デジタル ヘルス プラットフォームの HIPAA コンプライアンス

デジタル医療プラットフォーム (遠隔医療アプリケーション、患者ポータル、遠隔監視システム、医療分析ツール、EHR 統合など) は、世界で最も厳しいプライバシーおよびセキュリティ規制の対象となります。 HIPAA 違反により、2023 年だけで民事罰金が 1 億 4,500 万ドルに達し、個人の罰金は違反カテゴリーごとに 190 万ドルに達しました。公民権局 (OCR) は、従来の医療提供者だけでなく、医療アプリ開発者、クラウド プロバイダー、ビジネス関係者に対する法執行を追求する意欲を示しています。

HIPAA 義務のトリガーとなるものと、最新のデジタル ヘルス アーキテクチャにセキュリティ ルールの技術的保護手段を実装する方法を正確に理解することは、この分野でチームを構築する場合に不可欠です。

重要なポイント

• HIPAA は対象事業体とそのビジネス関係者に適用されます — デジタル ヘルス プラットフォームは通常、BA です
• 保護された医療情報 (PHI) には、健康、治療、または支払いデータにリンクされた 18 の特定の識別子が含まれています
• セキュリティ ルールでは、電子 PHI (ePHI) に対する管理的、物理的、および技術的な保護手段が必要です
• PHI を第三者と共有する前に、業務提携契約 (BAA) が法的に義務付けられています
• HITECH (2009) は罰則を大幅に強化し、BA 下請け業者に対する HIPAA 義務を拡大した
• HHS および影響を受ける個人への違反通知は 60 日以内に必要です
• OCR監査は病院だけでなくデジタルヘルス企業をターゲットにすることが増えています
• セーフハーバーまたは専門家判定方法を使用した匿名化により、HIPAA の適用が除外されます。

---

HIPAA に準拠する必要がある人

HIPAA (医療保険の相互運用性と責任に関する法律、1996 年) および HITECH 法 (2009 年) では、義務を負う主体の 2 つの主要なカテゴリが定義されています。

対象となるエンティティ (CE):

• 健康情報を電子的に送信する医療提供者（病院、診療所、医師、薬局）
• 健康保険（保険会社、雇用主の健康保険、メディケア/メディケイド）
• ヘルスケア情報交換所

ビジネスアソシエイト (BA): 対象となるエンティティに代わって PHI を作成、受信、維持、または送信するエンティティ。デジタルヘルス企業は通常、ここに陥ります。例:

• 患者記録にアクセスできる EHR ソフトウェア ベンダー
• 医療提供者と患者のコミュニケーションを促進する遠隔医療プラットフォーム
• 医療請求およびコーディングサービス
• 健康データ分析プラットフォーム
• ePHI を保存するクラウド ストレージ プロバイダー
• PHI アクセスの可能性がある IT サポート企業

HITECH の拡大: HITECH 法は、HIPAA の直接責任を Business Associate 下請け業者 (「サブ BA」と呼ばれることもあります) に拡大しました。あなたが BA であり、ePHI を保存するためにクラウド プロバイダーを使用している場合、そのクラウド プロバイダーは直接 HIPAA 義務を持つサブ BA です。

消費者向け健康アプリと HIPAA: よくある誤解は、すべての健康アプリが HIPAA の対象であるということです。消費者がアプリを直接ダウンロードし、対象事業体の関与なしに自分の健康データを入力した場合、通常、HIPAA はそのデータには適用されません。ただし、病院がアプリを患者に導入すると、あなたは BA になります。 FTC 健康侵害通知ルール (2024 年更新) は、HIPAA ステータスに関係なく、消費者向け健康アプリに適用されます。

---

保護される健康情報: 18 の識別子

PHI は、個人の過去、現在、または将来の身体的または精神的健康状態、医療提供、または医療費の支払いに関連する、個人を特定できる健康情報です。次の 18 の識別子が健康情報と組み合わされて PHI を構成します。

1. 名前
2. 州より小さい地理データ (住所、郵便番号、地理コード)
3. 個人に関する日付（年を除く）（生年月日、入院日、退院日、死亡日）
4. 電話番号
5. FAX番号
6. メールアドレス
7. 社会保障番号
8. 医療記録番号
9. 健康保険の受給者数
10. 口座番号
11. 証明書またはライセンス番号
12. 車両識別子 (VIN、ナンバープレート)
13. デバイス識別子とシリアル番号
14. ウェブ URL
15. IPアドレス
16. 生体認証識別子（指紋、声紋）
17. 正面写真と同等の画像
18. その他の一意の識別番号、特性、またはコード

匿名化では 18 個の識別子すべてが削除され、再識別のリスクが非常に小さいという専門家の判断または統計的検証が必要です。匿名化されたデータは PHI ではなく、HIPAA の範囲外です。これは、健康分析プラットフォームのアーキテクチャ上の重要な考慮事項です。

---

HIPAA プライバシー規則

プライバシー規則 (45 CFR パート 164、サブパート A および E) は、PHI の使用および開示方法を規定します。

許可されていない使用および開示:

• 治療、支払い、医療業務 (TPO) — 中核的な目的の例外
• 公衆衛生活動（州保健局への疾病報告）
• 虐待、ネグレクト、家庭内暴力の被害者からの報告
• 健康監視活動（CMS監査、OCR調査）
• 司法および行政手続き（適切な法的手続きを伴う）
• 法執行機関（限られた状況）
• 健康または安全に対する深刻な脅威
• 重要な政府機能

個別の承認が必要な使用および開示:

• PHIを利用したマーケティング
• PHIの販売
• ほとんどの研究用途（治験審査委員会の免除が得られない限り）
• 上記の許可されたカテゴリに含まれない使用

必要最小限の基準: 治療以外の目的で PHI を開示する場合、開示をその目的に必要な最小限に制限するための合理的な努力をしなければなりません。これは BA にも同様に当てはまります。プラットフォームは、特定の機能に必要な PHI 要素のみを処理する必要があります。

プライバシー規則に基づく患者の権利:

• PHI にアクセスする権利 (30 日以内。2021 年の規則により、多くのアクセス障壁が削除され、料金が引き下げられました)
• 不正確だと思われる PHI を修正する権利
• 開示の会計処理を受ける権利 (TPO の範囲外、過去 6 年間)
• 特定の使用に対する制限を要求する権利
• 機密通信に対する権利
• 施設ディレクトリからオプトアウトする権利

---

HIPAA セキュリティ ルール

セキュリティ規則 (45 CFR Part 164、サブパート A および C) は、特に電子 PHI (ePHI) に適用され、対象となるエンティティおよび BA に管理的、物理的、および技術的な保護手段を実装することが求められます。

管理上の保護措置

セキュリティ責任者: HIPAA セキュリティ ポリシーの開発と実装の責任者を任命します。この指定を文書化します。

従業員トレーニング: HIPAA のポリシーと手順についてすべての従業員をトレーニングします。完了日を記載したトレーニング記録を管理します。

アクセス管理手順: ePHI への従業員のアクセスがどのように承認、確立、変更、終了されるかを文書化します。

セキュリティ意識向上トレーニング: フィッシングの認識、パスワードの衛生管理、インシデントの報告など、自分の役割に関連するセキュリティのトピックについてすべてのユーザーをトレーニングします。

緊急時対応計画: 文書化されたデータ バックアップ計画、災害復旧計画、緊急モード運用計画、およびテストおよび改訂手順を作成します。

評価: セキュリティ保護手段がセキュリティ ルールの要件をどの程度満たしているかについて、技術的および非技術的な評価を定期的に実施します。

物理的な安全対策

施設のアクセス制御: ePHI を含む施設およびシステムへの物理的なアクセスを許可された担当者に制限するポリシーを実装します。クラウドベースの展開の場合、この義務はクラウド プロバイダーに移ります (BAA が必要です)。

ワークステーションの使用: ePHI にアクセスできるワークステーション上で実行される適切な機能と、その周囲の物理的属性を文書化します。

デバイスとメディアの管理: ePHI を含むハードウェアと電子メディアの移動に関する手順を文書化します。移動前のデータのバックアップ。廃棄する前にデータを消去/破壊してください。

技術的な安全対策

アクセス制御: 許可されたユーザーのみが ePHI にアクセスできるようにする技術メカニズムを実装します。

• すべての ePHI システム ユーザーの一意のユーザー ID
• 緊急アクセス手順
• アイドル期間後の自動ログオフ
• 暗号化および復号化機能

監査制御: ePHI を含むシステムでのアクセスとアクティビティを記録および検査するためのハードウェア、ソフトウェア、および手順のメカニズムを実装します。監査ログは少なくとも 6 年間保存します。

完全性管理: ePHI が不正な方法で変更または破壊されていないことを証明するメカニズムを実装します。チェックサム、デジタル署名、または同等のもの。

送信セキュリティ: ネットワーク経由で送信される ePHI への不正アクセスを防ぐための技術的セキュリティ対策を実装します。すべての ePHI 送信には TLS 1.2+。

暗号化: 技術的には「アドレス指定可能」(無条件に必須ではない) ですが、保存中および転送中の ePHI の暗号化は標準的な慣行と考えられており、代替文書の負担を考慮すると事実上必須です。保存データには AES-256 を使用し、送信には TLS 1.2+ を使用します。

---

業務提携契約

BAA は、ビジネス関係者と PHI を共有する前に必要な書面による契約です。以下を含める必要があります。

• BA による PHI の許可および要求された使用および開示の仕様
• 契約で許可または要求される場合を除き、BA が PHI を使用または開示しないという要件
• BA が不正使用または開示を防止するための適切な保護手段を実装することの要件
• PHI の違反または違反の疑いを CE に報告する義務
• 下請け業者が同じ制限に同意することを保証するための要件
• CE へのアクセス、修正、会計の権利
• すべての PHI の終了、返還、または破棄時 (または、それが不可能な場合は保護を継続します)

避けるべき重要な BAA ギャップ:

• 下請け業者チェーンについての言及なし (BA は AWS を使用します。AWS はお客様または BA との間で独自の BAA を持っている必要があります)
• BAA は、関係に基づいて受け取ったすべての PHI ではなく、特定のサービスに限定されます
• 違反通知の期限が指定されていない
• 許可された用途についての明示的な記述がない
• 終了時の破棄/返却義務なし

主要なクラウドプロバイダー (AWS、Azure、Google Cloud) は、ヘルスケア顧客向けに BAA を提供しています。AWS の BAA は、HIPAA 対象サービスの特定のリストをカバーしています。 ePHI に関わるスタック内のすべてのサービスが BAA の対象になっていることを確認してください。

---

違反通知ルール

HITECH が修正した違反通知規則 (45 CFR Part 164、Subpart D) に基づき、対象となる企業は以下に通知する必要があります。

1. 影響を受ける個人: 不当な遅延なく、侵害の発見から 60 暦日以内。第一種郵便 (個人がオプトインしている場合は電子メール)。何が起こったのか、関係する PHI の種類、個人が取るべき手順、連絡先情報を含める必要があります。

2. HHS (OCR): 侵害が 500 人以上の個人に影響を与える場合は、HHS Web ポータル経由で各個人に同時に通知します (60 日以内)。 500 未満の場合は、ログを保管し、毎年、翌年 3 月 1 日までに提出してください。

3. メディア: 違反が州または管轄区域の 500 人以上の住民に影響を与える場合は、その地域にサービスを提供する著名なメディア媒体に通知します (個別の通知とともに)。

BA は、不当な遅滞なく、発見後 60 日以内に対象事業体に通知しなければなりません。

侵害の推定: HITECH では、CE または BA が、(1) PHI の性質と範囲、(2) 誰が使用またはアクセスしたか、(3) PHI が実際に取得または表示されたかどうか、(4) リスクが軽減された程度の 4 要素リスク評価を使用して、PHI が侵害された可能性が低いことを証明しない限り、PHI へのあらゆる許可されていないアクセス、使用、または開示は侵害であると推定されます。

暗号化のセーフハーバー: 復号キーも漏洩していない暗号化された ePHI の侵害は、侵害通知要件から除外されます。これにより、保存時の ePHI の暗号化が特に強力なリスク軽減戦略になります。

---

HIPAA 技術実装チェックリスト

• PHI インベントリが完了しました — すべてのデータ要素、システム、フローが文書化されました
• 匿名化分析が完了しました — 匿名化が適切な場合は PHI が最小化されました
• HIPAA セキュリティ担当者が指名され文書化される
• リスク分析が完了し文書化されている (§164.308(a)(1) で必須)
• リスク管理計画が実施されました
• ePHI を扱うすべてのベンダーと署名された BAA (クラウド プロバイダー、分析ツール、電子メール サービス)
• すべての ePHI システム ユーザーに対して一意のユーザー ID を使用して実装されたアクセス制御
• すべての ePHI システム アクセスに対して MFA を適用
• すべての ePHI システムで有効な監査ログ (6 年間保持)
• 自動セッションタイムアウトが設定されました (最大 15 分)
• ePHI は保存時 (AES-256) および転送中 (TLS 1.2+) で暗号化されます
• バックアップおよび災害復旧手順が文書化され、テストされています
• 従業員向けの HIPAA トレーニングが完了し、文書化されました
• インシデント対応/侵害通知手順を文書化
• プライバシー通知 (NPP) が発行され、患者に提供される
• 患者の権利手続きの実施 (アクセス、修正、会計)
• 下請け契約により HIPAA 義務が適切にカスケード化される

---

よくある質問

遠隔医療アプリは HIPAA に準拠する必要がありますか?

あなたの遠隔医療アプリが患者と HIPAA の対象となる組織 (医師、病院、医療保険プラン) との間のコミュニケーションを促進し、その過程で PHI を扱う場合、あなたはほぼ確実に HIPAA の対象となるビジネスアソシエイトです。分析は、対象となるエンティティに代わって PHI を作成、受信、維持、または送信するかどうかを有効にします。アプリのユーザーが相互にのみ対話する場合 (CE が関与しないコンシューマー ウェルネス アプリ)、HIPAA は適用されない可能性がありますが、FTC 健全性侵害通知ルールは適用される可能性があります。

HIPAA 違反に対する罰則は何ですか?

HIPAA に基づく民事罰金は、責任範囲によって段階的に定められています。不明な違反 (違反 1 件につき 100 ～ 50,000 ドル、年間上限 25,000 ドル)。正当な理由（違反ごとに 1,000 ～ 50,000 ドル、年間上限 100,000 ドル）。故意の無視を修正（10,000～50,000ドル、年間上限250,000ドル）。修正されていない故意の放置（違反 1 件につき 50,000 ドル、同一の違反カテゴリごとに年間上限 150 万ドル）。刑事罰 (司法省経由) には、PHI を販売する目的で漏洩したことを知った場合、最高 10 年の懲役が含まれる可能性があります。

ePHI を AWS または Azure に保存できますか?

はい、BAA が適用されています。 AWS と Azure はどちらも、特定の HIPAA 対象サービスをカバーする BAA を提供しています。 AWS の場合、アーキテクチャ内のすべてのサービスが HIPAA 適格サービスの AWS BAA スケジュールにリストされていることを確認してください。一部のサービス (特定の Lambda レイヤー、一部の S3 機能など) はカバーされていない可能性があります。あなたのチームは、これらのサービスを安全に構成する責任を負います。 BAA は法的責任の一部を転嫁しますが、実装が自動的に準拠するわけではありません。

最低限必要な基準は何ですか?また、それはアプリの設計にどのような影響を与えますか?

必要最小限の標準では、特定の目的に必要な PHI 要素のみにアクセス、使用、または開示することが求められます。実際には、これは次のことを意味します。分析機能に匿名化された集計データのみが必要な場合は、完全な患者記録を取得しないでください。請求機能が請求データを必要とする場合、臨床メモにアクセスできないようにする必要があります。ポリシーだけでなく、役割と機能によってデータの最小化を強制するようにシステムを設計します。役割ベースのアクセス制御と機能ごとのデータのセグメント化が主な技術実装です。

グローバルなデジタルヘルス プラットフォームにおいて、HIPAA は GDPR とどのように連携しますか?

これらは並行して動作します。 HIPAA は、処理される場所に関係なく、米国の医療データに適用されます。 GDPR は、管理者または処理者がどこに設立されているかに関係なく、EU 居住者の個人データに適用されます。 EU の患者データをお持ちの場合は、両方を同時に適用できます。 GDPR の法的根拠とデータ主体の権利は、HIPAA の必要最小限の規定および患者の権利の規定とは別の義務です。実際的な意味: 両方のフレームワークに準拠するプロセスを使用して、同じ患者に対する HIPAA 患者アクセス要求と GDPR 被験者アクセス要求の両方を満たす必要がある場合があります。

当社のマーケティング分析ツールは HIPAA Business Associate ですか?

ePHI を受信した場合は、潜在的に「はい」になります。多くのデジタルヘルス企業は、PHI を含む URL パラメーター、イベント メタデータ、またはユーザー プロパティ タグを通じて、誤って分析ツール (Google Analytics、Mixpanel、Amplitude) と PHI を共有しています。これにより、2022 年から 2023 年にかけて、PHI を Meta と Google に送信する追跡ピクセルを使用する病院に対する大規模な OCR 強制措置が発動されました。すべての分析統合を監査し、BAA なしで PHI が分析ツールに流れないことを確認し、集約されたデータまたは匿名化されたデータのみで動作するプライバシー保護分析の使用を検討してください。

---

次のステップ

HIPAA 準拠のデジタル ヘルス プラットフォームを構築するには、最初から慎重なアーキテクチャの決定が必要です。既存のシステムにセキュリティとプライバシーの制御を組み込む場合、それを組み込むよりも大幅にコストがかかります。ECOSIRE のチームは、デジタル ヘルス プラットフォームの HIPAA 準拠の技術アーキテクチャの設計、実装、文書化を支援します。

当社の経験は、患者ポータル開発、EHR 統合アーキテクチャ、遠隔医療バックエンド システム、健康分析プラットフォームに及び、すべて基本的な設計制約として HIPAA 準拠で実装されています。

詳細: ECOSIRE サービス

免責事項: このガイドは情報提供のみを目的としており、法的アドバイスを構成するものではありません。 HIPAA の要件は複雑で、事実に応じて異なります。組織に特有のガイダンスについては、資格のある医療法律顧問と HIPAA コンプライアンス担当者に依頼してください。