米国FTCとHHSが医療のオンライントラッキング利用のリスクに関して注意喚起 ブックマークが追加されました
最新動向/市場予測
米国FTCとHHSが医療のオンライントラッキング利用のリスクに関して注意喚起
【第186号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
2023年7月20日、米国連邦取引員会 (FTC)は、保健福祉省(HHS)の公民権室(OCR)と共同で、全米約130の病院および遠隔医療プロバイダーに対して、オンライントラッキング技術からのプライバシーとセキュリティのリスクに関する警告文書を発出したことを公表しました。
第186号 2023.8.30公開
これに先立ち2022年12月1日、OCRは、HIPAA (医療保険の携行性と責任に関する法律) プライバシー・セキュリティ・侵害通知規則上の適用主体(例.医療機関、医療保険者)や事業提携者(例.外部委託先ベンダー)に対して、「HIPAA適用主体と事業提携者によるオンライントラッキング技術の利用」と題する指針を公表し、個人データ保護対策の強化を求めていました。
他方、HIPAA対象外のデジタルヘルス事業者などに対しては、FTCが、2021年9月15日、消費者の健康情報を収集または利用する健康アプリケーションおよび接続された機器が「健康侵害通知規則」を順守しなければならない点を訴求する政策声明書を発出し、注意喚起を行っていました。さらに2023年3月16日、FTCは、カリフォルニア州サンタモニカのデジタルヘルス企業グッドリックス(GoodRx)に対し、ユーザーの許可なしに健康情報をデジタル広告企業と共有したとして、民事制裁金150万米ドルを科したことを公表するなど、違反企業に対する法執行措置を強化していました。
今回公表した共同文書では、HIPAA適用対象および対象外の双方の病院や遠隔医療プロバイダーに対して、消費者の機微な個人健康データをサードパーティに対して開示する可能性があるようなオンライントラッキング技術とWebサイトやモバイルアプリケーションの統合・利用に関連して、プライバシーおよびセキュリティのリスクに注意を払うようさらなる注意を促しています。
なお、FTCは、HIPAAが適用されない個人健康記録(PHR)を提供するベンダーおよび関連するサードパーティアプリケーションを提供する事業者に対して、健康データ侵害を発見したら60日以内(500人以上の個人が影響を受ける侵害の場合は10営業日以内)に、FTCおよび消費者に通知するよう求めてきました。現在FTCは、健康侵害通知規則の改正作業を行っており、2023年6月9日に同規則改正案を公表し、パブリックコメントの募集を開始しました(募集期間:2023年8月8日まで)。
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・日本国内でも、Cookieなどを利用したオンライントラッキングに対して、個人情報保護規制が強化されている。「医療機器」に該当しないWebページやモバイルアプリケーションを運用する医療機関は、オンライントラッキング技術利用の有無を確認し、利用している場合は改正個人情報保護法やデータセキュリティ上の要件について順守状況を点検する必要がある。
医療機器メーカー/医療品メーカー
・治験・臨床試験に係るコミュニケーション、市販後安全情報の提供・啓発活動などで、メーカーと医療機関が連携してWebページやモバイルアプリケーションを介した情報の受発信を行っている場合、オンライントラッキング技術利用の有無を確認し、利用する場合は改正個人情報保護法やデータセキュリティ上の要件について順守状況を点検する必要がある。
サプライヤー
・医療機関や医療機器メーカー/医療品メーカーから、Webページやモバイルアプリケーションを利用したオンラインコミュニケーション関連業務を受託するサードパーティベンダーは、オンライントラッキング技術機能を利用する場合、サプライチェーンセキュリティの観点から、コンセント管理や個人データ/メタデータ保護策について特に注意する必要がある。
関連記事 [外部サイト]
- Federal Trade Commission (FTC) 「FTC and HHS Warn Hospital Systems and Telehealth Providers about Privacy and Security Risks from Online Tracking Technologies」(2023年7月20日)
- U.S. Department of Health & Human Services「HHS Office for Civil Rights Issues Bulletin on Requirements under HIPAA for Online Tracking Technologies to Protect the Privacy and Security of Health Information」(2022年12月1日)
- U.S. Federal Trade Commission (FTC)「FTC Warns Health Apps and Connected Device Companies to Comply With Health Breach Notification Rule」(2021年9月15日)
- U.S. Federal Trade Commission (FTC)「Lurking Beneath the Surface: Hidden Impacts of Pixel Tracking」(2023年3月16日)
- U.S. Federal Trade Commission (FTC)「FTC Proposes Amendments to Strengthen and Modernize the Health Breach Notification Rule」(2023年5月18日)
- Federal Register「Health Breach Notification Rule: A Proposed Rule by the Federal Trade Commission on 06/09/2023」(2023年6月9日)
本ニュースでは海外で公表された資料の内容の一部を日本語に翻訳しています。デロイト トーマツでコメントを加筆している箇所を除き、内容および解釈について日本語版と英語版に齟齬がある場合は、関連記事リンク先の原文を優先します。
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。
