本記事はもともと ブルームバーグ・ロー に掲載されました。
患者のプライバシー保護は、患者が遠隔医療に依存し続ける限り、規制当局の最優先事項であり続ける。Foley & Lardner LLPの弁護士は、公衆衛生上の緊急事態免除と連邦政府の執行猶予が終了する際に確実に訪れる慌ただしく混乱した時期に備え、HIPAA(医療保険の携行性と責任に関する法律)への準拠を確保するための措置を今講じることで、ベンダーや医療提供者が優位に立つと述べている。
データプライバシーは既に立法者の間で注目されるテーマであり、過去数年間の遠隔医療の爆発的成長と、COVID-19公衆衛生緊急事態(PHE)下におけるプライバシー保護の相対的な不備を考慮すると、患者のデータプライバシーは、特に遠隔医療やデジタルヘルス分野において、テクノロジーを活用した医療サービス企業の慣行を審査する規制当局の最優先課題となるだろう。
公衆衛生緊急事態(PHE)期間中、保健福祉省公民権局は、遠隔医療サービスを誠実に提供した際に発生したHIPAA違反について、医療提供者が罰則対象とならないことを発表した。この柔軟な対応により、遠隔医療提供者は、これまで医療用途に使用されたことのない通信技術やHIPAA準拠性が検証されていない技術を活用するようになった。
こうした(往々にしてセキュリティが脆弱な)プラットフォームの利用と並行して、ヘルスケア企業は医療分野では前例のない規模でデータレイクやデータマイニングプログラムを構築し、患者データを資産として活用する動きを強めている。
同時に、「患者としての消費者」の台頭により、遠隔医療企業は電子商取引の原則を活用し、ユーザーを患者へ(あるいはその逆へ)転換することを目的とした、より優れたユーザー体験の創出に取り組んでいる。直接消費者向け(DTC)の非医療系電子商取引向けに構築されたウェブサイトデータ分析や広告ツールが、現在では医療企業によって利用されている。
これにより、同一の個人がテクノロジー企業のユーザーであると同時に、その企業と提携する医療グループの患者でもある場合、「ユーザー」の非医療データと「患者」の保護対象医療情報(PHI)の境界線を引くことが特に困難となっている。
ユーザー体験を向上させるため、この新たな波のヘルスケア技術企業は、ユーザーから収集したデータをデータ分析サービスや広告サービスと共有し、ユーザー行動に関する知見を得ることに依存している。一部の企業は、ユーザーが遠隔医療の予約をせずにウェブサイトを離脱した場合、広告でリターゲティングを行うほどである。こうしたデータ開示は、HIPAA規制対象の医療提供者とそのベンダーにとって、HIPAAプライバシー規則に抵触する可能性がある。
患者の事例がプライバシー問題を明らかにする
例えば、糖尿病に関する情報を求めて医療提供者の遠隔医療ウェブサイトを訪れた患者を考えてみましょう。医療提供者の目標は、患者の糖尿病への関心を遠隔医療の予約につなげることかもしれません。その後、患者がオンラインで情報を閲覧したものの予約を入れなかったとします。 医療提供者はデータ分析ベンダーと契約を結んでおり、患者の閲覧データ、IPアドレス、その他の一意の識別子がベンダーと共有され、分析される。これにより、患者が予約を入れなかった潜在的な理由に関する知見が得られる。さらに、患者の「カート放棄」は自動化された行動喚起(例:患者にチェックアウトを完了し予約を入れるよう促すメールやテキストメッセージ)を引き起こす可能性がある。
これらは本来基本的なDTC(ダイレクト・トゥ・コンシューマー)電子商取引戦略であるが、医療業界で活用する際には非常に厄介な問題となる。 HIPAA(医療保険の携行性と責任に関する法律)では、IPアドレスやその他の一意の識別子は、HIPAAがPHI(個人健康情報)と定める18のデータ要素に含まれます。データ分析ベンダーなどの第三者にPHIを開示するには、ベンダーと遠隔医療プラットフォーム提供者または医療提供者の間で適切な業務提携契約(BAA)を締結し、状況に応じて患者の同意を取得する必要があります。
電子商取引分野で最も広く利用されているデータ分析ベンダーの多くは、ビジネスアソシエイト契約(BAA)に署名せず、HIPAA規制対象組織に対しては個人健康情報(PHI)の共有を一切禁止するまで至るケースもある。
この事例における企業の課題は、このPHI開示をHIPAAプライバシー規則に準拠した形で構築できるか、可能であれば、優れたユーザー体験を維持しつつそれを実現する方法である。この種のデータ開示とマーケティング手法は、今後数年間でHHS OCR(保健福祉省市民権利局)と連邦取引委員会の双方の注目を集めることは確実である。
免除制度の終了に備えよう
公衆衛生緊急事態宣言(PHE)および関連する免除措置(プライバシーやセキュリティ違反に関するものを含む)は終了する。遠隔医療企業は、免除終了後の運営方針について、今から戦略を策定すべきである。
テレメディシンおよびデジタルヘルス企業が、堅牢かつコンプライアンスに準拠した運営体制を確立するために今すぐ実行できる具体的な5つのステップは以下の通りです:
- 弁護士・依頼者間の守秘義務に基づき、当該組織が保持および伝送する健康データに関するリスク評価を実施する。
- PHIを管理するすべてのベンダー(遠隔医療プラットフォーム、データ分析、電子健康記録ベンダーを含む)に対して、第三者によるデューデリジェンスを実施する。
- 会社のウェブサイトおよびアプリのデータ収集慣行を検証し、それらの慣行がHIPAAおよび州法に準拠しているかどうかを判断する。
- 会社のプライバシー関連文書(例:HIPAAポリシーと手順、プライバシー慣行に関する通知、オンラインプライバシーポリシー、オンライン利用規約、患者ユーザー同意書、記録保存ポリシー)を確認し、重要な文書が欠落していないこと、および既存の文書が会社の現在のデータ取扱慣行を反映するよう更新されていることを確認する。
- データベンダーが業務提携契約の締結を拒否する場合、契約に応じる代替ベンダーを検討すること。
本記事の内容は、The Bureau of National Affairs, Inc. またはその所有者の見解を必ずしも反映するものではありません。
