図1　米国連邦取引委員会（FTC）の消費者向け健康アプリケーションおよび接続されたデバイスに関する政策声明書（2021年9月15日）［クリックで拡大］出典：Federal Trade Commission (FTC)「FTC Warns Health Apps and Connected Device Companies to Comply With Health Breach Notification Rule」（2021年9月15日）

　健康侵害通知規則は、オバマ政権下の2009年8月17日、リーマンショック後の景気浮揚策として制定された「2009年米国再生再投資法（ARRA）」の一部として制定・施行された規則である（関連情報）。具体的には、医療保険の携行性と責任に関する法律（HIPAA）が適用されない個人健康記録（PHR）を提供するベンダーおよび関連するサードパーティーアプリケーションを提供する事業者に対して、健康データ侵害を発見したら60日以内（500人以上の個人が影響を受ける侵害の場合は10営業日以内）に、FTCおよび消費者に通知するよう求めている。

　今回公表された声明書の中でFTCは、糖尿病患者の血糖値から、心臓の健康、生殖、睡眠に至るまで、全てを追跡できる健康アプリケーションが、消費者から機微な個人データをますます収集しており、これらのアプリケーションは、情報への不正アクセスの防止など、収集するデータのセキュリティを保証する責任があるとしている。

　FTCの規制対象となるケースとして、消費者から健康情報を収集し、APIを介してデータを引き出して、消費者のフィットネストラッカーと同期する技術機能を有するような、HIPAA規制対象外の健康アプリケーションを挙げている。そして、FTCの健康侵害通知規則を順守しない企業に対しては、最高4万3792米ドルの制裁金が科せられる可能性があるとしている。

　米国内では、HIPAAの適用対象となる医療機関／医療保険者などの適用対象主体（CE：Covered Entity）や、その外部委託先である事業提携者（BA：Business Associate）を標的にしたサイバー攻撃に起因した保護対象保健情報（PHI）漏えいインシデントが多発しているが、FTCが所管するPHRについてみると、健康侵害通知規則施行後、実際に通知があったのは4件にとどまっているという。

　なお、健康侵害通知規則は、米国市民／居住者の健康情報を取り扱う海外のITベンダー／サービスプロバイダーにも適用されるので、健康関連機器／アプリケーション／サービスの米国市場展開に取り組む日本企業は、特に注視する必要がある。

FTCの健康アプリ規制と密接に関わるHIPAAプライバシー規則改正

　　　　　　 1|2|3 次のページへ