HIPAAだけでは足りないかのように…
連邦取引委員会(FTC)は、2件のデータセキュリティ侵害により患者の保護医療情報が個人情報窃盗犯の手に渡った小規模医療検査機関に対し、行政措置を進めている。本件の事実は特段目新しいものではない:小規模施設がデータ侵害を受け、今や行政上の結果に直面している。むしろ本件の特異性は、当該施設が直面する行政上の結果の性質にある。 この施設が直面しているのは、HHS(米国保健福祉省)の公民権局によるHIPAA(医療保険の携行性と責任に関する法律)調査ではなく、連邦取引委員会による告発である。告発内容は、100年前の消費者保護・独占禁止法に違反したというものだ。同法は「商業において、または商業に影響を及ぼす不正または欺瞞的な行為または慣行」を禁止している。
FTCの措置は、PHIを扱う企業がHIPAA以外の法律にもより厳しく規制されるという恐ろしい警告となっている。
事件の事実関係
LabMDはアトランタに拠点を置く独立系医療検査機関であり、(最近まで事業を縮小していたが)がん検出サービスに注力していた。訴訟書類によれば、LabMDは2008年のある時期に、数千人の患者に関する詳細な個人情報が含まれる保険未収金ファイルのコピーが不正な第三者にアクセスされたことを通知された。 その後の調査により、LabMDは当該第三者が連邦政府資金による医療情報セキュリティ研究を支援していたサイバーセキュリティ企業であることを突き止めた。さらに、この第三者が従業員が自身のコンピューターにダウンロードしたピアツーピアファイル共有アプリケーションを通じて保険未収金ファイルにアクセスしていた事実も判明。LabMDはこれを確認すると直ちにファイル共有ソフトを削除した。
4年後、国を隔てた反対側の地で、サクラメント警察署は身元情報窃盗犯グループを逮捕した。犯人らの所持品からは、数百人の患者名と社会保障番号が記載されたLabMDの各種「日次報告書」の複写が発見された。これらの文書がどのようにして窃盗犯の手に渡ったのかは、今日に至るまで不明のままである。
訴訟の状況
LabMDが患者情報の保護に失敗したことを受け、FTCはFTC法第5条違反による行政処分を申し立てた。同条の関連部分では「商業における、または商業に影響を及ぼす不当または欺瞞的な行為または慣行」を禁止している。本記者が他稿で指摘したように、FTCはデータ侵害を被った企業を追及するため、第5条の広範な権限をますます活用している。ただし、その法的根拠は流動的であり、明確な規制上の権限に基づくものではない。
カリフォルニアの個人情報窃盗犯がLabMDのデイシートのコピーをどのように入手したかは不明であるため、FTCの見解は明らかに、LabMDが問題のある従業員にPHIを含むコンピューターにピアツーピアファイル共有アプリケーションをダウンロードさせることを許したことが「不当」であったというものである。
LabMDは連邦取引委員会(FTC)に対し二つの戦線で対抗した。LabMDは連邦地方裁判所に訴訟を提起し、FTCの行政措置が同委員会の規制権限の範囲外であるとして差し止めを求めた。また行政手続き上では、LabMDはFTC規則に基づく即決判決の申立てを行った。これは法廷における即決判決の申立てとよく似た手続きである。
少なくとも現時点では、両方の取り組みは失敗したようだ。2014年5月12日、地方裁判所は、連邦取引委員会(FTC)が最終的な行政措置を発出するまで、同委員会の行為は司法審査の対象とならないとの判断を示した。 その1週間後、第11巡回区控訴裁判所は1文の命令で、この判決を覆すための緊急権限行使を拒否した。一方、同日、FTCはLabMDが本案審理による事件終結を求めた申し立てを全会一致で却下した。この決定により、本件は行政法判事による審理に付されることとなった。
FTCの決定は、同委員会がHIPAA違反のデータ侵害のみを問題視できるとする主張を退けた点で注目に値する。むしろ委員会は、その第5条に基づく権限がHIPAAの要件とは完全に別個のものであると判断した。 委員会によれば、LabMDの責任の有無は純粋な第5条の問題、すなわち「同社のデータセキュリティ対策が合理的であったか、そしてそれが消費者にとって回避不可能かつ相殺される利益によって正当化されない重大な損害を引き起こしたか、あるいは引き起こす可能性があったか」という点に依存する。
収穫
FTCの決定自体は驚くべきものではないが、FTCの動向を追う者にとっては、第5条の「不当性」権限の広範な行使を公然と批判してきたライト委員が本決定を執筆した点に驚きを覚えるだろう。何よりも、この決定は、被保険者団体や業務提携先が留意すべき規制当局がOCR(医療情報権利保護局)だけではなく、データセキュリティ法がHIPAA(医療保険の携行性と責任に関する法律)だけではないという、好ましくない現実を改めて思い知らせるものだ。
FTCの措置が示唆する最も恐ろしい点は、HIPAA違反の時効期間が実質的に延長された可能性があることだ。 45 C.F.R. § 160.522によれば、HIPAA執行措置には6年の時効が適用される。しかしFTC法第5条には明示的な時効規定が存在せず、(結論は出ていないものの)少なくとも一部の論者は、FTCが第5条案件に時効を適用するかどうかについて公然と疑問を呈している。
とはいえ、FTCの警察権限には限界があることを念頭に置く価値がある。先月、FTCのデータセキュリティ執行措置を支持したある裁判所の判決文にも「本決定は、ハッキング被害を受けた全ての企業に対する訴訟をFTCが無条件に提起できることを認めるものではない」と記されている。他の制限事項の中でも、FTCが追及するのは、同機関が不当に緩いと判断したデータ取扱慣行に限られるようだ。 したがって、少なくとも現時点では、HIPAAのセキュリティ規則に定められた物理的・技術的・管理上の保護措置を遵守していれば、FTCがあなたのドアをノックすることはないはずだ。