米国の臨床検査機関がHIPAA違反で制裁金250万米ドル

第133号　2021.6.9公開

ピーチステートは、HIPAA規則の適用対象主体（CE: Covered Entity）である医療機関からの委託を受けて、保護対象保健情報（PHI: Protected )を利用した臨床／遺伝子検査サービス業務を行う事業提携者（BA: Business Associate）に該当します。

OCRは、2017年12月、ピーチステートのHIPAAプライバシー／セキュリティ規則の遵守状況に関する調査を開始し、以下のようなHIPAAセキュリティ規則違反を確認しました。

A.   ピーチステートが保有する電子PHIの機密性、完全性、可用性に対する潜在的リスクや脆弱性に関する正確で完全な評価の実施を怠っていた。

B.   リスク分析または評価で特定された合理的で適切なレベルまで、リスクや脆弱性を低減するのに十分なセキュリティ対策の導入を怠っていた。

C.   電子PHIを含むまたは利用する情報システムにおける活動を記録・検証するハードウェアやソフトウェアおよび／または手順のメカニズムの導入を怠っていた。

D.  書式（電子形態を含む）による細則C遵守のためのポリシーや手順の保持や、細則Cまたはこれらのポリシーや手順が要求する行動や活動、評価の書面（電子形態を含む）による記録の保持を怠っていた。

これらのHIPAAセキュリティ規則違反を受けて、OCRは、ピーチステートに対し、250万米ドルの制裁金を課すに至りました。制裁金に加えてピーチステートは、是正計画書の中で、3年間是正状況に関するモニタリングを実施するとしています。

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・外部委託先の臨床検査機関との窓口を担う臨床検査部門は、患者／消費者に対する一義的責任を負うのは、医療機関であることを再認識した上で、外部委託先に起因するサイバーインシデント発生時のインシデント対応・情報共有や事業継続管理に係るポリシーや手順を見直しておく必要がある。
 

医療機器メーカー／医療品メーカー

・医療機関の臨床検査データを利用して業務を行う医療機器メーカー／医療品メーカーは、直接契約関係にないサードパーティの臨床検査機関でサイバーインシデントが発生した場合でも、自社の業務プロセスに影響を及ぼす可能性が大きいので、今回の事例などを参考にしながら、プライバシー／サイバーセキュリティに関するリスク評価を実施し、インシデント対応・情報共有や事業継続管理において医療機関との連携が必要な部分があれば、積極的に相互間のコミュニケーション活動を強化する必要がある。
 

サプライヤー

・医療機関向けに医療情報関連製品・サービスを提供するサプライヤーは、臨床検査部門で発生したサイバーインシデントの影響により、臨床検査部門以外の業務プロセスに直接的／間接的な問題が発生するケースが多くあることを認識した上で、インシデントが発生した場合の対応手順やリスク管理上の責任分担、さらには予防的対策について再点検し、リスク低減に努めておく必要がある。

関連記事 [外部サイト]

• U.S. Department of Health and Human Services (HHS) 「Clinical Laboratory Pays $25,000 to Settle Potential HIPAA Security Rule Violations」（2021年5月25日）

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。（不定期刊行）

＞＞過去記事のアーカイブから他の記事を見る

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<