◇SH3739◇米国デジタルヘルス規制ガイド―米国デジタルヘルス市場参入指針として― 第1回 山田愛子(2021/09/02)

未分類

米国デジタルヘルス規制ガイド
―米国デジタルヘルス市場参入指針として―

第1回

K&L Gates外国法共同事業法律事務所

弁護士・ニューヨーク州弁護士 山 田 愛 子

 

  1. 目 次
  2. Ⅰ はじめに
  3. Ⅱ デジタルヘルス事業者に適用される米国規制

    1. 1 HIPAA – 医療保険の相互運用性と説明責任に関する法律
      (The Health Insurance Portability and Accountability Act of 1996)
    2. 2 その他個人情報保護に関する留意点
    3. 3 FDCA – 連邦食品・医薬品・化粧品法
      (The Federal Food, Drug, and Cosmetic Act)
    4. 4 HIPAAおよびFDCA以外の関連規制
  4. Ⅲ 米国外から米国デジタルヘルス市場に参入する場合の留意点

    1. 1 外国製造者に課される外国代理人要件(FDCA)
    2. 2 その他留意点
  5. Ⅳ 結び

 

Ⅰ はじめに

 デジタル技術の急速な進化は、ヘルスケア領域すなわち医療・健康管理領域におけるビッグデータ分析および医療機器開発を加速させ、もってヘルスケアサービスのより効率的な提供を可能としている。これにより医療・健康管理の環境は現在、全世界において革命的発展を遂げている。世界保健機構(WHO)も、かかるデジタルヘルス技術が効率的かつ効果的に世界中の人々に健康的生活をもたらす可能性を指摘している[1]。特に、COVID-19の世界的大流行は、従来の対面医療において医療従事者と患者間に存在した隔たりをデジタルヘルス技術が解消する可能性に着目させ、革新的デジタルプラットフォームおよび遠隔医療が世界的に拡がるきっかけとなった。スマートフォン、身体装着用デバイス、遠隔医療プラットフォーム、AIソフトウェア、インターネットアプリケーションを含む多様なデジタルヘルス技術は、治療、診断、患者健康情報管理、臨床研究、医療保険管理のあり方を根本的に変容させつつある。民間企業および公的機関はいずれも、ヘルスケアすなわち医療・健康管理の高質化、効率化、費用削減、およびデータ利用最大化のため、デジタルヘルス技術への投資を進めている。

 デジタルヘルス技術は長年米国で開発・利用されてきた経緯があるものの、近年ではCOVID-19の世界的大流行に対処するため、対面医療に替わる革新的手法として全世界の患者および医療従事者双方に受け入れられている。COVID-19の世界的大流行がもたらした緊急事態に対処するため、特に感染拡大リスクを回避しかつ対面治療設備を重症患者用に確保するために生じた遠隔医療の必要性は、これまでにない新たな医療提供および保険償還の可能性を生んだ。さらに米国政府は、電子的な医療情報の取得および利用を最大化するためには医療情報を相互に利用・運用しかつ医療情報技術を標準化することが必須であると結論づけた。これにより、ヘルスケア領域に関するソフトウェア、機器その他情報技術はさらなる発展の道を辿っている。

 米国におけるデジタルヘルス技術の集中的発展および償還可能性の高まりをもって、米国外から米国ヘルスケア市場へ新規参入する好機と捉える動きが見られる。かかる企業は、米国においてデジタルヘルス技術の開発・利用に適用される複雑かつ流動的な規制に適切に対応しなければならないという難題に直面する。本稿では、米国外から米国デジタルヘルス市場に参入するにあたり認識・理解すべき規制上の留意点を重要な点に絞って説明していきたい。

 

Ⅱ デジタルヘルス事業者に適用される米国規制

 デジタルヘルスは、遠隔医療、遠隔患者モニタリング、モバイルヘルス[2]、個別化医療その他様々な形態の機器、ソフトウェア、サービス等を含む、きわめて広い概念である[3]。これまで多様なモバイルアプリケーション(モバイルアプリ)を開発・上市した経験を有するIT企業であっても、ヘルスケアにかかわるモバイルアプリ(モバイルヘルスアプリ)の開発・上市には初めて取り組むケースがみられる。そのような状況に鑑み、本稿はデジタルヘルス一般を念頭に置きつつ、特にモバイルヘルスアプリに関する規制上の留意点に焦点を当てていきたい。

 米国におけるモバイルヘルスアプリの開発・利用は、医療保険の相互運用性と説明責任に関する法律(the Health Insurance Portability and Accountability Act of 1996)(以下「HIPAA」という)、連邦食品・医薬品・化粧品法(the Federal Food, Drug and Cosmetic Act)(以下「FDCA」という)、連邦取引委員会法(the Federal Trade Commission Act)(以下「FTCA」という)のほか、個人情報保護および情報セキュリティ規制、遠隔医療規制、ならびに不正行為防止規制その他多くの連邦法および州法上の規制に服する。本稿では、まずモバイルヘルスアプリに関する主要規制たるHIPAAおよびFDCAの概要を述べたうえで、その他関連規制についても述べていきたい。

 

1 HIPAA – 医療保険の相互運用性と説明責任に関する法律

   (The Health Insurance Portability and Accountability Act of 1996

 ⑴ HIPAAとは何か?

 HIPAAは、患者の医療関連個人情報の保護および情報セキュリティならびに違反の場合の通知義務を定める連邦法である。

 HIPAAは主に次の4つのルールから成る[4]

  1.   プライバシールール[5]:同ルールが定義する「保護対象医療情報(Protected Health InformationまたはPHI)」(後述)の保護に関する基準を定める。
  2.   セキュリティルール[6]: HIPAAプライバシールールが定義する「対象事業者(Covered Entity)」(後述)が電子的に作成、受領、保管または転送する保護対象医療情報(ePHI)の機密性、完全性および利用可能性の保護に関する基準を定める。
  3.   違反通知ルール[7]:上記ルールに違反した者の通知義務等を定める。
  4.   執行ルール[8]: 上記ルール違反に関する調査および民事制裁金等について定める。

 HIPAAに関する執行機関は米国保健福祉省(the U.S. Department of Health & Human Services)内の公民権局(the Office for Civil Rights)である。

 ⑵ 誰がHIPAAの遵守義務を負うか?

 まず、以下のとおり分類される各「対象事業者(Covered Entity)」[9]がHIPAAの遵守義務を負う。

  1.   医療保険制度運営者(Health plans):医療費の給付・支払を行う者であり、メディケア(Medicare)、メディケイド(Medicaid)、従業員福利厚生制度運営者等を含む。
  2.   医療従事者(Health care providers):医療その他サービスの提供者であり、当該提供に関し医療情報を電子的に転送する者をいう。
  3.   医療情報センター(Health care clearinghouses):第三者から受領した医療情報について標準化処理を行う者であり、医療費請求サービス事業者等を含む[10]

 上記各対象事業者(Covered Entity)(以下「HIPAA対象事業者」という)に加え、各対象事業者の「業務受託者(Business Associates)」[11]もHIPAAの遵守義務を負う[12]。かかる業務受託者(Business Associates)(以下「HIPAA業務受託者」という)とは、HIPAA対象事業者にかかる保護対象医療情報の利用または開示に関する機能・業務を当該HIPAA対象事業者のためまたは当該HIPAA対象事業者に代わって行う者を意味する。HIPAA業務受託者の委託先としてHIPAA対象事業者にかかる保護対象医療情報を取得または利用する者(すなわち再委託先/subcontractors)もHIPAAの遵守義務を負う[13]。HIPAA業務受託者が提供する業務・サービスの例としては、データ保管、データ分析、医療IT開発、請求サイクル管理等が挙げられる。再委託先の例としてはクラウドサービス提供者等が挙げられる。

 HIPAAプライバシールールは原則としてHIPAA対象事業者に適用されるものであるが、いくつかの規定は、HIPAA対象事業者が自身の医療業務運営に関する業務を委託しているHIPAA業務受託者にも適用される。HIPAAプライバシールールは、HIPAA対象事業者がHIPAA業務受託者と「業務委託契約(Business Associate Agreements)」(以下「HIPAA業務委託契約」という)を締結することを条件に、HIPAA対象事業者がHIPAA業務受託者に保護対象医療情報を開示することを許容している[14]。HIPAA業務委託契約は、HIPAA業務受託者および再委託先による保護対象医療情報の利用がHIPAA対象事業者が委託した目的の範囲内でのみ利用されることを確保し、当該情報の不正利用を防止するために締結される。

 かかるHIPAAプライバシールールに加え、HIPAAセキュリティルールおよびHIPAA違反通知ルールもHIPAA業務受託者および再委託先に適用される。

 モバイルヘルスアプリを開発・提供する事業者を含む多くのデジタルヘルス事業者は、HIPAA業務受託者に該当する可能性が高い。もっとも、デジタルヘルス事業者が患者個人の同意に基づき当該患者の保護対象医療情報を単に取得するだけの場合、当該デジタルヘルス事業者は必ずしもHIPAA業務受託者に該当しない。かかる患者個人の同意に基づき第三者に開示された保護対象医療情報はもはやHIPAAによって保護されない可能性があるところ、その保護の有無等は開示先第三者や開示目的いかんに依るため、事案ごとの個別具体的な検討が必要である[15]

第2回につづく

 

[2] “mHealth”(モバイルヘルス)は、一般的に、消費者による自身の健康データ把握を通じた健康増進を支援しまた医療従事者の医療サービス提供を支援する機能を有する、携帯電話、タブレット、身体装着機器その他移動通信・無線技術を用いた遠隔医療の一種を意味するとされる。

[4] 45 C.F.R., Subtitle A, Subchapter C, Parts 160 and 164.

[5] 45 C.F.R., Subtitle A, Subchapter C, Part 164, Subpart E, Privacy of Individually Identifiable Health Information.

[6] 45 C.F.R., Subtitle A, Subchapter C, Part 164, Subpart C, Security Standards for the Protection of Electronic Protected Health Information.

[7] 45 C.F.R., Subtitle A, Subchapter C,  Part 164, Subpart D, Notification in the Case of Breach of Unsecured Protected Health Information.

[8] 45 C.F.R., Subtitle A, Subchapter C, Part 160, Subparts C, D, and E.

[9] 45 C.F.R. § 160.103.

[10] 同上

[11] 同上

[12] 45 C.F.R. § 164.104.

[13] 45 C.F.R. § 164.308(b)(2).

[14] 45 C.F.R. § 164.308(b)(1).

[15] See generally 45 C.F.R. § 164.508.

 

 

(やまだ・あいこ)

K&L Gates外国法共同事業法律事務所 カウンセル
コーポレートM&A、データ保護、ヘルスケア・FDAのK&L Gatesグローバル実務グループに所属。クロスボーダーM&Aを含む企業間取引を主に手掛ける。データ保護などに係る国内外の法令遵守に関するアドバイスを含む、ライフサイエンス/ヘルスケア業界、テクノロジー業界等の規制対応にも従事。製薬会社、医療機器会社、バイオテクノロジー企業、IT企業など幅広いクライアントを代理。
1996年上智大学法学部国際関係法学科卒業、2000年弁護士登録(第一東京弁護士会)、2006年コロンビア大学ロースクール(LL.M)卒業、2007年ニューヨーク州弁護士登録。
Chambers Asia-Pacific Awards (ライフサイエンス-日本)においてNoted Practitioner (2018年)、Recognized Practitioner(2019年)と評される。

タイトルとURLをコピーしました