米国HIPAA規則改正にみる、医療プロセスのDX推進と個人健康記録保護のバランス:海外医療技術トレンド(64)(3/3 ページ)
本連載第40回で、米国の退役軍人およびメディケア被保険者向け個人健康記録(PHR)に関わる「Blue Button 2.0」に触れた。今回は、PHRの将来を左右するであろうプライバシー規則であるHIPAA規則の改正動向を取り上げる。
COVID-19緊急事態宣言に合わせたHIPAA規則適用の緩和措置
このように、医療ITに関わるデータの相互運用性やプライバシー/セキュリティ関連の政策立案・合意形成に向けた動きが進む中で発生したのが、新型コロナウイルス感染症(COVID-19)の急激な感染拡大だ。連邦政府機関や州政府機関、自治体は、公衆衛生上の緊急事態(PHE)を宣言すると同時に、平時を想定して制定された法規制の緩和措置を講じている。
例えば2020年2月3日、HHSの公民権室は、「広報:HIPAAプライバシーと新型コロナウイルス」(関連情報)と題する政府広報文書を発行し、HIPAAプライバシー規則の適用対象主体や事業提携者に対して、COVID-19緊急対応期間中、HIPAAプライバシー規則の要求事項を順守できない場合でも法執行措置を猶予する旨通知している。
また、同年3月17日には、同じく公民権室が「COVID-19国家公衆衛生緊急事態時の遠隔医療リモートコミュニケーション向け執行裁量通知」(関連情報)を発出し、COVID-19緊急対応時にリアルタイムオーディオや視覚技術を介して患者と臨床医をつなぐ遠隔医療を提供する医療機関に対して、HIPAAプライバシー規則の要求事項を順守できない場合でも法執行措置を猶予することを明文化した。
その後3月27日には、米国連邦議会が、総額2兆米ドル超の財政支出を含む「コロナウイルス支援・救済・経済保障(CARES)法案」を可決し、同法は大統領の署名を経て成立した(関連情報)。CARES法には、新型コロナウイルス緊急対応下の遠隔医療導入に関連した経済インセンティブ施策も組み込まれ、イノベーション促進策と規制緩和策の調和が実現した。
なお、公民権室は、今回のCOVID-19に代表されるパンデミックだけでなく、大規模自然災害などが発生した時にも、HIPAA規則の緩和措置を講じてきた。例えば、2019年9月のハリケーン「ドリアン」襲来時にもPHEを宣言し、PHIの共有に必要な患者・家族からの同意取得など、医療機関に対して本来適用されるHIPAAプライバシー規則に基づく制裁や罰則を猶予する措置を発表している(関連情報)。ただし、この猶予措置が受けられるのは、緊急地域内にある医療機関であり、PHE宣言の期間中、災害プロトコルを発動してから72時間以内に限定されている。
COVID-19緊急対応下で進むFTCのPHR関連規則改正準備
COVID-19緊急対応下の2020年5月8日、HIPAA適用対象主体以外の主体が提供するPHR向けプライバシー保護規制を所管するFTC)は、健康侵害通知(HBN)規則の一部見直し提案に関する意見募集を開始した(募集期間:規則見直し告示の連邦官報掲載後90日間)。
FTCは、2009年8月17日、リーマンショック後の景気浮揚策として制定された「2009年米国再生再投資法(ARRA)」の一部として、健康侵害通知規則を制定・施行している。その中で、HIPAAが適用されないPHRを提供するベンダーおよび関連するサードパーティーアプリケーションを提供する事業者に対して、健康データ侵害を発見したら60日以内(500人以上の個人が影響を受ける侵害の場合は10営業日以内)に、FTCおよび消費者に通知するよう求めている。
その一方、FTCは、健康侵害通知規則が経済や技術、事業モデルの変化に即したものであることを保証するために、定期的な見直しを行っており、今回の意見募集もその一環だ。FTCが所管するPHRに関しては、以下のような課題を掲げている。
- 規則は、通知不足、過剰通知、または効率的なレベルの通知のうちいずれの結果となっているか
- 法的、経済的、技術的変化を反映させるために、規則の定義を修正すべきか
- 侵害報告のタイミング要件や手法は適切か;モバイルヘルスアプリケーション、仮想アシスタント、プラットフォーム、ヘルスツールなど、ダイレクト・トゥー・コンシューマー技術およびサービスにより起きた執行措置への影響
- 規則が、COVID-19に関連する医療製品またはサービスにおける開発を取扱うべきか、またどのようにすべきか
なお、FTCは、本連載第16回で触れたように、消費者向けモバイル/IoT製品・サービスのセキュリティ/プライバシー保護も所管しており、2016年4月6日、HHS傘下のONC、公民権室、食品医薬品局(FDA)と共同で、モバイルヘルスアプリケーション開発者向けのガイドラインを公表している。
米国医師会がHIPAA非適用主体を想定したプライバシー原則を公表
このように、COVID-19緊急対応下でも、連邦政府機関がプライバシー規則改正に向けた準備作業を継続する中、AMAは、最終的なプライバシー関連法令が医師−患者間の関係の根幹にある信頼の保護を保証するものとなるように、さまざまな取り組みを行っている。
例えば、2020年5月11日、AMAは、データプライバシーにおける信頼の維持を目的とする「プライバシー原則」を公表した(関連情報)。AMAは、医療システムの外で共有された保健情報(例:HIPAA非適用主体が提供するPHR)について、患者が意味のある制御機能を有し、データの利用方法や誰とデータが共有されているかについての明確な理解を保証することを重視している。
今回公表した新たな原則では、差別からの権利および保護を個人に提供し、プライバシーの責任を個人からHIPAA適用対象主体以外のデータ所有者にシフトさせるとともに、患者がデジタルヘルスツール(例:自分の健康情報にアクセスするスマートフォンアプリケーションの利用)に対する信頼を構築・維持するのを支援するために、権利侵害に対する罰則を強化するよう求めている。そして、以下のような項目ごとに、原則を整理している。
- 個人の権利
- 公平(Equity)
- 主体の責任
- 適用可能性
- 法執行措置
その一方で、AMAは、APIを基軸とする医療プロセスのDX(デジタルトランスフォーメーション)やイノベーション創出支援に対して積極的な姿勢を示している(関連情報)。医療DX/デジタルヘルスにおけるイノベーションと法規制のバランスの観点から、2020〜2021年にかけて、米国のPHRを巡る個人情報保護規制の動向が注目されている。北米市場において医療機器/デジタルヘルス事業を展開する日本企業にも、大きな影響が及ぶのは確実だ。
筆者プロフィール
笹原英司(ささはら えいじ)(NPO法人ヘルスケアクラウド研究会・理事)
宮崎県出身。千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所、グロバルヘルスイニシャチブ(GHI)等でビッグデータのセキュリティに関する啓発活動を行っている。
Twitter:https://twitter.com/esasahara
LinkedIn:https://www.linkedin.com/in/esasahara
Facebook:https://www.facebook.com/esasahara
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- ≫連載「海外医療技術トレンド」バックナンバー
- 医療データ連携を担うAPIのプライバシー/セキュリティ対策
米国の医療データ相互運用性標準化政策の中で、重要な役割が期待されるAPI(アプリケーション・プログラミング・インタフェース)。今回は、そのプライバシー/セキュリティ対策動向を紹介する。 - 米国の医療クラウドサービスで高まるセキュリティ責任、国内事業者への影響は
米国では、クラウドを利用した新規サービスを事業化する医療機器メーカーが増えているが、同時にセキュリティ/プライバシー対策の要求事項も高度化/複雑化している。 - 新型コロナで加速する欧米のクラウドネイティブな医療API連携、広がる日本との差
本連載第40回および第44回で、米国のAPIを活用した医療IT標準化動向を取り上げたが、新型コロナウイルス感染症(COVID-19)対応を契機に、欧州でも、クラウドネイティブなAPI連携の導入が本格化している。 - 医療クラウド利用を支える責任共有型アクセス制御モデル
前回はクラウドプラットフォームを利用した医療API連携を取り上げたが、今回は医療・ライフサイエンス関連業界のクラウド利用拡大に欠かせないアイデンティティー/アクセス管理動向を紹介する。 - APIエコノミーが主導する米国の医療データ連携とAI
本連載ではこれまでにも何度か米国の医療データ相互運用性標準化動向を紹介してきた。これに関連して、新たな経済インセンティブの仕組みづくりが加速している。 - 米国が推進するリスクベースのモバイルヘルスアプリ開発
世界各国でモバイルヘルスアプリケーションの開発に向けた競争が激化する中、規制当局が要求する品質/安全管理対策の水準も確実に上がっている。開発者はどのような点に注意したらよいのだろうか。