プライバシー重視の上院議員が、米国のヘルステック企業に対し、患者が自分のデータの行き先をよりコントロールできるよう求めて圧力をかけている。問題をプライバシーだけでなく国家安全保障の観点からも位置づけている。
関連資料: Netskope HIPAAマッピングガイドの活用
上院財政委員会の筆頭理事であるオレゴン州選出のロン・ワイデン上院議員(民主党)は、電子カルテ(EHR)ベンダーに対し、患者が自身の健康情報の共有方法やアクセス方法をより適切に管理できるようにする機能を備えた製品を構築するよう迫っている。
ワイデンの働きかけは、患者データの相互運用性、セキュアな交換、アクセスを促進する規制の執行を連邦規制当局が強化している中で行われた。これには、保健福祉省(HHS)が9月に、2016年の21世紀治癒法(21st Century Cures Act)の情報ブロッキング規則を「積極的に」執行する計画を発表したことも含まれる。同規則は、より良いケア連携のために患者記録の流れを改善することを目的としている。
「相互運用性はより良いデータ共有を可能にすることで医療を改善する一方、機微な健康情報に対する強固なプライバシー保護とのバランスが必要だ」とワイデンは記した。
ワイデンは、Oracle Health、Meditech、Altera Digital Health、Medhost、WellSky、Netsmart、McKesson、Veradigm、Athenahealth、TruBridgeの10社のEHRベンダーに連絡し、どの組織が医療情報にアクセスできるかについて患者に「直接的なコントロール」を提供するよう、各テクノロジー企業に促した。
米国最大のEHRベンダーであるEpicは12月3日、同社はすでに製品に新機能を追加することで、患者データのプライバシー管理に関する上院議員の懸念に対応していると伝えた。
21世紀治癒法の情報ブロッキング規則は、認定された医療ITベンダー、医療提供者、医療情報ネットワークが、プライバシーやサイバーセキュリティを含む限られた理由を除き、健康情報交換を「ブロック」することを禁じている(参照:HHS、健康情報ブロッキングの取り締まり強化を表明)。
また、HHSの公民権局(OCR)は2019年以降、HIPAAプライバシールールの患者アクセス権条項に関する違反の疑いを伴う執行措置を数十件発出している。同条項は、HIPAAの規制対象事業体に対し、指定された健康記録に含まれる自身の健康情報について、患者(またはその代理人)からの請求に適時に応じることを求めている(参照:患者はいまだ健康情報への完全なアクセスに苦戦)。
同局は火曜日、HIPAAのアクセス権に関する案件で54件目となる執行措置を発表した。これは、テキサス州拠点の産業保健サービス提供者Concentraとの112,500ドルの和解に関するもので、HHSによれば、個人が自身の健康情報へのアクセスを得るまでに約1年と複数回の要請を要したという。
しかし、相互運用性の進展はリスクの増大も伴う。「現在、米国人の大多数の機微な健康データは、当該提供者が実際に患者を治療しているかどうか、あるいは患者がその州に足を踏み入れたことがあるかどうかにかかわらず、全米各州の医療提供者からアクセス可能になっている」とワイデンは記した。
米国国防総省の監察総監による2021年の調査では、軍人の健康記録が「恐喝、公的な恥辱、または他者への販売」といった目的で不適切にアクセスされ得ることが判明した、とワイデンは記した。
「これらの問題は、患者の権利を保護し、データが悪用されないことを確保し、法的結果への遅延や恐れなく必要な医療を継続できる相互運用性フレームワークの必要性を浮き彫りにしている」とワイデンは述べた。
Epicは12月3日付のワイデン宛書簡で、財政委員会が、ウィスコンシン州拠点の同EHRベンダーが患者ポータル「MyChart」に新機能を開発中であることを公表したと述べた。同機能は「データ共有に関する選択肢を患者が理解するのを助け、医療記録が医療機関間で共有されるかどうかを患者自身が判断できるようにする」という。
これには、記録共有をオプトアウトできる機能、同じEHRを使用する他の医療機関から記録の存在を「隠す」ことを個人が可能にする機能、EHRを使用する医療機関のうちどこが自分の健康記録にアクセスしたかの一覧を個人に提供する機能、そして機微なカテゴリの医療を受けた際に記録共有の希望設定を確認するよう促すプロンプトを提供する機能が含まれる。
翻訳元: https://www.databreachtoday.com/senator-presses-ehr-vendors-on-patient-privacy-controls-a-30323
