テキスト送信はHIPAA違反になるのか？

テキストサービスを介して送信されたメッセージがHIPAA違反となるかどうかは、多くの要因によって決まります。要因には、誰がテキストを送信しているのか、メッセージの内容、どのサービスを介して送信されているのか、そしてメッセージ内容への不正アクセスを防ぐための措置が講じられているかどうかが含まれます。また、受信者が、本来は許されない開示を要求または承認している場合もあります。

長年にわたり、医療提供者の従業員が保護対象保健情報（PHI）を含むテキストメッセージを患者に送信した場合、当時最も一般的に使用されていたテキストサービスが「ショートメッセージサービス」（SMS）であり、HIPAAセキュリティ規則の管理的・技術的セーフガードに関するコンプライアンスを支えるために必要な管理機能を欠いていたことから、その従業員はHIPAA違反となるテキスト送信をしていると想定されていました。

しかし、この想定は誤りでした（患者が本来は許されない開示を要求または承認していた可能性があるため）。それでも、SMSテキストが現在ではほとんど使われていないにもかかわらず、多くの情報源が依然として「テキスト送信はHIPAA違反である」と主張しています。実際には、現在ではHIPAA準拠のテキストメッセージングをサポートするサービスが多数存在し、さらにHIPAA準拠のメールのように、HIPAA準拠のテキストメッセージングと同等に多用途で安全な代替手段もあります。

いつテキスト送信はHIPAA違反になるのか？

テキスト送信がいつHIPAA違反になるのかを最も分かりやすく説明するには、テキストメッセージによるコミュニケーションがHIPAAにより許可されるか禁止されるかを決定する状況を確認することが有用です。

テキストメッセージの送信者はHIPAAを遵守する義務があるか？

すべての医療提供者がHIPAAを遵守する義務を負うわけではありません。患者に直接請求する医療提供者、保健福祉省（HHS）が標準を採用している医療取引を行わない医療提供者、または医療取引を電子的に行う医療提供者は、HIPAAの対象事業体（covered entity）に該当しません。テキストメッセージがこれらの送信元から発信された場合、そのテキストメッセージがHIPAAに違反することはありません。

HIPAAの対象事業体に該当する医療提供者（または薬局、健康保険プラン）から発信されたテキストメッセージ、あるいはHIPAA対象事業体の代理としてサービスを提供するビジネスアソシエイトから発信されたテキストメッセージのみが、HIPAA違反となり得ます。ただし、HIPAA対象事業体またはビジネスアソシエイトがHIPAA違反となるテキスト送信をしていると決めつける前に、メッセージの内容と、HIPAAにより保護される情報が含まれているかどうかを検討する必要があります。

テキストメッセージにHIPAAで保護される情報が含まれているか？

HIPAAの規制対象事業体がSMSを介してテキストメッセージを送信した場合でも、メッセージ内容にHIPAAで保護される情報が含まれていなければHIPAA違反にはなりません。つまり、（例えば）メッセージ内容に健康、治療、支払いに関する情報が含まれず、メッセージに含まれる識別子が別のデータセットで管理されている限り、患者に予約リマインダーをテキストで送ることは許容されます。

一部の情報源はHIPAAにおいて保護対象保健情報と見なされるものを誤って解釈し、すべての患者識別子がHIPAAで保護されると示唆しています。しかし、識別子がHIPAAで保護されるのは、健康、治療、支払いに関する情報と同じ指定記録セット内で管理されている場合に限られます。識別子が別々に管理されている場合、それらはHIPAAで保護されません。ただし、侵害が発生した場合には州のプライバシーおよびセキュリティ規制が適用される可能性があります。

テキストメッセージ送信に使用するサービスが重要となり得る理由

前述のとおり、多くのテキストサービスがHIPAA準拠のテキストメッセージングをサポートしていますが、すべてがそうではありません。したがって、患者が本来は許されない開示を要求または承認している場合（後述）を除き、HIPAAの規制対象事業体がテキストで送信する保護対象保健情報のあらゆる通信は、HIPAAビジネスアソシエイト契約の対象となるHIPAA準拠のテキストメッセージングサービスを介して行われなければなりません。

サービスがHIPAAビジネスアソシエイト契約の対象である必要があるのは重要です。というのも、一部のサービスはセキュアメッセージングの要件（例：WhatsApp）を満たしていても、HIPAA準拠に必要なすべての基準を満たさない場合があるためです。サービス提供ベンダーがHIPAAビジネスアソシエイト契約を締結する意思がある場合にのみ、HIPAAの規制対象事業体は、ベンダーがPHIを保護するという十分な保証を得る要件（§164.308(b)）を満たすことができます。

不正アクセスを防ぐために必要な措置は？

HIPAAの規制対象事業体がHIPAA準拠のテキストメッセージング（またはメール）サービスを利用する場合、そのサービスがHIPAAセキュリティ規則の管理的・技術的セーフガードへの準拠を支援するように構成されていることが重要です。サービスを使用する従業員は、HIPAAに準拠してサービスを利用する方法について訓練を受けなければならず、PHIへの不正アクセスを防ぐためにアクセス制御や暗号化などの措置が講じられていなければなりません。

従業員を訓練する際の重要な考慮点は、セキュリティ意識向上トレーニングがHIPAAセキュリティ規則の一般要件（§164.306(a)）に従って提供されなければならないことです。一般要件では、HIPAAの規制対象事業体は、HIPAAプライバシー規則で許可されていないPHIの合理的に予見可能な利用または開示から保護しなければならないと規定しています。したがって、HIPAA意識向上トレーニングを提供する必要がある場合もあります。

患者が本来は許されない開示を要求または承認する権利

HIPAAプライバシー規則の§164.522(b)に基づき、患者には「代替手段」（SMSテキストを含む）による機密通信を要求する権利があります。その要求が「合理的」である場合、代替手段がPHIの機密性・完全性・可用性にリスクをもたらすとしても、HIPAAの規制対象事業体は要求に同意しなければなりません。このような場合、患者にはリスクを警告し、準拠した代替手段を提示し、その警告は文書化すべきです。

技術的には、患者はSMSテキストを介したPHIの開示を承認することもできます。これは異例の状況であるため、患者にリスクを警告し、PHI送信のためのHIPAA準拠の代替手段を提示することに加え、HIPAAの規制対象事業体は、要求を行う患者の本人確認（送信者が既に患者を把握していない場合、または承認が遠隔で求められる場合）およびSMSテキストの受信者の本人確認を行うべきです。

HIPAA違反となるテキスト送信に対する罰則

上記の除外事項または条件のいずれも適用されない場合、PHIを含むテキストメッセージを非準拠のテキストメッセージングサービスで送信することはHIPAA違反です。非準拠の行為が従業員によって行われた場合、HIPAA違反となるテキスト送信に対する罰則は、多くの場合、HIPAAの規制対象事業体の制裁方針の内容、違反の規模または反復性、そしてHIPAA違反となるテキスト送信の動機に左右されます。

従業員が知識不足によりSMSテキストを送信し、これが初回の同種違反である場合、想定される制裁は口頭注意と再教育です。しかし、違反が広範または反復的であった場合、制裁はより重大になり得ます。HIPAA違反となるテキスト送信の動機がPHIの不正開示であった場合、従業員は社会保障法§1177違反として刑事捜査の対象となる可能性もあります。

HIPAAの規制対象事業体が、従業員によるHIPAA違反となるテキスト送信に責任を負い、HHSの公民権局に苦情が申し立てられた場合、その結果もまた、違反の規模または反復性および責任の程度に左右されます。多くの場合、HIPAAの規制対象事業体は是正措置計画に従うことを求められますが、調査により非準拠が組織文化として定着していることが判明した場合、当該事業体は非準拠として罰金を科される可能性があります。

罰則は2025年12月6日現在のものです。

患者へのテキスト送信におけるその他の考慮事項

HIPAA違反となるテキスト送信に対するHHS公民権局の罰則に加え、州司法長官もHIPAAの規制対象事業体に罰金を科すことができます。特に、州がメールおよびテキストによる通信について患者に明示的なオプトインを求める規制を採用している場合はなおさらです。HIPAAへの準拠は、保護対象保健情報の侵害後に個人または集団訴訟として提起される訴訟において、期待される注意義務の基準として用いられる可能性もあります。

この点を踏まえると、テキストによる機密通信の要求および、本来は許されない保護対象保健情報の開示に関する承認を文書化し、その文書を最新の状態に保つことが重要です。患者の要求や承認の状況を監視しないと、機密通信の要求が変更されたり承認が撤回された後に、従業員が意図せずHIPAA違反となるテキスト送信をしてしまう可能性があります。

また、電子的な保護対象保健情報に対するサイバーセキュリティを強化するためのHHSによる最近の規則制定案通知では、適用されるHIPAAセキュリティ規則の要件すべてへの準拠を確保するため、年次のHIPAA監査が提案されている点にも留意すべきです。これは、電子的な保護対象保健情報が提供者と患者の間で伝達される方法に影響を与える可能性が高く、健康データを保護するための追加的なセーフガードの実装が必要になる場合があります。

HIPAAの対象事業体およびビジネスアソシエイトで、HIPAAのテキスト送信ルールや、テキストサービスを介して送信されたメッセージがHIPAA違反となるテキスト送信に該当するかどうかに不安がある場合は、HIPAAコンプライアンスの専門家に相談することが推奨されます。テキストメッセージングプラットフォームの代替を探しているHIPAAの規制対象事業体は、HIPAA準拠のメールプロバイダーから助言を得るべきです。

HIPAA違反となるテキスト送信 – よくある質問

HIPAAのテキスト送信ルールとは？

HIPAAのテキスト送信ルールは、組織がHIPAAの対象事業体またはビジネスアソシエイトに該当する場合、ビジネスアソシエイト契約の対象となるHIPAA準拠のテキスト送信サービスを使用し、そのサービスをHIPAAに準拠して構成・運用する限り、PHIを含むテキストメッセージの送信は許容されるというものです。ただし、除外事項や条件が適用される場合があり、患者にテキスト送信する前に明示的なオプトインを取得する必要がある場合もあります。

テキスト送信はHIPAAに準拠しているか？

テキスト送信は、テキストメッセージの内容および患者情報のテキスト送信に使用するサービスによっては、HIPAAに準拠し得ます。HIPAAの規制対象事業体は、HIPAAテキストメッセージング方針を実装し、患者とのHIPAA準拠のテキスト送信に関与する可能性のあるすべての従業員にトレーニングを提供することが推奨されます。また、患者の要求および承認の文書化について、該当する従業員を訓練することも望ましいです。

患者名をテキスト送信することはHIPAA違反か？

テキストメッセージ内に健康、治療、支払いに関する情報が含まれていない場合、患者名をテキスト送信してもHIPAA違反にはなりません。患者名が健康、治療、支払いに関する情報とテキストメッセージ内で組み合わされる場合、患者名のテキスト送信がHIPAA違反となるかどうかは、テキストメッセージの文脈、テキストメッセージ送信に使用するサービス、およびテキストメッセージを対象とする患者の要求または承認の有無によって異なります。

HIPAA準拠のテキストメッセージングサービスとは？

HIPAA準拠のテキストメッセージングサービスは、TigerconnectやRocket Chatのような医療向け専用テキストサービスから、Google ChatやMicrosoft Teamsのような企業向け生産性ツールまで多岐にわたります。いかなる状況でも、例外が適用されない限り、保護対象保健情報を含むテキストメッセージを送信するためにHIPAA準拠のテキストメッセージングサービスを使用する前に、サービスベンダーとビジネスアソシエイト契約を締結する必要があります。

患者がテキストで連絡を開始した場合のテキストメッセージングに関するHIPAAルールは？

患者がテキストで連絡を開始した場合のテキストメッセージングに関するHIPAAルールはありません。しかし、2008年にHHSは、患者がメールで提供者とのコミュニケーションを開始した場合、提供者はメールでのコミュニケーションが患者にとって受け入れ可能であると想定できるとするガイダンスを公表しました。これは患者へのテキストメッセージングにも当てはまると解釈できますが、それでもテキストで通信するリスクを患者に助言し、その警告を文書化する必要があります。