「もう一度、突破口へ」と言ったのはシェイクスピアでした。 FTC の目標はこれ以上の侵害ではありませんが、企業が健康データを安全かつ非公開に保つまでは、消費者を保護し、健康情報のデジタル革命に追いつくために、健康侵害通知規則の更新と施行を継続していきます。パブリックコメントの募集に応じた研究者、業界関係者、議員、消費者からの洞察をもとに、FTC は HBNR の徹底的な検査を終えたところです。発表されたばかりの最終規則では、ヘルスケアアプリや同様のテクノロジーが対象となることが明確になり、データ侵害があった場合に対象事業体が消費者に通知しなければならない内容が拡大された。新しい規則はあなたのビジネスにどのような影響を及ぼしますか?
HIPAA (HHS の医療保険の相互運用性と責任に関する法律) は、ほとんどの診療所、病院、保険会社のプライバシーとセキュリティに取り組んでいます。しかし、モニタリングとテクノロジーの進歩により、多くの健康関連情報は HIPAA の対象外になりました。そこで FTC の健康侵害通知規則が登場します。FTC が 2009 年にこの規則を発表して以来、この規則が定義するフレーズである個人健康記録 (PHR) のベンダーと、HIPAA の対象外である関連団体は、個人、FTC、および FTC に通知する必要があります。 、場合によっては、安全ではない個人を特定できる健康データの侵害があった場合はメディア。この規則はまた、PHR のベンダーおよび関連団体に対するサードパーティのサービスプロバイダーに対して、侵害の発見後にそれらのベンダーおよび関連団体に通知することを義務付けています。
新しい内容の詳細については、Federal Register Notice を参照してください。ここでは、最終規則からの注目すべき点をいくつか紹介します。
- この規則は、HIPAA の対象になっていないヘルスケア アプリおよび同様のテクノロジーに適用されます。 FTCは、「PHRで特定可能な健康情報」の定義を修正し、「対象となる医療提供者」と「医療サービスまたは用品」の定義を追加することで、その点を強調した。これは、ヘルスアプリおよびその他の接続デバイスによる違反に関するFTCの2021年の委員会声明、この規則を施行する最近のFTCの行動、および2023年の規則制定案の通知に精通している企業にとっては驚くべきことではないでしょう。
- 「セキュリティ侵害」の定義には、データ セキュリティ侵害の両方が含まれます。 そして 不正な開示。 最終規則では次のように規定されています。「セキュリティ侵害には、データ侵害または不正開示の結果として発生する、個人の健康記録内の保護されていない PHR 識別可能な健康情報の不正取得が含まれます。」 GoodRxとEasy Healthcareが消費者の健康データをプライバシーの約束に違反して広告プラットフォームと共有したことを報告しなかったことに対する最近のFTCの和解も、その点を示している。
- 「PHR関連事業体」の定義の改訂では、モバイルアプリを含む個人健康記録ベンダーのオンラインサービスを通じて製品やサービスを提供する事業体に規則が適用されることが定められています。 これを明確にするために、最終規則では「ウェブサイト」という表現を「あらゆるオンライン サービスを含むウェブサイト」に更新しています。この変更を支持する 2 つの理由は次のとおりです。1) オンライン サービスの追加は、現在の市場をより現実的に反映しています。 2) 「Web サイト」は 2009 年のものです。「PHR 関連エンティティ」の定義も「情報にアクセスする」を更新して、「保護されていない PHR を特定できる情報にアクセスする」とします。
- 「個人の健康記録」の定義では、複数の情報源から情報を引き出す技術的能力が重要です。 「個人の健康記録」の定義はもともと、「複数の情報源から取得できる」個人に関する識別可能な健康情報を指しました。新しい規則では、「複数の情報源から情報を引き出す技術的能力を備えている」という表現が置き換えられている。
- 最終規則により、消費者への電子通知の使用が拡大されます。 この規則では、個人の健康記録のベンダーまたは PHR 関連団体がセキュリティ侵害を発見した場合、速やかに個人に通知しなければならないという長年の要件が維持されています。場合によっては第 1 種郵便による通知もまだ問題ありませんが、新たに焦点となっているのは、テキスト メッセージやアプリ内メッセージングなどの他の形式の電子通知と組み合わせた電子メールです。
- 消費者への通知には、より多くの情報が含まれ、「明確で目立つ」、「合理的に理解できる」ものでなければなりません。 最終規則では、ほとんどの場合、違反の結果として安全ではない PHR の特定可能な健康情報を取得した第三者の身元を通知で人々に伝える必要があります。さらに、通知には、侵害に関係した健康情報の種類 (健康診断や健康状態、検査結果、薬、その他の治療情報、健康関連アプリの使用など) を記載する必要があります。さらに、最終規則は通知が「明確で目立つ」ことと「合理的に理解できる」ことだけを要求しているわけではありません。その結果を達成するために企業が何をすべきかについての詳細なガイダンスを提供します。たとえば、短い説明文や箇条書き、平易な言葉の見出し、読みやすい書体、広い余白、十分なスペースを使用することを検討してください。避けるべきもの: 法律用語や高度な専門用語、複数の否定表現、不正確な説明。サンプル テキスト メッセージ、アプリ内メッセージ、Web バナー、電子メール通知については、付録をご覧ください。 (ちなみに、HBNR があなたのビジネスに適用されない場合でも、「明確で目立つ」基準に対するこのルールの実践的なアプローチは、すべての企業に洞察を提供します。)
- 対象となる企業は、500 人以上が関係する侵害について消費者と FTC に通知するために迅速に行動する必要があります。 500 人以上が関係する侵害の場合、対象となる企業は影響を受ける個人に通知を送信するのと同時に、FTC に通知する必要があります。それは「不当な遅延なく」行われなければならず、いかなる場合もセキュリティ侵害の発見後 60 暦日以内に行われなければなりません。参加者が 500 人未満の侵害の場合、対象事業体は毎年、年末から 60 暦日以内に FTC に通知する必要があります。ただし、影響を受ける個人への通知は「不当な遅延なく」行われなければならず、いかなる場合もセキュリティ侵害の発見後 60 暦日以内に行われなければなりません。
- 最終規則では、相互参照、引用、および違反に対する罰則に関する詳細情報が追加されています。 HBNR の違反は、不当または欺瞞的な行為または慣行に関する FTC 法第 18 条に基づく規則の違反として扱われます。つまり、違反は民事罰の対象となるということです。
更新された健康侵害通知規則は、連邦官報に掲載されてから 60 日後に発効します。発効日についてはビジネス ブログをご覧ください。それまでは、2009 年規則が引き続き適用されます。 2009 年規則に基づいて、または最終規則修正が施行された後に FTC に報告すべき違反がありますか?このフォームをご利用ください。
