　2020年6月8日、米国保健福祉省（HHS）の公民権室（OCR）は、「個人健康記録とHIPAAプライバシー規則」と題するホワイトペーパーを公表した（関連情報）。この文書は、HIPAA（Health Insurance Portability and Accountability Act of 1996：医療保険の携行性と責任に関する法律）を個人健康記録（PHR）利用に適用する方法を提示し、その利用を支援することを目的として策定されたものである。

　この指針文書では、一般的なPHRについて、「個人の健康情報の電子的記録で、個人がその情報へのアクセスを制御し、自分自身の医療に関して管理、追跡、参加する可能性があるもの」と定義している。HHSは、PHRの機能の中で特に、自分の健康情報を管理し、程度の差はあれ、その健康情報に誰がアクセスできるかを制御する能力を持った個人に提供する機能に焦点を当てている。

　例えば、PHRは、医療診断、薬物治療、検査結果などの共通情報を含む経年的な健康履歴を生成する方法を個人に提供する機能を有している。また、PHR上の健康情報に誰がアクセスできるかを制御する機能を提供する製品も増えている。さらに、個人が、いつでも、どの場所のどのコンピュータからも自由に健康情報を閲覧できるというPHRのアクセシビリティーを活用すれば、日常的に接するかかりつけ医や急性期医療を担う地域医療施設などと連携して、適切で継続的に改善される治療を促進することが期待される。加えて、PHR上の自分の健康情報にアクセスする機能を介して、個人がその情報にある潜在的なエラーや失敗を特定するのに役立つ可能性もある。

　PHRの種類によっては、個人が家族の健康歴や緊急時の連絡先情報を入力すれば、自分の健康情報や、自身の子供などケアを管理するその他の相手の健康情報を追跡・図示したり、次の予約や手順に関するリマインダーを設定して受け取ったり、病状の調査や処方箋の更新をしたり、セキュアなメッセンジャーシステムを介して医療提供者と直接やりとりしたりすることが可能である。さらに、個人および医療提供者の双方が患者記録の転送や患者ケアの調整に関与する管理プロセスを簡素化する手段として、PHRを機能させることも可能であるとしている。

　HHSは、PHRについて、HIPPAの適用対象主体（CE：Covered Entity）が提供するものと、適用対象主体が提供しないものの2つに分類している。このうち図1は、適用対象主体が提供するPHRの情報フローを示したものである。

図1　適用対象主体が提供するPHRの情報フロー（クリックで拡大）出典：U.S. Department of Health & Human Services「Personal Health Records and the HIPAA Privacy Rule」（2020年6月8日）

　健康情報は、個人と適用対象主体（例：医療機関、医療保険者）の間でやりとりされる。適用対象主体は、PHRを保存したり、PHR内の情報を更新したりすることができる。PHR内の情報は、HIPAAプライバシー規則に準拠して保護される一方、個人は、いつでも、どの場所のどのコンピュータからもアクセスできる。

　これに対して図2は、適用対象主体以外の主体が提供するPHRの情報フローを示したものである。

図2　適用対象主体が提供しないPHRの情報フロー（クリックで拡大）出典：U.S. Department of Health & Human Services「Personal Health Records and the HIPAA Privacy Rule」（2020年6月8日）

　具体的には、PHRが、HIPPAの適用対象となる医療機関や医療保険者ではなく、雇用主（雇用主の団体医療保険とは別個）またはPHRベンダーによって直接個人に提供されるケースが該当する。このようなタイプのPHRでは、PHRの提供主体が策定したプライバシーポリシーに基づいて管理される。場合によっては、HIPAAプライバシー規則以外の法令（例：連邦取引委員会（FTC）が所管する消費者保護規制）に基づいて管理されることになる。ただし、HIPPA適用対象主体が保持する個人の健康情報をPHRに入力する方法については、HIPAAプライバシー規則が適用されることになる。個人が、いつでも、どの場所のどのコンピュータからもアクセスできる点は、適用対象主体が提供するPHRと変わらない。

PHRにおける「適用対象者」と「事業提携者」の関係に注意

　　　　　　 1|2|3 次のページへ