最新動向/市場予測

米国FTCが性と生殖に関する医療サービスのプライバシー保護強化を表明

【第161号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

2022年7月11日、米国連邦取引委員会(FTC)は、「ロケーション、保健およびその他の機微情報:FTCは機微性の高いデータの違法な利用・共有に対する法執行措置の完全な遂行に注力する」と題するブログを公開しました。

第161号 2022.8.2公開

米連邦最高裁判所が、2022年6月24日、人工妊娠中絶の権利を認めた1973年の「ロー対ウェイド判決」を覆した判断を下したのに対して、米国大統領行政府は、2022年7月8日に「性と生殖に関する医療サービスへのアクセス保護に関する大統領令」を発出し、FTCに対して、機微な保健関連情報の転送・販売や、性と生殖に関する医療サービス関連のデジタル監視による患者のプライバシーに対する潜在的脅威から保護する具体的なアクションを検討するよう求めていました。本ブログは、これに対するFTC側の対応方針を示したものです。

FTCは、モバイル位置情報や保健情報(性と生殖に関する保健データを含む)の誤用により、消費者が重大な危害に晒されているとしています。犯罪者は位置情報や保健情報を利用して、フィッシング詐欺を促進したり、ID窃盗に関与したりすることが可能です。また、ストーカーおよびその他の犯罪者は、位置情報や保健情報を利用して、物理的・感情的損傷を与えることが可能です。さらに、保健情報や病状、特に性的行為や性と生殖に関する医療に関連したデータの露出は、差別や汚名、精神的苦痛またはその他の重大な危害を、人々にもたらす可能性がありますが、これらは潜在的な損害の一部に過ぎないとしています。

その上で、企業が、位置情報や保健情報など消費者の機密情報を収集する際には、以下のような点を考慮すべきだとしています。

  • 機微なデータは、数多くの連邦法および州法によって保護されている:
    FTCは、連邦取引委員会(FTC)法第5条のほか、緊急輸入制限条項、健康侵害通知規則、児童オンラインプライバシー保護法(COPPA)などに関する法執行措置を所管している。
  • データは「匿名である」、「匿名化された」といった主張は、欺瞞的な場合がある:
    企業は、データを匿名化または集約すると主張することによって、消費者のプライバシーへの懸念を鎮めようとする場合がある。匿名化に関する主張を行う企業は、この主張が欺瞞的な取引慣行となり、事実でない場合にはFTC法違反となる可能性がある点に注意する必要がある。
  • FTCは、消費者データを誤用する企業に対して断固たる措置をとる:
    FTCは、消費者データを過剰に収集し、無期限に保持し、誤用する企業を大目に見ることはない。

なお、医療保険の携行性と責任に関する法律(HIPAA)を所管する保健福祉省(HHS)は、前述の米連邦最高裁の判断を受けて、2022年6月29日、「性と生殖に関する医療に関連するHIPAAプライバシー規則と情報開示」を公表しています。

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・米国では、保健福祉省(HHS)が所管するHIPAAの適用対象外となる保健データに関しては、通常、消費者保護の観点から、FTCが所管する。性と生殖に関する医療サービスのように、HHS、FTC双方に関わるプライバシー領域で緊急の保護対応が求められると、両機関が連携しながら、具体的な指針を策定するケースが増えている。日本において、医療および非医療の両面に関わるサービスを提供する医療機関も、今後、所管省庁のサイロ縦割の枠を越えて、消費者を中心としたエコシステムを構成するステークホルダーおよびその関係を把握し、プライバシーリスクに係る医療機関側の責任分界点を明確化した上で、インシデント対応計画や外部コミュニケーション機能を見直しておく必要がある。
 

医療機器メーカー/医療品メーカー

・医療および非医療の領域で、性と生殖に関する医療サービス向けの製品・サービス事業を展開する医療機器/医療品メーカーは、患者/消費者や医療機関および関連ステークホルダーのプライバシー保護エコシステムに要求される規制要件やインシデント対応計画を確認し、万一健康データ漏えいが発生した場合の事業への影響度などを評価しておく必要がある。
 

サプライヤー

・性と生殖に関する医療サービス向けに製品・サービスを提供するサプライヤーは、患者/消費者や医療機関および関連ステークホルダーのプライバシー保護エコシステムエコシステムの全体像を把握した上で、事前リスク評価、インシデント対応計画、サプライチェーンリスクマネジメントなどの要求事項を確認し、自社製品・サービスのライフサイクルに及ぼす影響度をあらかじめ評価しておく必要がある。

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)

>>過去記事のアーカイブから他の記事を見る

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<

お役に立ちましたか?