法（Senate Bill 327、関連情報）も施行された。同法では、「接続された機器（Connected Device）」について、直接または間接的にインターネット接続が可能なあらゆる機器または物理的主体で、インターネット・プロトコルまたはBluetoothアドレスが割り当てられているものであり、コピー機、プリンタ、ファクシミリ、テレビ、Bluetoothヘッドセット、スマート電球、パーソナル・フィットネスモニター、医療診断機器などが含まれるとしている。

　そして、カルフォルニア州内でこのようなIoT機器の製造・販売を行う事業者に対して、以下のような「相当のセキュリティ」対策を講じるよう求めている。

機器の特性および機能に対して、適切であること
機器が収集、包含または転送する情報に対して、適切であること
権限のないアクセス、破壊、使用、修正または開示から、機器および含まれるあらゆる情報を保護するよう、設計されていること

　また、接続された機器が、ローカルエリアネットワーク（LAN）外との認証機能を有する場合は、以下のような要求事項を定めている。

あらかじめプログラミングされたパスワードが、製造された個々の機器に対して一意であること
最初に機器へのアクセスが認められる前に、ユーザーに対し、新しい認証手段を生成するよう要求するセキュリティ機能を含む機器であること

　なお、この法律に関わる執行措置については、カリフォルニア州司法長官およびその他の地方検察機関が所管するとしている。

　ただし、「医療機器」のように、連邦政府機関の既定法規制・ガイドラインのセキュリティ要求事項を満たしたIoT機器については、IoT機器セキュリティ法が適用されないとしている。逆に、FDA、HIPAAなど、連邦法規制に基づくセキュリティ要件が存在しなかった「非医療機器」は、新たな州法の規制対象となることを意味する。

　参考までに図2は、カリフォルニア州における「非医療機器」を取り巻くプライバシーとセキュリティ法規制の関係を整理したものである。

図2　米国カリフォルニア州における「非医療機器」を取り巻くプライバシーとセキュリティ法規制の関係（クリックで拡大））出典：ヘルスケアクラウド研究会（2020年1月）

　健康／ウェアラブル機器、モバイルヘルスアプリケーションなど、ヘルスケア領域で、カリフォルニア州の市民をターゲットとする製品・サービスの開発を行う企業は、連邦政府レベルのHIPAAやFDA医療機器サイバーセキュリティガイドラインに加えて、CCPAおよびIoT機器セキュリティ法を注視する必要がある。

州政府の遠隔医療推進策を支えるセキュリティ／プライバシー機能強化へ

　折しも2019年10月11日、カリフォルニア州知事は、遠隔医療保険保障法（Assembly Bill No.744 Health care coverage: telehealth.(2019-2020)、関連情報）に署名した。州内で提供される遠隔医療に、経済インセンティブを付与することを目的とした新法は、以下のような点を特徴としている。

医療保険加入同意書の下で、保険者は、遠隔医療サービスを通じて適切に提供を受けた登録者または加入者の診断・診療・治療について、対面による診断・診療・治療と同等レベルの保険償還をすべきである
医療保険者と医療機関は、加入同意書の下で、償還価格について交渉を継続することが可能であるが、請求上、医療機関のサービス記述によって決定されたものであれば、対面も遠隔も同一償還価格に設定しなければならない
遠隔医療の償還については、その他の人頭請負方式や包括方式、リスクベース方式の支払から分離することを求めない
保険者のネットワーク以外の医療機関によって提供された場合、法律の他の規定の下で補償が要求されない限り、医療保険者が遠隔医療サービスの償還をすることを求めない
対面による診療または接触により提供されたサービスに適用できる給付開始前の定額控除または自己負担、共同保険の範囲を超えない限り、遠隔医療により提供された医療サービス向けに定額控除または自己負担、共同保険を徴収してもよい

　遠隔医療保険保障法は、2021年1月1日以降開始または更新する保険契約から適用開始の予定である。

　日本と比較して米国カリフォルニア州の場合、対症療法的な既存医療に対してはデジタル・トランスフォーメーションによる積極的なコスト削減策をとる一方、デジタルヘルスなど新規技術を活用した将来の病気予防や健康増進につながるサービス開発については積極的に支援する姿勢をとっている。メガプラットフォーム事業者やHelthtech企業が州内に集積する土地柄を生かした、セキュリティ／プライバシー対策機能の研究開発も同時並行で進んでおり、医療イノベーション政策の観点からも、カリフォルニア州から目が離せない。

筆者プロフィール

笹原英司（ささはらえいじ）（NPO法人ヘルスケアクラウド研究会・理事）

宮崎県出身。千葉大学大学院医学薬学府博士課程修了（医薬学博士）。デジタルマーケティング全般（B2B／B2C）および健康医療／介護福祉／ライフサイエンス業界のガバナンス／リスク／コンプライアンス関連調査研究／コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所、グロバルヘルスイニシャチブ（GHI）等でビッグデータのセキュリティに関する啓発活動を行っている。

Twitter：https://twitter.com/esasahara

LinkedIn：https://www.linkedin.com/in/esasahara

Facebook：https://www.facebook.com/esasahara

≫連載「海外医療技術トレンド」バックナンバー
米国発サービスモデル視点のIoT標準化と健康医療分野の関わり
ウェアラブル機器、遠隔モニタリングセンサーに代表されるモノのインターネット（IoT）は、医療／健康／介護福祉分野でも導入が進んでいる。今回は、米国におけるIoT全般の相互運用性／標準化に向けた取り組みを紹介する。
米国が推進するリスクベースのモバイルヘルスアプリ開発
世界各国でモバイルヘルスアプリケーションの開発に向けた競争が激化する中、規制当局が要求する品質／安全管理対策の水準も確実に上がっている。開発者はどのような点に注意したらよいのだろうか。
国際標準化が加速する医療機器サイバーセキュリティ、AI活用の前提条件に
本連載では、ソフトウェア・アズ・ア・メディカル・デバイス（SaMD）の国際協調に向けた取り組みを紹介しているが、サイバーセキュリティでも同様の動きが本格化している。この医療機器サイバーセキュリティは、医療分野におけるAI（人工知能）活用の前提条件になってきそうだ。
欧州の保健医療機関はなぜ気候変動や環境問題に取り組むのか
2019年9月23日の国連気候行動サミット2019で脚光を浴びた気候変動／環境問題は、欧州の保健医療分野が直面する社会課題でもある。
デンマークの医療サイバーセキュリティ戦略とEU域内標準化
データドリブン・アプローチの国として知られるデンマーク。医療サイバーセキュリティ戦略ではどのような方針で進めているのだろうか。