HIPAAソーシャルメディア・ガイドライン

HIPAAおよびソーシャルメディアに関するガイドラインで最も重要なルールは、ソーシャルメディアのコンテンツに保護対象保健情報（PHI）を決して含めてはならないということです。これは、あらゆるHIPAAコンプライアンス方針の中心に据えられるべき事項です。

HIPAAの適用対象となる組織は、従業員によるソーシャルメディアの不適切な利用に起因するHIPAA違反を回避する方法を理解するために、当社のHIPAAとソーシャルメディアのチェックリストを活用できます。

HIPAAとソーシャルメディアのルールとは？

HIPAAは、Facebook、TikTok、Instagramなどのソーシャルメディアが存在する数年前に制定されたため、HIPAAプライバシールールにはソーシャルメディアへの具体的な言及は含まれていません。

それでも、HIPAAのソーシャルメディアに関するルールとは、HIPAAプライバシールールにおけるPHIの許容される利用および開示に関する基準を指します。

許容される利用および開示には、個人のPHIを公の領域に公開することは含まれないため、これらは実質的に、対象事業体およびビジネスアソシエイト、または両者の従業員（ワークフォース）の構成員が、個人の許可なくPHIを利用または開示することを禁止します。

ソーシャルメディア投稿にPHIが開示されておらず、かつFTCルール（下記参照）に準拠している場合、HIPAAプライバシールールは適用されず、対象事業体およびビジネスアソシエイトは、健康的なライフスタイルの促進、医療保険商品のマーケティング、B2Bサービスの宣伝のために、ソーシャルメディアネットワークを自由に利用できます。

しかし、HIPAAにおいてPHIと見なされるものを理解することが重要です。PHIという用語は健康情報のみに関係するものではなく、知識不足により、ワークフォースの一員が意図せずPHIを開示してHIPAAプライバシールールに違反してしまう可能性があります。

患者の同意（オーソライゼーション）ルールを理解する

HIPAAにおいてPHIと見なされるものを理解することに加え、あらゆるHIPAAソーシャルメディア方針の一部でなければならない患者の同意（オーソライゼーション）ルールを理解することも重要です。

これらはHIPAAプライバシールールの§164.508に記載されており、有効な同意には次の中核要素が含まれなければならないと規定しています。

• 利用または開示される情報の意味のある説明
• 利用または開示の目的の意味のある説明
• 情報がさらに開示され得ることの説明
• 同意を撤回する個人の権利
• 同意の有効期限

最後の中核要素に関しては、本人のPHIを含むソーシャルメディア投稿が広く共有され、スクリーンショットされ、再公開され得ることを本人が認識していることが重要です。患者が同意の撤回を求めた場合、組織はそれに応じられない可能性があります。

このシナリオは、HIPAAプライバシールールにおいて「対象事業体がそれに依拠して行動を取った」場合には撤回を免除する条項によって扱われています。ただし、署名時点で有効と見なされるためには、これらの中核要素が同意書に含まれていなければなりません。

HIPAA ソーシャルメディア 違反が増加

ソーシャルメディアプラットフォームで情報を共有しすぎると、患者固有の情報が共有された場合、医療機関と従業員の双方に壊滅的な影響を及ぼす可能性があります。

ソーシャルネットワークや専門ブログには10億人を超える人々がいるため、HIPAA違反が増加し、医療機関の間で大きな懸念が高まっているのも不思議ではありません。

組織がHIPAAの対象事業体またはビジネスアソシエイトである場合、ソーシャルメディアの利用には多くの利点があります。たとえば、医療提供者は健康的なライフスタイルを促進し、新たに出現する健康問題への認知を高め、特別外来やサービスを一般に提供できる場合に告知することができます。

健康保険プランは、ソーシャルメディアを利用して医療保険商品をマーケティングし、新しいプランや給付を宣伝し、新規顧客を獲得できます。一方、ビジネスアソシエイトはB2Bサービスを宣伝し、関心を持つ人々からの質問に迅速に回答できます。ただし、これらのソーシャルメディアの利用はいずれも、FTCおよびHIPAAのソーシャルメディア規則の対象となる可能性があります。

HIPAAとソーシャルメディアの事例

違反者に対する懲戒処分につながったHIPAAのソーシャルメディア事例はいくつかあります。たとえば2019年10月には、歯科医院がソーシャルメディアのレビューサイトで不適切にPHIを開示したとして1万ドルの罰金を科されました。また2016年1月には、看護助手が患者の動画をオンラインに投稿したことで職を解雇され、禁錮30日の判決を受けました。

対象事業体、ビジネスアソシエイト、およびそれらのワークフォースの構成員は、この種のHIPAA違反を回避するための措置を講じるべきです。措置には、組織のソーシャルメディア方針に関する研修の提供、ソーシャルメディア上でのPHIの不適切な利用および開示を禁止する制裁方針の徹底、ならびに不注意による開示を防ぐための保護措置の実装が含まれるべきです。

ソーシャルメディア利用時にHIPAA違反を回避する最善の方法についてさらに詳しい情報が必要な場合は、コンプライアンスの専門家に助言を求めてください。あるいは、HIPAAに準拠したソーシャルメディア方針を策定する際に組織が検討したい主要ポイントをまとめた当社の「HIPAAとソーシャルメディアのチェックリスト」をダウンロードすることもできます。

FTCのソーシャルメディア・ルールとは？

FTCのソーシャルメディア「ルール」とは、連邦取引委員会法（Federal Trade Commission Act）第5条における欺瞞的行為または慣行に関する規制を指します。これらの規制はあらゆる形態の広告およびマーケティングに適用され、次の場合に行為または慣行を欺瞞的と定義します。

• 表示、重要事項の不記載、または慣行が消費者を誤認させる、または誤認させるおそれがある場合
• 表示、重要事項の不記載、または慣行に対する消費者の解釈が、状況に照らして合理的と見なされる場合
• 誤認を招く表示、重要事項の不記載、または慣行が重要（material）である場合

これは、組織が行う主張であれ、組織を代表して行う主張であれ、また主張を裏付けるために保護対象保健情報が開示されるかどうかにかかわらず、いかなる主張も「実力で競争することを避けつつ優位性を得ようとする」ものであってはならないことを意味します。

HIPAAソーシャルメディア・ルール – よくある質問

ソーシャルメディアとHIPAAについて知っておくべきことは何ですか？

ソーシャルメディアとHIPAAについて知っておくべきことは、PHIの対象者から書面による同意を得ている場合に限り、PHIをソーシャルメディアに投稿することがHIPAA上許容されるという点です。しかし、いったんソーシャルメディアに投稿されると、その後どうなるかをコントロールすることはできません。PHIの対象者が後に同意を撤回したいと望んでも、誰が投稿を見たのか、どのようなコピーが作成されたのかをコントロールできないため、その要請に応じることはできません。

ソーシャルメディアがHIPAA違反のリスクを高める理由の一つは何ですか？

ソーシャルメディアがHIPAA違反のリスクを高める理由の一つは、ソーシャルメディアのチャネルにより、ユーザーが写真を撮って画面をタップするだけでアップロードできることです。これにより、対象事業体のワークフォースの構成員が、見たものや見た人を深く考えずに撮影し、数秒でインターネットに投稿してしまう可能性が高まります。写真がPHIの識別子と健康情報（たとえば、有名人が救急外来に搬送される場面）を明らかにする場合、その有名人の書面による同意を事前に取得していない限り、HIPAA違反となります。

ソーシャルメディアにおけるHIPAA違反とは何が該当しますか？

ソーシャルメディアにおけるHIPAA違反と見なされるものの一つは、書面による同意なしに、個人を特定できる健康情報を投稿することです。同意を取得した場合でも、開示が許可される書式には、開示の目的を本人に知らせ、本人に同意撤回の権利があることを説明しなければなりません。また、本人には、開示を終了しなければならない期限（期間）を指定する選択肢も与えるべきです。

いったん公開されたソーシャルメディア投稿がその後どうなるかをコントロールすることは不可能であるため、対象事業体が撤回や期限満了の要請に応じられる可能性は低いでしょう。これは、同意書に「依拠（reliance upon）」条項（事後の撤回・期限満了の要請から対象事業体を除外する条項）が含まれていない限り、HIPAA違反となります。

従業員が、他の識別情報を一切付けずに患者の負傷画像をツイートに添付した場合、HIPAAプライバシールールの違反になりますか？

従業員が、他の識別情報を一切付けずに患者の負傷画像をツイートに添付した場合でも、画像から個人の身元が特定できるのであれば、HIPAAプライバシールールの違反となります。しかし、患者が画像の使用について書面で同意しており、その同意条件の下で画像が共有される場合、HIPAAプライバシールールの違反はありません。

HIPAAのソーシャルメディア・ルールは、すべてのアカウントに適用されますか、それとも企業アカウントだけですか？

HIPAAのソーシャルメディア・ルールは、企業アカウントだけでなく、すべてのアカウントに適用されます。患者の同意なしに個人のソーシャルメディアアカウントへ投稿された画像は、HIPAAの二重の違反となることに注意が必要です。というのも、本人がePHIを不適切に投稿しただけでなく、HIPAAセキュリティルールの保護が欠けた企業ソースから画像を取得しているためです。

すべての従業員がHIPAAソーシャルメディア・ルールの研修を受ける必要がありますか、それともePHIにアクセスできる人だけですか？

すべての従業員は、セキュリティ意識向上研修の一環としてHIPAAソーシャルメディア・ルールの研修を受けるべきです。ePHIへのアクセスの有無にかかわらず、ワークフォースの全構成員はソーシャルメディアに関する組織の方針を認識している必要があります。ePHIにアクセスできないワークフォースの構成員であっても、患者の氏名や何の治療を受けているかといった情報をソーシャルメディアで開示してしまう可能性があるため、いかなる媒体であっても、同意なく情報を開示してはならないことを知っておくことが重要です。

対象事業体およびビジネスアソシエイトは、ソーシャルメディア上の潜在的なHIPAA違反を検知するコントロールをどのように実装できますか？

対象事業体およびビジネスアソシエイトは、ソーシャルメディア上の潜在的なHIPAA違反を検知するさまざまなコントロールを実装できます。たとえば、HIPAA違反を監視する最も簡単な方法は、医療施設に関連する特定のハッシュタグ（例：#nyp、#mayoclinic、#UPMCなど）を検索することです。テクノロジーコントロールではなく手動のコントロールではあるものの、ソーシャルメディア上で医療施設について何が書かれているかを確認することは、施設がサービスやHIPAA方針を多様な方法で改善する助けになります。

ソーシャルメディアに患者情報を投稿することが、なぜHIPAA違反になるのですか？

患者の同意がない場合、ソーシャルメディアに患者情報を投稿することはHIPAA違反です。個人を特定できる健康情報を公衆に開示し、詐欺やなりすまし（ID盗用）に悪用され得るためです。ソーシャルメディアに保護対象保健情報を投稿する際に患者の名前を出さなくても、投稿に含まれる他の情報から患者が特定される可能性があります。

HIPAAに準拠したソーシャルメディア方針とは何ですか？

HIPAAに準拠したソーシャルメディア方針とは、どのような状況でソーシャルメディアに情報を投稿することが許されるのかを規定する方針です。ソーシャルメディア投稿は完全に撤回できるものではない（撤回前に共有、スクリーンショット、コピー＆ペーストされている可能性がある）ため、個人を特定できる健康情報を含む投稿を一切禁止し、この方針に違反したワークフォースの構成員に対して厳格な制裁を適用することがベストプラクティスです。

ソーシャルメディアでのHIPAA違反に対する罰則は何ですか？

ソーシャルメディアでのHIPAA違反に対する罰則は、PHIの不適切な開示に誰が責任を負うか、そしてその結果が何であるかによって異なります。たとえば、対象事業体がマーケティングキャンペーンのために同意なくソーシャルメディアサイトにPHIを投稿し、PHIの対象者がHHS（米国保健福祉省）の公民権局（Office for Civil Rights）に苦情を申し立てた場合、相当額の罰金が科される可能性があります。

しかし、対象事業体のワークフォースの構成員が同意なくソーシャルメディアサイトにPHIを投稿した場合、罰則は対象事業体の制裁方針に記載された内容になります。口頭注意と再研修から、契約解除や免許停止まで幅があり、違反が患者を侮辱するものである場合や反復的な違反である場合には、より重い結果となる可能性が高いでしょう。

FacebookはHIPAAに準拠していますか？

FacebookはHIPAAに準拠していません。ソーシャルメディアにはアカウントへの不正アクセスを制御する仕組みがいくつかあるものの、Metaは対象事業体とビジネスアソシエイト契約（Business Associate Agreement）を締結しません。実際、Workplace by Facebookサービスの利用規約では、MetaはHIPAAまたは同様の連邦・州の法律、規則、規制により規制される「患者、医療、またはその他の保護対象保健情報を提出する」ためにサービスを使用することを禁止しています。

ソーシャルメディア上のHIPAA違反の例はありますか？

ソーシャルメディア上のHIPAA違反の例は複数あり、HHSの公民権局が罰金を科した事例もあれば、従業員が解雇され、またはソーシャルメディア上のHIPAA違反で起訴された事例も数十件あります。

• 2019年、Elite Dental Associatesは、否定的なオンラインレビューへの返信で患者の氏名、健康状態の詳細、治療計画、保険、費用情報を開示したとして、1万ドルの罰金を科されました。
• 2022年、別の歯科医院（Dr. U. Phillip Igbinadolor and Associates）は、ソーシャルメディア上で患者の苦情に対応する際に患者の氏名と治療内容を開示しました。歯科医は5万ドルの罰金を科されました。
• 2017年、ProPublicaは、従業員が制裁、解雇、そして／または刑事犯罪で起訴される結果となった50件超のソーシャルメディア上のHIPAA違反の例を公表しました。

医療従事者に推奨されるソーシャルメディア・ガイドラインは何ですか？

医療従事者に推奨されるソーシャルメディア・ガイドラインは、患者に関することをソーシャルメディアチャネルに一切投稿しないことです。たとえケアしている、または治療した相手についてコメントする患者の同意があったとしても、患者が同意を撤回すると決めた場合にソーシャルメディア投稿を完全に撤回する方法はありません。投稿を撤回できないことに加え、患者の友人や家族が（あなたに患者のPHIを公開する権限があることを知らずに）投稿を見た場合、雇用主またはHHSの公民権局に苦情を申し立てる可能性があります。

ソーシャルメディアに患者の写真を投稿することは、開示と見なされますか？

ソーシャルメディアに患者の写真を投稿することは、写真が個人を特定し、かつ写真または写真の説明が過去・現在・将来の治療関係を示唆する場合、開示と見なされます。ただし、患者の書面による同意を取得している場合、ソーシャルメディアに患者の写真を投稿することが必ずしも不適切な開示になるとは限りません。

 注：2015年、カリフォルニア州登録看護師委員会は、HIPAAに違反して患者の手術創の画像をInstagramで共有したRN（正看護師）の看護師免許を取り消しました。Instagram投稿では患者名は記載されていませんでしたが、画像には識別可能なタトゥーと患者の部屋番号が写っていました。

Facebookで患者を検索することはHIPAA違反ですか？

Facebookで患者を検索することはHIPAA違反ではありません。Facebookページの情報は、公共の領域に自分自身に関する情報を公開していることを認識している（または認識すべき）個人によって投稿されているためです。しかし、あなたがFacebookで患者を検索していることが判明すると、患者の医療記録も覗き見しているのではないかという懸念を招く可能性があります。HIPAA違反ではないものの、HIPAAプライバシールールで許可されていない目的で、いかなる媒体でも患者情報を調べることは避けるのが望ましいでしょう。

ソーシャルメディアサイトで個人の健康情報を共有できるのは誰ですか？

ソーシャルメディアサイトで個人情報を共有できるのは誰かという問題は複雑です。HIPAAには、ソーシャルメディア上で保護対象保健情報を共有することに関するガイドラインがありますが、個人または組織がHIPAAガイドラインや雇用主のソーシャルメディア方針の対象外である場合、他のデータプライバシー法が適用される可能性があり、これらは州によって異なる場合があります。

HIPAAとソーシャルメディアに関しては、対象事業体およびビジネスアソシエイトは、患者の同意がある場合に限り、ソーシャルメディアサイトで個人の健康情報を開示できます。対象事業体およびビジネスアソシエイトの従業員は、正当な理由（例：マーケティング）があり、かつ雇用主が患者の同意を取得している場合を除き、ソーシャルメディアサイトで個人の健康情報を共有しないよう助言されています。

HIPAAにおけるソーシャルメディアと患者プライバシーのルールは何ですか？

HIPAAはソーシャルメディアが登場する何年も前に作られたため、HIPAAにはソーシャルメディアと患者プライバシーに関する具体的なルールはありません。しかし、各対象事業体およびビジネスアソシエイトは、ワークフォースの構成員がソーシャルメディアチャネルに患者情報を投稿することを禁止するか、またはHIPAAに準拠してソーシャルメディアチャネルに患者情報を投稿するための手順を概説するソーシャルメディア方針を持つべきです。各対象事業体およびビジネスアソシエイトは、ソーシャルメディア上の患者プライバシー違反に対する制裁方針も持ち、かつそれを施行すべきです。