文字サイズ

第6回
HIPAAに見る医療情報のガイドライン

医療事業者は、患者さんに関する医療情報をどのように守っていくべきなのだろうか。
どこまでが共有してよい情報なのか。誰が共有して良い相手で、誰が駄目な相手なのか。
米国の法律HIPAAの紹介とともに、プライバシー保護の運用のあり方を考える。

  • 医療事業者は、患者さんに関する医療情報をどのように守っていくべきなのだろうか。

    スマートデバイスやクラウドサービスの普及により、情報を閲覧できる環境が多様化した現代においては、その流通経路を制限することが以前よりも遙かに難しくなっている。セキュリティ面での技術的な対策は情報機器の進化に追いつけないでいるのが現状だ。

    医療情報を取り扱う事業者が多岐にわたることも、情報の保護を難しくさせている。医師、看護師、その他病院に勤めるスタッフ、薬局のスタッフ、保険会社。誰がどの程度情報にアクセスする権利を持つべきなのか、また、どのような目的であれば情報を共有して良いのか。これらに明確な線引きをするのは難しいことだ。

    そうした情報の線引きをはじめとして、医療業務における個人情報の取り扱いに関わる基本的なルールを定めた法律が米国にある。今回はこのルールを参照しながら、患者さんに関する医療情報をどのように保護していくべきかを考えてみよう。

  • HIPAA成立の背景

    米国では、病院や処方薬局などを利用する際、個人情報の取り扱いについて事前に説明を受けたこと、それに同意したことを示すために書類に署名することになっている。このような手続きが行われるのは、米国にHIPAAと呼ばれる法律があるためだ。

    HIPAAの正式名称は「The Health Insurannce Portability and Accountability Act」(医療保険の携行と責任に関する法律)。クリントン政権下の1996年に制定されたもので、当初の目的は企業に務める従業員の医療保険を保障することと、膨大な保険事務処理を標準化し、医療に掛かるコストを下げることだった。

    米国には日本のように国民全員が加入する公的な医療保険制度がなかったため、国民は民間の医療保健サービスに加入するのが常だった。しかし、保険会社は各社ごとに独自の事務処理システムを採用しており、医療費請求の際には多くの行き違いが生じていたという。

    HIPAAではこうした処理の煩雑さと無駄なコストを削減するために紙書類を取りやめ、共通の電子フォーマットに統一することを決定した。そしてHIPAAの発効後は、フォーマットに準拠していない医療料金や保険請求は受け付けられなくなったのだ。

    しかし、情報を電子化することで、患者さんの病気や診療に関わる情報や保険利用データが悪用されるリスクも大きくなることが危惧された。

    そこで患者さんに関する医療上情報を保護することを目的として、2002年8月にプライバシールールが、2003年2月にはセキュリティールールが設けられ、医療情報を取り扱う事業者は、プライバシーやセキュリティを確保するため対策を講じること、これらの重要情報が侵害された場合には患者に通知することが義務づけられた。

    米国の医療分野は他の業種と比べて、プライバシーの遵守やその取り決めに関するルール整備が出遅れていたが、HIPPAの成立により、個人情報の保護のガイドラインが明確に定められることとなったのである。

    さらに、2009年にはオバマ政権のもと、「2014年までに全米国民のEHR(電子健康記録)を作成する」という目標を掲げたHITECH法が制定された。

    同法ではHIPAA違反者への罰金の増額するなど、HIPAAのルールをより推し進めた規則を導入している。そのためHITECH法のことを「HIPAA Ⅱ」とも呼ぶ人もいるという。HIPAAは現在も米国の医療分野における個人情報保護のルールの基盤なのだ。

  • HIPAAが定める医療情報を保護するためのルール

    HIPAAのプライバシールールでは、患者さんに情報の主導権があることが記されると同時に、医療情報を遵守すべき対象者、保護すべき情報、情報を共有してよい用途の区分け、プライバシールールをスタッフに認知させるための方法など、細かな要項が詳細に定められている。

    医療情報の保護を義務づけられた事業者

    医療情報を取り扱う者として真っ先に浮かぶのが医療提供者だろう。勿論HIPAAでは医師や病院、薬局のスタッフなど、患者さんの医療情報を保護すべき側として定められている。しかし本ルールで定められている「HIPAA適用対象者」は病院や薬局のスタッフだけではない。

    民間の保険会社も対象のひとつだ。その他メディケイド(州が運営する低所得者向けの医療費補助制度)、メディケア(65歳以上の高齢者と一部の身体障害者について比較的な安価な保険料で加入できる公的医療保険システム)といった医療に深く関わる組織に属するさまざまな人々がHIPAAの適用対象者と定められている。

    さらにHITECH法においては上記のHIPAA適用対象者に加えて、その協業者も適用対象となった。

    協業者とは、会計士事務所、弁護士事務所、請求代行業者など、HIPAA適用組織にサービス提供する企業などに務める人々のことだ。これまで上記の職種はHIPAAの適用外であり、医療行為と関係のないところで患者さんの医療記録にアクセスすることが問題となっていたという。

    情報利用の明確な線引きと研修制度

    情報共有すべき目的についても定められている。HIPAAのルールでは、患者さんのケアを目的とした医療提供者間での情報共有は制限されない。ケアのための施設内における共有と二次的な利用を目的とした第三者への提供とで明確な線引きがなされているのだ。

    また、スタッフにルールの存在を知らせ、よく理解させるために、上記の情報を守るべき事業者には、職員を研修することも義務づけられている。その際責任者を設ける必要がある他、セキュリティポリシーを明文化して業務手順をスタッフに教え、抵触する職員の罰則も定めなければならないという。

    守るべき医療情報の中身

    HIPAA適用対象者は、患者さんの許可なく個人を識別可能なPHIを第三者に漏洩してはならない、と定められている。

    PHI(protected health information:被保護保健記録)は診療記録の他、患者さんに関する身体や精神の健康状態に関する情報や、患者さんに提供された医療の情報、医療に対する支払い情報、個人を識別するID情報なども含まれる。

    これらPHIは書面やデータの提供が禁止されているだけでなく、口頭による漏洩も禁じるという徹底ぶりだ。情報を漏洩した場合は一件あたり100ドルの罰金に処される。この罰金の額は2009年に制定されたHITECH法により違反1件につき最高5万ドルにまで増額された。

    個人識別できないデータは使用・開示できる

    それでは、個人が特定できない内容であれば、そのデータは研究などの用途で二次使用したり、開示してもよいのだろうか?

    実は個人識別不能なデータは、「匿名化された保健情報」として扱われ、使用、開示が制限されることはない。ただし、情報を匿名化するために、資格を持った統計学者の決断を仰ぐか、本人や家族、親族に関わる一切の情報を削除し、データ保持者が誰の情報であるかを特定できないようにする必要がある。

    削除すべき項目は氏名の他、州以下の住所、生年月日、入院日、死亡日などの月日、電話やファックス番号やメールアドレス、診療録番号や社会保障、ライセンス、自家用車などの番号、指紋、声紋、顔写真など本人を特定できるものなどで、その他個人が識別可能な情報の一切を削除しなくてはならない。

    ただし匿名化しなくとも、患者さんがプライバシー規則が定める書式に従い、情報の研究利用への許諾に署名していれば、特定の研究のために開示できる。情報が生命保険、銀行、取引市場などの事業体にヘルスケア以外の目的で渡される場合は、患者さんが譲渡先を特定して許可を与えるとのことだ。

  • HIPAAのルールを応用する

    2003年、日本でも個人情報保護法成立に伴い、2004年12月に「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」が通知された。

    このガイドラインにはHIPAAとの共通点が多く見られる。HIPAAはプライバシー保護のあり方が明確かつ詳細に記されており、個人情報や情報機器を取り扱う上で、他業種や文化的背景の異なる国においても適用または応用しやすい、普遍的なルールとなっている。

    スマートデバイスやクラウドサービスなどの技術や日々進化し、技術的なセキュリティ対策や、プライバシーやセキュリティについて定めたガイドラインにまで手が回らないのが現状だ。

    しかし、最新の技術を取り入れる際にも、HIPAAのような汎用性の高い基本的なポリシーを応用し、情報を守るべき意識を高め、方針を定めることはできる。まずは基本的なポリシーのあり方を示すこと。それこそが病院やクリニック内で患者さんの情報を守っていくための第一条件ではないだろうか。

 
本コンテンツを知人に勧める可能性は、どのくらいありますか?