米国FTCがPHRの健康侵害通知規則見直しに関する意見募集開始 ブックマークが追加されました
最新動向/市場予測
米国FTCがPHRの健康侵害通知規則見直しに関する意見募集開始
【第108号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
2020年5月8日、米国連邦取引委員会(FTC)は、健康侵害通知(HBN)規則の一部見直し提案に関する意見募集を開始しました(募集期間:規則見直し告示の連邦官報掲載後90日間)。
第108号 2020.6.1公開
FTCは、2009年8月17日、リーマンショック後の景気浮揚策として制定された「2009年米国再生再投資法(ARRA)」の一部として、健康侵害通知規則を制定・施行しました。その中で、医療保険の携行性と責任に関する法律(HIPAA)が適用されない個人健康記録(PHR)を提供するベンダーおよび関連するサードパーティ・アプリケーションを提供する事業者に対して、健康データ侵害を発見したら60日以内(500人以上の個人が影響を受ける侵害の場合は10営業日以内)に、FTCおよび消費者に通知するよう求めています。
その後FTCは、健康侵害通知規則が経済や技術、事業モデルの変化に即したものであることを保証するために、定期的な見直しを行っており、今回の意見募集もその一環となっています。FTCは、意見を求める課題として、以下のような項目を掲げています。
- 規則は、通知不足、過剰通知、または効率的なレベルの通知のいずれの結果となっているか
- 法的、経済的、技術的変化を反映させるために、規則の定義を修正すべきか
- 侵害報告のタイミング要件や手法は適切か;モバイルヘルスアプリケーション、仮想アシスタント、プラットフォーム・ヘルスツールなど、ダイレクト・トゥー・コンシューマー技術およびサービスにより起きた執行措置への影響
- 規則が、COVID-19に関連する医療製品またはサービスにおける開発を取扱うべきか、またどのようにすべきか
なお、FTCは、消費者向けモバイル/IoT製品・サービスのセキュリティ/プライバシー保護も所管しており2016年4月6日、保健福祉省(HHS)傘下の国家医療IT調整室(ONC)、公民権局(OCR)、食品医薬品局(FDA)と共同で、モバイルヘルスアプリケーション開発者向けのガイドラインを公表しています。また、PHRとHIPAA適用の関係については、保健福祉省(HHS)が、「個人健康記録とHIPAAプライバシー規則」の中で概説しています。
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・米国では、HIPAAの適用対象となるPHR、FTCが所管するPHRいずれの場合も、健康データ漏えいインシデントが発生したら、PHRベンダーおよび関連開発パートナーは、原則として60日以内に、監督当局および消費者に通知する義務がある。加えて、モバイル型PHRについては、HHSとFTCが連携して、具体的なプライバシー/セキュリティ対策を提示している。これに対して、日本の場合、政府機関や医療介護施設、薬局、民間事業者など、さまざまなプレイヤーがPHRを提供している反面、所管省庁の枠を越えた健康データのプライバシー/セキュリティ管理策の共通化・標準化に向けた取組は遅れている。外部PHRとのデータ連携・活用を行う医療機関は、消費者を中心としたエコシステムを構成するステークホルダーおよびその関係を把握し、データリスクに係る医療機関側の責任分界点を明確化した上で、インシデント対応計画や外部コミュニケーション機能を見直しておく必要がある。
医療機器メーカー/医療品メーカー
・外部PHRと連携して、デジタルヘルス関連事業を展開する医療機器/医療品メーカーは、PHRベンダーおよび関連ステークホルダーのエコシステムに要求される規制要件やインシデント対応計画を確認し、PHRに起因する健康データ漏えいが発生した場合の事業への影響度などを評価しておく必要がある。
サプライヤー
・PHR向けに製品・サービスを提供するサプライヤーは、PHRおよび連携するステークホルダーのエコシステムの全体像を把握した上で、インシデント対応計画、サプライチェーンリスクマネジメントなどの要求事項を確認し、自社製品・サービスのライフサイクルに及ぼす影響度をあらかじめ評価しておく必要がある。
関連記事 [外部サイト]
- Federal Trade Commission(FTC)「FTC Seeks Comment as Part of Review of Health Breach Notification Rule」(2020年5月8日)
- Federal Trade Commission(FTC)「FTC Issues Final Breach Notification Rule for Electronic Health Information」(2020年8月17日)
- Personal Health Records and the HIPAA Privacy Rule [PDF, 185KB]
- Federal Trade Commission(FTC)「Mobile Health Apps Interactive Tool」
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。
