米国デジタルヘルス規制ガイド
―米国デジタルヘルス市場参入指針として―
第6回
K&L Gates外国法共同事業法律事務所
弁護士・ニューヨーク州弁護士 山 田 愛 子
|
Ⅱ デジタルヘルス事業者に適用される米国規制(続き)
4 HIPAAおよびFDCA以外の関連規制
⑴ FTCA – 連邦取引委員会法(The Federal Trade Commission Act)
企業が消費者に対しその個人情報を安全に管理する旨表明した場合、連邦取引委員会(以下「FTC」という)は当該企業がその表明を確実に遵守するよう必要な措置を講じることができる。FTCは、消費者のプライバシーを侵害した企業、消費者の機微情報の安全確保を懈怠して消費者を欺いた企業、または消費者に重大な損害を与えた企業に対し、主に不正取引防止法令違反で告発し法的措置を講じることができる。
最近の例では、受胎チェックアプリ事業者が、消費者の健康情報の開示に関し消費者を欺いたとして告発された。当該アプリ事業者はFTCと和解するに至ったところ、当該 和解条項の一部として、データの取得、保存、利用または開示の目的および方法に関する虚偽表示、消費者のデータコントロール権に関する虚偽表示、およびプライバシープログラム等の遵守状況に関する虚偽表示がそれぞれ禁じられた。さらに当該和解において当該アプリ事業者は、影響を受ける消費者に対しその個人情報が開示された旨を通知することを命じられ、かつ当該消費者の情報を受け取った第三者に対し当該データの削除を指示することを命じられた [53]。
FTCは消費者の個人情報保護および情報セキュリティ規制に関する連邦執行機関でもある[54]。特に、FTC健康情報保護義務違反報告ルール(the FTC’s Health Breach Notification Rule)は、個人健康情報管理記録(PHR)のサービス提供者または関連機関に対し、個人健康情報の安全管理措置実施義務に違反した場合、FTCおよび違反の影響を受ける個人に対する報告、また一定の場合には報道機関に対する報告を行うよう義務付ける。 個人健康情報管理記録(PHR)サービス提供者または関連機関はさらに、当該個人健康情報管理記録(PHR)の提供者に対しても違反の報告を行わなければならない。FTCは、個人健康情報管理記録(PHR)を複数の提供元から提供を受けた個人識別可能健康情報の電子的記録であり、当該個人によってまたは当該個人のために利用、共有および管理される情報と定義する[55]。たとえば多数の提供元から提供を受けた健康情報を一か所で保管するサービスを消費者に提供するオンラインサービス提供者のように個人健康情報管理記録(PHR)を提供または保管する企業が個人健康情報管理記録(PHR)サービス提供者に該当し、FTC健康情報保護義務違反報告ルールの規制に服する[56]。
HIPAA対象事業者(連載第1回参照)に該当しない個人健康情報管理記録(PHR)サービス提供者は、HIPAA遵守義務を追わないためHIPAA違反通知ルール(連載第1回参照)の適用は受けないものの[57]、FTC健康情報保護義務違反報告ルールの適用を受ける。FTCはHIPAA業務受託者(連載第1回参照)に該当する事業者が同時に一般消費者に個人健康情報管理記録(PHR)サービスをも提供する状況が生じ得る前提に立つところ、そのような状況において当該事業者は、HIPAAおよびFTC健康情報保護義務違反報告ルールの両方の適用を受ける。また仮に個人健康情報管理記録(PHR)サービス提供者の顧客およびHIPAA対象事業者の顧客が同じ集団に属する場合において、個人健康情報管理記録(PHR)サービス提供者がHIPAA違反の影響を受ける全個人と直接の関係を有する場合には、当該個人に対し一通の通知のみ送付する対応を採るよう当該個人健康情報管理記録(PHR)サービス提供者および当該HIPAA対象事業者間で合意することも想定されるだろう[58]。
⑵ 遠隔医療に関する規制
米国において、遠隔医療の提供は原則として州ごとに州医事当局が管理・監督している。必要な許認可は患者または医療従事者の所在地によって異なる。コロナ禍前は、圧倒的多数の州において、遠隔医療に携わる医師は患者が所在する州の医師免許を有することが必要であった。コロナ禍の緊急事態への対応のため、また隔離が必要な状況下での医療提供のため、かかる要件・規制は修正され、たとえば12の州が遠隔医療提供に関し特定目的免許、遠隔医療許可・認証、または州を跨ぐ医療行為提供許可を発する特別な対応を行い、また6つの州は州を跨ぐ医療行為を希望する医師に対し医師免許取得ではなく登録のみ義務付ける特別な対応を行った[59]。その結果多くの州において、医師が医師資格を有する州以外の州の居住者に対し医療サービスを提供することが特別に認められた。もっとも、これらの州がコロナ禍終息後に方針を転換するか否かは不明であり、また州ごとに不統一な免許規制の乱立が遠隔医療の実施に悪影響を及ぼす事態を避けるため連邦当局が必要な連邦規制を導入する可能性も残る。遠隔医療サービス提供に関しては、かかる免許規制に加え、同意要件、医療記録規制、薬局規制、個人情報保護その他に関する州法にも留意が必要である。
さらに、メディケアその他連邦医療保険制度の利用者のための遠隔医療費償還は米国保健社会福祉省公的保険制度運営センター(the Centers for Medicare and Medicaid Services)(以下「CMS」という)によって管理されているところ、CMSは歴史的にみて、当事者の両方または片方が医療機関に物理的に存在する場合の遠隔医療提供についてはきわめて限定的にしか償還を認めない傾向にある[60]。民間の医療保険制度利用者に対する償還は、当該制度運用事業者により管理されており、その償還いかんは当該各制度運用事業者の償還要件・手続に従うことになる。したがって、米国において遠隔医療事業の展開を模索中の企業は、特に事業の収益化の観点から、連邦医療保険制度および民間医療保険制度の各償還ルールも個別に検討する必要がある。特に、州当局および連邦当局のコロナ禍終息後の方針[61]は流動的であり予測困難であり、随時最新情報を確認・検討する必要がある。
⑶ 不正行為防止規制
連邦不正行為防止法(the Anti-Kickback Statute[62])を含む連邦および州の不正行為防止規制は、医療、製薬および医療機器業界において、取引の見返りとして利益を要求しまたは受領することを規制する。連邦スターク法(the Stark Law[63])を含む連邦および州の医師利益相反規制は、医療従事者が直接または間接の経済的関係を有する個人または法人に対し所定の医療サービスを紹介することを原則として禁止する。
連邦虚偽請求防止法(the False Claims Act [64])は、連邦医療プログラムに関し故意に虚偽記録を作成しまたは虚偽請求を行った個人または組織に刑事罰を科す。さらに、連邦の社会保障法(the Social Security Act)は、メディケアやメディケイドに関し不正行為を働いた医師その他医療従事者に民事制裁金を科し、またはメディケアやメディケイドから排除する。これらの連邦および州法により一定の行為は禁じられ、違反者には民事または刑事上の制裁が科される。したがって、医療業界以外では規制されず一般的かつ適法に行われている種類の取引が、連邦政府または第三者支払人により物またはサービスの償還や支払が行われる医療業界では違法となり得る。企業が医療従事者または直接患者に対し、連邦政府または第三者支払人により償還や支払が行われる物やサービスを提供しようとする場合、当該企業やその取引先は、かかる医療業界に特殊な不正行為防止規制に違反しないよう、その詳細を事前に確認・理解する必要がある。
第7回につづく
[53] https://www.ftc.gov/news-events/press-releases/2021/01/developer-popular-womens-fertility-tracking-app-settles-ftc.
[54] https://www.ftc.gov/news-events/media-resources/protecting-consumer-privacy/privacy-security-enforcement.
[55] See https://www.ftc.gov/tips-advice/business-center/guidance/complying-ftcs-health-breach-notification-rule.
[56] 同上
[57] 同上
[58] 同上
[60] もっとも、コロナ禍においては公衆衛生緊急事態対応のため 主にthe Social Security Act Section 1135に基づく柔軟な対応が採られている(いわゆる Section 1135 waivers)。例:https://portal.shojihomu.co.jp/wp-content/uploads/2021/09/covid-19-emergency-declaration-waivers.pdf.
[61] たとえば、the Creating Opportunities Now for Necessary and Effective Care Technologies (CONNECT) for Health Act of 2021, S. 1512, 117th Cong. (2021) は、遠隔医療における償還対象拡大の恒久化等を通じて遠隔医療の利用機会の拡大を目指している。https://www.congress.gov/bill/117th-congress/senate-bill/1512/text?loclr=cga-bill.
[62] 42 U.S.C. § 1320a-7b.
[63] 42 U.S.C. § 1395nn.
[64] 31 U.S.C. §§ 3729 – 3733.
(やまだ・あいこ)
K&L Gates外国法共同事業法律事務所 カウンセル
コーポレートM&A、データ保護、ヘルスケア・FDAのK&L Gatesグローバル実務グループに所属。クロスボーダーM&A
1996年上智大学法学部国際関係法学科卒業、2000年弁護士
Chambers Asia-Pacific Awards (ライフサイエンス-日本)においてNoted Practitioner (2018年)、Recognized Practitioner(2019年)と評される。