OCR、COVID-19ワクチン接種の予約アプリを利用する事業者に対する執行を緩和

2021年1月19日、 米国保健福祉省（HHS）の公民権局（OCR）は、執行裁量に関する通知（本通知）を発行し、COVID-19ワクチン接種の個別予約を限定目的としてオンラインまたはウェブベースの予約アプリケーション（WBSA）を善意で使用する場合、対象となる医療提供者およびその業務提携先（ビジネスアソシエイト）に対してHIPAA違反による罰則を課さないことを発表しました。 この執行裁量は、当該事業体が本取り組みで使用する技術を提供する全てのWBSAベンダーにも適用される。ベンダーがHIPAA上の業務提携先の定義に該当することを実際の認識または推定上の認識を有しているか否かを問わない。

本通知は「非公開対応」のWBSAを対象とします。これは、WBSAがデフォルトで、意図された関係者（例：対象となる医療提供者、予約をスケジュールする個人または個人代理人、技術サポート提供が必要な場合のWBSA従業員）のみが、WBSAによって作成、受信、維持、または送信されたデータにアクセスすることを許可することを意味します。

OCRは、WBSAを利用する対象医療提供者およびその業務提携先に対し、個人のPHIのプライバシーとセキュリティを保護するため、以下の合理的かつ推奨される保護措置の実施を促しています：

• 必要最小限のPHIのみを使用および開示すること。例えば、WBSAを介した予約手配において、個人の氏名と電話番号は最小限必要なPHIとなる可能性がある。
• 暗号化技術を用いてPHIを保護する。
• WBSAで利用可能なすべてのプライバシー設定を有効にします。例えば、必要に応じてWBSAのカレンダー表示設定を調整し、カレンダー画面上で名前を非表示にしたり、フルネームではなく個人のイニシャルのみを表示したりします。
• WBSAベンダーによるあらゆるPHIの保管が一時的なものであることを保証する。例えば、対象となる医療提供者にPHIを返却するか、または可能な限り速やかに破棄すること。
• WBSAベンダーが、HIPAAに反する方法でPHIを使用または開示しないことを確保する。例えば、WBSAベンダーが、COVID-19ワクチン接種の予約にWBSAを利用する個人から収集したPHIを販売することを禁止する。

OCRは医療提供者およびその業務提携先に対し、これらの保護措置の実施を推奨しますが、実施しなかったこと自体が、当該事業体が誠実に行動しなかったとOCRが判断する理由にはなりません。ただし、医療提供者およびその業務提携先は、本通知が以下の状況には適用されないことに留意すべきです：

• COVID-19ワクチン接種の予約以外でのWBSAの使用。例えば、個人のCOVID-19ワクチン接種資格判定や、対面医療受診前のCOVID-19スクリーニング目的でのWBSA使用は、OCRの執行裁量権行使の範囲に含まれない。
• 電子健康記録（EHR）システムに直接接続する技術を含むWBSAを使用する。
• 利用規約において、WBSAを医療サービスの予約に利用することを禁止している、または収集した個人情報を販売する可能性がある旨を明記しているWBSAを利用すること。
• 合理的なセキュリティ対策を採用していないWBSAを使用し、これによりPHIが不正な者によって容易にアクセスまたは閲覧されることを防止しないこと。

さらに、本通知は、被保険者団体がプライバシー慣行に関する通知を配布し、その受領に関する書面による確認を取得するというHIPAAの要件について言及しておらず、また影響を与えるようには見えない。

本通知は直ちに発効し、2020年12月11日に遡って適用される。本通知は、保健福祉長官が公衆衛生上の緊急事態がもはや存在しないと判断するまで、または公衆衛生上の緊急事態の終了日までのいずれか早い方まで有効とする。

詳細については、担当のFoleyリレーションシップパートナーまたは下記のFoley担当者までお問い合わせください。新型コロナウイルス感染症（COVID-19）の情勢が変化し続ける中、FoleyはCOVID-19に伴う短期的・長期的な影響への対応を支援いたします。当社は、世界中の多くの企業が直面する事業運営や業界固有の問題に関連する法的考慮事項について、お客様が適切に対処できるよう支援するリソースを有しております。 フォリーの新型コロナウイルス情報センターはこちらをクリックしてください。この困難な時期に貴社の事業を支える関連動向、知見、リソースを随時ご確認いただけます。このコンテンツを直接メールボックスで受け取るには、こちらをクリックしてフォームを送信してください。