米国保健福祉省が2021年度版医療情報侵害報告書を公表 ブックマークが追加されました
最新動向/市場予測
米国保健福祉省が2021年度版医療情報侵害報告書を公表
【第175号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
2023年2月17日、米国保健福祉省(HHS)の公民権室(OCR)は、「2021年版セキュアでない保護対象保健情報(PHI)の侵害に関する議会向け報告書」を発行したことを公表しました。
第175号 2023.3.7公開
米国では、HIPAA法(医療保険の携行性と責任に関する法律)/HITECH法(経済的および臨床的健全性のための医療情報技術に関する法律)の適用対象主体(医療機関、医療保険者など)は、500人以上の個人に影響を及ぼした侵害通知の場合60日以内、500人未満の個人に影響を及ぼした侵害通知の場合暦年分を合算して年1回、保健福祉省長官宛に報告する義務があります。また、外部委託先に該当する事業提携者は、適用対象主体にPHI侵害を通知する義務があります。本報告書は、OCRが、これらHHSに通知された医療情報侵害インシデントの件数や特徴をとりまとめて、米国連邦議会に提出したものです。
2021年版報告書は以下のような構成になっています。
- エグゼクティブサマリー概要
- 要約
- 背景
- 法執行プロセス
- コンプライアンスレビュー
- 調査
- 和解契約書
- 民事制裁金
- 監査
- 苦情とコンプライアンスレビューの概要
- 法執行データ
-苦情の解決
-コンプライアンスレビュー
-召喚状
-コンプライアンス向上のための保健福祉長官による計画 - 認識やコンプライアンスの向上のための継続的なアウトリーチ活動
-監査
- 附表:2021年における和解契約書
本報告書によると、OCRは、2021年度中にHIPAA/HITECH法違反である旨の苦情を34,077件(対2前年度比25%増)受け付けており、そのうち26,420件は解決に至りました。26,420件のうち20,661件(78%)は調査開始前段階で解決しており、4,139 件(16%)はOCRが調査の代わりに技術支援を提供して解決したとしています。調査実施分のうち714件(3%)については、適用対象主体(CE)/事業提携者(BA)が是正措置を講じ、89件(1%未満)については、調査実施後にOCRが技術支援を提供したとしています。 さらにOCRは、13件について、調査および和解契約書・是正措置計画(RA/CAP) による解決に至り、和解金総額は815,150米ドルだったとしています。2件については、調査および民事制裁金総額150,000米ドルで解決したとしています。
またOCRは、2021年度中に573件のコンプライアンスレビューを実施し、このうち475件(83%)については、是正措置を講じるか民事制裁金を支払うよう求めたとしています。2件のコンプライアンスレビューについては、RA/CAPおよび民事制裁金総額5,125,000米ドルの支払いで解決しました。残りの98件(17%)については、適用対象主体/事業提携者に対して、調査後の技術支援を提供し、HIPAA規則違反に関する証拠が不十分であったケース(3%)や、疑惑を調査する権限がなかったケース(3%)があったとしています。
他方、OCRは、数多くのアウトリーチ活動に関与して、公衆や規制対象主体に対する教育を拡大するとともに、苦情に対する調査やコンプライアンスレビュー、監査プログラムで特定されたコンプライアンスの欠如に取り組んできたとしています。このような活動には、パンデミック対策を行う医療コミュニティ向けのアウトリーチイベント218件の実施などが含まれています。
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・OCRの医療機関に対するサイバーインシデント対応支援に関しては、米国会計検査院(GAO)が、2022年6月27日、「電子保健情報:HHSは侵害報告のためのコミュニケーションを向上させる必要がある」と題する報告書を公表し、支援策の改善を求めている。日本でも、高度なサイバー攻撃に起因する医療機関やその外部委託先のインシデント件数が増加しているが、米国と比較すると、インシデント対応に係るポリシー/手順やベストプラクティスの蓄積が遅れている。日本の医療機関は、米国の最新事例を参照しながら、インシデント対応計画やサイバー教育・訓練に取り込んでいく必要がある。
医療機器メーカー/医療品メーカー
・米国市場で、医療機関の外部委託先として業務を行う医療機器・医薬品メーカーは、OCRの報告書のうち、事業提携者(BA)のインシデント対応策や再発防止策の現状についてチェックし、自社のインシデント対応計画やサプライチェーンセキュリティ対策に取り入れていく必要がある。
サプライヤー
・医療機関や医療機器メーカー/医療品メーカー向けにIT関連製品・サービスを提供するサプライヤーは、自社の提供製品・サービスに関連するインシデントが発生した場合、顧客先の業務プロセスに直接的/間接的な影響を及ぼす可能性があることを認識し、インシデントが発生した場合の対応手順やリスク管理上の責任分担、さらには予防的対策について再点検し、リスク低減に努めておく必要がある。
関連記事 [外部サイト]
- U.S. Department of Health and Human Services(HHS)「HHS Office for Civil Rights Delivers Annual Reports to Congress on HIPAA Compliance and Breaches of Unsecured Protected Health Information」(2023年2月17日)
- U.S. Department of Health and Human Services(HHS)「Annual Report to Congress on HIPAA Privacy, Security, and Breach Notification Rule Compliance For Calendar Year 2021」(2023年2月17日)
本ニュースでは海外で公表された資料の内容の一部を日本語に翻訳しています。デロイト トーマツでコメントを加筆している箇所を除き、内容および解釈について日本語版と英語版に齟齬がある場合は、関連記事リンク先の原文を優先します。
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。