米国保健福祉省がHIPAAプライバシー規則改正案を公表 ブックマークが追加されました
最新動向/市場予測
米国保健福祉省がHIPAAプライバシー規則改正案を公表
【第123号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
2020年12月10日、米国保健福祉省(HHS)の公民権室(OCR)は、「調整されたケアと個人の参画を支援し障害を取り除くためのHIPAAプライバシー規則改正提案」と題する文書を公表しました。
第123号 2021.1.12公開
公表に先立ちOCRは、2018年12月12日、HIPAA(Health Insurance Portability and Accountability Act of 1996:医療保険の携行性と責任に関する法律)規則改正に向けて情報提供依頼(RFI)を発出していました(意見募集期間:2019年2月11日まで)。その後、具体的な改正案の策定作業が行われ、今回の改正案公表に至りました。
OCRは、HIPAAプライバシー規則改正案の骨子として、以下のような点を挙げています。
- 個人が自分自身の保健情報(電子情報を含む)にアクセスする権利を強化する
- 個人のケア調整とケースマネジメントのための情報共有を向上させる
- 緊急事態または健康の危機を経験する個人のケアにおける家族および介護者の関与拡大を促進する
- オピオイド、COVID-19など、緊急事態または脅威の存在する環境での情報開示に係る柔軟性を強化する
- 個人の保健情報のプライバシー権益を継続的に保護する一方、HIPAAの適用対象となる医療提供者および医療保険者の管理上の負荷を低減する
現行のHIPAAプライバシー規則には、電子健康記録(EHR:Electronic health record)の定義がなく、HITECH法(経済的および臨床的健全性のための医療情報技術に関する法律)の定義が広く引用されてきましたが、今回の改正案では、HITECH法に準拠したEHRの定義をHIPAAプライバシー規則に拡張するよう提案しています。
またOCRは、2020年6月8日、「個人健康記録とHIPAAプライバシー規則」と題するホワイトペーパーを公表し、個人健康記録(PHR:Personal Health Record)の定義を示した上で、HIPPAの適用対象主体(CE:Covered Entity)が提供するものと、適用対象主体が提供しないものの2つに分類していましたが、今回の改正案では、HITECH法で定義されたPHRの定義をベースに、HIPAAプライバシー規則で「個人健康アプリケーション(Personal Health Application)」を定義するよう提案しています。
なお、HIPAA適用対象主体以外の主体が提供するPHRについては、連邦取引委員会(FTC)がプライバシー保護規制を所管しており、別途、健康侵害通知(HBN)規則の見直し作業を進めています。
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・HIPAAプライバシー規則改正案では、様々な個人が、自分の電子健康記録(EHR)や個人健康アプリケーションにアクセスし、APIを経由して医療機関の枠を越えたデータ共有や利活用を実現する環境を想定している。データソースを担う医療機関は、個人を中心としたエコシステムを構成するステークホルダーおよびその関係を把握し、データリスクに係る責任分界点を明確化した上で、従来型の境界防御の概念に基づくクローズドな医療情報システム・アーキテクチャを見直していく必要がある。
医療機器メーカー/医療品メーカー
・HIPAAプライバシー規則改正案で新たに規定される個人健康アプリケーションと連携して、デジタルヘルス関連事業を展開する医療機器/医療品メーカーは、個人健康アプリケーションベンダーおよび関連ステークホルダーのエコシステムに要求する規制要件やインシデント対応計画を確認し、万一健康データ漏えい事案が発生した場合の事業への影響度などを評価しておく必要がある。
サプライヤー
・EHRや個人健康アプリケーション向けに製品・サービスを提供するサプライヤーは、各製品・サービスおよび連携するステークホルダーのエコシステムの全体像を把握した上で、HIPAAプライバシー規則改正案の要求事項が、自社製品・サービスのデータライフサイクルに及ぼす影響度をあらかじめ評価しておく必要がある。
関連記事 [外部サイト]
- U.S. Department of Health and Human Services (HHS)「HHS Proposes Modifications to the HIPAA Privacy Rule to Empower Patients, Improve Coordinated Care, and Reduce Regulatory Burdens」(2020年12月10日)
- U.S. Department of Health and Human Services (HHS)「HHS seeks public input on improving care coordination and reducing the regulatory burdens of the HIPAA Rules」(2018年12月12日)
- U.S. Department of Health and Human Services (HHS)「PERSONAL HEALTH RECORDS AND THE HIPAA PRIVACY RULE」(2020年6月8日)
- Federal Trade Commission (FTC)「FTC Seeks Comment as Part of Review of Health Breach Notification Rule」(2020年5月8日)
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。