米国デジタルヘルス規制ガイド
―米国デジタルヘルス市場参入指針として―
第4回
K&L Gates外国法共同事業法律事務所
弁護士・ニューヨーク州弁護士 山 田 愛 子
|
Ⅱ デジタルヘルス事業者に適用される米国規制(続き)
1 HIPAA – 医療保険の相互運用性と説明責任に関する法律
(The Health Insurance Portability and Accountability Act of 1996)(続き)
⑹ モバイルヘルスアプリ事業者がHIPAAに違反した場合
HIPAAに違反したモバイルヘルスアプリ事業者は、違反ごとにUS$100からUS$50,000以下の民事制裁金を公民権局により課される。ただし、同一の違反に関する一暦年中の民事制裁金はUS$1,500,000を超えない[31]。違反ごとの民事制裁金の額を決定する要素としては、たとえば、HIPAA対象事業者(連載第1回参照)またはHIPAA業務受託者(連載第1回参照)がHIPAA違反の事実を認識しておらずかつ合理的な注意をもってしても知り得なかったか、違反に正当な理由があるかまたは意図的な義務違反か、違反者は違反の発生を知ってからまたは合理的な注意をもってすれば違反の発生を知り得たであろう日から30日以内に当該違反を是正したか等が挙げられる[32] [33]。HIPAAは違反の影響を受けた個人に訴訟提起の権利を与えていないが、経済的および臨床的健全性のための医療情報技術に関する法律(the Health Information Technology for Economic and Clinical Health Act)(以下「HITECH」という) は州検事総長に対しHIPAA違反の影響を受けた州民を代表して民事訴訟を提起する権限を与えている[34] 。
HIPAAプライバシールール(連載第1回参照)違反と知りながら保護対象医療情報(連載第2回参照)を取得または開示したモバイルヘルスアプリ事業者その他個人・法人はさらに、US$50,000以下の罰金および1年以下の懲役を科され得る。悪質な不正行為の場合には重罰化され、虚偽表示の場合にはUS$100,000以下の罰金および5年以下の懲役、図利加害のため保護対象医療情報を販売、移転または利用した場合にはUS$250,000以下の罰金および10年以下の懲役がそれぞれ科され得る。[35]
⑺ コロナ禍におけるHIPAAの執行
公民権局はコロナ禍の緊急事態に対応するためHIPAAを柔軟に適用することとし、関連するガイダンスおよび通知を発している。たとえば2020年4月2日の通知において公民権局は、コロナ禍においてHIPAA業務受託者が公衆衛生管理目的のため保護対象医療情報を利用または開示することを認めた[36]。HIPAA対象事業者はHIPAAプライバシールールによって以前より公衆衛生管理目的のために保護対象医療情報を提供することが認められていたところ、この2020年4月2日の通知によって、HIPAA業務受託者にも公衆衛生管理目的での保護対象医療情報共有が認められ、HIPAA違反を問われないこととなった[37]。
2 その他個人情報保護に関する留意点
デジタルヘルス事業者は、連邦規制たるHIPAAに加え、各州の個人情報保護およびセキュリティ規制をも遵守する必要がある。多くの州はそれぞれ独自の個人情報保護および情報セキュリティ規制を制定しており、中にはHIPAAよりも厳しい規制を課す州法もある。かかる州法はさらに、HIPAAの規制には服しない消費者向け(DTC)モバイルヘルスアプリ内の消費者データを規制している場合が多い。したがって、モバイルヘルスアプリ事業者は、顧客たる消費者が居住する州ごとに当該州法の検討を行う必要がある。
米国の州法に加え、欧州のGDPRその他米国外のデータ保護規制が消費者データを規制する可能性についても留意すべきである。モバイルヘルスアプリ事業者または消費者・患者等の関係当事者が米国以外の国・地域と何らかの接点を有する場合、当該海外データ保護規制をも遵守しなければならない可能性がある。
第5回につづく
[31] 45 C.F.R. § 160.404(b).
[32] 45 C.F.R. §§ 160.401, et seq.
[33]公民権局のウェブサイトには違反に関する最近の執行事例および数百万ドルの和解例が数多く掲載されている。https://www.hhs.gov/about/news/2021/01/15/health-insurer-pays-5-1-million-settle-data-breach.html.
[34] HITECHは、the American Recovery and Reinvestment Act of 2009 (ARRA), Pub. L. No. 111-5, 42 U.S.C. § 17934のTitle XIII of Division A および Title IV of Division Bとして制定された。HITECH制定以前、HIPAAはHIPAA違反により影響を受けた個人に私訴権を認めていなかったが、HITECHによりHIPAA違反により影響を受けた州民を代表して民事訴訟を提起する権利が州検事総長に付与された。
[35] 42 U.S.C. § 1320d-6
[36] https://www.hhs.gov/about/news/2020/04/02/ocr-announces-notification-of-enforcement-discretion.html.
[37] https://www.hhs.gov/about/news/2020/04/02/ocr-announces-notification-of-enforcement-discretion.html.
(やまだ・あいこ)
K&L Gates外国法共同事業法律事務所 カウンセル
コーポレートM&A、データ保護、ヘルスケア・FDAのK&L Gatesグローバル実務グループに所属。クロスボーダーM&A
1996年上智大学法学部国際関係法学科卒業、2000年弁護士
Chambers Asia-Pacific Awards (ライフサイエンス-日本)においてNoted Practitioner (2018年)、Recognized Practitioner(2019年)と評される。