前回の連載第76回では米国の医療機器サイバーセキュリティ規制動向を取り上げたが、医療機器に該当しない健康アプリケーション/機器でも、新たな規制に向けた動きが顕在化している。
前回、米国の医療機器サイバーセキュリティ規制動向を取り上げたが、医療機器に該当しない健康アプリケーション/機器でも、新たな規制に向けた動きが顕在化している。
本連載第8回で触れたように、「医療機器」「非医療機器」に関わらず、一般消費者が利用するヘルスケアデバイスおよび関連サービスの場合、消費者保護の観点から、プライバシー/個人データ保護を所管する米国連邦取引委員会(FTC)が関わっている。
2021年9月15日、FTCは、消費者の健康情報を収集または利用する健康アプリケーションおよび接続された機器が「健康侵害通知規則」を順守しなければならない点を訴求する政策声明書を発出し、企業に対する注意喚起を行った(図1参照、関連情報)。
健康侵害通知規則は、オバマ政権下の2009年8月17日、リーマンショック後の景気浮揚策として制定された「2009年米国再生再投資法(ARRA)」の一部として制定・施行された規則である(関連情報)。具体的には、医療保険の携行性と責任に関する法律(HIPAA)が適用されない個人健康記録(PHR)を提供するベンダーおよび関連するサードパーティーアプリケーションを提供する事業者に対して、健康データ侵害を発見したら60日以内(500人以上の個人が影響を受ける侵害の場合は10営業日以内)に、FTCおよび消費者に通知するよう求めている。
今回公表された声明書の中でFTCは、糖尿病患者の血糖値から、心臓の健康、生殖、睡眠に至るまで、全てを追跡できる健康アプリケーションが、消費者から機微な個人データをますます収集しており、これらのアプリケーションは、情報への不正アクセスの防止など、収集するデータのセキュリティを保証する責任があるとしている。
FTCの規制対象となるケースとして、消費者から健康情報を収集し、APIを介してデータを引き出して、消費者のフィットネストラッカーと同期する技術機能を有するような、HIPAA規制対象外の健康アプリケーションを挙げている。そして、FTCの健康侵害通知規則を順守しない企業に対しては、最高4万3792米ドルの制裁金が科せられる可能性があるとしている。
米国内では、HIPAAの適用対象となる医療機関/医療保険者などの適用対象主体(CE:Covered Entity)や、その外部委託先である事業提携者(BA:Business Associate)を標的にしたサイバー攻撃に起因した保護対象保健情報(PHI)漏えいインシデントが多発しているが、FTCが所管するPHRについてみると、健康侵害通知規則施行後、実際に通知があったのは4件にとどまっているという。
なお、健康侵害通知規則は、米国市民/居住者の健康情報を取り扱う海外のITベンダー/サービスプロバイダーにも適用されるので、健康関連機器/アプリケーション/サービスの米国市場展開に取り組む日本企業は、特に注視する必要がある。
Copyright © ITmedia, Inc. All Rights Reserved.