米国FTCがPHR保護を強化する改正健康侵害通知規則最終版を公表 ブックマークが追加されました
最新動向/市場予測
米国FTCがPHR保護を強化する改正健康侵害通知規則最終版を公表
【第203号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
2024年4月26日、米国連邦取引委員会(FTC)は、改正健康侵害通知(HBN)規則最終版を公表しました。これに先立ちFTCは、2023年6月9日、HBN規則の改正案を公開し、2023年8月7日までパブリックコメントの募集していました。今回公表された最終版は、その結果を踏まえて作成されたものです。
第203号 2024.5.22公開
改正HBN規則による主な変更点は、以下の通りです。
- 定義の修正: FTCは、HIPAA(Health Insurance Portability and Accountability Act of 1996:医療保険の携行性と責任に関する法律)の対象外である健康アプリケーションおよび類似技術の最終規則への適用を明確化するために、いくつかの定義を修正した。これには、”PHRの識別可能な健康情報”の定義修正と、”適用対象医療プロバイダー”および”医療サービスまたは共有”の2つの定義追加が含まれる。
- セキュリティ侵害の明確化: 最終規則に基づく”セキュリティ侵害”には、データセキュリティ侵害または不正な開示の結果として発生する識別可能な健康情報の不正取得が含まれることが明確化されている。
- PHRに関連する主体の定義の修正: “PHRに関連する主体”の定義が、規則のスコープに関係した2つの方法で修正された。修正後の定義により、最終規則が、モバイルアプリケーションなど、個人健康記録ベンダーのオンラインサービスを通して、製品・サービスを提供する主体を対象とすることが明確になっている。また、セキュアでないPHRの識別可能な健康情報にアクセスするまたはその情報を個人健康記録に送信する主体だけが、PHR関連主体の資格があることが明確になっている。
- PHRの識別可能な健康情報における複数ソースの明確化:最終規則は、個人健康記録が複数ソースからPHRの識別可能な健康情報を引き出すことが何を意味するかについて明確化している。
- 電子的通知利用の拡大:最終規則は、明確で有効な消費者への侵害通知を提供する、電子メールおよびその他の手段の利用拡大を許可する。
- 消費者通知のコンテンツの拡大:最終規則は、消費者への通知で提供されなければならない必要なコンテンツを拡大する。たとえば、必要な通知には、セキュリティ侵害の結果として、セキュアでないPHRの識別可能な健康情報を取得した、いかなる第三者の名前またはアイデンティティを含める必要がある。
- 要求事項の期限の変更:最終規則は、同規則の下でいつFTCに通知しなければならないかについて修正している。500人以上の個人に関わる侵害の場合、適用対象主体は、影響を受けた個人への通知の送付と同時に、FTCに通知しなければならず、どんな場合でもセキュリティ侵害の発見後60日以内に遅滞なく行わなければならない。
- 可読性の向上:最終規則はまた、規則の可読性を改善し、法定遵守を促進するための変更を含む。
本改正HBN規則は、米国官報掲載後60日以内に発効する予定です。なお、HIPAAの適用対象となるPHRに関連して、現在、保健福祉省(HHS)傘下の公民権室(OCR)が、改正HIPAAプライバシー規則最終版の策定作業を行っています。
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・米国FTCは、HBN規則改正作業と並行して、既存規則の適用対象である民間PHR/モバイルヘルスアプリケーションベンダーや関係医療施設宛に警告書を送付し、規則違反に対する摘発を強化してきた経緯がある。米国の動向を見る限り、日本においても、民間事業者が開発・提供する一般消費者向けPHR/モバイルヘルスアプリケーションを標的にした健康データ漏えいインシデントの増加が想定されるので、予防・健康増進向けにデジタルサービスを提供する医療機関は、所管省庁の枠を越えた健康データのプライバシー/セキュリティ管理策の共通化・標準化を検討する必要がある。
医療機器メーカー/医療品メーカー
・民間事業者のPHR/モバイルヘルスアプリケーションと連携して、デジタルヘルス関連事業を展開する医療機器/医療品メーカーは、米国における規制要件やインシデント対応計画の動向をウォッチしながら、デジタルヘルスサービスに起因する健康データ漏えいが発生した場合の事業への影響度などを評価しておく必要がある。
サプライヤー
・民間事業者のPHR/モバイルヘルスアプリケーション向けに製品・サービスを提供するサプライヤーは、一般消費者保護の視点から、自社製品・サービスおよび連携するステークホルダーのエコシステムの全体像を再検討した上で、インシデント対応計画、サプライチェーンリスクマネジメントなど、今後の要求事項の新設・変更を想定した対応を円滑に進めるような体制づくりを行う必要がある。
関連記事 [外部サイト]
- U.S. Federal Trade Commission(FTC)「FTC Finalizes Changes to the Health Breach Notification Rule」(2024年4月26日)
- U.S. Federal Trade Commission(FTC)「Health Breach Notification Final Rule」(2024年4月26日)
- U.S. Federal Trade Commission(FTC)「Ovulation Tracking App Premom Will be Barred from Sharing Health Data for Advertising Under Proposed FTC Order」(2023年5月17日)
- U.S. Department of Health and Human Services(HHS)「The HIPAA Privacy Rule」(2022年3月31日更新)
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。
執筆者
笹原 英司/Eiji Sasahara
デロイト トーマツ サイバー合同会社 シニアマネジャー
宮崎県出身、千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所などでビッグデータのセキュリティに関する啓発活動を行っている。
NPO法人ヘルスケアクラウド研究会・理事