米国の医療クラウドサービスで高まるセキュリティ責任、国内事業者への影響は：海外医療技術トレンド（19）（1/2 ページ）

HIPAAガイドラインで示されたクラウド事業者の責務

　2016年10月6日、米国保健福祉省（HHS）の公民権室（OCR）は、「HIPAA（Health Insurance Portability and Accountability Act of 1996：医療保険の携行性と責任に関する法律）とクラウドコンピューティングに関するガイダンス」を公開した（図1、関連情報）。

図1　HHS.govのHIPAAクラウドコンピューティング・ガイダンスWebサイト（クリックでサイトへ） 出典：U.S. Department of Health & Human Services「Guidance on HIPAA & Cloud Computing」

　このガイドラインでは、HIPAAの適用対象主体（CE：Covered Entity）となる医療施設／医療保険者や、その外部委託先の事業提携者（BA：Business Associate）向けに、クラウドストレージから医療業務支援アプリケーションまで、さまざまなサービスを提供するクラウドサービスプロバイダー（CSP）の役割や法的責任に焦点を当てている。なお、クラウドコンピューティングの定義については、米国立標準技術研究所（NIST）の公開文書（Special Publication 800-145、関連情報、PDFファイル）を準用している。

　今回のガイドラインで注目されるのは、適用対象主体が、クラウド事業者の提供するサービスを利用して、電子化された「保護対象保健情報（PHI：protected health information）」の生成、収集、維持、交換を行う場合、クラウド事業者は、HIPAA上の事業提携者に該当すると明記した点だ。事業提携者としての位置付けは、契約上の相手関係ではなく、役割や責任に基づくというのが、HIPAAの基本的考え方であり、クラウドサービス事業者およびその下請事業者も、事業提携者に該当することが明確になった。

　事業提携者およびその下請に該当するクラウドサービス事業者は、適用対象主体（例：医療施設）と締結する事業提携契約書（BAA：Business Associate Agreement）に認められた場合、もしくは法令で要求された場合のみ、患者の個人データを利用／開示できる。

　2013年にHIPAA／HITECH総括規則が適用されるまでは、事業提携契約書の順守が事業提携者に課せられていたが、現在は、HIPAAのセキュリティ／プライバシー規則に基づく責務の順守が、事業提携者および下請事業者の双方に直接課せられる仕組みに変わっている。HIPAAを所管する保健福祉省は、事業提携者に該当するクラウドサービス事業者およびその下請事業者に対して、以下のような権限を有している。

• 保健福祉省（HHS）長官は、事業提携者（下請事業者含む）に対する不服申し立てを受けて調査し、不備な点や法令違反に対して、必要な処置を行う権限を有する
• 事業提携者（下請事業者含む）は記録を保持して、法令順守報告書を当局に提出すると共に、不備な点の調査やコンプライアンスレビューに協力し、当局に対して情報へのアクセスを提供しなければならない
• 事業提携者（下請事業者含む）は、不服を申し立てた人に対し、威圧したり差別したりすることが禁止されており、規制当局に協力して、違法行為に反対しなければならない
• 事業提携者（下請事業者含む）は、HIPAA違反に対する民事制裁金を科せられることがある
• 事業提携者（下請事業者含む）は、適用対象主体／事業提携者の契約下で責任を負う

　保健福祉省は、患者データ漏えいなど、HIPAA違反が発覚した医療機関や医療保険者に対して、高額の民事制裁金を課してきたが、今後は、その矛先がクラウドサービス事業者に向く可能性がある。

　また、保護対象保健情報に該当する遺伝子情報については、遺伝子情報差別禁止法（GINA：Genetic Information Nondiscrimination Act of 2008）も適用されるので、より厳格なデータ保護策が求められる。