最新動向/市場予測

米国保健福祉省が医療向けオンライントラッキング利用指針を公表

【第171号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

2022年12月1日、米国保健福祉省(HHS)傘下の公民権室(OCR)は、「HIPAA適用主体と事業提携者によるオンライントラッキング技術の利用」と題する文書を公表しました。

第171号 2023.1.11公開

本文書は、適用主体(例.医療機関、医療保険者)や事業提携者(例.外部委託先ベンダー)がオンライントラッキング技術を利用する場合、HIPAA(医療保険の携行性と責任に関する法律)プライバシー・セキュリティ・侵害通知規則に基づいて課せられる義務を整理したものです。ここでいうオンライントラッキング技術には、Google AnalyticsやMeta Pixelのように、インターネットユーザーが、規制対象主体のWebサイトやモバイルアプリケーションとどのようにして相互作用しているかについて、情報を収集・分析するケースが含まれます。

OCRは、トラッキング技術ベンダーまたはその他のHIPAA規則違反に関して、PHIの許容できない開示に至るような手法で、規制対象主体がトラッキング技術を利用することを認めないとしています。例えば、個人のHIPAA遵守に基づく承認なしに、マーケティング目的でPHIをトラッキング技術ベンダーに開示することは、認められない開示に該当するとしています。個人のPHIの許容できない開示は、HIPAAプライバシー規則に違反するだけでなく、個人またはその他の人に対して、ID詐欺や金銭的損失、差別、汚名、精神的苦痛など、幅広い追加的な危害をもたらす可能性があります。

この文書では、HIPAAの適用対象主体による電子保護対象保健情報(ePHI)のオンライン技術トラッキングベンダーに対する潜在的に容認できない開示を取り扱っています。トラッキング技術とは何か、どのように利用されるのか、規制対象主体は、トラッキング技術を利用してHIPAA規則を遵守する際、ePHIを保護するために、どんなステップを踏まなければならないかについて説明しています。具体的には、以下のような構成になっています。

  • 何がトラッキング技術か?
  • どのようにして、規制対象主体のトラッキング技術利用にHIPAA規則を適用させるか?

  ・ユーザー認証済のWebページのトラッキング

  ・認証を受けていないWebページのトラッキング

  ・モバイルアプリケーション内のトラッキング

  ・トラッキング技術を利用する際の規制対象主体向けのHIPAA遵守義務

  • 苦情申し立て
  • リソース


なお、HIPAAが適用されない一般のオンライントラッキング技術については、消費者保護の観点から、連邦取引委員会(FTC)が所管しており、指針策定や啓発活動を行っています。

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・日本国内でも、Cookieなどを利用したオンライントラッキングに対しては、改正個人情報保護法により同意取得が求められるなど、法規制が強化されつつある。Webページやモバイルアプリケーションを通じて、患者・消費者向けに情報発信をする医療機関は、オンラインコミュニケーションにおける法令遵守状況について継続的にモニタリングし、必要な場合にはリスク低減策をとれる体制を整備すべきである。
 

医療機器メーカー/医療品メーカー

・日本国内でも、治験・臨床試験参加者の募集、市販後安全情報の提供・啓発活動など、メーカーと医療機関が連携してWebページやモバイルアプリケーションを介した情報の受発信を行う場合、双方のプライバシー/セキュリティポリシーおよび手順、オンライントラッキング技術利用の有無、インシデント発生時の対応体制等について事前に確認し、法令遵守を心がけるよう関係者に周知しておく必要がある。
 

サプライヤー

・医療機関や医療機器メーカー/医療品メーカーから、Webページやモバイルアプリケーションを利用したオンラインコミュニケーション関連業務を受託するサードパーティベンダーは、オンライントラッキング技術機能を利用する場合、サプライチェーンセキュリティの観点から、コンセント管理や個人データ/メタデータ保護策について特に注意する必要がある。

本ニュースでは海外で公表された資料の内容の一部を日本語に翻訳しています。デロイト トーマツでコメントを加筆している箇所を除き、内容および解釈について日本語版と英語版に齟齬がある場合は、関連記事リンク先の原文を優先します。

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)

>>過去記事のアーカイブから他の記事を見る

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<

お役に立ちましたか?