法律事務所Proskauerの弁護士ジョニアン・ラフティ氏によれば、医療セクターの合併・買収は、買い手と売り手の双方にとってサイバーセキュリティおよびデータプライバシーの露出を大幅に増大させる。しかし、これらのリスクを低減するために組織が取れる重要な手順がある。
「医療取引の買い手になると、医療企業の資産を買うだけではありません。そこに付随する潜在的な規制リスクやコンプライアンス上のギャップも買うことになるのです」と同氏は述べた。
買い手は通常、2つの方法でこれに取り組む。法務の専門家が、HIPAAや州のプライバシー法など適用法令に対する売り手の遵守状況、およびその方針・手順・コンプライアンスプログラムを精査する。
「そしてサイバーセキュリティのコンサルタントも、システムやワークフローの内部を、高度に技術的でセキュリティ重視の観点から調べるために関与することが多い」と同氏は述べた。
売り手にとっての重要な教訓の一つは「最善の状態を示すこと」だと同氏は述べた。「取引が近い将来に見込まれるなら、出てくる質問に備えてください。HIPAAの方針と手順は整備されていますか。コンプライアンスプログラムはありますか。セキュリティ責任者とプライバシー責任者は任命されていますか。リスク評価を実施しましたか――これは日々のサイバーセキュリティレビューや日々のサイバーセキュリティの侵入テストとは異なりますが?」
インタビュー(写真下の音声リンク参照)でラフティ氏は、次の点についても議論した:
- IT資産目録、レガシーシステム、デバイス、未適用パッチの脆弱性に関わるM&Aリスク;
- サイバー保険、ベンダー監督、エコシステムリスク、その他M&Aにおける考慮事項;
- 医療M&A取引における売り手・買い手双方の主要なサイバーセキュリティおよびデータプライバシーのリスク考慮事項と、緩和策;
- 今後1年で注視すべき、関連する州および連邦の規制・立法上の論点。
ラフティ氏は、法律事務所Proskauerのコーポレート部門のアソシエイトであり、ヘルスケアグループのメンバーである。同氏は、プライベートエクイティ投資家、医療システム、マネジメント会社、医師グループ、貸し手を、複雑な取引案件および医療規制に関する案件で定期的に代理している。ラフティ氏は医療業界の専門知識を活用し、取引に取り組むクライアントに実務的かつ市場主導の洞察を提供するとともに、規制要件、HIPAAおよび医療データプライバシー、医療テクノロジーに関する事項について助言している。
