市場をリードする電子カルテ(EMR)システム提供企業のEpic Systemsは、医療情報ネットワークのHealth Gorillaおよびその複数の顧客を相手取り、30万人の患者記録への不適切なアクセスがあったとして訴訟を提起しました。
この訴訟は、OCHIN Inc、Reid Hospital & Health Care Services Inc.(Reid Health)、Trinity Health Corporation、UMass Memorial Health Care Inc.も原告として名を連ねており、不正な行為者が患者データへのアクセスを詐取し、金銭的利益のためにそのアクセスを悪用していると主張しています。訴状は、患者データの取得と収益化を目的として医療情報交換の枠組みが悪用されることに終止符を打つことを求めています。
訴状によれば、一部のHealth Gorillaの顧客は、全国的な相互運用性フレームワークをデータマートへと変質させ、患者や医師の知識や同意なしに機微な患者データが売買され得る状態にしているとされています。これには、Epicの相互運用性フレームワークに保存された患者データも含まれます。
全国的な2つのフレームワーク—CarequalityとTEFCA—は、毎月ほぼ10億件の患者記録交換を担っています。いずれかのフレームワークに参加する提供者は、他の参加者に患者データを提供可能にします。参加条件として、HIPAAなどの連邦法および患者データの利用・開示に関する州規制を遵守することに同意します。
被告であるHealth Gorillaや同様のフレームワーク実装事業者は、誰がフレームワークに参加できるか、ひいては誰が患者データへ制限なくアクセスできるかを管理しています。そのため原告は、フレームワーク参加前に、アクセスを求める主体が患者に治療を提供するという正当な目的のためにアクセスを必要としていることを確実にする重要な義務があると述べています。訴状は、一部の参加者が患者に治療を提供する医療提供者を装いながら、患者記録を収益化する目的でアクセスを求めていると主張しています。
いったんフレームワークへの参加が承認されると、患者の氏名や住所といった基本的な属性情報だけで当該個人の記録を閲覧でき、リアルタイムの患者データへのアクセスが得られます。訴状は、Health Gorillaの顧客が金銭的利益のために患者データへのアクセスを悪用していると主張しています。例えば、特定の病状や診断を持つ患者を見つけて集団不法行為(マス・トート)のクラスアクション訴訟に参加させるため、弁護士にマーケティングする目的で患者データを取得しているといいます。
原告は、不正な行為者がアクセスの真の目的を隠すために、架空のウェブサイトを維持したり、ペーパーカンパニーを作ったり、National Plan and Provider Enumeration Systemにおいて偽装のNational Provider Identification番号を用いて、正当な患者治療活動があるかのように見せかけたりするなど、多くの手段を講じていると主張しています。場合によっては、患者を治療しているかのような誤った印象を与えるため、臨床的に無価値な文書をフレームワークに注入しており、患者安全を危険にさらす可能性がある、あるいは少なくとも臨床家の時間を浪費していると訴状は述べています。
Epicは、慢性疾患管理企業のRavillaMedが、取得した記録に比べて他の提供者と共有した記録がはるかに少なく、同社がEpicに共有したデータには臨床家による患者治療の証拠が見られないことから、治療以外の目的で記録にアクセスしたことを示していると主張しました。Epicによれば、追加された情報には訴訟で頻繁に争点となる過去の診断が取り込まれており、返送された他の文書には臨床的価値がなく、「臨床的カモフラージュ」であるとしています。Epicは、RavillaMedおよび訴状で名指しされた他のHealth Gorilla顧客が「患者の知識や同意なしに患者記録を収益化するために組織化されたシンジケートとして活動している」と主張しています。
Health Gorillaはこれらの主張を強く否定し、参加者が治療目的で患者記録へのアクセスを求めていることを確認するために審査を行っていると述べるとともに、Epicが情報ブロッキングを行っていると主張しています。Epic Systemsは現在、Particle Healthが提起した反トラスト訴訟に直面しており、同社が市場支配力を用いて医療記録へのアクセスを違法に遮断していると आरोपされています。さらに最近では、テキサス州司法長官のKen PaxtonがEpicを提訴し、子どもの医療記録への親のアクセスを制限することや、州内のヘルステック競争を損なうことなど、不公正・欺瞞的・反競争的な事業慣行を行っていると主張しています。
Epicは、虚偽の口実で医療情報交換の参加者になった企業が発覚すると、活動を継続するために新会社を作るだけだと主張しています。例えば、Critical Care Nurse Consultingが法律事務所との関係を理由に患者記録へのアクセスについて懸念を指摘されると、同社はCarequalityを通じた患者記録へのアクセスを停止しましたが、その後、Health Gorillaによって以前オンボードされていた関連組織SelfRxが大量の患者記録を取得し始めたといいます。
訴状によれば、元Particle Healthの顧客であるIntegritortが2024年10月にCarequalityから追放された際、同社の元CEOがMammothを共同設立し、Health Gorillaを通じて患者記録へのアクセスを開始し、RavillaMedの場合と同様に臨床的価値のない文書を返送したとされています。
訴状は、不正な行為者がHealth Gorillaのような技術実装事業者に依存し、参加者の審査をほとんど、あるいは全く行わないまま金銭的利益のために患者データへのアクセスを得ており、同社が患者データの悪用を認識しながら可能にしていると主張しています。Health Gorillaおよび名指しされた顧客はEpicの主張をすべて否定しており、Health GorillaはEpicが医療情報の交換を制限しようとしていると主張しています。
「これらの行為は、Epicによる医療情報交換における独占的慣行について、業界の他者や政府関係者から提起されてきた、より広範で継続的な懸念を反映しています」とHealth Gorillaの広報担当者は説明しました。「Health Gorillaは、競争、患者の選択、医療データへの公正なアクセスを促進する取り組みを支持します。」
Epicは、相互運用性フレームワークに参加する医療提供者が、患者記録の請求が治療目的で行われていると信頼できない場合、フレームワークから離脱せざるを得ないと感じる可能性があり、また未参加の他の医療提供者も参加を思いとどまるかもしれないと主張しています。
「被告のような不正な行為者は、患者の私的な医療情報を保護しようとするEpicおよび医療提供者の取り組みを、患者に有害で違法な妨害である情報ブロッキングだと虚偽に位置づけてきました」とEpicは反論しました。「この威嚇キャンペーンは、精査を萎縮させ、無節操な行為者が患者記録へのアクセスを維持して収益化できるようにすること、例えばマス・トート法律事務所に販売することを目的としています。」
訴状は、詐欺、詐欺の幇助・教唆、契約違反、ならびに連邦コンピュータ詐欺・濫用防止法(Federal Computer Fraud and Abuse Act)違反を主張し、相互運用性フレームワークの悪用に終止符を打つことを求めています。Health Gorillaに加え、訴状は被告として、RavillaMedPLLC、Avinash Ravilla、Shere Saidon、LlamaLab, Inc.、Unique Medi TechLLC(Mammoth Dx)、MammothPath Solution, LLC、Mammoth Rx, Inc.、Ryan Hilton、Daniel Baker、MaxToovey、Unit 387 LLC、SelfRx, LLC(Myself.Health)、Critical CareNurse Consultants, LLC(GuardDog Telehealth)、Hoppr, LLC、Meredith Manak、およびDOES 1-100を挙げています。
翻訳元: https://www.hipaajournal.com/epic-sues-health-information-exchange-network-improper-record-access/
