連載
» 2020年10月16日 15時00分 公開

海外医療技術トレンド(64):米国HIPAA規則改正にみる、医療プロセスのDX推進と個人健康記録保護のバランス (2/3)

[笹原英司,MONOist]

PHRにおける「適用対象者」と「事業提携者」の関係に注意

 本連載第19回で、HIPAAの「事業提携者(BA:Business Associate)」について触れたが、PHRを提供する適用対象主体も、事業提携者に該当する他の主体に、PHRの管理およびその他PHR関連サービス機能を外部委託することが可能である。HIPAAプライバシー規則では、事業提携者が適切に情報を保護する旨明記された「事業提携契約書(BAA:Business Associate Agreement)」に基づいて、適用対象主体が満足のいく保証を得られる場合、事業提携者が、PHRに関わる「保護対象保健情報(PHI)」の利用/開示に関与することを認めている。

 なお、PHRが、ITインフラストラクチャやアプリケーション開発基盤、サービス配信などにクラウドサービスを利用している場合、クラウドサービス事業者はHIPAAの事業提携者に該当する。本連載第61回および第62回で触れたように、米国では、PHRが、クラウドネイティブなアプリケーションコンテナ/マイクロサービス/サーバレスアーキテクチャなどの基盤とAPI(アプリケーションプログラミングインタフェース)を利用してデータ連携するケースが顕在化しており、今後HIPAA規則をどう適用していくかが、大きな課題となる。

 PHRに関わる事業提携者による保護対象保健情報(PHI)の利用/開示については、前述の通り、適用対象主体と締結する事業提携契約書に認められた場合、もしくは法令で要求された場合のみ、事業提携者は、PHIに該当するPHRの健康情報を利用/開示することができる。

 またHIPAAは、PHRに関与する適用対象主体や事業提携者に対して、個人の保護対象保健情報の漏えいが発覚した場合、HHSへの報告と当事者である患者/家族への告知の義務を課しており、インシデントが発生した各事業者の対応状況はHHSのサイトで逐一公開されることになる(関連情報)。

 HIPAAプライバシー規則では、自分自身に関する健康情報の閲覧、情報に誤りがあった場合の修正要求など、健康情報に関連するさまざまな個人の権利を保証している。PHRは、個人に各自の健康情報へのアクセスを提供して、個人と医療機関や医療保険者との間のコミュニケーションを促進することから、適用対象主体にとって、HIPAAで保障された権利の個人への提供を促進するために有益なメカニズムとなるというのがHHSの基本的な考え方だ。

HIPAA規則改正準備と医療データ相互運用性推進策の同時進行

 本連載第44回で触れたように、2018年12月12日、HHSの公民権室は、HIPAA規則改正に向けて情報提供依頼(RFI)を発出した(意見募集期間:2019年2月11日まで)。その後、具体的な改正に向けた作業が行われている。

 その一方、2019年2月8日には、HHSのメディケア・メディケイド・サービス・センター(CMS)が、医療システムを通して、患者のアクセスを改善し、電子データ交換やケア調整を進める「MyHealthEData」イニシアチブを支援するための政策変更提案(「相互運用性・患者アクセス規則提案」)を公表した(関連情報)。この規則案には、「Meaningful Use」の次の医療IT推進施策である「Promoting Interoperability(PI)」に関わる医療供給者や医療保険事業者向けの制度的仕組みや技術要件などのルールが記述されている。また2019年2月14日、HHSの国家医療IT調整室(ONC)が「医療情報の相互運用性向上のための規則策定提案通知」を公表した(関連情報)。

 その後2020年3月9日、HHSは「メディケア・メディケイド・サービス・センター相互運用性および患者アクセス最終規則(CMS規則)」(関連情報)および「国家医療IT調整室21世紀治療法最終規則(ONC規則)」(関連情報)を公表した。

 このうちCMS規則を通じて、HHSは、規制対象となる全ての保険者が、患者アクセスAPI経由で請求・照合データの患者による利用を可能にすることを保証する方針を打ち出した。患者が必要な時に必要な方法で、PHRを付与することによって、医療におけるよりよい意思決定者や知識に基づくパートナーとなることを促進するとしている。また、一層コーディネートされた、質の高い、費用対効果のあるケアが可能になり、よりよい医療アウトカムにつながると説明している。

 他方、ONC規則を通じてHHSは、国際HL7協会が策定した電子保健医療情報の相互運用性に関わる標準規格であるFHIR(Fast Healthcare Interoperability Resources)4.0.1版を採用し、認証電子健康記録技術プログラムの一部であるAPIの利用を支援する方針を打ち出した。これにより、患者は、スマートフォンを利用して、医師の電子健康記録(EHR)から、重要な医療情報にアクセスすることが可能になるとしている。

 同じく3月9日、米国医師会(AMA)は、HHSが公表したCMS規則およびONC規則に対して、データ交換における効率化、医師の負荷低減、患者のデータに対する制御およびアクセスの3つの観点から、見直し作業を行うことを表明した(関連情報)。AMAが注視しているのは、以下のような領域である。

  • どのデータが収集されるのか、どのようにアプリケーション開発者が利用したいのか、アプリケーションを利用して保健情報にアクセスする患者のセキュリティ保護に関して、アプリケーションが透明性を有するために必要なプライバシーの制御
  • 医師がEHRに関する問題を公表することを防止する「口止め条項」など、ベンダーが超過料金を徴収することを禁止する規則
  • EHRベンダーの料金を制限し、医師が連邦政府の要求事項を順守した保健データ交換について費用が発生することを防止する利用ベースの料金構造
  • 医師および患者の保健情報へのアクセスを向上させるプログラミングツール
  • EHRの検証とユーザビリティに関する一層厳格な要求事項
  • 保険者およびその他の非臨床主体からの不必要で不適正なEHRデータへのアクセスの制限
  • 医師向けの情報ブロック例外における複雑性に関する一層の明確性と低減策
  • あまり積極的でなく分散したベンダーおよび医師向けEHR展開タイムライン

Copyright © ITmedia, Inc. All Rights Reserved.