米国デジタルヘルス規制ガイド
―米国デジタルヘルス市場参入指針として―
第3回
K&L Gates外国法共同事業法律事務所
弁護士・ニューヨーク州弁護士 山 田 愛 子
|
Ⅱ デジタルヘルス事業者に適用される米国規制(続き)
1 HIPAA – 医療保険の相互運用性と説明責任に関する法律
(The Health Insurance Portability and Accountability Act of 1996)(続き)
⑸ モバイルヘルスアプリにHIPAAが適用される場合の留意点
モバイルヘルスアプリがHIPAA対象事業者(連載第1回参照)によって開発・提供されまたはHIPAA対象事業者のために開発・提供された場合、当該アプリを開発した事業者は、HIPAA対象事業者またはHIPAA業務受託者(連載第1回参照)として以下のとおりHIPAAプライバシールール、HIPAAセキュリティルール、およびHIPAA違反報告ルール(各ルールにつき連載第1回参照)を遵守しなければならない。
ア プライバシールール
HIPAA対象事業者は、HIPAAプライバシールールが定義する治療、支払または医療事務の目的または法令もしくはHIPAAプライバシールール所定の目的を有する場合には、患者の同意を得ずに保護対象医療情報(連載第2回参照)を利用および開示することが可能である[22]。その他の目的のために開示する場合、HIPAA対象事業者は、患者(またはその法定代理人)の書面同意を得る必要がある。HIPAA対象事業者は、保護対象医療情報を取得、利用または開示するほとんどの場合において、当該取得、利用、または開示目的達成のため必要最小限の取得、利用または開示となるよう合理的な努力を行わなければならない[23]。HIPAA対象事業者は患者に対し、HIPAAが定義する「個人情報取扱い通知(Notice of Privacy Practices)」の送付をもって、患者情報の利用概要を伝達しかつ所定の要件を遵守しなければならない[24]。HIPAA対象事業者はさらに、HIPAA遵守指針を組織レベルで整備し、かつそのHIPAA業務受託者も保護対象医療情報の取得、利用または開示においてHIPAAプライバシールールを遵守するよう確保しなければならない。
イ HIPAA業務委託契約
いくつかの例外的場合を除き、第三者がHIPAA対象事業者に対しサービスを提供する場合において当該HIPAA対象事業者が有する保護対象医療情報の取得または利用が必要となる場合、当該HIPAA対象事業者と当該サービス提供者はHIPAAに従いHIPAA業務委託契約(連載第1回参照)を締結する必要がある[25]。HIPAA業務委託契約にはHIPAAセキュリティルール所定の条項を規定する必要があるところ、たとえばHIPAA業務受託者による保護対象医療情報の利用目的を明記し、またHIPAA業務委託契約および適用法令に従った保護対象医療情報の利用および開示、保護対象医療情報の不正利用または漏えい防止ための適切な安全管理措置の実施義務その他HIPAA業務受託者の義務等を明記することが求められる[26]。さらにHIPAA対象事業者は、HIPAA業務受託者に義務違反の場合の補償義務を課し、また一定レベルの情報漏えい賠償責任保険その他の保険を付することを要求することが多い。HIPAA業務受託者は、保護対象医療情報に関する自らの作為・不作為に関しHIPAA違反の責任を負うとともに、HIPAA対象事業者に対し業務委託契約違反の責任を負う[27]。
モバイルヘルスアプリ事業者がHIPAA業務受託者である場合、当該事業者は、HIPAA対象事業者とHIPAA業務委託契約を締結するとともに、保護対象医療情報を取得する全再委託先(当該HIPAA受託事業者の委託先)とも契約を締結し、もって当該再委託先による当該HIPAA業務委託契約遵守およびHIPAA遵守を確保する必要がある。HIPAA業務受託者および再委託先間の契約は、当該HIPAA業務受託者およびHIPAA対象事業者との間のHIPAA業務委託契約が当該HIPAA業務受託者に課す義務よりも厳しい義務を再委託先に課すものでなければならず、再委託先による補償義務および情報漏えい賠償責任保険付保義務も規定すべき場合が多い。
ウ HIPAAセキュリティルール
HIPAAセキュリティルールは、HIPAA業務受託者に対し一定の安全基準の導入を義務付ける。当該安全基準は、状況に応じたリスク評価、必要な社内規程等の策定・運用、ePHI(連載第1回参照)の機密性および完全性を保護するための方針等の策定・運用等を含む[28]。HIPAA業務受託者はさらに、ePHI保護のため合理的かつ適切な組織的、技術的および物理的な安全管理措置を講じなければならない。当該安全管理措置は、ePHIの機密性もしくは完全性に対する脅威、不正利用、漏えい等を検知し防止するための措置を含む [29]。
エ HIPAA違反報告ルール
HIPAA業務受託者は、保護対象医療情報の保護義務違反について責任を負い、自身の委託元であるHIPAA対象事業者に当該違反を報告しなければならない。HIPAAにおける「違反」とは保護対象医療情報の安全性または機密性を侵害する不正利用または漏えいである。「違反」に該当するか否かは、HIPAAが列挙する関連リスク(保護対象医療情報の性質、不正取得者、保護対象医療情報の取得・閲覧の有無、リスク軽減の有無・程度等)を状況ごとに個別に評価する必要がある。保護対象医療情報漏えい等が生じた場合、HIPAA対象事業者は当該個人および公民権局(連載第1回参照)に対し当該違反を報告し、さらに状況によっては州検事総長および報道機関に対しても当該違反を報告しなければならない。HIPAA業務受託者が当該違反の責任を負う場合、HIPAA対象事業者は、違反報告義務に自ら対処しつつ当該対処にかかった一切の費用をHIPAA業務受託者に補償するよう請求するか、またはHIPAA業務受託者に対し一切の報告対応をHIPAA業務受託者自身の責任および費用にて行うよう要求するであろう。公民権局または州検事総長が違反報告を受けた場合、HIPAA対象事業者およびHIPAA業務受託者はいずれも、連邦または州において取調の対象となり得る[30]。
第4回につづく
[22] 45 C.F.R. § 164.506.
[23] 45 C.F.R. § 164.502(b).
[24] 45 C.F.R. § 164.520.
[25] 45 C.F.R. §§ 164.314, 164.504(e).
[26] 同上
[27] 45 C.F.R. § 164.104(b).
[28] 45 C.F.R., Subtitle A, Subchapter C, Part 164, Subpart C, Security Standards for the Protection of Electronic Protected Health Information.
[29] 同上
[30] 45 C.F.R. §§ 160.400-414.
(やまだ・あいこ)
K&L Gates外国法共同事業法律事務所 カウンセル
コーポレートM&A、データ保護、ヘルスケア・FDAのK&L Gatesグローバル実務グループに所属。クロスボーダーM&A
1996年上智大学法学部国際関係法学科卒業、2000年弁護士
Chambers Asia-Pacific Awards (ライフサイエンス-日本)においてNoted Practitioner (2018年)、Recognized Practitioner(2019年)と評される。