最も話題になっている消費者保護の 2 つのトピック、つまり健康プライバシーと消費者生成のオンライン コンテンツを組み合わせると、何が得られるでしょうか?国内最大のクラウドベースの電子医療記録会社であるPractice FusionとのFTC和解案と、業界他社向けの6つのコンプライアンスに関するヒント。
サンフランシスコに拠点を置く Practice Fusion の主な製品の 1 つは、外来患者向けの電子記録システムです。同社は 2009 年に、医療提供者が既に Practice Fusion を使用している患者が自分の健康情報を表示またはダウンロードしたり、別の医療提供者に送信したりできるオンライン ポータル「Patient Fusion」を立ち上げました。また、Patient Fusion を使用すると、患者はプロバイダーとの間で安全なメッセージを送受信できるようになります。
数年が経ち、同社は Patient Fusion を拡張して、現在および将来の登録者が地理的または専門分野ごとに医師を検索し、医療提供者に対する患者のレビューを読み、予約をリクエストできるパブリック ディレクトリを含めることを決定しました。しかし、Practice Fusion は、多くのオンライン企業にとっておなじみの質問を自問する必要がありました。コンテンツ (この場合は患者のレビュー) をどうやって入手するのでしょうか?それがFTCの訴訟の焦点だ。
訴状によると、プラクティス・フュージョンは誤解を招くような方法でデータを収集し、一部の患者が診断、治療、処方などについて医師に直接フォローアップ・メッセージを送信していると信じ込ませ、コンテンツを公開ウェブサイトに投稿していなかったという。 。しかし、Practice Fusion は、その人々が提供した情報を新しいサイトに掲載し、その中には非常に機密性の高い情報も含まれていました。
何が起こったのかを説明します。医師との約束の後、患者は「診察はどうでしたか?」というタイトルのメールを受け取りました。メッセージは「今後のサービス向上に役立てるため、訪問がどうだったかお知らせください」と続き、評価星のリンクも含まれていました。メッセージは次のように終わりました。
ありがとう、
博士(名前)
フッターには、「このメールは、医師 (名前) が患者に最高品質のケアを提供するために使用しているツール、Patient Fusion® によって送信されました。」とメッセージが表示されていました。その下には小さな文字で「医師(名前)のオフィスを代表して、プラクティス・フュージョンによって送信されました」と書かれていました。
患者がリンクをクリックすると、予約までの待ち時間、医師のベッドサイドでの態度、医学的懸念が解消されたかどうかなどについてフィードバックを求めるページが表示される。
患者に「医療提供者にレビューを残す」よう促すテキスト ボックスもありました。その下には、「このレビューを匿名にする」というフレーズが含まれた事前にチェックされたボックスがありました。
何人かの人があの箱に何を入れましたか?公に共有されることを意図した評価ではなく、医師に直接宛てられた非常に機密性の高い情報。以下にいくつかの例を示します。
- 「先生(名前)、月曜日に受け取ったザナックスの処方箋は1日1錠でしたが、通常は1日2錠です。まだ薬局には持っていっていません。新しいものを受け取ることはできますか、または薬局に電話して処方箋を受け取ることはできますか?ありがとう、(患者のフルネーム)
- 「今日電話して娘に関するメッセージを残しましたが、誰も折り返してくれません。彼女は落ち込んでいて、今週何度も「死ねばよかったと思っている」と述べていると思います。誰か私(電話番号)に電話してもらえますか?」
- 「セフロキシム・アキセチルは私には何の効果もないようです。少し調べてみたところ、カンジダという酵母感染症にかかっているようです。それについて何をすべきかはまだわかりません。まずは食生活を変えてみようと思います。薬? (患者様のフルネーム)
- 「腰痛と帯状疱疹の可能性があるので予約を取りたいのですが。 @(電話番号)までお電話いただけますか?ありがとう! (患者様のフルネーム)」
- 「私は感染していません(医療提供者名)。来院後はすべてうまくいきました。これで化学療法の日を迎えられます…ありがとう、明日メソジスト病院でお会いできることを願っています…ありがとう…(患者のフルネーム)」
ページ内で最も小さくて軽いタイプには、「保護のため、個人情報は含めないでください」と書かれていました。しかしFTCは、一部の患者がボックスに入力した情報(氏名、電話番号、受け取った処方箋、実施した処置など)の性質から、彼らが追加の質問を主治医のオフィスに直接送信していると考えていたことを示唆していると述べている。
事前にチェックされている「このレビューを匿名にする」ボックスについてはどうですか? FTCによると、患者が書いた内容は匿名化されなかったという。その代わりに、それが公開の Patient Fusion サイトに「Anonymous」というハンドル名で表示されるか、それとも患者のファーストネームで表示されるかに影響を与えるだけでした。
FTCによると、この行為は、ある記事が掲載されるまで約1年間続いたという。 フォーブス Patient Fusion で公開されたテキスト ボックスからのコメントや質問の一部がデリケートな性質であることを強調しました。そのとき同社は、消費者が個人情報を入力したレビューの投稿を防ぐための自動化手順を導入した。
FTCはワンカウントの訴状で、Practice Fusionは調査回答が消費者の医療提供者に伝達されることを明示的または暗示的に表明したが、回答を公的に公表することも適切に開示していないと主張した。 FTCによれば、その事実は消費者にとって調査に回答するかどうか、あるいはどのように回答するかを決定する際の材料となったであろうという。
この訴訟を解決するために、Practice Fusion は、対象となる情報のプライバシーと機密性をどの程度使用、維持、保護するかを偽らないことに同意しました。さらに、企業が消費者の対象情報を公開したい場合は、まず次のことを行う必要があります。 1) プライバシー ポリシー、利用規約ページ、または類似の文書とは別に、消費者に明確かつ目立つように、その意図を消費者に開示する必要があります。情報を公開する。 2) 消費者の明示的な肯定的な同意を得る。
和解条件はPractice Fusionにのみ適用されるが、業界の他の企業も学べる教訓がある。
個人の健康情報が含まれる場合は、特に注意して取り扱います。 消費者は自分の健康情報の機密性を懸念していますが、それには十分な理由があります。何が危機に瀕しているのかを考えると、業界関係者は注意が必要であると認識しています。
意図を説明してください。 特に新しい製品やサービスの場合、消費者があなたの専門知識を共有していると想定しないでください。説明は率直にして、簡単な言葉を使ってデータを使って何をしたいのかを説明してください。
機密情報を公に開示する前に、消費者の明示的な同意を得てください。 忠実な顧客を獲得すること(そして法的な流砂から逃れること)に関心のある企業は、個人データを開示する前に消費者に許可を求め、明確な「はい」の返事を待ってから次の手続きに進みます。医療情報が問題になっているときは、否定的な選択肢やその他の不明確な同意方法でかわいがっている場合ではありません。
情報開示は消費者に訴えかけ、消費者の心を掴む必要があります。 ヘルスケア IT は、委員会のアプローチに慣れていない可能性のある企業を惹きつけているため、FTC 101 のいくつかを紹介します。 欺瞞を防ぐために情報の開示が必要な場合、それは明確で目立つものでなければなりません。 FTC にとって、「明確で目立つ」とはパフォーマンスの基準であり、フォント サイズではありません。おそらく、細かい文字の脚注、密集したテキストブロック、専門用語だらけのダブルトーク、またはわかりにくいハイパーリンクではうまくいかない可能性があります。では、企業が情報を開示する必要がある場合、どうすればそれを明確かつ目立つようにできるのでしょうか?経験則は次のとおりです。潜在顧客の注意を本当に引きたいときに日常的に使用しているのと同じ人目を引く方法、つまりグラフィック、色、大きな文字、目立つ配置、明確な文言などを検討してください。
理解しにくいプライバシー ポリシーの中に重要な事実を埋め込まないでください。 詳細については訴状を読んでいただきたいと思いますが、Practice Fusion が消費者アンケートの結果を収集して投稿するようになった後、プライバシー ポリシーの記載内容を変更しましたが、アンケート ページ自体では情報を明確に開示していませんでした。もちろん、企業のプライバシー ポリシーや利用規約のページは正確で理解しやすいものである必要がありますが、重要な詳細 (たとえば、消費者の健康上の機密情報を公に投稿するつもりであるなど) を伝える唯一の手段としてそれらのページに依存するのは賢明ではありません。
ビジネスについては FTC リソースを参照してください。 HIPAA のみに慣れている企業は、FTC のアプローチについてはあまり馴染みがないかもしれません。コンプライアンスの基本については、ビジネス センターにアクセスしてください。たとえば、「.com Disclosures: How to Make Effects Disclosures in Digital Advertising」では、オンラインで重要な情報を明確に伝える方法について説明しています。 Mobile Health Apps インタラクティブ ツールは、どの連邦法 (複数の場合もあります) があなたのビジネスに適用されるかを把握するのに役立ちます。また、Mobile Health App Developers: FTC Best Practices では、健全なプライバシーとセキュリティについての入門書を提供しています。
FTC は、Practice Fusion との和解案に関するパブリックコメントを 2016 年 7 月 8 日まで受け付けています。