カリフォルニア州政府が医療情報侵害通知規則を施行 ブックマークが追加されました
最新動向/市場予測
カリフォルニア州政府が医療情報侵害通知規則を施行
【第137号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
2021年7月1日、カリフォルニア州公衆衛生局(CDPH)は、「DPH-11-009 医療情報侵害」規則を施行しました。
第137号 2021.8.3公開
カリフォルニア州安全衛生法第1280.15条(2008年施行)は、CDPHの許可を受けた診療所や保健施設、在宅保健機関、ホスピスに対し、患者の医療情報に対する違法または不正なアクセスや利用、開示(医療情報侵害)を防止するよう求めており、CDPHが、これらの保健医療施設に対して行政処分を課することを認めています。
同法に基づいて今回新たに施行された規則では、以下のような目的を掲げています。
- 患者の医療情報侵害の低減
- 保健医療施設による患者の医療情報保護のための警戒の拡大
- 患者の医療情報侵害に関連する州法および連邦法のより密接な調整
- カリフォルニア州民における患者体験の向上
特に新規則では、カリフォルニア州内の保健医療施設に対し、医療情報侵害を発見してから15営業日以内に、CDPH宛に通知することを求めています。また、医療情報侵害の通知義務違反に対しては、基礎罰金額15,000米ドルを設定しています。
なお、連邦法レベルでは、医療保険の携行性と責任に関する法律(HIPAA)の侵害通知規則により、適用対象主体(CE:Covered Entity)および事業提携者(BA:Business Associates)に対して、500人以上に影響を与える保護対象保健情報(PHI:Protected Health Information)侵害を発見したら60日以内に、保健福祉省(HHS)および個人に通知するよう求めています。
また、連邦取引委員会(FTC)が、2009年8月17日、「2009年米国再生再投資法(ARRA)」の一部として、制定・施行した健康侵害通知規則により、HIPAAが適用されない個人健康記録(PHR)を提供するベンダーおよび関連するサードパーティ・アプリケーションを提供する事業者に対して、健康データ侵害を発見したら60日以内(500人以上の個人が影響を受ける侵害の場合は10営業日以内)に、FTCおよび消費者に通知するよう求めています。
現在、HIPAA侵害通知規則およびFTC健康侵害規則の双方とも、改正HIPAAプライバシー規則の施行に合わせて、改正作業が進められています。
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・米国の場合、通常、医療機関は、500人以上に影響を与える医療情報漏えいインシデントが発生したら、原則として60日以内に、保健福祉省(HHS)および消費者に通知する義務があるが、カリフォルニア州内の医療機関は、15営業日以内に、カリフォルニア州公衆衛生局(CDPH)に通知しなければならなくなった。保健医療分野は、カリフォルニア消費者プライバシー法(CCPA)の規制対象外であるが、今回のケースのように、州レベルの法規制対応のために、サプライヤーを含めたインシデント対応計画や外部コミュニケーション機能の見直しが必要なことがあるので、注意を要する。
医療機器メーカー/医療品メーカー
・カリフォルニア州内の医療機関に製品・サービスを提供する医療機器/医療品メーカーは、自社製品のサプライチェーンに関連して医療情報漏えいが発生した場合の事業への影響度などを再評価した上で、インシデント対応計画や情報共有体制について見直しておく必要がある。
サプライヤー
・カリフォルニア州内の医療機関向けに製品・サービスを提供するサプライヤーは、今回の医療情報漏えいに関する通知期間の短縮が自社製品・サービスのサプライチェーンに及ぼす影響度を評価して、インシデント対応計画や情報共有体制について見直す必要がある。
関連記事 [外部サイト]
- California Department of Public Health(CDPH)「DPH-11-009 Medical Information Breach」(2021年7月1日更新)
- California Office of Health Information Integrity「Federal and State Health Laws」
- U.S. Department of Health & Human Services(HHS)「Breach Notification Rule」(2013年7月26日更新)
- Federal Trade Commission(FTC)「FTC Issues Final Breach Notification Rule for Electronic Health Information」(2020年8月17日)
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。