ヘルスケアアプリと米国のプライバシー関連の法規制
Yamamoto
はじめに
前回のブログでは、米国Health Insurance Portability and Accountability Act(以下、HIPAA)のプライバシー規則とセキュリティ規則について紹介しましたが、今回は、現在では多くの方が使用しているヘルスケアアプリがテーマです。
モバイルデバイスにおけるヘルスケアアプリのマーケットは、引き続き大きな成長を遂げています。個人の健康・医療情報を収集、あるいは共有するアプリにとって、プライバシーとセキュリティが重要なテーマであることは言うまでもありません。
今回のブログでは、米国連邦取引委員会(Federal Trade Commission:以下、FTC)の「Mobile Health App Interactive Tool」を参考に前回紹介したHIPAAも含め、米国におけるモバイルヘルスアプリと適用対象の法規制について紹介します。
ヘルスケアアプリとは?
ヘルスケアアプリといっても様々なものがありますが、「Mobile Health App Interactive Tool」では、例として以下のようなアプリをあげています。
- フィットネスや運動、食事、メンタル、睡眠、生理、生殖能力、喫煙やアルコール摂取を追跡、監視するのに役立つアプリ
- 消費者が自分の医療記録や健康保険の請求データを表示、利用、共有したり、医師、医療クリニック、ヘルスプランからの情報にアクセスするためのアプリ
- フィットネストラッカー、睡眠モニター、血圧モニター、運動量や心拍数を記録する時計といった健康プラットフォームやインターネットに接続されたデバイスと同期(連携)するアプリ
- 病気や健康状態を診断または治療するアプリ、または診断や治療に関連する情報を記録するアプリ
健康・医療情報のプライバシーとセキュリティに関する法規制
HIPAAでは、適用対象の事業者が保有する個人を特定できる健康・医療情報のプライバシーとセキュリティを保護しています。ただし、HIPAAによって保護されない健康情報もあります。その場合、他の連邦法が適用される可能性があります。たとえば、ヘルスアプリのデベロッパーに対しては、FTCの法規制が適用されます。また、FDAは、Federal Food, Drug, and Cosmetic Act(FD & C Act)により、消費者にリスクを持たらす可能性のあるモバイルヘルスアプリの一部についてデジタルヘルスデバイスの規制監督を重点的に行っています。
ヘルスケアアプリのデベロッパーに適用される連邦法
上記以外にも医療製品の開発を加速させ、新しいイノベーションをより効率的に患者に届けることを目的とした「21st Century Cure Act & ONC Information Blocking Regulations」や未成年のプライバシー保護を定めた「Children’s Online Privacy Protection Act (COPPA)」などが適用対象となる可能性があります。
ここで紹介したような連邦法のどれが適用対象となるかについて、FTCは「Mobile Health App interactive Tool」の中で質問票に回答することでどの法規制が対象となる可能性があるかの判断するための情報を提供しています。
各州のプライバシー法規制が適用される可能性も
また、米国では、各州においてもそれぞれの州のプライバシー法規制に違反した場合に罰則が執行される可能性がある点に留意が必要です。
IAPPの記事によると、2020年カリフォルニア州では生殖能力追跡モバイルアプリを開発、運営するテクノロジー企業であるGlow社がカリフォルニア医療情報秘匿法(CMIA:California Confidentiality of Medical Information Act )および2つの州法に違反したとして告訴しました。(最終的に25万ドルの民事罰金に加えて、第三者に開示する前に積極的なアクションによる同意を得ること、従業員トレーニングやプライバシーとセキュリティの評価の実施、対策を講じることにより和解。)
HIPAA
HIPAAにおいてモバイルやウェアラブルデバイスにインストールされたヘルスケアアプリはどういった場合に適用対象となるのでしょうか?
OCR では、へルスケアアプリのデベロッパー(アプリの開発、運営企業)や関連する情報テクノロジーとHIPAAプライバシーおよびセキュリティ保護との関連性に関心のある方向けにガイダンスを提供しています。
そこでは、以下のように各ビジネスシナリオごとにアプリデベロッパーがHIPAAにおけるビジネスアソシエイトに該当するかどうかの判断と理由が提示されています。
| No | ビジネスシナリオ | シナリオに示された事実に基づき、アプリデベロッパーはHIPAAにおける「ビジネスアソシエイト」に該当するか? |
| 1 | 消費者がスマートフォンに健康アプリをダウンロードし、 そのアプリに自分の情報を入力する。例えば、消費者は家庭用医療機器を使って自分で測定した血糖値や血圧値を入力する。 | いいえ。 デベロッパーは、適用対象の事業者や他のビジネスアソシエイトに代わって、保護されるべき健康・医療情報 (PHI) を作成、受領、維持、送信していません。消費者は、医療提供者が関与することなく、自分の情報を管理・整理するためにデベロッパーのアプリを使用しています。 |
| 2 | 消費者は、慢性疾患の管理に役立つ健康アプリをスマートフォンにダウンロードし、患者ポータルを通じて消費者の担当医師の医療記録からデータをパソコンにダウンロードし、アプリにアップロードする。 また、自分の情報もアプリに追加する。 | いいえ。 デベロッパーは、適用対象の事業者または他のビジネスアソシエイトに代わって、保護されるべき健康情報(PHI)を作成、受領、維持、または送信していません。その代わりに、消費者は医療提供者から健康・医療情報を入手し、自分で入力した健康情報と組み合わせ、アプリを使用して自分自身の目的のためにその情報を整理・管理しています。 医療提供者または医療提供者のビジネスアソシエイトが、このサービスを提供または促進するためにアプリデベロッパーを雇ったと認められる形跡はありません。 |
| 3 | 医師が問診で患者にBMIが高すぎると指摘し、食事、運動、体重を記録する特定のアプリを勧める。消費者はスマートフォンにアプリをダウンロードし、次回の診察の前に要約レポートを医師に送信するために使用する | いいえ。 デベロッパーは、保護されるべき健康・医療情報(PHI)の作成、受領、維持、送信を、適用対象の事業体や他のビジネスアソシエイトに代わって行っていません。医師の推奨は、そのアプリへの信頼を意味しますが、PHI の取り扱いを含むサービスを患者に提供するために医師がアプリデベロッパー(xを雇ったという事実はありません。 消費者がデータ送信のためにアプリを使用したからといって、それだけでアプリデベロッパー)が適用対象の事業者のビジネスアソシエイトになるわけではありません。 |
| 4 | 消費者が、慢性疾患の管理に役立つ健康アプリをスマートフォンにダウンロードする。医療提供者とアプリデベロッパーは、医療提供者の医療記録とアプリ間の消費者情報の安全な交換を促進する相互運用性の取り決めを、消費者からの要求に応じて締結した。 消費者はアプリに情報を入力し、その情報を医療提供者のEHRに送信するようアプリに指示する。 消費者は、アプリを通じて医療提供者の検査結果にアクセスすることができる。 | いいえ。 デベロッパーは、保護されるべき健康・医療情報(PHI)を、適用対象の事業者や他のビジネスアソシエイトに代わって、作成、受領、維持、送信していません。 相互運用性の取り決めだけでは、消費者が開始したアクセスを容易にするために存在する取り決めであるため、ビジネスアソシエイトの関係は生じません。 アプリデベロッパーは、消費者の要求に応じて、消費者に代わってサービスを提供しています。 アプリデベロッパーは、消費者に代わって、プロバイダとの間でデータを送信しています。 |
| 5 | 医療提供者の指示により、患者はスマートフォンに健康アプリをダウンロードする。 医療提供者は、遠隔患者健康カウンセリング、患者の食事や運動のモニタリング、患者へのメッセージ、医療レコードのインテグレーションやアプリケーションインターフェースでの連携などの患者マネジメントサービスをアプリデベロッパーと契約している。 患者が入力した情報は自動的に医療機関の医療レコードに組み込まれる。 | はい。 アプリデベロッパーは、保護されるべき健康・医療情報(PHI)の作成、受領、維持、および送信を、適用対象の事業者の代わりに行っているので、医療提供者のビジネスアソシエイトに該当します。 この場合、医療提供者は、PHI の作成、受領、維持、送信を伴う患者管理サービスのためにアプリデベロッパーと契約しており、アプリはそれらのサービスを提供するための手段になります。 |
| 6 | 消費者は、健康保険会社や会員制の健康医療団体等が提供するモバイルPHR(Personal Health Record)アプリをスマートフォンにダウンロードする。このアプリは、ヘルスプランの記録をリクエストしたり、それらをダウンロード、保存し、保険金請求や保険金支払いの決定状況をチェックする機能をネットワーク内のユーザーに提供する。このアプリには、プランの会員向けウェルネス・ツールも含まれており、会員は健康増進の進捗状況を確認することができる。ヘルスプランは健康情報とアプリの使用に関するデータを分析し、健康とウェルネスの提供の効果を把握する。 また、 アプリデベロッパーは消費者が自分の健康記録を保存、管理、整理し、健康習慣を改善し、医療提供者に健康情報を送信するために使用できる消費者向け版アプリも別で提供している。 | 健康保険会社や会員制の健康医療団体等が提供する前者のアプリに関しては「はい」、後者の消費者向けに提供されるアプリに関しては「いいえ」。 デベロッパーは、保護されるべき健康情報(PHI)の作成、受領、維持、または送信を、保護されるべき団体のために行っているため、健康保険会社や会員制の健康医療団体等のビジネスアソシエイトと見なされます。 デベロッパーは、健康保険会社や会員制の健康医療団体等のための業務に関わるPHIに関して、適用されるHIPAAルールの要求事項を遵守しなければなりません。 しかし、その 「direct-to-consumer」製品は、適用対象の事業者や他のビジネスアソシエイトに代わって提供されるものではなく、その製品に関するデベロッパーの活動は HIPAAルールの対象にはなりません。したがって、デベロッパーがこれら2つのバージョンのアプリに付随する健康情報を個別に保持し、消費者向けバージョンからの情報が適用対象の事業者のヘルスプランに提供される製品の一部とならない限り、デベロッパーが「消費者向け」アプリを通じて取得される消費者の情報にHIPAAを適用する必要はありません。 |
さいごに
今回のブログは、私も使用しているモバイルのヘルスケアアプリとHIPAAがどう関係するのかという疑問がきっかけでした。幸いHHSのOCRには、具体的なユースケースが掲載されていたのと、FTCが公開しているヘルスケアアプリのデベロッパー向けのツールを参考にまとめてみました。
ヘルスケアアプリのデベロッパーは、そのアプリのユースケースをもとに適用対象となる法規制を遵守し、健康・医療情報のプライバシーとセキュリティを保護する必要があります。
弊社では、こうした法規制に対応する企業をサポートするOneTrustソリューションの販売および導入サービスを提供しています。興味のある方は、ぜひ、弊社までお問い合わせください。
OneTrust は、プライバシー分野でNo.1のソリューションです。
プライバシー法規制の要求事項について包括的に対応している点が人気の理由です。
OneTrustのソリューションに興味がありましたら、
お気軽にお問い合わせください
