最新動向/市場予測

米国政府が改正版医療データ相互運用性最終規則を公布

【第196号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

2024年1月9日、米国連邦政府は、保健福祉省(HHS)傘下の国家医療IT調整室(ONC)が2023年12月13日に公表した「医療データ、技術、相互運用性: 認証プログラムの更新、アルゴリズムの透明性、情報共有(HTI-1)」と題する最終規則を官報に掲載し、正式に公布しました。HTI-1最終規則は、2020年3月に米国政府が策定・公表した医療データ相互運用性最終規則の改正版であり、2024年2月8日に施行されます。

第196号 2024.1.31公開

ONCによると、今回のHTI-1最終規則は、以下の3点を主な目的としています。

  • 21世紀医療法の実装

-電子健康記録(EHR)報告プログラム

-特別な労力なく、電子医療情報(EHI)へのアクセス、交換、利用を可能にするAPI

-情報ブロッキングを構成することのないリーゾナブルで必要な活動

  • バイデン・ハリス政権の大統領令の目標達成

-大統領令第13994号「COVID-19へのデータ駆動型の対応と将来に重大な結果を招く公衆衛生の脅威」

-大統領令第13985号「連邦政府を通じた人種的平等と恵まれないコミュニティ支援の促進」および大統領令第14091号「連邦政府を通じた人種的平等と恵まれないコミュニティ支援のさらなる促進」

-大統領令第14110号「人工知能の安心、安全で信頼できる開発と利用」

  • 医療ITの活用と相互運用性の促進

-HITECH法

-相互運用性の促進

-ONC医療IT認証プログラム

そして、今回のHTI-1最終規則の変更点として、以下のような事項を挙げています。

  • 標準規格と認証基準

-適用可能な認証基準全体の新たなデータセットベースラインとして、米国相互運用性向けコアデータ第3版(USCDI v3)を採用する。

-プログラム認証向けベースラインとして機能する、「最低基準」コードセット提案版を採用する。

-「電子ケース報告」認証基準を、HL7によるコンセンサスベースの業界開発電子標準規格および実装ガイドに基づくよう改訂する。

-臨床意思決定支援(CDS)認証基準の改訂版として、意思決定支援介入(DSI)を採用する。DSI認証基準には、その他の変更の中で、新たな透明性の要求事項が含まれる。

-リフレッシュトークンの発行やアクセス特権の取消に関する要求事項など、「患者・集団サービス向けに標準化されたAPI」に関する新たな要求事項を追加する。

-患者がプライバシー制限を求めるインターネットベースの手法をサポートするために、「閲覧、ダウンロード、サードパーティへの転送」認証基準を改訂する。

  • 認証プログラム

-「年毎にテーマを定める版」の認証基準利用を中止する。

-認証済医療ITの開発者に対して、顧客向け認証済医療ITモジュールを、ごく最近採用された認証基準に更新し、個々の改訂版認証基準および適用可能な標準規格向けに特定された日程に合わせて、最新の認証済医療ITモジュールを提供するよう求める。

-保証条件および認証維持の要求事項を更新する。

-サービスベースのURL発行アプリケーションプログラミングインタフェース(API)認証維持の要求事項を改訂し、標準化する。

-洞察条件および認証維持を設定する。

  • 情報ブロッキングの更新

-取引またはその他の条件による認証済医療ITの売上、販売、または他者への供給を含み、特定の活動や手配を除外するような、「医療ITを提供する」に関する新たな定義を追加する。

-要求された電子医療情報(EHI)のために、信頼された交換フレームワークと共通契約書(TEFCA)を通して依頼者が接続された時、TEFCAを通して要求を満たす行為者に関する新たな例外を最終決定する。

-実行可能性の例外を改訂し、アクターがサードパーティに対してEHIを修正することを認めるよう依頼された時、そしてアクターが別の相互運用性のある手法を提供した後にEHIに関する要求を満たさない時、特定の条件に適用するような、2つの新しい条件を追加する。

なお、ONCは、HTI-1最終規則の適用対象となる医療機関や開発ベンダーに対して、HIPAAプライバシー規則およびセキュリティ規則を遵守するよう求めています。これらの規則に関しては、現在、ONCが改正作業を進めています。

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・米国の場合、標準化されたAPIを介して、医療機関と各ステークホルダー(例.患者、医療保険者、政府機関など)の間で、健康医療データを共有・連携を行うケースが増えているが、APIの脆弱性を突いたサイバーセキュリティリスクも拡大している。外部との健康医療データ連携を行う医療機関は、API利用のベネフィットとリスクのバランスを考慮したセキュリティ管理策を構築・運用していく必要がある。

医療機器メーカー/医療品メーカー

米国食品医薬品局(FDA)は、臨床試験において電子健康記録(EHR)データを利用する場合、OCR医療IT認証プログラムの取得済み製品の利用を推奨するなど、HTI-1最終規則は、リアルワールドデータ(RWD)/リアルワードエビデンス(RWE)に関するクオリティアシュアランス(QA)とも深く関わっている。米国市場でRWD/RWEに関わる医療機器・医薬品メーカーは、データ2次利用の観点から、HTI-1最終規則における保健医療データの相互運用性標準化動向や、OCR医療IT認証プログラムの評価基準(プライバシー・セキュリティも含む)などについてウォッチしておく必要がある。

サプライヤー

・米国市場の医療機関や医療機器メーカー/医薬品メーカー向けにIT関連製品・サービスを提供するサプライヤーは、AIに関する大統領令に基づくHTI-1最終規則およびOCR医療IT認証プログラムの変更・追加内容などに合わせた製品ライフサイクル管理を行う必要がある。

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)

>>過去記事のアーカイブから他の記事を見る

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<

執筆者

笹原 英司/Eiji Sasahara
デロイト トーマツ サイバー合同会社 シニアマネジャー

宮崎県出身、千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所などでビッグデータのセキュリティに関する啓発活動を行っている。
NPO法人ヘルスケアクラウド研究会・理事

お役に立ちましたか?