このエピソードでは、Foley's Health Care Practice Groupのモニカ・チュミレウスキー副会長と、PYAのチーフ・コンプライアンス・オフィサー兼ナッシュビルオフィス・マネージング・プリンシパルのシャノン・サムナー氏が、サプライチェーン・コンプライアンスがヘルスケア業界にどのような影響を及ぼしているかを探り、コンプライアンス違反に伴うリスクと罰則について語ります。
コンプライアンスについて話そう」ポッドキャスト・シリーズの詳細については、こちらをクリックしてください。
以下のインタビュー原稿は一字一句そのままではありません。番組中に取り上げられた内容を要約してお届けできるよう、最善を尽くしております。ご清聴ありがとうございました!
アンジー・コールドウェル
フォーリー&ラードナー法律事務所とPYAがお送りする「Let's Talk Compliance」ポッドキャスト・シリーズへようこそ。共同ホストのアンジー・コールドウェルです。
ヤナ・コラリク
そしてもう一人の共演者、フォーリーのヘルスケア・プラクティス・グループのパートナー、ヤーナ・コラリックです。本日はようこそお越しくださいました。番組を始める前に、iTunesまたはお好きなポッドキャストアプリで「Health Care Law Today」をご購読ください。Healthcarelawtoday.comまたはpyapc.comをご覧ください。本日の番組では、フォーリーのヘルスケア・プラクティス・グループのバイス・チェア、モニカ・チミーレフスキーと、PYAの代表でナッシュビル・オフィスのチーフ・コンプライアンス・オフィサー、シャノン・サムナーが、サプライチェーン・コンプライアンスがヘルスケア業界にどのような影響を及ぼしているのか、またコンプライアンス違反に伴うリスクと罰則についてお話しします。モニカとシャノンに自己紹介をしてもらおう。
モニカ・シュミレフスキー
アンジーさん、ヤーナさん、温かく迎えてくださってありがとうございます。私はフォーリー&ラードナーのシカゴ・オフィスのパートナーで、ヘルスケア・プラクティス・グループのバイス・チェアーを務めています。シャノン、今日はサプライチェーン・コンプライアンス、特に医療業界におけるプロバイダーとメーカー・ベンダーの両側面からのコンプライアンスについてお話しできることを楽しみにしています。ほとんどの人が痛感していると思いますが、医療業界は最も規制の厳しい業界のひとつです。病院医療システムのサプライチェーン・オペレーションに影響を及ぼす法律や規制、コンプライアンスに関する考慮事項が数多く存在しますが、私の経験では、医療機関との取引や取引に不慣れなベンダーやメーカーの多くはそのことに気づいておらず、医療法のコンプライアンス違反のリスクには一定の罰則が伴います。そのため、医療機関は問題を特定し、コンプライアンスに対処するために、様々なコンプライアンスやリスクベースのシステムを導入しています。この分野でクライアントにどのようなアドバイスをしているのか、皆さんのご意見をお聞かせください。
しかし、その具体的な話に入る前に、医療業界特有の法律や規制の概要を簡単に説明しておこうと思います。事業体はどのようにそれに対処し、実施するのか。
まず始めに、本当にハイレベルな概要として、医療業界は連邦キックバック防止法を含む多くの法律の対象となります。また、各州にはそれぞれ独自の州キックバック法があり、あるいはすべての支払者に適用されることもあります。スターク法、HIPAAを含む多数のプライバシー法、プライバシーを扱う個々の州法、サイバーセキュリティ、透明性と報告を扱う法律もある。医療システムがベンダーやメーカーと取引を行う際には、これらの法律を遵守する必要があります。
反キックバック法は、おそらくこの法律の中で最もよく知られているもので、その名の通り、基本的にキックバックを防止する刑法です。この法律は、ビジネスの創出を通じて患者紹介を誘導したり、報酬を与えるために、故意または故意の支払いを防止するものである。現在、多くのセーフ・ハーバーや例外規定があり、医療システムは、割引、リベート、保証の提供、法律、規制などに対処する例外規定を含め、ベンダーに取引をその範囲内に収めるよう求めることが多い。
スターク法は、アンチキックバック法と似たようなもので、医師や医療提供者が一部所有する事業体間の製品の受領を含む、特定のビジネスの紹介に関する不適切な取引や取り決めを基本的に禁止しています。さらに、さまざまなデータやプライバシーの問題もあります。そして、このようなことが、購入・取得される製品との関連も含め、様々な形でサプライチェーンの取り決めや契約に影響を与えていることがわかります。最近の多くの製品は、機器であれ医療機器であれ、保護されるべき健康情報、データ、その他の情報を収集し、送信する機能を持っています。このような法律があるため、医療システムは様々なコンプライアンス・プログラムを実施し、リスク評価とリスク評価プロトコルの実施に関するプロトコルを遵守するようベンダーに要求しています。しかし、ここで一旦立ち止まり、シャノンさんにお聞きしたいのですが、一般的なコンプライアンス上の問題について、どのようにお考えですか?データ・サプライチェーンのコンプライアンスに関連したコンプライアンス・プログラムやリスク軽減戦略、ベスト・プラクティスを導入するために、クライアントにどのようなアドバイスをしていますか?
シャノン・サムナー
モニカ、このテーマについてお話できて光栄です。ご指摘の通り、歴史的に議論されてきた法律はすべて、強力なコンプライアンス・プログラムを通じてサプライチェーンやサードパーティのリスクを軽減するための主なきっかけとなってきました。しかし、ご指摘の通り、医療業界は最近、第三者によるデータ漏洩、供給の途絶、COVID、保護された医療情報へのアクセスと開示をめぐる監視の強化など、決して他人事ではありません。まさにパーフェクト・ストームです。私たちの経験では、クライアントに夜も眠れないようなリスクのトップ3を尋ねると、サイバーセキュリティと情報漏えいと答えます。
歴史的に、私たちはサプライチェーンについて、商品やサービスの調達というように考えてきました。しかし、医療システムが持つ広範な事業体や関係を見ると、それは単に医薬品やその他の種類の医療用品を調達するだけではありません。それは、あなたが何らかのパートナーシップを結んでいる個人、グループ、企業なのです。データ・セキュリティだけでなく、サプライ・チェーン・リスクにも重点を置くようになったのは、人工呼吸器や保護医療機器、さらには生理食塩水など、サプライ・チェーンの不足を経験したCOVIDの影響です。サードパーティに依存する場合の脆弱性が露呈したのだと思います。
そのため、本当に強力なリスク軽減機能、コンプライアンス機能に関連するものとして、組織内の第三者リスク管理プログラムと呼ばれるものの進化が見られ始めている。ERM(エンタープライズ・リスク・マネジメント)と非常に密接に結びついていますが、同じではありません。ERMの一要素ではありますが、このような関係がますます増えてきている現在、非常に強い影響力を持つ要素となっています。
サードパーティ・リスク管理プログラムとは何かということを考えるとき、それは従来の調達やベンダーの評価にとどまらず、サードパーティとの関係のライフサイクル全体にわたって、ガバナンス、リスク管理、コンプライアンス、法務を組み込んだ、より総合的なアプローチが必要になってきています。新しいプロバイダー、新しいサービス、新しい会社のオンボーディング、継続的なモニタリング、そしてオフボーディングについて考える場合、なぜ、あなたがおっしゃったようなこと、法的な観点、法律や新しい規制の導入だけでなく、サード・パーティに関連するリスクが高まっている他の重要な要因について考える必要があるのでしょうか?
私たちがクライアントとコンプライアンス評価を行う際に耳にするのは、この不況下で、より多くの組織がコスト削減のために第三者に業務を委託し始めているということです。医療データの価格は、オープン・マーケットやダーク・ウェブで高騰しています。しかし、どれだけの医療機関が社内にそのようなリソースを持たず、最新のサイバーセキュリティ能力を備えた医療ITシステムの認証、ホスト、メンテナンス、サポートを行う信頼できるパートナーを必要としていることでしょう。サイバーセキュリティ入門の話をするつもりはないが、サイバーセキュリティは、こうしたリスクを増大させる大きな要因のひとつである。
さらに、米国司法省(DOJ)は、第三者リスク管理に関する企業のコンプライアンス・プログラムの評価に関する追加ガイダンスを発表しました。今おっしゃったような法律や規制とあいまって、まさに機は熟していると思います。ベンダーのサプライチェーンやサードパーティリスクの軽減に関連する、適切なチャネルや適切なリスク軽減戦略があるかどうか、よく考える必要があります。そのようなリスクを軽減するために、どのようなことを考え、どのようにクライアントにアドバイスしているのか、もう少し詳しくお聞かせください。
モニカ・シュミレフスキー
ええ、その通りです。この件に関して、医療システム・プロバイダーが直面している重要な問題のいくつかを、あなたは本当に特定したと思います。そして、私が見てきたいくつかの事柄を説明する前に、あなたがおっしゃったことの中で、第三者リスク管理プログラムに関するベストプラクティスとして、ガバナンス、リスク管理、コンプライアンス、法務の相互作用がとても印象的で、心に響いたことがあります。これらすべてが重要な構成要素であり、もし1つでも欠けていれば、もし適切なプロセスやコミュニケーション・チェーンがなければ、システムや医療提供者はコンプライアンス問題に対して脆弱なままになってしまいます。また、第三者リスク管理プログラムを導入したり、改訂したりする際に、私たちがクライアントにアドバイスしていることの多くは、プログラムの範囲をどうするかということです。
ですから、サプライチェーンの課題に対処しようとするとき、そしてシャノンさんがCOVIDのことをおっしゃったように、製品不足があります。どうやって製品を調達するのか?私たちは、善し悪しは別として、多くの事業体が海外のベンダーを含むさまざまなルートから製品を入手しているのを目の当たりにしました。適切なサイバーセキュリティ・ポリシーがあるか?適切なITレビューを受けているか?買収する製品は、米国内で実際に製品を販売するために必要なすべての規制当局の承認を得ているか?医薬品の種類やデバイスの種類に応じて、適切な米国食品医薬品局(FDA)の承認や認可を受けているか。
さらに一歩踏み込んで、一緒に仕事をするベンダーを吟味するプロセスを経ているとして、その下請け業者はどうだろうか?彼らは外注しているのだろうか?契約しているベンダーは、データを扱う米国外の企業にアウトソーシングしているのだろうか?残念なことに、契約したベンダーが、病院内のさまざまな医療機器や装置の遠隔保守サービスを行う下請け業者を持っていた、というケースがいくつかありました。彼らがリモート・メンテナンスを行った機器や装置には、もちろん保護されるべき医療情報(PHI)が含まれていました。そのサードパーティの下請け業者に審査を受けさせず、ITレビューを受けさせず、その結果、データ漏洩が発生した。その結果、コンプライアンス上の問題が発生した。
そのため、私たちはクライアントに、現在のサードパーティ・リスクマネジメント・プログラムがあるのであれば、またないのであれば、それを導入し、時間的なプレッシャーがあることを理解しつつも、コンプライアンス・リスクを網羅し、しっかりとしたガバナンス体制を構築するようアドバイスしてきました。コンプライアンスのハードルはスピードだと思います。製品を獲得し、サービスを迅速に提供するためには、その背後にあるニーズがあります。患者のニーズがあり、患者の需要がある。そうでなければ、コンプライアンス違反の潜在的な罰則は、刑事的な観点や金銭的な罰則だけでなく、患者への危害の可能性や、これらのシステムが直面している風評の問題もあるからです。
シャノン・サムナー
今おっしゃったようなスピードに関連すること、確かにサプライヤーを入れるスピード、あるいは、今日も早くも遅くまで、一部の組織や医療システムでは、実際にサービスを提供する医師や麻酔科医がいないために、手術を中止せざるを得ないケースもあります。サプライチェーンとサービスのスピードについて考えるとき、それは私たちが毎日一緒に働いている医療提供者でもあります。彼らはまた、人手不足という課題にも直面しており、それはあなたの組織にも波及効果をもたらすでしょう。
サードパーティ・リスクマネジメント・プログラムがどのようなものかを考えるとき、誰がそのプログラムに関与し、適切な人物をそのプログラムに参加させるかを考える必要があります。法律やコンプライアンスの観点からは、組織として活動する必要はありますが、契約の見直しや、特定のプロバイダー(特にオフショアリング)についておっしゃった条件の確認など、内部統制を成功させるために必要な要素を回避することはできません。特にオフショアリングについては、少しお話ししたいと思います。アウトソーシングされた個人、グループ、サービス、企業との関係は明確ですが、そうでない場合もあります。そこで、本当に強力なサードパーティ・リスク管理プログラムを導入することで、オフショアリングされていることが必ずしも明確でない要素やプロセスを特定することができます。
一般的にオフショア化されているサービスにはどんなものがあるかというと、監査、内部監査、外部監査、請求書作成、コーディング、支払調書作成、コールセンターなどがある。つまり、私たちのうち何人が、実際に個人的にある組織に電話をして、本当にオフショアリングされているのか、データ保管、利用審査、テープ起こしなどをしたことがあるのか、ということです。このような分野の多くは、サービス基本契約の中に隠されている可能性がある。
しかし、包括的なサードパーティ・リスクマネジメント・プログラムを持つための第一歩は、「私たちの在庫は何か」を考えることだ。では、実際にサードパーティ・サービスの誰を利用しているのか?医療機器メーカー、ITサービス・プロバイダー、遠隔医療プラットフォーム、電子カルテ、クラウド・サービス・プロバイダー、第三者管理者などです。つまり、挙げればきりがありません。マーケティングやウェブサイト・サービス・プロバイダー、ラボ・サービス、サプライ・チェーンなど、数え上げればきりがありません。
サードパーティ・リスク管理への多分野にまたがるアプローチについて考えるとき、誰が委員会のメンバーになるのか、委員会組織の一員となるべき個人は誰なのか、本当に考えたいものです。つまり、内部監査、コンプライアンス、法務、品質、リスク管理、サプライチェーンなど、業務にとって非常に重要なプロセスを検討し、その分野の専門家について考えるのです。また、例えばサービスラインの管理をアウトソーシングしている場合、そのプロセスの評価に適切な人材が関与しているかどうかも重要です。
そこで、委員会の役割と責任について考えてみると、私たちが第三者リスク管理ライフサイクルと呼んでいるものを監督することになります。モニカ、あなたは先ほどこのことについて触れていましたが、それは本当にオンボーディングから始まり、ベンダーとの関係を開始し、適切な法的審査やデューデリジェンスによる契約締結の審査も含みます。それはリスク評価です。コンプライアンス、財務、オペレーションなど、潜在的なリスクを評価するのです。先ほどエンタープライズ・リスク・マネジメントの話をしたが、この要素も委員会の役割と責任に組み込んでおく必要がある。
また、モニタリングの次の段階として、その関係の継続的な監視についても話しています。PYAに戻る前、私のキャリアの1つは内部監査でした。素晴らしい契約を結んでいたのですが、正直なところ、契約締結時に失敗することもありました。また、ベンダーの成果物やサービス・レベルを期待値と照らし合わせて評価することも重要です。
そして残念なことに、オフボーディングについて考えなければならないこともある。その関係を解消するとき、あるいはその関係が自然消滅するときに何が起こるか。特定のベンダーとの関係を解消した後のリスクはどこにあるのだろうか?
モニカや顧問弁護士と緊密に連携しているのは、デューデリジェンスの観点です。私たちが法律事務所と連携しているのは、特にこのような要素に着目しているからです。誠実な企業契約を結んでいるか?監視リストに入っているか?また、情報セキュリティを管理・維持するための組織のインフラにリアルタイムで関連するセキュリティ評価もあります。利益相反についても調べる。組織のコンプライアンス・プログラムも調べます。ある組織と提携する場合、その組織には強力なコンプライアンス・プログラムがあるか?最後に監査を受けたのはいつですか?また、それに関する情報はありますか?
そして最後に、財務および経営の安定性に関連する他のいくつかの要素と、基本的なブロック・アンド・タックリングの1つ、政府プログラムへの参加に除外されるプロバイダーであるか?
しかし、モニカは、皆さんが顧客と関わる際に、第三者のリスクを吟味するという点で、どのようなことを支援されているのか、皆さんの見解を伺いたいと思います。
モニカ・シュミレフスキー
その通りだ。あなたは重要なことに触れている。その前に、あなたがおっしゃった、契約締結時に失敗する契約についてです。これは非常に重要なことです。サードパーティ・ベンダーが適用される法律のほとんどを遵守するような、素晴らしい条件の契約を結んでいるクライアントを見てきました。アンチ・キックバック法(Anti-Kickback Statute)は、ディスカウント・セーフ・ハーバーの範囲内に収まる。HIPAAにも対応し、個々の州法にも対応する。例えば、カリフォルニア州には、GDPR(一般データ保護規則)とは似て非なる、独自の非常に厳格なプライバシー法(CCPA(カリフォルニア州消費者プライバシー法))がありますが、サイバーセキュリティにも対応するのでしょうか?一見堅固に見える素晴らしい契約を結んでも、企業がその契約を結ぶ前にベンダーに対して適切な注意を払っていなければ、ベンダーによって契約が締結された瞬間に契約は破られる可能性がある。
というのも、ベンダーが契約書にサインはするが、実際には遵守する能力がない場合、契約違反の可能性が出てくるからだ。でも、それでどうなるんですか?損害が発生しているのですから。というのも、シャノン、あなたのご指摘の通り、私たちがクライアントを支援し、ベンダーのディリジェンスを行う上で最も重視しているのは、まさにあなたが排除されないという点で強調したことなのです。そのベンダーは排除されたことがありますか?そのベンダーは、従業員の排除チェックを行うプロセスを持っていますか?監査に関連する企業誠実協定に加盟しているか。これらのことは、特に医療機関に関して重要です。なぜなら、医療機関が、医療プログラムへの参加から除外されたベンダーと実際に契約した場合、医療機関自体が、除外された企業と契約したことによる罰則に直面する可能性があるからです。
HIPAAプライバシーのサイバーセキュリティは、デューデリジェンスの極めて重要な部分であり、ベンダーが医療システムの標準やセキュリティ目的のITレビューを受けることを確認することです。契約違反を問われる可能性もありますが、損害は発生しています。ですから、強固なリスク管理プログラムを持つことは本当に重要です。また、デューデリジェンスの段階は最も重要なもののひとつだと思います。
そして、ある意味で、このようなプログラムを実施する際に、クライアントにアドバイスしてきたことのひとつは、このようなプログラムの価値と必要性を促進するために、主要な利害関係者を関与させることです。例えば、ある医療機器メーカーと契約し、手術室(OR)に持ち込むアイテムを欲しがっている医師やキー・オピニオン・リーダーがいて、彼らはそのアイテムを押し通そうとしている。
しかし、もしその業者自体が吟味され、標準的なサプライチェーンプロセスを経ていないのであれば、シャノンさんが指摘したように、様々な分野にまたがるこの第三者業者リスクプログラム全体に包含されるべきであり、その業者、持ち込まれた機器の使用やサービスの利用は、医療システムにとって潜在的な負債となりうる。もし医療機関が、このリスクプログラム、リスク評価プログラムの主要なステークホルダーとして、主要なオピニオンリーダーや医師を参加させることができれば、そのような人々は、プログラムの推進に大いに役立ち、また、同僚や他の従業員、医療システム内の請負業者が、このリスク管理プログラムの重要性を受け入れ、理解するのを大いに支援してくれます。
それに加えて、このプログラムが何を意図しているのか、なぜ重要なのか、そして実際に医療システム全体にどのように役立つのかについての教育も行っています。また、医療システムについて話しているのですから、このプログラムが患者をさらに助け、患者の安全を確保するためにどのように設計されているのか、それが入手する製品の使用における安全性であれ、データ漏洩に対する保護であれ、個人情報の流出に対する保護であれ、です、サードパーティ・ベンダーのリスク軽減プログラムの機能、目的、重要性について、組織内の個人に紹介したり、社交的にしたり、再教育したりする方法を持つことは、私たちが見てきたところでは、コンプライアンスを確保し、個人がサードパーティ・サービス・プロバイダーを導入しようとするときに、請求業務をアウトソーシングするのか?新しい遠隔医療プラットフォームを導入するのか?それに関連するITコンポーネントについて考えるとき。
これは審査済みなのか?そのベンダーが私たちの基準を満たしていることを確認するために、私たちのプログラムを通過したのだろうか?ベンダーが私たちの基準を満たしているだけでなく、このベンダーが誰なのかも知っているのか?つまり、その業者だけなのか?下請け業者を使っているのか?彼らはどこにいるのか?データのオフショアリングは行われているのか?コンプライアンス・プログラムはどのようなものか?あなたが関与しているのが誰なのか、誰に業務を任せているのか、誰にデータを任せているのか、誰にテクノロジーを任せているのかを本当に理解するのです。これは本当に重要なことだと思いますし、すでに第三者リスク・ベンダーの評価システムを導入している場合でも、それを再評価し、より強固なものにする方法を模索するところまで含めて、多くのクライアントが本当に受け入れているのを目の当たりにしています。
シャノン、あなたはきっとこのような状況を見ていると思いますが、教えてください。クライアントはあなたに監査を依頼し、"当社のサードパーティ・ベンダーのリスク管理システム・プログラムは十分か?"というレビューや評価を求めています。テクノロジーが急速に変化し、多くの人工知能(AI)が導入されるなど、今日起こっているすべてのこと、そして私たちが生きている環境において、あなたはどのようにクライアントのシステムを評価する手助けをしていますか?また、どのようなことを考慮するよう伝えていますか?
シャノン・サムナー
素晴らしい質問ですね。というのも、イノベーションセンターと呼ばれるものを設立する医療機関、主に大学医療センターが増え始めているからです。そこでは、医療提供者やその他の人々が、新しい医療機器や患者ケアの新しい方法を導入しています。新しいシステムやツール、他のタイプの組織と提携するユニークな方法、そして確かにAIも触媒となっている。数年前にはなかったようなヘルスケアのニュアンスや、新たな取引相手について考えるとき、私たちが支援した組織は、リスク管理やリスク評価のプロセスを通じて、このようなことを考えるようになりました。
だから、インベントリーはあるのか?すべてのデータがどこにあるか把握しているか?誰とつながっているか把握しているか?というのも、組織が持っているすべての依存関係について考えるとき、そして医療制度改革、サイバー侵害、ランサムウェアの問題のいくつかで、そのことが浮き彫りになったからです。私たちがいかに多くの関係者とパートナーシップを結んでいるか、そして、ひとつのカゴにすべての卵を入れてしまうと、ビジネスに大きな混乱を引き起こす可能性があることが明るみに出たと思います。ですから、コンプライアンス・プログラムを考えるにしても、災害復旧のためのデスクトップ演習を考えるにしても、多方面からのアプローチが必要なのです。これまでは、「私たちの施設や組織内で何かが起こったら」と考えていましたが、これからは、データセンターであれ、サードパーティの管理者であれ、私たちが頼りにしている重要なビジネス・アソシエイトが侵害を受けたらどうするのか、と幅広く考えなければなりません。
これらの分野では、おっしゃるとおり、私たちが誰と取引しているかを確認するための教育が重視され始めています。また、クライアントを支援する目的では、内部監査のコンプライアンス、ERMのリスク軽減のための演習、監査やモニタリングのいずれかにそれらを含めているか、また、世の中にある追加的なガイダンスや調査を活用しているかということです。
例えば、先ほど申し上げたことのひとつに、司法省が2023年3月に発表した企業コンプライアンス・プログラム・ガイダンスの評価の一環として、検察当局が第三者管理への期待に関するセクションを設けていることがあります。私たちがクライアントにアドバイスする際には、「リスクベースのプロセスを調達やベンダー管理のプロセスと統合しているか?サード・パーティと関係を結ぶための適切なビジネス上の根拠があるのか?つまり、モニカはデューデリジェンスを行っているのだ。また、契約条件には、実施すべきサービスが明記されていますか?はい。つまり、私たちの契約のほとんどはそれを明記していますが、私たちはそれをどのように監視しているのでしょうか?どのように監査していますか?
そして最後に、私たちが強調しているのは、ガバナンスの監督とガバナンスの構造です。また、社内で第三者リスク管理に関連する委員会の委員を務めている場合には、継続的な質問の一部として、その質問に答えることも含まれます。このような質問の多くは、例えば、「委員会は設置されたのか?誰が関わっているのか?サード・パーティはどのように選ばれるのか?利益相反は評価されるのか?第三者の監査や監視は誰がどのように行っているのか?その組織は、サードパーティーの報酬体系をコンプライアンス上のリスクと照らし合わせて検討し、分析したか?そのような事業体がどのような報酬を得ているか、あるいはどのようなインセンティブを得ているか、また、そのような事業体がリスクの観点からあなたに直接的または間接的に影響を与えるようなことをしている可能性はあるか。スタークやアンチキックバックの虚偽請求について、先ほどおっしゃった法律のいくつかに話を戻します。
そして最後に、デューデリジェンスのレッドフラッグはどのように特定され、軽減されるのでしょうか?例えば、あるベンダーのレッドフラッグを特定したとする。しかし、そのデューデリジェンスは、あまり言いたくはないのですが、棚に上げたままになっています。私たちはそれを知っていて、それを知っていて、その第三者と関わっていて、そして今問題が起きたらどうなると思いますか?政府はそのことを知ることになり、訴訟や和解の義務という点で、あなたにとって問題であることを明らかにすることになります。ですから私たちは、特定されたリスクの軽減に関連する仕組みを構築するために、クライアントを支援しているのです。
モニカ・シュミレフスキー
規制当局、司法省、監察総監室(OIG)、誰であれ、彼らは私たちの事業体がコンプライアンスを遵守していることを理解し、確認したいと思っています。不正と濫用という観点から、医療には大きな焦点が当てられており、こうしたサプライ・チェーン関係の一部は、政府規制当局にとって、ほとんど無用の長物であると見なすことができる。反キックバック法やスターク法を遵守していない取引があれば、刑事罰や民事罰、虚偽の請求に直面する可能性があります。つまり、損害賠償額は億単位に上る可能性があるのだ。
残念なことに、ある企業が、当然といえば当然だが、リスク管理評価の一環としてベンダーの情報を収集し、そのベンダーに医師の所有権はあるのか?
医師とベンダーの間に利益相反の関係はありますか?さて、デューデリジェンスの一環として、そのベンダーには実質的な医師の所有権があるだけでなく、そのベンダーと雇用している医師との間に関係があるという情報が得られました。その結果、この取り決めは、スターク法のセーフハーバーや例外のひとつに当てはまるような仕組みにする必要があることがわかりました。残念なことに、プロセスに綻びがあり、その情報は、シャノンが言ったように、もう棚はないのですが、棚に置かれたままになっていました。罰則が課され、結局は政府に対して自己開示を行わなければならなかった。確立されたリスク評価プロセスに従っていれば、こうした事態はすべて避けられたはずだ。
これを軽減する方法はある。シャノンが指摘したように、リスクを特定し、軽減する方法はある。しかし、私が重要だと思うのは、もしこれを行うのであれば、そして行うべきなのであれば、情報に基づいて行動する必要があるということだ。その過程で足踏みをしてしまっては、さらなる負債を抱えることになるからだ。そうでなければ、ベンダーと医療システム提供者の双方が、様々な罰則や制裁の対象となる可能性があります。
シャノン・サムナー
では、モニカ、このポッドキャストの最後になりますが、組織は何から始めるべきだと思いますか?私たちはまだこれをやっていません。企業リスク管理プログラムがあり、コンプライアンスプログラムがあり、内部監査プログラムがあることは知っていますが、どこから始めればいいのかわかりません。最初の一歩は何から始めればいいでしょうか?
モニカ・シュミレフスキー
私たちが推奨する最初のステップは、今おっしゃったように、サプライ・チェーンに特化したものであれ、全社的なものであれ、この種のプログラムが必要であることを特定することです。そして、誰がこのプログラムのチャンピオンになるかを特定し、このプログラムを実施し、さまざまな分野の主要な利害関係者を巻き込むことです。私たちは常に、資材管理、サプライチェーン、社長、IT部門、法務部門、コンプライアンス部門、そして他の部門を含む場合は医療スタッフのチーフなど、肩書きに応じたレベルの副社長を任命することが重要だと考えています。
そのため、まず誰が主要なステークホルダーとなるのか、誰がこのプログラムのチャンピオンになるのかを特定することから始める。そして、現在どの段階にあるのかを把握する。拡大が必要なプログラムがあるのか、それともゼロからのスタートなのか。そして、シャノン、あるいはあなたのような人物を法務部門と連携させ、プログラムの構築、教育、トレーニングの提供、そして実施と展開を支援する。つまり、どのようにプログラムを開始し、何をするかという点で、私たちが見てきたのは、本当にハイレベルなものだったのです。同じようなことをお考えですか?同じことをお勧めしますか?
シャノン・サムナー
もちろん、その次のレイヤーはガバナンスでしょう。もし、理事会のガバナンス委員会、あるいは組織内のガバナンス委員会に所属しているリスナーがいたら、私たちはこのようなことをしているのだろうか、と考えてみてほしい。そして、最初の一歩は常に最も難しく、自分が契約しているかもしれない、そして必ずしも知らないかもしれない組織がどれだけあるかを認識するのは常に最も難しいことだと思います。しかし、私はそれが本当に最初のステップであり、会話をすること、リスクが何であるかを理解すること、そしてそれらがどのように軽減されているかを理解することだと思います。すべてのリスクを予測することはできないし、すべてのリスクを管理することもできない。
しかし、地域社会への奉仕、患者への奉仕、従業員への奉仕、そして資源の良き管理者でありたいという強い願いを持つ組織にとっては、これは明らかに、それが確実に行われるための最良のステップだと思います。モニカ、サードパーティリスクについて話せてよかったよ。今日はリスナーの皆さんと一緒に過ごせて本当に楽しかった。
モニカ・シュミレフスキー
そうだね。そしてシャノン、ありがとう。こちらこそ。みんなに興味深く、有益で、役に立ったと思ってもらえたらうれしい。
シャノン・サムナー
ありがとう。
モニカ・シュミレフスキー
ありがとう。
アンジー・コールドウェル
モニカ、シャノン、素晴らしいディスカッションをありがとう。本日はお時間を割いていただき、ありがとうございました。ヘルスケアおよびライフサイエンス業界におけるタイムリーな法律に関する最新情報をお届けする「Let's Talk Compliance」ポッドキャスト・シリーズにご参加いただき、ありがとうございました。このポッドキャストのご購読、フォーリーズ・ヘルスケア・ロー・トゥデイ、ブログ(healthcarelawtoday.com)、pyapc.comへのご訪問をお勧めします。この番組がお気に召しましたら、ぜひご購読いただき、5つ星評価をお願いいたします。次回まで、PYAのアンジー・コールドウェルです。
ヤナ・コラリク
ご清聴ありがとうございました。
