最新動向/市場予測

米国の公的医療保険者がHIPAA規則違反で制裁金130万米ドル

【第188号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

2023年9月11日、米国保健福祉省(HHS)公民権室(OCR)は、カリフォルニア州ロサンゼルス郡の公的医療保険者であるL.A.ケア・ヘルスプラン(LACHP)が、医療保険の相互運用性と説明責任に関する法律(HIPAA)セキュリティ規則違反に関連して、130万米ドルの制裁金を支払うことで和解したと発表しました。

第188号 2023.9.27公開

L.A.ケアは、カリフォルニア州がロサンゼルス郡に居住する低所得層向けに設立した公的医療保険者です。

HHSは、L.A.ケアの決済ポータルにログオンした被保険者が、他の被保険者の名前、住所、保険証番号を見ることができたという記事が、2014年3月3日付でオンラインメディアに掲載されたのを受けて、2016年1月13日、同社に対するコンプライアンスレビューを開始していました。

HHSによると、L.A.ケアの手作業による情報処理エラーの結果、2014年1月22日~1月24日の間、外部から閲覧可能な状態になっていました。L.A.ケアは、2016年2月26日になって、今回のインシデントに関する侵害報告書をHHS宛に提出しています。HIPAA侵害通知規則では、500人以上に影響を与える保護対象保健情報(PHI)侵害を発見したら60日以内に、保健福祉省(HHS)および個人に通知するよう求めていますが、L.A.ケアは、今回のインシデントの影響を受けたのは500人未満だったとしていました。侵害報告書を受けたHHSは、2016年3月19日、L.A.ケアに対して、HIPPA規則の遵守状況に関する調査を実施することを通知しています。

その後2019年3月15日、L.A.ケアは、2019年1月30日頃にロサンゼルス郡公共福祉サービス課(DPSS)より、L.A.ケアの加入者が他の加入者のIDカードを受け取っていたという報告を受けたことを公表しています。L.A.ケアによると、誤った加入者番号宛に郵送したことが原因で、約1,498人が影響を受けたとしています。

HHSが調査を実施した結果、以下のような項目に関して、HIPPA規則違反の疑いがあることが判明しました。

A. L.A.ケアが保持するすべての電子保護対象保健情報(ePHI)の機密性、完全性、可用性に対する潜在的リスクと脆弱性について、正確で完全なリスク分析を実施するという要求事項

B. リスクと脆弱性を合理的で適正なレベルまで低減するのに十分なセキュリティ対策を実装するという要求事項

C. 情報システム活動の記録を定期的にレビューするために十分な手順を実装するという要求事項

D. 最初に本規則の下でePHIのセキュリティに影響をおよぼす環境的または運用的な変更に対応して実装した標準規格に基づいて、技術的および非技術的評価を時系列的に実施するという要求事項

E. ePHIを含むまたは利用する情報システムにおける活動を記録・検証するハードウェア、ソフトウェアおよび/または手順のメカニズムを実装するという要求事項

F. L.A.ケアが、個人1,498人分のePHIについて許容できない開示を行った

L.A.ケアは、130万米ドルの制裁金支払に加えて、是正措置計画(CAP)に基づき、以下のような対策を講じることで、HHSと合意しました。

  • 組織全体の電子患者/システムデータに対するリスクおよび脆弱性を判断するために、正確で完全なリスク分析を実施する
  • ePHIの機密性、完全性、可用性に対して特定された潜在的リスクと脆弱性に取り組むためのリスク管理計画を構築・実装する
  • リスク分析およびリスク管理計画のためのポリシーと手順を構築・実装・配布する
  • L.A.ケアの所有または制御においてePHIのセキュリティに影響をおよぼすような環境的・運用的変更により、評価を実施する時は、HHSに報告する
  • 従業員がHIPAA規則を遵守できなかった場合、30日以内にHHSに報告する

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・米国では、医療機関、医療保険者、外部委託先/第三者機関、医療行政機関など、医療情報システムに関わる各ステークホルダーの間で、医療サイバーセキュリティやプライバシー保護に関連する法令違反が発覚し、巨額の制裁金を科せられる事例が続発している。今後、インシデント対応計画の見直しに際しては、リスク情報やベストプラクティスの共有・分析機能強化のために、一組織のインターナル・コミュニケーションにとどまらず、医療情報エコシステムを構成するステークホルダー全体に向けたエクスターナル・コミュニケーションについても、改善策を検討すべきである。
 

医療機器メーカー/医療品メーカー

・医療機関から生成されるデータを利用して業務を行う医療機器メーカー/医療品メーカーは、医療保険者のような他のステークホルダーでサイバーインシデントが発生した場合でも、自社の業務プロセスに影響をおよぼす可能性があるので、今回の事例などを参考にしながら、プライバシー/サイバーセキュリティに関するリスク評価を実施し、インシデント対応・情報共有や事業継続管理において医療機関との連携が必要な部分があれば、積極的に相互間のコミュニケーション活動を強化する必要がある。

サプライヤー

・医療機関向けに医療情報関連製品・サービスを提供するサプライヤーは、自社でサポートする情報システムが、医療保険者から流出した被保険者情報を悪用した二次被害の影響を受ける可能性があるので、他のステークホルダーに起因するインシデントが発生した場合の対応ポリシー・手順や、予防的対策(例.共同サイバー訓練)について検討しておく必要がある。

本ニュースでは海外で公表された資料の内容の一部を日本語に翻訳しています。デロイト トーマツでコメントを加筆している箇所を除き、内容および解釈について日本語版と英語版に齟齬がある場合は、関連記事リンク先の原文を優先します。

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)

>>過去記事のアーカイブから他の記事を見る

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<

お役に立ちましたか?