　米国の場合、HIPAA（Health Insurance Portability and Accountability Act of 1996：医療保険の携行性と責任に関する法律）の適用対象となるプログラム医療機器（SaMD：Software as a Medical Device）および非プログラム医療機器（Non-SaMD：Non Software as a Medical Device）の領域をみると、本連載第91回で触れたように、保健福祉省（HHS）が、「国家医療IT調整室（ONC）21世紀治療法最終規則（ONC規則）」（関連情報）や、「メディケア・メディケイド・サービス・センター（CMS）相互運用性および患者アクセス最終規則」（関連情報）に基づいて、LH7-FHIR（Fast Healthcare Interoperability Resources）標準規格をベースとするヘルスデータ利活用推進施策を展開してきた。

　これに対して、HIPAAの適用対象外となるNon-SaMDを見ると、消費者保護をつかさどる米国連邦取引委員会（FTC）が所管してきた。FTCは、2009年8月17日、「2009年米国再生再投資法（ARRA）」の一部として、「健康侵害通知規則（HBNR）」（関連情報）を制定・施行している。現行のHBNRでは、HIPAAが適用されない「個人健康記録（PHR）を提供するベンダーおよび関連する主体に対して、健康データ侵害を発見したら60日以内（500人以上の個人が影響を受ける侵害の場合は10営業日以内）に、FTCおよび消費者に通知するよう求めている。

　FTCは2020年5月8日、HBNRが経済や技術、事業モデルの変化に即したものであることを確実にするための定期的な見直し作業の一環として、同規則の一部見直し提案に関する意見募集を開始した（募集期間：2020年8月20日まで、関連情報）。

　この結果を受けてFTCは2023年5月18日、HBNRを強化／現代化するために、改正提案を行うことを表明した（関連情報）。さらに2023年6月9日、健康侵害通知（HBN）規則の改正案を公開し、提案した変更に関するパブリックコメントの募集を開始した（募集期間：2023年8月7日まで、関連情報）。表1は、健康侵害通知規則（HBNR）改正案の主な変更点を整理したものである。

表1　米国連邦取引委員会（FTC）の健康侵害通知規則（HBNR）改正案の主な変更点［クリックで拡大］出所：U.S. Federal Trade Commission (FTC)「16 CFR Part 318: Health Breach Notification Rule (NPRM)」（2023年6月9日）を基にヘルスケアクラウド研究会作成

FTCがNon-SaMDの健康データ侵害に対する法執行措置を予告

　FTCは、このようなHBNR改正に向けた作業と並行して、同規則違反企業に対する法執行措置を強化している。2021年9月15日には、FTCより、「健康アプリケーションおよびコネクテッドデバイスによる侵害に関する委員会声明」（関連情報）が発表された。

　この声明文によると、消費者の入力とアプリケーションプログラミングインタフェース（API）の組み合わせを介したケースなど、複数ソースから情報を引き出す能力を持った電子的記録であれば、HBNRの適用対象アプリケーション（「個人健康記録」）に該当するとしている。例えば、血糖モニタリングアプリケーションが単一ソース（例：消費者が入力した血糖値レベル）のみから健康情報を引き出して、別のソース（例：電話機のカレンダーからの日付）から非健康情報を取り出した場合も、HBNRの適用対象となる。加えてFTCは、HBNRの適用対象となるサービスを提供する主体に対して、「侵害」はサイバーセキュリティの侵入や邪悪な行為に限定されないとしている。個人の許可なしに適用対象となる情報を共有するケースなど、不正なアクセスによるインシデントは、HBNRの下で通知義務の引き金になると指摘している。

　FTCによると、多くの米国市民が、疾病や診断、処置、薬、フィットネス、妊娠、睡眠、メンタルヘルス、食事およびその他の命に関わる領域を追跡するために、アプリケーションおよびその他の技術に目を向けており、HBNRが一層重要になっているという。このようなサービスを提供する企業は、消費者データをセキュアにして保護するために、適切な注意を払うべきだとして、FTCは、規則に違反した企業に対して法執行措置のために行動を起こす方針を打ち出した。

　他方、技術的観点から、健康データの侵害が懸念されているのが、オンライントラッキングの利用だ。保健福祉省は、HIPAAの適用対象となるSaMD／Non-SaMDに関連して、2022年12月1日、「HIPAA適用主体と事業提携者によるオンライントラッキング技術の利用」と題するガイドラインを公開している（関連情報）。保健福祉省は、個人からHIPAA順守に基づく承認を得ることなしに、保護対象主体（例：病院、医療保険者）が、マーケティング目的で電子保護対象保健情報（e-PHI）を事業提携者（例：トラッキング技術ベンダー）に開示することは認められないとしている。本ガイドラインでは、トラッキング技術とは何か、どのように利用されるのか、規制対象主体は、トラッキング技術を利用してHIPAA規則を順守する際、ePHIを保護するために、どんなステップを踏まなければならないかなどについて概説している。

　その後2023年7月20日、FTCと保健福祉省が共同で、全米約130の病院および遠隔医療プロバイダーに対し、Webサイトやモバイルアプリケーションに統合されたオンライントラッキング技術に関連するプライバシーおよびセキュリティのリスクについて、消費者の機微な個人情報をサードパーティーに許されない開示が起きる可能性があるとして、警告文書を送付したことを発表している（関連情報）。

健康データ侵害を起こしたNon-SaMD企業に対するFTCの法執行措置事例

　　　　　　 1|2|3 次のページへ