ニューヨーク州健康情報プライバシー法(NYHIPA)が成立した場合、ニューヨーク市民が依存する手軽に利用できるデジタル医療サービスへの患者のアクセスと関与に萎縮効果をもたらす可能性がある。デジタルヘルス企業は、NYHIPAによって生じる財政的・運営上の負担により、患者の関与維持やケア調整に苦労し、製品・サービスの改善においてほぼ確実に障壁に直面するだろう。
2025年1月23日現在、NYHIPAはニューヨーク州上院および州議会下院の両院を通過し、知事の署名待ちの状態にある。成立した場合、NYHIPAはニューヨーク州におけるデジタルヘルス企業が消費者の健康情報を収集、開示、利用する方法に重大な影響を与えることになる。
誰が規制対象となるのか?
現行の草案では、NYHIPAはニューヨーク州との関連性を持つ患者または顧客を抱えるあらゆる医療機関に適用される。
具体的には、NYHIPAは次のいずれかに該当する事業体に適用される:
- ニューヨーク州居住者の規制対象健康情報の処理を管理する
- ニューヨーク州に物理的に所在する個人の規制対象健康情報の処理を、当該個人がニューヨーク州に所在する間、または
- ニューヨークに所在し、規制対象の健康情報の処理を管理している。
エンティティレベルの免除は、他の消費者データプライバシー法と比較して限定的である。HIPAA対象エンティティは免除されるが、当該エンティティがHIPAA保護医療情報と同様の方法で患者情報を保持する場合に限られる。 HIPAA対象事業体が管理する従来の医療記録は免除対象となる可能性が高いが、ユーザーワークフローの初期段階で収集された個人情報は、規制対象事業体による処理前にNYHIPAの適用を受け、後述する厳格な承認要件の対象となる可能性が高い。ただし、当該事業体がHIPAA対象事業体であり、当該情報をHIPAA保護医療情報として扱う場合はこの限りではない。
どのような情報が規制対象となるのか?
NYHIPAは、デバイスデータを含む、健康やウェルネスに関連付けられる可能性のあるあらゆる情報を規制することを目指しています。 規制対象となる情報は、個人またはデバイスと合理的に関連付け可能なあらゆる情報であり、個人の身体的・精神的健康に関連して収集または処理されるものを含む。これには、個人の身体的・精神的健康に関連する位置情報や支払い情報、あるいは個人の身体的・精神的健康について導出された推論で、個人またはデバイスと合理的に関連付け可能なものも含まれる。HIPAAで保護される健康情報および匿名化情報は規制対象外となる。
処理上の制限は何ですか?
「処理」は、個人が要求した特定の製品またはサービスに厳密に限定される必要がある。ただし、明示的な承認が得られた場合はこの限りではない。。NYHIPAで定義される処理とは、一般的に、健康情報の収集、利用、開示、アクセス、販売、共有、作成、生成、または匿名化を含む、健康情報に対して行われるあらゆる操作を意味する。
規制対象事業者は、以下の場合を除き、健康情報を処理することはできません:
- 当該個人が承認を提供した場合;または
- 当該処理は、当該個人から要請された特定の製品またはサービスの提供もしくは維持、または規制対象事業体の内部業務運営の実施を含む、特定の列挙された目的に厳密に必要なものである。
最も重要な点として、デジタルヘルスコミュニティ内で確実に懸念を引き起こすであろうことは、内部業務運営において、マーケティング、広告、研究開発、または第三者への製品・サービス提供に関連する活動は、当該活動を承認する個人の明示的な許可がない限り、一切行わないことを明示的に除外していることである。
承認はいつ取得可能か、また承認には何が含まれなければならないか?
NYHIPAは、アカウント作成後または製品・サービスの初回利用後24時間以内に、個人から承認を取得することを禁止します。 オプトイン同意だけでは不十分であり、個人が要求する製品・サービスに厳密に必要な活動とみなされないものについては、各活動ごとに明示的な承認を取得することが義務付けられる。
承認は必須である
- 取引のいかなる部分からも独立して行われること。
- (ii) 当該個人がアカウントを作成した時点、または要求された製品・サービスを初めて利用した時点から少なくとも24時間経過後に作成されること;
- 個人が処理活動の各カテゴリーごとに個別に同意を与えるか否かを決定できるようにすること、その他の要件を含む。
当該事業体(大半のデジタルヘルス企業に該当)にオンラインアカウントを保有する個人に対し、規制対象事業体は「アカウント設定内の目立つ場所かつ容易にアクセス可能な場所」において、当該個人が承認した全ての処理活動のリストを提供しなければならない。また、各処理活動について、同一の場所で「単一の操作または行為」により承認を取り消せるようにしなければならない。 事業者は、製品やサービスの提供を許可の付与を条件とすることはできず、また、割引やその他の特典の提供を含む、製品やサービスの価格差による差別など、許可を差し控えた個人に対して差別的取扱いをしてはならない。
プライバシーに関する通知は必要ですか?
NYHIPAは、規制対象事業者が許可された目的で健康情報を処理する場合、同意なしにプライバシー通知を要求する。通知には以下の情報を含める必要がある:処理される情報の内容、処理活動の性質、当該処理の「具体的な目的」、情報が開示されるサービス提供者及び第三者の名称またはカテゴリーと開示の目的、並びに個人が自身の健康情報へのアクセス及び削除を請求できる仕組み。特に、規制対象事業者が処理活動を実質的に変更する場合、規制対象事業者は、プライバシーポリシー、利用規約、または類似の文書とは別に、明確かつ目立つ通知を提供する必要がある。 プライバシーポリシー、利用規約、または類似の文書とは別に、処理活動への重要な変更を説明し、個人に自身の健康情報の削除を請求する機会を提供する必要があります。他の消費者データプライバシー法とは異なり、提案されているNYHIPAの削除要件における唯一の例外は、「規制対象事業者の法的義務を遵守するために必要な範囲」での保持を認める点に留意してください。
デジタルヘルス企業が認識すべきその他の重要な要件は何ですか?
NYHIPAは、サービス提供者に対し、規制対象機関ごとに健康情報を分離することを義務付ける。 規制対象事業者はサービス提供者と書面による契約を締結する必要がある。当該契約に求められる条件は、概ね他の消費者データプライバシー法と同様である。ただしNYHIPAでは、サービス提供者に対し以下の事項も義務付けている:
- サービス提供者が規制対象事業者から、またはその代理として受け取る健康情報を、サービス提供者が他の当事者から、またはその代理として受け取る、もしくは個人との関係から収集するその他の個人情報と組み合わせてはならない。
- (ii) 規制対象事業者は、健康情報を他のサービス提供者と共有する前に、「合理的な期間」を置いて事前に通知すること。
すべてのウェブサイトおよび通信は、障害のある個人にとって合理的にアクセス可能である必要があり、規制対象事業者がウェブサイトおよびサービスを通じて情報を提供する言語で利用可能である必要がある。
この法律はいつ施行される可能性があり、どのような罰則が考えられますか?
NYHIPAは、法案が法律として署名されてから1年後に発効する。
ニューヨーク州司法長官は、本法の執行権限を有し、違反1件につき5万ドルまたは前会計年度におけるニューヨーク州消費者からの収益の20%のいずれか大きい方の民事罰金を含む、その他の救済措置を講じることができる。司法長官はまた、施行規則を制定する権限を有する。
NYHIPAの実践的な影響とは何ですか?
NYHIPAはデジタルヘルス企業に重大な財務的・運営上の障壁をもたらす。 規制対象事業者は、個人から承認を求める各処理活動ごとにウェブサイトとユーザーワークフローをアップグレードする必要があり、新たなアクセシビリティ要件を満たすための必要なアップグレードも実施しなければならない。承認要求に関する24時間のモラトリアムは、患者の体験、関与、教育を改善する活動に対する障壁を事実上生み出す。サービスプロバイダーは、各規制対象事業者の健康情報を分離する要件を実施する結果として財務的影響を受ける。 最後に、NYHIPAはデジタルヘルス企業に対し、他の州のプライバシー法とは実質的に異なる、さらに別の州消費者プライバシー法の遵守を義務付けることになる。
デジタルヘルス企業が次に取るべき行動とは?
NYHIPAは両院を通過し、知事の署名待ちの状態です。前述の通り、本法の施行日は知事署名から1年後となります。この1年間は、デジタルヘルス企業がNYHIPA準拠に必要な変更を実施するには極めて短い期間です。したがって、本法が成立した場合、ニューヨーク州に患者または顧客を抱えるデジタルヘルス企業は、直ちにNYHIPAへの対応計画を開始すべきです。
医療データプライバシーは急速に進化を続けています。したがって、デジタルヘルス企業は新たな動向を注視し、コンプライアンス達成に向けた必要な措置を継続的に講じるべきです。消費者健康データプライバシー法へのコンプライアンスや、医療データプライバシー法のその他の最近の変更点についてご質問がある場合は、本稿の執筆者、またはFoleyのサイバーセキュリティ・データプライバシーグループもしくはヘルスケアプラクティスグループのパートナーまたはシニアカウンセルまでお問い合わせください。
