拡大する米国の医療情報漏えいインシデント、医療機器企業はどう対応すべきか海外医療技術トレンド(81)(1/3 ページ)

本連載第16回で米国の医療機関のサイバーセキュリティ対策への取り組みを紹介したが、その後も医療情報漏えいインシデントは拡大傾向にある。

» 2022年03月18日 10時00分 公開
[笹原英司MONOist]

 本連載第16回で、米国の医療機関のサイバーセキュリティ対策への取り組みを紹介したが、その後も医療情報漏えいインシデントは拡大傾向にある。

⇒連載「海外医療技術トレンド」バックナンバー

HIPAA規則改正で注目される医療情報侵害通知期限の動向

 米国保健福祉省(HHS)の公民権室(OCR)は、経済的および臨床的健全性のための医療情報技術に関する法律(HITECH法)第13402条(i)に基づいて、HHSに通知された医療情報侵害インシデントの件数や特徴をとりまとめた報告書を、米国連邦議会に提出している(関連情報)。

 2022年2月28日、OCRは、保健福祉省のブログで、「2020年版セキュアでない保護対象保健情報の侵害に関する議会向け報告書」を発行したことを公表した(関連情報)。

 本報告書では、侵害(Breach)について、HITECH法の定義に準拠する形で、HIPAAプライバシー規則が認めていない方法による保護対象保健情報(PHI)の取得、アクセス、利用、開示で、PHIのセキュリティまたはプライバシーを危険にさらすものと定義している。侵害通知規則の下では、適用対象主体(CE)または事業提携者(BA)に該当する場合、リスク評価に基づいて、PHIが危険にさらされる確率が低いことを示さない限り、PHIの不正な取得、アクセス、利用、開示は、侵害と推定されるとしている。このようなリスク評価では、少なくとも以下のようなファクターに取り組まなければならないとしている。

  1. 識別子のタイプや再識別化の可能性など、含まれるPHIの性質や程度
  2. PHIを利用したまたは開示がなされた権限のない人
  3. PHIが実際に取得されたまたは閲覧されたか否か
  4. PHIに対するリスクが低減された程度

 セキュアでないPHIの侵害の発見に続いて、適用対象主体は、影響を受けた個人、保健福祉省長官、そして特定のケースではメディアに対して、侵害通知を提供しなければならない。特に保健福祉省長官に対しては、500人以上の個人に影響を及ぼした侵害通知の場合60日以内、500人未満の個人に影響を及ぼした侵害通知の場合暦年分を合算して年1回、報告する義務がある。適用対象主体の事業提携者によるセキュアでないPHI侵害の場合、事業提携者は、適用対象主体に侵害を通知しなければならない。

 また、適用対象主体は、影響規模の大小に関わらず、侵害の発見後遅滞なく60日以内に、影響を受けた個人に対して、セキュアでないPHIの侵害を通知しなければならない。その際には、個人の最後に知った住所宛にファーストクラスメールで、書面による通知を提供しなければならない。もしくは、個人が電子的通知に同意した場合、電子メールで送付しなければならない。もし、適用対象主体が、個人が亡くなっていることを知り、個人の隣人または代理人の住所を持っている場合、隣人または代理人宛に、書面による通知を提供しなければならない。個人への通知は、侵害に関する情報が利用可能になったら、一度以上郵便で提供される場合がある。なお、提供手段に関わらず、通知には、可能な限り、以下のような項目が含まれる必要があるとしている。

  1. 侵害の日付、もし既知の場合には侵害の発見日など、何が起きたかに関する簡単な記述
  2. 侵害に含まれるセキュアでないPHIのタイプの記述
  3. 侵害の結果による潜在的な危害から保護するために、個人が取るべきあらゆるステップ
  4. 侵害を調査し、個人への危害を低減して、さらなる侵害から保護するために、適用対象主体がしていることの簡単な記述
  5. 個人が質問するまたは追加的情報を学ぶための連絡先情報

 ただし、侵害通知期限について、カリフォルニア州公衆衛生局(CDPH)は、2021年7月1日に独自の「DPH-11-009医療情報侵害通知規則」の適用を開始している(関連情報)。CDPHの許認可を受けた診療所や保健医療施設、在宅保健医療機関、ホスピスは、医療情報侵害を発見してから15営業日以内に、CDPH宛に通知することが義務化されている。また、州内の医療情報侵害通知義務違反に対しては、基礎罰金額1万5000米ドルが設定されている。

 参考までに、米国金融業界では、財務省傘下の通貨監督局(OCC)と連邦準備制度理事会(Board)、連邦預金保険公社(FDIC)が策定した「銀行組織およびその銀行サービスプロバイダー向けコンピュータセキュリティインシデント通知要求事項」が、2022年5月1日より適用される予定である(関連情報)。同規則では、銀行に対して、サイバーインシデントが発生したと判断した後36時間以内に、できるだけ早く、重大なコンピュータセキュリティインシデントを第一義的銀行監督機関に通知することを求めている。また、銀行サービスプロバイダーに対して、銀行の顧客に4時間以上実質的な影響を及ぼした、または実質的な影響を及ぼした可能性が高いコンピュータセキュリティインシデントを経験したとプロバイダーが判断したら遅滞なく、影響を受けた銀行組織の顧客に通知することを求めている。

 本連載第44回第67回で触れたように、保健福祉省は、「Meaningful Use」の次の医療IT推進施策である「Promoting Interoperability(PI)」の導入に合わせて、HIPAAプライバシー規則の改正作業を進めてきたが、現行規定で60日以内に設定されたPHI侵害通知期限がどのように変わるのかに注目が集まっている。

 今後、HIPAAの事業提携者(BA)に該当する医療機器企業や保健医療関連サービス企業に対しては、通知期限の動向に合わせて、コンピュータセキュリティインシデント対応チーム(CSIRT)や製品セキュリティインシデント対応チーム(PSIRT)のエスカレーションフローを見直したり、適用対象主体(CE)に該当する医療機関および患者・家族との間のリスクコミュニケーション機能を強化したりすることが要求される。

 さらに、本連載第77回で触れたように、HIPAA適用外となっている民間の個人健康記録(PHR)やデジタルヘルス関連製品・サービスについても、連邦取引委員会(FTC)が、「2009年米国再生再投資法(ARRA)」に基づく「健康侵害通知規則」の改正作業を進めており、医療機器(SaMD含む)、非医療機器(non-SaMD含む)の区別に関係なく、CSIRT/PSIRTの体制見直しが要求されることになる。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.