最新動向/市場予測

米国会計検査院がHIPAA侵害報告制度に関する議会向け報告書を公表

【第160号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

2022年6月27日、米国会計検査院(GAO)は、「電子保健情報:HHSは侵害報告のためのコミュニケーションを向上させる必要がある」と題する報告書を公表しました。

第160号 2022.7.21公開

保健福祉省(HHS)は、電子保健情報に関する標準規格を設定し、その遵守を強制している。医療機関や医療保険者、その事業提携者(BA)およびその他の主体は、保健情報に係る侵害をHHSに報告するよう求めています。また、HIPAA(Health Insurance Portability and Accountability Act of 1996:医療保険の携行性と責任に関する法律)の規定を展開するために、HHSは、適用主体や事業提携者が転送・維持する保護対象保健情報(PHI)を統括管理する規則を制定しています。

そこでGAOは、プライバシーおよび情報セキュリティ法制をレビューし、HHSの文書やポリシー、手順を分析し、HHS傘下の公民権室(OCR)職員にインタビューを実施し、さらに、HIPAA適用対象主体および事業提供者に対する調査を行いました。本報告書は、これらの結果を取りまとめて、米国連邦議会に報告したものであり、以下の3点について検証しています。

  1. 2015年以来、HHSに報告された侵害件数および影響を受けた個人の数
  2. 適用対象主体が認識したセキュリティプラクティスを展開したか否かを評価するために、HHSがレビュープロセスを設定した範囲
  3. HHSの侵害報告書の要求事項に関連して、改善がなされ得る範囲

GAOによると、2015年以来、保健福祉省(HHS)に報告される保健情報関連の侵害件数は増加していますが、影響を受けた個人の数は、5人から1億1300万人までばらつきが見受けられました。保健情報侵害には、個人の識別可能な保健情報の権限のない(意図的または意図的でない)漏えい、開示または損失が含まれています。

HIPAA基準の適用を所管するOCRは、適用主体が認識したセキュリティプラクティスを展開したか否かについて、段階を踏みながらプロセスを設定してきました。2021年1月に施行された法律では、HHSに対して、法執行措置の一部として、適用対象主体がこのようなプラクティスを展開したかを考慮するよう求めています。これに対してOCRは、査察官向けの手順を運用する標準規格を設定して、セキュリティプラクティスの展開に関するパブリックコメントを募集する情報提供依頼を発出し、保健医療セクターに対するアウトリーチ活動を行っています。OCRは、2022年夏までにこのプロセスを完了する予定です。

OCRは、侵害報告プロセスの構築および管理など、HIPAAプライバシー、セキュリティおよび侵害通知規則を展開・執行する責任を負っています。しかしながらOCRには、適用対象主体が侵害報告プロセスにおいてフィードバックを提供する手段がなく、そのようなものを構築する計画もないことが示されたとGAOは指摘しています。

さらにGAOは、OCRにフィードバックを提供する明確なメカニズムなしでは、侵害報告プロセスの間、適用対象主体や事業提携者が課題に直面する可能性があると指摘しています。その上で、侵害報告プロセスのフィードバックを喚起することによって、OCRがプロセスの側面を改善するのに役立つ可能性があると提言しています。

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・米国の場合、医療機関でサイバーインシデントが発生した時に侵害通知を受け取る保健医療行政機関側のガバナンス体制やポリシー・手順などについて、定期的に監査を実施し、改善を促す仕組みが構築されている。インシデント対応の一環として、行政機関との協力・調整活動を行う日本の医療機関は、米国のベストプラクティスを積極的に参照すべきである。
 

医療機器メーカー/医療品メーカー

・米国の場合、医療機器・医薬品を所管する食品医薬品局(FDA)や医療ITを所管する国家医療IT調整室(ONC)、公的医療保険制度を所管するメディケア・メディケイド・サービス・センター(CMS)など、サイバーインシデント発生時の侵害通知に複数の行政部局が関わるケースが一般的であり、各部局間の協力・調整活動も活発である。日本国内で医療機関向けに自社製品・サービスを提供するメーカーも、医療機関の臨床現場との連携活動や、インシデント発生時の役割・責任分担や組織間の橋渡し機能などについて、米国のベストプラクティスを参照しながら、現行のポリシー・手順を再点検しておく必要がある。
 

サプライヤー

・医療機関や医療機器メーカー/医療品メーカー向けにIT関連製品・サービスを提供するサプライヤーは、日本国内においても、自社製品を含むサプライチェーンを直接所管する規制当局以外の部局の所管業務プロセスに直接的/間接的な問題が発生するケースが多くあることを認識した上で、インシデントが発生した場合の対応手順やリスク管理上の責任分担、さらには予防的対策について再点検し、リスク低減に努めておく必要がある。

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)

>>過去記事のアーカイブから他の記事を見る

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<

お役に立ちましたか?