米国保健福祉省が音声のみの遠隔医療向けHIPAA規則ガイダンスを公表 ブックマークが追加されました
最新動向/市場予測
米国保健福祉省が音声のみの遠隔医療向けHIPAA規則ガイダンスを公表
【第159号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
2022年6月13日、米国保健福祉省(HHS)傘下の公民権室(OCR)は、「HIPAA規則が適用対象の医療提供者および医療保険者が音声のみの遠隔医療向けに遠隔通信技術の利用を認める方法に関するガイダンス」を公表しました。
第159号 2022.7.7公開
本ガイダンスは、2021年12月13日に発表された「政府における信頼の再構築に向けた連邦政府の顧客エクスペリエンスとサービス提供の変革に関する大統領令第14058号」に呼応して策定されたものです。適用対象主体となる医療機関や医療保険者が遠隔医療サービスを提供できる方法を明確化し、適用主体が保健情報のプライバシーとセキュリティを保護しているという国民の信頼を向上させて、個人が音声のみの遠隔医療からの恩恵を継続的に受けられるよう支援することを目的としています。
本ガイダンスの発効により、2020年3月17日、新型コロナウイルス感染症(COVID-19)公衆衛生緊急対応(PHE)としてOCRが発表した、保健医療産業のPHEへの対応を支援し、遠隔医療サービスの利用を迅速に拡張させるための遠隔医療通知は廃止されます。
OCRによると、遠隔医療は、医療へのアクセスを劇的に拡張することができる半面、特定の集団では、財源や制限された英語習熟度、障がい、インターネットアクセス、十分なブロードバンドの可用性、地理的領域における携帯電話カバー率など、様々な要因によって、動画音声による遠隔医療で利用される技術へのアクセスが困難だったり、不可能だったりする可能性があるとしています。音声のみの遠隔医療、特にブロードバンドの可用性を必要としない技術の利用は、このような個人のニーズに対応するのに役立つとしています。
本ガイダンスは、HIPAA規則下で、音声のみの遠隔医療が認められるか、またどのような環境で認められるかに関して、以下のような問答集形式で構成されています。
- 質問:HIPAAプライバシー規則は、適用対象の医療提供者および医療保険者が、音声のみの遠隔医療を提供するために遠隔通信技術を利用することを認めているか?
回答:はい - 質問:適用対象の医療提供者および医療保険者は、音声のみの遠隔医療を提供するために遠隔通信技術を利用する際にHIPAAセキュリティ規則の要求事項を満たさなければならないか?
回答:特定の状況において、はい - 質問:HIPAA規則は、適用対象の医療提供者または医療保険者が、ベンダーとの間で事業提携者契約を締結することなく、遠隔通信技術を利用した音声のみの遠隔医療を実施することを認めているか?
回答:状況によっては、はい - 質問:個人の医療保険がこのようなサービスのカバーや支払を提供していない場合、HIPAA規則は、適用対象の医療提供者が音声のみの遠隔医療を提供するために遠隔通信技術を利用することを許容しているか?
回答:はい
なお、保健福祉省は、自然災害(例.大型ハリケーン)や新型コロナウイルス感染症(COVID-19)パンデミックなど、公衆衛生上の緊急事態(PHE)が宣言された際には、保護対象保健情報(PHI)共有に必要な患者・家族からの同意取得など、医療機関に対して本来適用される「医療保険の携行性と責任に関する法律(HIPAA)」のプライバシー規則に基づく制裁や罰則を猶予する制度的な仕組みを有しています。
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・日本においても、新型コロナウイルス感染症の感染拡大を踏まえてオンライン診療の時限的・特例的な取扱いが認められたが、同時に、医療機関や患者・家族を標的にしたサイバー攻撃や電子メール詐欺のリスクも高まっている。遠隔医療を提供する医療機関は、緊急時と平常時の間でセキュリティ強度に極力差が出ないよう事業継続管理体制を改善する必要がある。
医療機器メーカー/医療品メーカー
・音声インタフェースを利用した遠隔医療ソリューションを提供・利用する医薬品・医療機器企業は、音声のみの遠隔医療ソリューションに係るプライバシー/セキュリティ要求事項を確認した上で、緊急時と平常時との間の移行に際して、サービス品質や安全性に影響が出ないよう配慮する必要がある。
サプライヤー
・医療機関向けに遠隔医療関連製品・サービスを提供するサプライヤーは、平常時と緊急時の間で、サイバーサプライチェーン・リスクマネジメントや法令遵守対応について、各ステークホルダーに及ぶ影響度の違いを検証しておく必要がある。
関連記事 [外部サイト]
- U.S. Department of Health & Human Services「HHS Issues Guidance on HIPAA and Audio-Only Telehealth」(2022年6月13日)
- U.S. Department of Health & Human Services「Guidance on How the HIPAA Rules Permit Covered Health Care Providers and Health Plans to Use Remote Communication Technologies for Audio-Only Telehealth」(2022年6月13日)
- The White House「Executive Order on Transforming Federal Customer Experience and Service Delivery to Rebuild Trust in Government」(2021年12月13日)
- U.S. Department of Health & Human Services「OCR Announces Notification of Enforcement Discretion for Telehealth Remote Communications During the COVID-19 Nationwide Public Health Emergency」(2020年3月17日)
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。
