米国の小児科病院が親権者に対する医療情報開示不備でHIPAA違反 ブックマークが追加されました
最新動向/市場予測
米国の小児科病院が親権者に対する医療情報開示不備でHIPAA違反
【第141号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
ネブラスカ州オマハの小児科専門病院であるチルドレンズホスピタル&メディカルセンター(CHMC)は、HIPAAプライバシー規則のアクセス基準違反に関連して、制裁金80,000米ドルを支払うことに同意しました。
第141号 2021.10.4公開
2021年9月10日、米国保健福祉省(HHS)の公民権室(OCR)は、HIPAAアクセス権イニシアティブの第12次調査の和解案を公表し、ネブラスカ州オマハの小児科専門病院であるチルドレンズホスピタル&メディカルセンター(CHMC)が、HIPAAプライバシー規則のアクセス基準違反に関連して、制裁金80,000米ドルを支払うことで同意したことを明らかにしました。OCRは、医療保険の相互運用性と説明責任に関する法律(HIPAA)プライバシー規則に基づき、相応の費用で、個人が自分の健康記録にタイムリーにアクセスする権利を支援することを目的として、本イニシアティブを創設・実施しています。
2020年5月、OCRは、CHMCの小児患者の親から、同院が未成年者の娘の医療記録へのタイムリーなアクセスを提供しなかった旨の申立を受けました。申立てによると、CHMCは記録の一部を提供したが、親からの複数回の追加要求に対して、求められた記録すべてを提供しなかったとしています。
申立を受けたOCRは調査を開始し、CHMCが、要求のあった医療記録へのタイムリーなアクセスを怠ったことに関して、HIPAAアクセス権基準に違反する可能性があると結論付けました。同規則は、適用対象主体に対して、アクセス要求を受けてから30日以内(拡張が適用される場合は60日以内)に対応するよう規定しています。OCRが調査した結果、最終的には、親が要求した記録すべてを受け取ったとしています。
一般的に、HIPAAは、適用対象主体に対して、親が未成年の子どもの代理人である時、親に、子どもの医療記録へのタイムリーなアクセスを提供するよう求めています。OCRのHIPAAアクセス権イニシアティブは、親および代理人の保健情報に対する基本的権利を支援しており、すべての適用対象主体がこの基本的権利を遵守することを重視するとしています。
なお、CHMCは、制裁金支払に加えて、1年間のモニタリングを含む選択的な行動計画を履行するとしています。
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・小児科等、未成年の子どもの治療に関わる医療機関は、インフォームドコンセントや医療情報開示に係るコミュニケーションの相手先が、親および代理人となる点を考慮した上で、医療データ侵害インシデント発生時や情報開示対応時のプライバシーポリシーや手順について再点検し、対応の遅延等が起きないように注意する必要がある。米国では、13歳未満の子どもの場合、児童オンラインプライバシー保護法(COPPA)の適用対象となり、高額の制裁金が科せられるケースが増えているので、特に注意を要する。
医療機器メーカー/医療品メーカー
・医療機関との間で、未成年の子どものデータのやりとりをする医薬品/医療機器メーカーは、最終的なコミュニケーションの相手先が親および代理人となる点を再認識した上で、医療データ侵害インシデント対応や、データ2次利用に係るコンセント管理の効率化・迅速化を図る必要がある。
サプライヤー
・医療機関や医薬品/医療機器メーカー向けに、未成年の子どものデータに関わる製品・サービスを提供するサプライヤーは、データに関連したインシデントが発生した場合のリスクコミュニケーションに係るポリシーや手順が、親や代理人を想定したものになっているか再点検するとともに、コンセント管理の効率化・迅速化を可能にするソリューションの開発・導入を進める必要がある。
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。
