米国の医療クラウドサービスで高まるセキュリティ責任、国内事業者への影響は：海外医療技術トレンド（19）（2/2 ページ）

医療機器メーカーが提供するクラウドサービスもHIPAA監査の対象に

　保健福祉省の公民権室（OCR）は、2016年から、適用対象主体および事業提携者（下請け業者含む）を対象として、データ漏えいの通知、セキュリティ／プライバシーに関するリスク評価／リスクマネジメントの要求事項の順守状況などの机上監査を開始している（関連情報、PDFファイル）。図2は、保健福祉省が公表した、2016年のHIPAA机上監査における主要な監査対象項目を示している。

図2　2016年HIPAA監査における主要な監査項目（クリックで拡大） 出典：U.S. Department of Health & Human Services「HIPAA Privacy, Security & Breach Notification Compliance Audits phase 2」（2016年7月13日）

　従来、HIPAA監査は、適用対象主体に該当する医療機関や医療保険者に限定されていたが、2016年以降、監査対象が、保護対象保健情報（PHI）に関わる事業提携者およびその下請事業者に拡大される。そして、今回公表されたHIPAAクラウド・ガイドラインにより、患者データを外部保存するクラウド型ストレージ、クラウド型電子カルテシステム、患者のヘルスデータ分析アプリケーションサービスなども監査対象に入ることが明確になった。

　事業提携者に該当するクラウド事業者は、下請事業者に法令違反があることを知りながら漏えい対策など妥当な処置を講じない場合、もしくは処置が不十分で契約関係を終了した場合、HIPAA順守違反が問われる可能性がある。従って、HIPAA監査準備対策として、クラウドサービスを構成するICTサプライチェーンに係る外部委託管理の強化も求められる。

　昨今、医療機器メーカーの中には、医療施設内に設置された医療機器から生成される患者データを、自社もしくは外部委託先のクラウドデータセンターに集約／保管し、分析などの業務を代行するアウトソーシングサービスを提供するところが増えている。このようなクラウド型のビジネスプロセスアウトソーシング（BPO）サービスも、HIPAA監査の対象に入ることになる。

　このような動きとは別に、米国食品医薬品局（FDA）は、2016年6月10日、医療機器製造者が個々の機器から収集／保存／提供する患者固有情報の取扱いに関するガイドライン草案を公表している（関連情報、PDFファイル）。医療機器製造者がクラウドサービスを利用して患者固有情報の保存・／管理を行う場合には、今後、HIPAAおよびFDA双方の法規制対応策を講じる必要が出てくるだろう。

　影響は医療機器にとどまらない。本連載第8回で触れたように、FDAの監視対象外である「非医療機器」についても、機器から生成される個人データと医療施設／医療保険者の情報システムを連携させて、クラウド型の付加価値サービスを提供する場合、HIPAA監査の対象に入る可能性がある。

　米国市場でHIPAAの適用対象に該当する医療クラウドサービスを提供する事業者は、より高レベルのセキュリティ／プライバシー対策を講じる必要に迫られている。医療界でグローバル連携が進む中、米国の法規制が、日本の医療クラウドサービス事業者にどのようなインパクトを及ぼすのか、注視する必要がある。