◇SH3742◇米国デジタルヘルス規制ガイド―米国デジタルヘルス市場参入指針として― 第2回 山田愛子(2021/09/06)

未分類

米国デジタルヘルス規制ガイド
―米国デジタルヘルス市場参入指針として―

第2回

K&L Gates外国法共同事業法律事務所

弁護士・ニューヨーク州弁護士 山 田 愛 子

 

  1. 目 次
  2. Ⅰ はじめに
  3. Ⅱ デジタルヘルス事業者に適用される米国規制

    1. 1 HIPAA – 医療保険の相互運用性と説明責任に関する法律
      (The Health Insurance Portability and Accountability Act of 1996)
    2. 2 その他個人情報保護に関する留意点
    3. 3 FDCA – 連邦食品・医薬品・化粧品法
      (The Federal Food, Drug, and Cosmetic Act)
    4. 4 HIPAAおよびFDCA以外の関連規制
  4. Ⅲ 米国外から米国デジタルヘルス市場に参入する場合の留意点

    1. 1 外国製造者に課される外国代理人要件(FDCA)
    2. 2 その他留意点
  5. Ⅳ 結び

 

Ⅱ デジタルヘルス事業者に適用される米国規制(続き)

1 HIPAA – 医療保険の相互運用性と説明責任に関する法律

   (The Health Insurance Portability and Accountability Act of 1996)(続き)

 ⑶ 保護対象医療情報(Protected Health Information)とは何か?

 保護対象医療情報とは、HIPAA対象事業者(連載第1回参照)またはそのHIPAA業務受託者(連載第1回参照)が形式または媒体のいかんを問わず保有する、(A) (i)個人の過去、現在もしくは将来の心身の状態に関する情報、(ii) 個人に対する医療提供に関する情報、または(iii)個人に対する医療提供に関する過去、現在もしくは将来の医療費支払に関する情報であり、かつ (B)当該個人を識別しもしくは当該個人識別のために用いられることが合理的に想定される情報(個人識別可能医療情報)を意味する[16]。保護対象医療情報には、氏名、住所、生年月日、社会保障番号を含む18の識別要素が含まれる[17]

 次に挙げる情報はいずれも保護対象医療情報には該当しない[18]

  1.   HIPAAプライバシールール(連載第1回参照)所定の方法により匿名化された医療情報(“de-identified” health information)(以下「匿名化医療情報」という)
  2.   消費者が消費者向けアプリ(DTCアプリ)に開示した個人識別可能医療情報その他の情報(ただし、HIPAA対象事業者が当該アプリの開発者または資金提供者でない場合に限る)
  3.   HIPAA所定の基準に従い有効に取得された患者同意に基づきHIPAA規制外の者に開示された個人識別可能医療情報その他の情報

 また、研究に関し開示された情報は原則として保護対象医療情報に該当しないが、状況ごとの個別の検討および判断が必要であり、かつHIPAA以外の規制の適用があり得る点に留意が必要である。

 上記に関し、個人を識別せずかつ個人識別のために用いられることが合理的には想定されない情報が「匿名化医療情報」に該当する。HIPAAにおける匿名化医療情報に該当するためには、以下のいずれかの手法に基づき情報の匿名化を行う必要がある[19]

  1.   専門家判定による匿名化(“Expert Determination Method”)[20]: 個人識別不能な状態にする統計的・科学的原理・手法として一般的に認められた原理・手法に関し適切な知識および経験を有する専門家が、当該原理・手法に従い、当該情報が単独でまたは合理的に利用可能な他の情報との併用によっても当該情報にかかる個人が識別される可能性はきわめて低い旨判定する手法。
  2.   免責基準遵守による匿名化 (“Safe Harbor Method”)[21]: 当該情報から当該個人の(または当該個人の家族、親族もしくは雇用者の)18の識別要素を削除し、当該個人が識別されない状態にする手法。18の識別要素には、氏名、電話番号、社会保障番号等が含まれる。

 ⑷ モバイルヘルスアプリ事業者へのHIPAA適用可能性および留意点

 ア 原則

  1.   モバイルヘルスアプリ事業者がHIPAA対象事業者に該当しかつ当該アプリで保護対象医療情報を利用する場合、当該モバイルアプリ事業者は、HIPAA所定の基準に従い有効に取得された患者の具体的な同意に基づき当該情報を取得する場合を除き、HIPAAが定めるところに従って当該モバイルヘルスアプリによる保護対象医療情報の作成、受領、保管または転送を行わなければならない。
  2.   モバイルヘルスアプリ事業者がHIPAA対象事業者に該当しない場合、当該モバイルヘルスアプリ事業者がHIPAA業務受託者(または再委託先)に該当するか否かの検討が必要である。すなわち、当該モバイルヘルスアプリ事業者がHIPAA対象事業者(またはHIPAA業務受託者)のために保護対象医療情報を作成、受領、保管または転送するか否かの検討を行う必要がある。かかる検討において考慮すべき主な要素は以下のとおりである。
      当該モバイルヘルスアプリは保護対象医療情報を作成、受領、保管または転送するか?
      当該モバイルヘルスアプリの最終利用者は誰か?
      当該モバイルヘルスアプリ事業者の顧客は誰か? 当該アプリに関する資金の流れはどうなっているか?

    1.  ◦ 当該モバイルヘルスアプリ事業者の顧客は、HIPAA対象事業者か?
    2.  ◦ 当該モバイルヘルスアプリ事業者は、HIPAA対象事業者から報酬または支払を受けているか?
  3.      当該モバイルヘルスアプリ事業者は、保護対象医療情報を作成、受領、保管または開示するよう指示を受けるか?

 イ 消費者向けアプリ(DTCアプリ)場合の例外

 モバイルヘルスアプリ事業者が、HIPAA対象事業者その他医療従事者のためではなく、消費者からもしくは消費者のために健康情報を収集し消費者に対し直接サービスを提供する場合、すなわち消費者向けアプリ(DTCアプリ)を開発・提供する場合、当該アプリはHIPAAによって規制されない可能性が高い。かかる検討において考慮すべき主な要素は以下のとおりである。

  1.   当該アプリは消費者が自ら選択したか?
  2.   消費者は医療従事者等の第三者に対し自身の健康情報を転送するか否かの決断を自らの裁量で行うか?
  3.   モバイルヘルスアプリ事業者はHIPAA対象事業者と何らの関係も有しないか?

第3回につづく

 

[16] 45 C.F.R. § 160.103.

[17] 45 C.F.R. § 164.514.

[18] 45 C.F.R. §§ 164.508, 164.514.

[19]  “Guidance Regarding Methods for De-identification of Protected Health Information in Accordance with the Health Insurance Portability and Accountability Act (HIPAA) Privacy Rule”, 45 C.F.R. § 164.514(b).

[20] 45 C.F.R. § 164.514(b)(1).

[21] 45 C.F.R. § 164.514(b)(2).

 

バックナンバーはこちらから

 

(やまだ・あいこ)

K&L Gates外国法共同事業法律事務所 カウンセル
コーポレートM&A、データ保護、ヘルスケア・FDAのK&L Gatesグローバル実務グループに所属。クロスボーダーM&Aを含む企業間取引を主に手掛ける。データ保護などに係る国内外の法令遵守に関するアドバイスを含む、ライフサイエンス/ヘルスケア業界、テクノロジー業界等の規制対応にも従事。製薬会社、医療機器会社、バイオテクノロジー企業、IT企業など幅広いクライアントを代理。
1996年上智大学法学部国際関係法学科卒業、2000年弁護士登録(第一東京弁護士会)、2006年コロンビア大学ロースクール(LL.M)卒業、2007年ニューヨーク州弁護士登録。
Chambers Asia-Pacific Awards (ライフサイエンス-日本)においてNoted Practitioner (2018年)、Recognized Practitioner(2019年)と評される。

タイトルとURLをコピーしました