米国カリフォルニア州で遺伝情報プライバシー保護法が成立 ブックマークが追加されました
最新動向/市場予測
米国カリフォルニア州で遺伝情報プライバシー保護法が成立
【第143号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
2021年10月12日、米国カリフォルニア州のギャビン・ニューサム知事は、遺伝情報プライバシー保護法(GIPA)に署名し、同法が成立しました。
第143号 2021.11.2公開
GIPAでは、消費者直接取引型(DTC)遺伝子検査企業について、以下のいずれかに該当する主体が該当するとしています。
(A) 消費者主導型遺伝子検査製品またはサービスを、直接消費者向けに販売、流通、解釈、さもなければ提供する
(B) 診断のためのヒーリングアートまたは医学的状態の治療において免許を受けた個人による分析が実行される場合を除いて、消費者から入手した遺伝データを分析する
(C) 消費者直接取引型(DTC)遺伝子検査製品またはサービスから収集または入手した遺伝子データを収集、利用、維持または開示する、もしくは直接消費者により提供される
また、遺伝データ(Genetic Data)については、その形態に関わらず、消費者からの生体サンプルまたは同等の情報の入手を可能にするその他の要素からの分析結果で、遺伝物質に関連するようなデータと定義している。遺伝物質には、DNA、RNA、遺伝子、染色体、ゲノム、DNA/RNAの変異または改変、SNP、生体サンプルの分析結果の未翻訳データ、およびその他の情報で、そこから推定、導出、推論されたものが含まれるとしています。
その上で、GIPAは、消費者直接取引型(DTC)遺伝子検査企業およびその他の消費者直接取引型(DTC)遺伝子検査製品・サービスから収集、抽出された遺伝データや、消費者が直接提供する遺伝データを収集、利用、維持、公開する場合、以下のような要求事項を定めています。
- 遺伝データの収集、利用、維持、公開のための企業のポリシーおよび手順に関する通知を提供する
- 消費者から、遺伝子検査による収集、利用、公開に関するインフォームドコンセントを取得する
- 消費者のコンセント失効から30日以内に、消費者の遺伝情報を破壊する
また、GIPAでは、非識別化データ(Deidentified Data)は、遺伝データに含まれないとしている。加えて、下記に該当する場合は、法適用の対象外となるとしています。
(1)医療情報機密保持法の統括管理下にある医療情報
(2)医療情報機密保持法の統括管理下にある医療機関
(3)米国連邦政府保健福祉省(HHS)のプライバシー、セキュリティ、データ侵害通知規則の統括管理下にある適用対象主体(CE: Covered Entity)の事業提携者(BA: Business Associate)
(4)保健福祉省(HHS)に保証された公立または民間非営利の高等教育機関が行う科学研究または教育活動
(5)新生児スクリーニング・プログラム
(6)個人が特定の病気であるかを診断するために行われる検査
従来から、医療保険の相互運用性と責任に関する法律(HIPAA)の適用対象となってきた医療機関やその事業提携者には、GIPAは適用されないことになっています。
なおGIPAは、2022年1月1日より施行され、違反企業に対しては、1,000~10,000米ドルの制裁金が科せられる予定です。
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・日本国内では、経済産業省がDTC遺伝子検査を所管しており、「消費者向け(DTC)遺伝子検査ビジネスのあり方に関する研究会」において、「DTC遺伝子検査ビジネス事業者に対するガイダンス(仮称)」の検討などを行っている。医療機関が実施する遺伝子検査と比較すると、遺伝情報のインフォームドコンセントや保存・管理、二次利用などに係るルールや手順が整備途上段階にあるので、患者/消費者やDTC遺伝子検査サービス事業者との間で情報共有・二次利用する場合には、十分配慮する必要がある。
医療機器メーカー/医療品メーカー
・日本の場合、DTC遺伝子検査データを利用・連携したサービスを開発・提供する医療機器メーカー/医療品メーカーには、個人情報保護法、特定商取引法、消費者契約法、景品表示法などの消費者保護規制を遵守し、適切な対応を行う義務が課せられている。医療に係る法規制との違いに注意して、プライバシー/サイバーセキュリティに関するリスク評価を実施し、積極的に消費者やDTC遺伝子検査サービス事業者と相互間のコミュニケーション活動を強化する必要がある。
サプライヤー
・DTC遺伝子検査サービス事業者向けに遺伝情報管理製品・サービスを提供するサプライヤーは、医療機関向けとサービス事業者向けで、ルールや手順が異なる点を認識した上で、情報やデータの生成から廃棄に至るまでのライフサイクル全体で、インシデントが発生した場合の対応手順やリスク管理上の責任分担、さらには予防的対策について確認し、リスク低減に努めておく必要がある。
関連記事 [外部サイト]
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。