フィットネストラッカーにも広がる米国のセキュリティ規制、異業種連携も加速:海外医療技術トレンド(77)(2/3 ページ)
前回の連載第76回では米国の医療機器サイバーセキュリティ規制動向を取り上げたが、医療機器に該当しない健康アプリケーション/機器でも、新たな規制に向けた動きが顕在化している。
FTCの健康アプリ規制と密接に関わるHIPAAプライバシー規則改正
本連載第64回で触れたように、トランプ政権下の米国保健福祉省(HHS)は、「Meaningful Use」に代わる医療IT推進施策となる「Promoting Interoperability(PI)」の導入に向けて、HIPAAプライバシー規則改正案の策定作業を開始した。
その後2020年12月10日には、HHS傘下の公民権室(OCR)が、「調整されたケアと個人の参画を支援し障害を取り除くためのHIPAAプライバシー規則改正提案」(関連情報)を公表している。OCRは、その骨子として、以下のような点を挙げている。
- 個人が自分自身の保健情報(電子情報を含む)にアクセスする権利を強化する
- 個人のケア調整とケースマネジメントのための情報共有を向上させる
- 緊急事態または健康の危機を経験する個人のケアにおける家族および介護者の関与拡大を促進する
- オピオイド、COVID-19など、緊急事態または脅威の存在する環境での情報開示に関わる柔軟性を強化する
- 個人の保健情報のプライバシー権益を継続的に保護する一方、HIPAAの適用対象となる医療提供者および医療保険者の管理上の負荷を低減する
現行のHIPAAプライバシー規則には、電子健康記録(EHR:Electronic health record)の定義がなく、HITECH法(経済的および臨床的健全性のための医療情報技術に関する法律)の定義が準用されてきたが、上記の改正案では、HITECH法に準拠したEHRの定義をHIPAAプライバシー規則に拡張するよう提案している。加えてOCRは、HITECH法で定義された個人健康記録(PHR:Personal Health Record)の定義をベースに、HIPAAプライバシー規則で「個人健康アプリケーション(Personal Health Application)」を定義するよう提案している。
なお、トランプ政権からバイデン政権への移行を受けて、OCRが、HIPAAプライバシー規則改正案に関する意見募集期間を延長する(関連情報など、最終版の公表時期が遅れている。2021年秋には、バイデン政権下でOCRの責任者が指名され、最終版取りまとめに向けた作業の加速が期待される。
このようなHHSによるHIPAAプライバシー規則改正に向けた動きと並行して、FTCは、トランプ政権下の2020年5月8日、健康侵害通知規則の一部見直し提案に関する意見募集を開始した(関連情報)。
FTCは、この意見募集に際して、以下のような課題点を挙げている。
- 規則は、通知不足、過剰通知、または効率的なレベルの通知、いずれの結果となっているか
- 法的、経済的、技術的変化を反映させるために、規則の定義を修正すべきか
- 侵害報告のタイミング要件や手法は適切か;モバイルヘルスアプリケーション、仮想アシスタント、プラットフォーム・ヘルスツールなど、ダイレクト・トゥー・コンシューマー技術およびサービスにより起きた執行措置への影響
- 規則が、COVID-19に関連する医療製品またはサービスにおける開発を取り扱うべきか、またどのようにすべきか
前述の健康アプリケーション/デバイスに関する政策声明書は、バイデン政権下のFTCが発出したものだ。FTCは、健康分野だけでなく、金融、消費財製造、デジタルサービス、教育など、幅広い分野の消費者プライバシー保護政策に関わっている。加えて、本連載第54回で触れたように、FTCは、13歳未満の子供を対象とした児童オンラインプライバシー保護法(COPPA)も所管しており、グーグル(Google)および傘下のYouTubeのCOPPA違反事案に関連して、総額1億7000万米ドルの制裁金を科すなど、HHS傘下のOCRや食品医薬品局(FDA)よりも高額なレベルの制裁金を設定する傾向がある。
バイデン政権は、2021年5月12日に発令した「国家のサイバーセキュリティの向上に関する大統領令」(関連情報)の中でも、プライバシー保護規制の順守を強調しており、消費者保護政策の観点から、FTC主導の健康アプリケーション/機器関連規制の動向を注視する必要がある。
Copyright © ITmedia, Inc. All Rights Reserved.