最新動向/市場予測

米国の歯科診療所がソーシャルメディア経由の患者情報漏えいでHIPAA違反

【第94号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

2019年10月2日、米国保健福祉省(HHS)の公民権室(OCR)は、テキサス州ダラスの民間歯科診療所エリート・デンタル・アソシエイツで発覚した患者情報漏えいに関連して、10,000米ドルの制裁金を支払うことで和解したことを発表しました。

第94号 2019.10.29公開

2016年6月5日、OCRは、エリート歯科の患者から、ソーシャルメディア「Yelp」のレビューページ上に、患者の苗字および健康状態の詳細情報が開示されたという申し立てを受けていました。

その後のOCRの調査により、エリート歯科が、Yelpのレビューページへの応答時に、複数の患者の保護対象保健情報(PHI)を開示していたことが判明しました。また、PHIの開示に関連して、同歯科には、医療保険の相互運用性と説明責任に関する法律(HIPAA)のプライバシー規則に準拠して、ソーシャルメディアのやりとりが患者のPHIを保護することを保証するポリシー・手順や、プライバシー保護に関する通知がなかったことも明らかになりました。これらの調査結果を受けて、OCRはエリート歯科がHIPAAに違反していると判断しました。

OCRは、エリート歯科の規模、財務状況、OCRの調査への協力姿勢などを考慮した制裁金減免措置を受け入れ、制裁金額を10,000米ドルに決定したとしています。なお、エリート歯科は、OCRがHIPAA遵守状況を2年間モニタリングすることを含む是正計画を受け入れています。

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・米国の医療当局は、中小医療機関に対しても、相応のHIPAA違反制裁金を課す。ソーシャルメディアを利用する医療機関は、プライバシーポリシーやソーシャルメディアポリシーを再確認し、投稿や情報共有時に患者の個人情報や秘密情報を公開しないよう、個々のスタッフに周知徹底させる必要がある。
 

医療機器メーカー/医療品メーカー

・ソーシャルメディアを介して、医療機関や患者・家族に対するコミュニケーション活動を行うメーカーは、相手方が個人情報や秘密情報を開示するケースがあることを想定した上で、ソーシャルメディアの管理策を検討する必要がある。

サプライヤー

・医療機関や医薬品/医療機器メーカー向けにソーシャルメディアプラットフォームを提供するサプライヤーは、個人情報や秘密情報が開示された場合の対応手順やリスク管理上の責任分担について、あらかじめ明示しておく必要がある。

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)

>>過去記事のアーカイブから他の記事を見る

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<

お役に立ちましたか?