2013年1月18日、米国ローファーム”Morgan, Lewis & Bockius LLP”は標記ブログを掲載した。米国のプライバシー保護やセキュリティ保護にかかる法制の独自性は筆者が従来から取り上げているので、読者もある程度理解されていると思うが、この際改めて正確な内容を整理する意味で仮訳した。
なお、わが国では2013年12月に日本クラウドセキュリティアライアンス/健康医療情報管理ユーザーワーキンググループが「米国HIPAA/HITECH総括規則の動向(「CSA Cloud Bytes: An Overview of the HIPAA Omnibus Rule」(2013年6月)」の日本語訳を行っている。包括規則の最終確定に至るこれまでの経緯のほか、本ブログとは異なる観点から取りまとめたものであり、本グログと併読されたい。
1.最終規則の取りまとめの目的
最終規則は、事業提携者(Business Associates:BA)に対し、直接、新しいプライバシーとセキュリティ上の義務を課し、データ漏えいの定義の修正およびリスクアセスメントで考慮すべき要素等提案されたルールの多くの条項を最終的に確定した。
2.HHS/OCRが包括的最終規則を公表
2013年1月17日、米国連邦保健福祉省(HHS)・公民権局(Office for Civil Rights:OCR)は、期待され待望の包括的最終規則(以下「最終規則(Final Rule)」という)を公表した。この最終規則は、「経済的及び臨床的健全性のための医療情報技術に関する法律(Health Information Technology for Economic and Clinical Health Act :HITECH Act)」 (注1)のもとで「HIPPA」、FTCの「Breach Notification Rule(医療保険の携行性と責任に関する法律(HIPAA)のもとで保護されない医療情報が漏えいした時の通知に関する遵守ルール)」の下での「プライバシー規則」、「セキュリティ規則」および「法執行.規則」として一定の範囲で修正したものである。
最終規則は、10年前に最終的なプライバシールールとセキュリティルールが公布されて以来、医療プライバシー法の最も重要な発展を表している。
最終規則は、HITECH法の規定を実施するための提案された規則制定の通知(提案された規則案)をHHSが公表した約2年半後に出されたものである。
最終規則は2013年3月26日に施行し、対象企業および事業者は2013年9月23日までに最終規則の適用要件を遵守する必要がある。
3.最終規則に関係する4つの個別規則の改正とその特徴
○最終規則は、以下に説明する4つの個別規則に対する改正からなる。
(1) HIPAAのプライバシー規則、セキュリティ規則および法執行規則
(2) 最終規則は、HIPAAのプライバシー、セキュリティおよび法執行規則(HITECH法で義務付けられているものを含むがこれに限定されない)の改正を確定するものである。
(3) 最終規則の大半は提案された規則案をそのまま採用し、多くの明確化がなされているが、重要な変更は比較的少ない。
(4) 最終規則の注目すべき条項は、以下の内容である。 (注2)
① 事業提携者(BA:Business Associates):最終規則は、BAに直接適用されるHIPAAプライバシーとセキュリティ規則上の義務の一部を作成する。
② 「事業提携者(BA)」の定義に「下請け事業者(subcontractors)」も含まれており、BAが事業提携契約に実質的に類似した下請け事業者との間で書面契約を締結する必要がある。
③ 重要な点は、「事業提携者(BA)」と「下請け事業者」は、2013年9月23日の遵守義務日までにセキュリティ規則を完全に遵守することが求められることである。
④ マーケティング :最終規則は、マーケティングに対する当初提案された規則案のアプローチを変更し、自社の製品またはサービを販売している第三者と通信を行うための金銭的な報酬を受け取る事業者のすべての「診療(treatment)」および「日常的な医療運営(healthcare operations)」に関する通信には情報主体の承認を得る必要があるとした。 (注3)(注4)
⑤ HHSは、提案された規則が要求したように、「診療」と「医療運営」の通信上区別することが困難であることに注目し、HHSはマーケティングコミュニケーションとは「健康関連商品またはサービスを販売することに関するすべての補助的通信」をいうと定めた。
⑥ HHSは、「金銭的な報酬」という用語に非金銭的便益は含まれておらず、むしろ、製品やサービスに関する情報交換のための代金のみを含むことを明確にした。
⑦保護される健康情報の販売行為 :最終規則は、対象となる事業体または事業者が、個人からの許可を得ていない限り、保護対象の健康情報(PHI)の開示と引き換えに直接的または間接的報酬を受け取ることを一般的に禁止している。
⑧ 保護された健康情報へのアクセス範囲の拡大 :最終規則は、個人のPHIの電子コピーを受け取る権利を拡大した。
⑨ 「健康保険プラン(Health Plans)」 (注5)(注7)(注8)への特定の開示の制限 :最終規則は、個人がポケットから全額支払った治療に関する保健計画への開示を制限する。
⑩ プライバシー実務慣行の通知 :最終規則は、対象となる事業体に対し、プライバシー実務慣行の通知の特定の要素を修正するとともに、修正された形式を再配布することを要求する。
〇 Civil Money Penalty Structure 民事罰(民事制裁金)の構造
最終規則は、各階層に関連する犯罪性のレベルの増加に基づいて違反に対する罰金金額を増加させるHITECH法の階層化システムを採用した。
〇 Breach Notification Rule 違反通知ルール
.最終規則は、2009年8月24日にHHSから公布された漏えい通知の暫定最終規則(以下「暫定最終規則」という)に規定されている「漏えい」の定義とリスク評価アプローチ内容を変更した。
「漏えい(breach)」の新しい定義の下で、PHIの許されない使用または開示は、対象となる事業体または事業者が保護された健康情報が侵害されている可能性が低いことを証明しない限り違反と推定される。...
この基準は、暫定最終規則に定められた「重大な有害危険性」基準を置き換えるものである。
HHSは、「個人への危害」に優先的に焦点を当てることはあまりにも主観的であり、対象となる事業体および業務提携者間で一貫性のない解釈および結果が生じる可能性があると指摘する。
上記のように、HHSは、被害を受けたPHIの「低い確率」が「危険にさらされている」ことをリスクアセスメントを通じて実証することを被保険者および業務提携者に要求している。
また、最終規則は、潜在的な違反に関してリスクアセスメントを実施する際に事業者や事業提携者が考慮しなければならない要素を修正した。
対象となる事業体および事業提携者は、漏えいによるリスクアセスメントを実施する際に必要なすべての要素が考慮されることを確実にするため、かれらのポリシーを検査することを提案している。
最終規則は、 「2008年遺伝情報差別禁止法(Genetic Information Nondiscrimination Act: GINA)」 (注6)が要求するようにHIPAAプライバシールールを変更して、ほとんどの健康計画が引受目的で遺伝情報を使用または開示することを禁止している。
事業提携者は、9月23日にはあらたなセキュリティ規則の遵守プログラムの実施を含む新しいHIPAA上の義務の遵守を準備する必要がある。
最終規則の対象事業体等は、プライバシー実務慣行の通知の更新と再配布、事業提携契約の修正を含む、最終規則の新しい要件を反映するために、すみやかにHIPAA遵守プログラムを遵守し始めるべきである。
********************************************************************************:*
(注1) HITECH法の立法の背景を見ておく。
(1) 2012年5月JETRO ニューヨーク事務所ニューヨークだより「米国における医療分野のIT導入に係る動向:」から一部引用する。
「米国再生・再投資法(ARRA)のうち、医療IT関連部分が、「経済的および臨床的健全性のための医療情報技術に関する法律(Health Information Technology for Economic and Clinical Health Act:HITECH 法)」であり、①医療ITの促進、②医療ITの実証、③インフラ等に対するグラントと融資の提供、④プライバシー保護を巡る取り組み、の4点に関する条文が盛り込まれている。
また、同法に基づき、医療ITに係る法律を整備し、プライバシー条項の適用範囲を拡大するとともに、4つの医療IT機器導入促進プログラムと4つの医療IT人材育成プログラム、メディケア・メディケイド関係機関に対する医療IT '電子健康記録や電子処方箋(導入のインセンティブの提供などが行われている。
HITECH法で規定された医療ITへの投資額は、①裁量的経費から20 億ドル、②メディケア、メディケイドを通じたインセンティブ170 億ドルの、合計190 億ドルに上る。
(2) プライバシー規則とセキュリティー規則の融合にかかる初期段階
*2009年2月17日「米国経済再生・再投資法(American Recovery and Reinvestment Act of 2009 (ARRA)) の一部として、「経済的及び臨床的健全性のための医療情報技術に関する法律(Health Information Technology for Economic and Clinical Health Act:HITECH法)」を制定。
*2009年7月HHSのセベリウス長官がセキュリティ規則策定を公民権局(OCR)に委任等
(注2) 前文で述べた日本クラウドセキュリティアライアンス/健康医療情報管理ユーザーワーキンググループの訳文の解説箇所(PP.6~7頁)が参考になるので、以下、引用する。
「米国HIPAA/HITECH総括的規則と事業提携者(BA)」
◎ 事業提携者(BA:Business Associates)=適用主体に代わって、保護対象保健情報(PHI:Protected Health Information)を生成、収集、維持、交換する者
〇 事業提携者(BA)に代わって保護対象保健情報(PHI)を生成、収集、維持、交換する事業提携者(BA)の下請け事業者も該当する。
事業提携者(BA)としての位置づけは、契約上の相手関係ではなく、役割や責任に基づく。
◎ 事業提携者(BA)に該当する例
〇 患者安全組織
〇 保健情報連携組織、電子処方箋ゲートウェア、適用主体の個人健康記録(PHR)ベンダー(全てのPHR (HIPAA対象外の個人健康記録)ではない)
〇 日常的に、保護対象保健情報情報(PHI)へのアクセスを必要とするデータ交換プロバイダー
◎事業提携者(BA)に該当しない例単にデジタル管路を提供する、データ交換サービス事業者は該当しないただし、実際に閲覧する意図がなくても、保護対象保健情報情報(PHI)を保存する事業者は該当する(例.クラウドモデルの電子健康記録(EHR))
◎事業提携者(BA)と下請け事業者の関係適用主体と事業提携者(BA)との間の契約:事業提携者(BA)の下請け事業者は、事業提携契約書(BAA:Business Associate Agreement)の要件を満たすことが必要下請け事業者の下請けも、事業提携者(BA)に該当する結果として、事業提携者(BA)に適用されるHIPAA/HITECHの義務は、下請け事業者にも直接適用される。
◎HITECHの影響HITECH施行前:事業提携者(BA)は、事業提携契約書(BAA)の遵守が求められるHITECH施行後:事業提携者(BA)および下請け事業者は直接HIPAAの遵守が求められる。
(注3) 樋口範雄 「米国の医療における個人情報の取扱いについて」雑誌「病院」64巻4号290-293頁(2005年4月号)
同教授は「アメリカのHIPPAプライバシー・ルール」の特色と題して、わが国の情報保護法と米国HIPPAを比較すべく「機能主義(米国)」と形式主義(日本)という形で以下のような解説をされている。
改めて日米のプライバシー保護に関する法制整備の考え方の違いが浮かび上がる。さらに、本ブログでとりあげた米国のローファームのブログを正確に読むうえで参考になると考え、やや長くなるが、関係個所を以下、引用する。
「人情報保護法では、法の規制対象として個人情報取扱事業者が想定され、事業者自身が情報を使用する場合と、事業者以外の第三者に情報提供する場合とに分けて、規制の仕組みを作った。特に医療の場面を想定したわけではない。そこで医療の場面での具体的適用例はガイドライン(注4)に委ねられた。
これに対し、アメリカのルールは初めから医療情報保護の仕組みとして作られた。そこでも対象となる機関が何かは問題となるが、それよりも、医療情報がどのような形で利用されているかを具体的に想定してルールが作られた。具体的にはTPOのための利用(T
=treatment診療、P=payment支払い、O=health care Operations病院の日常的業務)は、当然に医療に随伴するものとして原則として患者の同意不要とし、それ以外の利用の場合に同意原則をとるという態度をとった。
この違いから、例えば次のような差異が生じている。
【例1】医師が患者の診療につき先輩医師の助言を得たいと考える。日本法の下では、同じ医療機関の医師であればよいが、他の医療機関に属する医師から助言を得るのは、第三者への情報提供を伴うので患者の同意をえる必要がある。アメリカのルールでは、診療【例2】診療がなされた後、患者から民間医療保険会社に支払請求がなされ、保険会社ではその審査のために医療機関にカルテなどの情報提供が求められたとする。日本法の下では、これは情報の第三者提供に当たるので同意が必要になる。アメリカのルールでは、支払いのためであるから同意は不要となる。ただし、アメリカでも支払いに必要な情報に限って出せるという制約はあるが。
【例3】診療に伴い医療事故が発生し、医師がこの件で弁護士や賠償責任保険を引き受けている保険会社に相談したいと考える。日本法の下では、やはり第三者提供になるので、それが業務委託にあたるなど個人情報保護法が認める例外にあたらない限り、原則は患者の同意が必要となる。アメリカなら、病院の日常的業務の範囲内にある行為とされて、同意が不要となる。
これら具体例の結論については賛否が分かれると思われる。ここでは、わが国のルールが形式的で個人情報取扱事業者とそれ以外という形式的区分になっているのに対し、アメリカのルールが、医療情報の利用の仕方に即して機能的なアプローチをとっていることだけを指摘する。」
(注4) ここでいうガイドラインとは「厚生労働分野における個人情報の適切な取扱いのためのガイドライン等」をさす。
(注5) 「健康保険プラン(Health Plan)」の意義
特定のプランまたはプログラムが対象とする加入者に対して給付される,ヘルスケアのサービスのパッケージのこと.そのパッケージを提供するプログラム,プランまたは供給組織を指すこともある。Health Insurance Portability and Accountability Act(HIPPA法)のヘルスプランの定義には,雇用主が従業員等に提供するヘルスケア給付プラン,メディケア・メディケイドが実施するプログラム,供給組織である健康保険会社・HMOが含まれている. (損保ジャパン日本興亜総合研究所株式会社から一部引用 )
参考までにHIPPAサイトから”Health Plan”の法的定義を仮訳する。なお、以下の引用する法律を正確に読みこなすには、「アメリカの認知症ケア動向Ⅲ アメリカの医療保障制度」を参照されたい。同解説では、米国の医療保障制度につき、メディケア(パートA(病院保険(Hospital Insurance: HI);パートB(補足的医療保険(Supplementary Medical Insurance: SMI);パートC(Medicare Advantage);パートD(処方薬給付(Prescription Drug Benefits)他)、メディケイド、民間医療保険等につき、かなり詳しい解説が行われている。
「健康保険プラン」という用語は、連邦規則集第45編第160.103条に定める用語を意味する。
160.103条-
(公衆衛生法(42 U.S.C. 300gg-91(a)(2))の第2791(a)条(2)に定義される、医療計画を策定またはその費用を支払う個人またはグループのプラン。
(1)健康保険プランには、単一または組み合わせによる以下のものが含まれる。
(ⅰ)本条で定義されるグループ健康保険プラン
(ii)本条に定義される健康保険の発行者。
(iii)本条で定義するHMO。(注9)
(iv)本法第XVIII(118)編に基づくメディケアプログラムのパートAまたはパートB。
(v)合衆国法典第42編第1396条、社会保障法(Social Security Act)第XIX(118)編8/18(48)に基づくメディケイド・プログラム。
(vi)メディケア補足医療保険(合衆国法典第42編第1395ss(g)92 U.S.C. 1395ss(g)(1)(注7)(注8)社会保障法第1882(g)条(1)項に定義されている)の発行者。
(vii)介護老人ホームの保険証券を除く、長期メデイケア保険の発行者。
(viii)2人以上の雇用者の従業員のための従業員の福利厚生制度、または厚生年金基金に医療給付を提供または提供する目的で確立または維持されるその他の給付
(ix)合衆国法典第10編に基づく現役軍人のための医療プログラム。
(x)合衆国法典第38 編 第17章の退役軍人医療プログラム。
(xi)合衆国法典第10編第1072(4)条で定義されている)軍属健康医療プログラム(CHAMPUS)
(xii)先住民保健医療改善法(合衆国法典第25編第1601条以下)に基づく先住民保健サービスプログラム。
(xiii)合衆国法典第5編第 8902条以下の連邦従業員の医療補助プログラム。
(xiv)合衆国法典第42編第1397条 8/18(52)以下の法律第2101条の要件に合致する児童の健康支援として承認された州の児童保健計画。
(xv)合衆国法典第42編第1395w-21〜1395w-28条の第XVIII編パートCに基づくメディケア+チョイスプログラム。
(xvi)適格者に健康保険または同等の補償を提供するために州法の下で確立されたメカニズムである高リスクプール(注10)。
(xvii)PHS法第2791条(a)(2)条、42 USC 300gg-91条に定義されている医療費を提供または支払うその他の個人または団体計画、
(2) 以下の健康保険プランは除く。
(i)PHS法第4291条(c)(1)項に列挙されている例外的給付を提供または費用を支払う範囲での政策、計画またはプログラム。
(ii)政府が資金を提供するプログラム(この定義のパラグラフ(1)(i) - (xvi)に記載されているものを除く)
(A)主な目的は、ヘルスケアを提供すること、またはその費用を支払うこと以外である。 (または)
(B)主な活動は誰か:
a.人への医療の直接提供。または
b.人への医療の直接提供に資金を提供するための助成金の作成。
(注6) 米国の遺伝情報差別禁止法(Genetic Information Nondiscrimination Act = GINA)が2008年4月24日連邦議会上院で満場一致,同5月1日下院で賛成414票,反対1票で各々可決され,同21日ブッシュ大統領が署名して成立した。この問題に関する最初の法案が1995年11月に上程されてから13年が経過していた。
なお、佐藤博「遺伝子差別禁止法のない自主規制のままの日本。野放し状態でプライバシーは守られるのか?」はわが国として取り組むべき重要な課題を論じている。
(注7) 42 U.S. Code § 1395ss - Certification of medicare supplemental health insurance policies の原文を記す。
(g) Definitions
(1) For purposes of this section, a medicare supplemental policy is a health insurance policy or other health benefit plan offered by a private entity to individuals who are entitled to have payment made under this subchapter, which provides reimbursement for expenses incurred for services and items for which payment may be made under this subchapter but which are not reimbursable by reason of the applicability of deductibles, coinsurance amounts, or other limitations imposed pursuant to this subchapter; but does not include a prescription drug plan under part D or a Medicare Choice plan or any such policy or plan of one or more employers or labor organizations, or of the trustees of a fund established by one or more employers or labor organizations (or combination thereof), for employees or former employees (or combination thereof) or for members or former members (or combination thereof) of the labor organizations and does not include a policy or plan of an eligible organization (as defined in section 1395mm(b) of this title) if the policy or plan provides benefits pursuant to a contract under section 1395mm of this title or an approved demonstration project described in section 603(c) of the Social Security Amendments of 1983, section 2355 of the Deficit Reduction Act of 1984, or section 9412(b) of the Omnibus Budget Reconciliation Act of 1986, or a policy or plan of an organization if the policy or plan provides benefits pursuant to an agreement under section 1395l(a)(1)(A) of this title. For purposes of this section, the term “policy” includes a certificate issued under such policy.
(注8) 連邦政府のMedicare .govサイトの”What's Medicare Supplement Insurance (Medigap)?”を参照されたい。
(注9) Health Maintenance Organization (HMO)。米国保健維持機構の略語。米国の民間保険の一つ。HMOは1973年にニクソン政権下で成立した「1973年保険維持機構法 (en:Health Maintenance Organization Act of 1973)」8/18(42) を転機として発展した組織である。HMO自体は20世紀初頭に起源をもつが、1970年代当時、コストを重視した医療を提供していた民間団体に政府が低金利の助成金を交付し、拡大を狙った。HMOに分類される最大の保険会社は、1945年に設立されたカイザーパーマネンテ(Kaiser Permanente)である。2007年時点で870万人と契約を結んでいる。
HMOに分類される保険会社は多数あり、企業が契約を結んだ保険会社が医療水準を決定する。このような由来をもつためHMOには3つの大きな制限がある。まず、保険会社と契約を結んだ登録された医療機関でしか診療が受けられないこと。次に、特定の病歴を持っていた場合、企業が契約した保険会社からHMO加入を認められない場合があることである。これは医療費がかかる見込みがある加入者を受け入れると、コスト増が見込まれるからである。最後に、登録医療機関の医師は保険会社であるHMOと雇用契約を結んでいるため、コスト削減の観点から、患者に提供する医療水準を下げることが望ましいとされている。したがって、難病などへの対応が困難で、複雑な外傷など高額な医療が求められる治療も受けにくい(goo Wikipedia から一部抜粋)。
(注10) 州営の条件体医療保険プール(この州営によるプールは,医学的に保険加入が困難な医療保険非加入者(medically uninsurable)が連邦政府の非常に限られた制度にしか加入していないという現状認識に立ち,問題解決策の一つとして採用された制度である。最初に導入/実施したのはミネソタ・コネチカットの両州('76年).なおプールは典型的には州内健保会社で構成する非営利法人組織で運営され,自家保険制度はエリサ法によって加入を強制されない。消費者、健康保険者、保険庁で構成される理事会を有するのが一般的である。
***************************************************:
Copyright © 2006-2017 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.
※コメント投稿者のブログIDはブログ作成者のみに通知されます