米国保健福祉省が COVID-19緊急対応時のHIPAA適用猶予措置の廃止を発表 ブックマークが追加されました
最新動向/市場予測
米国保健福祉省が COVID-19緊急対応時のHIPAA適用猶予措置の廃止を発表
【第179号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
2023年4月11日、米国保健福祉省(HHS)傘下の公民権室(OCR)は、「医療保険の携行性と責任に関する法律(HIPAA)」および「経済的および臨床的健全性のための医療情報技術に関する法律(HITECH法)」に基づく執行自由裁量に関する通知を、2023年5月11日午後11時59分をもって廃止することを発表しました。
第179号 2023.5.8公開
公民権室は、2020年2月3日、「広報:HIPAAプライバシーと新型コロナウイルス」と題する政府広報文書を発行し、HIPAAプライバシー規則の適用対象主体や事業提携者に対して、COVID-19公衆衛生緊急対応 (PHE)期間中、HIPAAプライバシー規則の要求事項を順守できない場合でも法執行措置を猶予する旨通知していました。
その後、公民権室は、同年3月17日、「COVID-19国家公衆衛生緊急事態時の遠隔医療リモートコミュニケーション向け執行裁量通知」を発出し、COVID-19緊急対応時にリアルタイムオーディオや視覚技術を介して患者と臨床医をつなぐ遠隔医療を提供する医療機関に対して、HIPAAプライバシー規則の要求事項を順守できない場合でも法執行措置を猶予することを発表していました。さらに同年3月27日には、米国連邦議会が、総額2兆米ドル超の財政支出を含む「コロナウイルス支援・救済・経済保障(CARES)法案」を可決しました。このCARES法には、COVID-19緊急対応下の遠隔医療導入に関連した経済インセンティブ施策も組み込まれており、米国内における遠隔医療関連機器・サービスのイノベーション創出に大きく寄与してきました。
今回の発表の中で、公民権室は、適用対象医療機関による、遠隔医療の規定に関連したHIPAA規則の順守については、90日間の移行期間を設定し、2023年8月9日午後11時59分をもって廃止するとしています。
ただし遠隔医療推進施策を継続する方針は堅持するとしています。米国連邦政府は、2022年12月29日に成立した「2023年継続歳出法」の中で、遠隔医療に対する柔軟な措置については、メディケア・メディケイド・サービス・センター(CMS)の所管下で、措置の多くを2024年12月31日まで延長することを明文化しており、遠隔医療イノベーション推進策は、COVID-19緊急対応期間終了後も継続されることになっています。
なお、公民権室は、パンデミックだけでなく、大規模自然災害などが発生した時にも、HIPAA規則の猶予措置を講じてきました。例えば、2019年9月のハリケーン「ドリアン」襲来時や、2020年1月のプエルトリコ大規模地震発生時にも、PHEを宣言し、医療機関に対して本来適用されるHIPAAプライバシー規則に基づく制裁や罰則を猶予する措置を発表しています。
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・米国では、パンデミックや重大な自然災害発生に基づく公衆衛生緊急事態(PHE)宣言を発出した際に、暫定措置として、HIPAAプライバシー規則に基づく制裁や罰則を猶予するのが通例となっている。これに対して日本の場合、医療機関は、平時を想定した個人情報保護法制の下で、事業継続計画(BCM)や災害復旧計画(DRP)を実行・運用することが求められるので、米国以上に、同意取得に係るコンセント管理やデータ漏えいインシデントへの対応プロセスを継続的に簡素化、効率化して備えておく必要がある。
医療機器メーカー/医療品メーカー
・米国で事業を展開する医療機器メーカー/医療品メーカーは、平時と有事で、HIPAAプライバシー規則の要求水準が変わるのが通例である点を認識した上で、柔軟性のある事業継続計画(BCM)や災害復旧計画(DRP)を策定しておく必要がある。また、有事から平時への移行期間におけるデータのプライバシー/セキュリティリスク管理に関して、プロセスの現状を把握し、スムーズな運用が行えるよう対策を講じておく必要がある。
サプライヤー
・日本国内で医療機関や医療機器メーカー/医療品メーカー向けにIT関連製品・サービスを提供するサプライヤー企業は、平時を想定した個人情報保護法制が有事にも適用されるのが通例である点を再認識し、有事から平時への移行期間におけるサプライチェーンセキュリティ管理策などを見直しておく必要がある。
関連記事 [外部サイト]
- U.S. Department of Health and Human Services (HHS)「HHS Office for Civil Rights Announces the Expiration of COVID-19 Public Health Emergency HIPAA Notifications of Enforcement Discretion」(2023年4月11日)
- U.S. Department of Health and Human Services (HHS)「Telehealth policy changes after the COVID-19 public health emergency」(2023年2月16日更新)
- U.S. Department of Health and Human Services (HHS)「Notification of Enforcement Discretion for Telehealth Remote Communications During the COVID-19 Nationwide Public Health Emergency」(2020年3月17日)
- U.S. Department of Health and Human Services (HHS)「Office for Civil Rights, U.S. Department of Health and Human Services BULLETIN: HIPAA Privacy and Novel Coronavirus」(2020年2月3日)
- U.S. Department of Health and Human Services (HHS)「OCR Issues Guidance to Help Ensure Equal Access to Emergency Services and the Appropriate Sharing of Medical Information Following Puerto Rico Earthquakes」(2020年1月9日)
- U.S. Department of Health and Human Services (HHS)「OCR Issues Guidance to Help Ensure Equal Access to Emergency Services and the Appropriate Sharing of Medical Information during Hurricane Dorian」(2019年9月3日)
本ニュースでは海外で公表された資料の内容の一部を日本語に翻訳しています。デロイト トーマツでコメントを加筆している箇所を除き、内容および解釈について日本語版と英語版に齟齬がある場合は、関連記事リンク先の原文を優先します。
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。
