最新動向/市場予測

米国保健福祉省が改正HITECH法導入に関する情報提供依頼を発出

【第155号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

2022年4月6日、米国保健福祉省(HHS)傘下の公民権室(OCR)は、「経済的および臨床的健全性のための医療情報技術に関する法律(HITECH法)改正版を導入するための考慮事項」と題する情報提供依頼(RFI)を公示し、パブリックコメントの募集を開始しました(募集期間:2022年6月6日まで)。

第155号 2022.5.9公開

OCRは、RFIを通じて、医療保険の携行性と責任に関する法律(HIPAA)のセキュリティ規則に係る違反の可能性がある事案を解決するための制裁、監査、救済策に関する決定を行う際に、適用対象主体(CE)および事業提携者(BA)の認識されたセキュリティ対策(Recognized Security Practice)についての考慮事項や、HITECH法に準拠して収集される民事制裁金(CMP)または解決金の、被害を受けた個人に対する分配比率についての意見を求めています。

 RFIは以下のような構成になっています。

I. 背景

 A. パブリックロー 116-321 (HITECH法第13412条改正版)

  1. 認識されたセキュリティ対策

  2. 適切な明示

  3. 過去12ヶ月

 B. HITECH法第13410条(c)(3)

  1. OCRのHIPAA規則による法執行の背景

  2. 補償すべき害の決定

  3. 手法の確立

II.パブリックコメント向けの質問

 A. パブリックロー 116-321

 B. HITECH法第13410条(c)(3)


上記のうち、改正HITECH法に基づく「認識されたセキュリティ対策」の定義については、以下のように記述されています。

  • 国立標準技術研究所(NIST)法第2条(c)(15)の下で構築された標準規格、ガイドライン、ベストプラクティス、手法、手順およびプロセス
  • 2015年サイバーセキュリティ法第405条(d)の下で公布されたアプローチ
  • その他のプログラムやプロセスで、サイバーセキュリティに取り組むものや、その他の法定機関の規制下で構築、認識または公布されるもの

なおOCRは、2018年12月12日、HIPAAプライバシー規則改正に向けて情報提供依頼(RFI)を発出していました(意見募集期間:2019年2月11日まで)。その後、2020年12月10日に「調整されたケアと個人の参画を支援し障害を取り除くためのHIPAAプライバシー規則改正提案」が公表されています。

このプライバシー規則改正草案では、電子健康記録(Electronic Health Record)や個人健康アプリケーション(Personal Health Application)の定義を明確化するとともに、以下のような要点を挙げています。

  • 個人が自分自身の保健情報(電子情報を含む)にアクセスする権利を強化する
  • 個人のケア調整とケースマネジメントのための情報共有を向上させる
  • 緊急事態または健康の危機を経験する個人のケアにおける家族および介護者の関与拡大を促進する
  • オピオイド、COVID-19緊急事態または脅威のある環境下における情報開示に関わる柔軟性を強化する
  • 個人の保健情報のプライバシー権益を継続的に保護する一方、HIPAAの適用対象となる医療提供者および医療保険者の管理上の負荷を低減する

今後、米国の医療機関や医療保険者は、改正版セキュリティ規則およびプライバシー規則双方への対応を想定した取り組みが必要となりそうです。

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・米国では、NISTサイバーセキュリティフレームワークと相互補完関係にあるNISTプライバシーフレームワークが策定されるなど、サイバーセキュリティとプライバシーの間に潜むリスクの低減に向けた取り組みが活発化している。日本の医療機関の間では、続発するランサムウェア攻撃被害を契機にサイバーセキュリティへの関心度が高まっているが、トップマネジメントおよびリスクマネジメント委員会を軸に、従来から取り組んできた個人情報保護/プライバシーリスク管理策と相互連携した情報セキュリティ管理策を検討すべきである。
 

医療機器メーカー/医療品メーカー

・米国では、医療機器/医薬品企業がHIPAA/HITECH法上の事業提携者(BA)に該当する場合、同法違反に対する制裁が直接適用される。米国で事業展開する医療機器/医薬品企業は、セキュリティ規則およびプライバシー規則改正案におけるBA向け要求事項の内容を確認した上で、追加・修正が必要な事項に係る事前リスク評価など、具体的な対策を検討すべきである。

サプライヤー

・米国で医療機関向けにIT製品・サービスを提供するサプライヤーは、HIPAA/HITECH法上の事業提携者(BA)に該当する場合、同法違反に対する制裁が直接適用されることになる。改正版セキュリティ規則およびプライバシー規則案の中で、個人情報に係るデータセキュリティ要求事項の変更が、自社製品・サービスのデータライフサイクルに及ぼす影響度をあらかじめ評価しておく必要がある。

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)

>>過去記事のアーカイブから他の記事を見る

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<

お役に立ちましたか?