電子カルテ大手のEpic Systemsは、全国的な医療データ交換ネットワークからデジタル患者記録に不正にアクセスできるよう、医療提供者を装う多数の企業を可能にしたとして、企業ライバルを非難している。
Epicは、Health Gorillaが偽装された医療機関に自社ネットワークへのアクセスを許可し、それらの偽の医療機関が集団訴訟の原告を探す弁護士に対してアクセス権を売り込んでいたと主張している。訴状では、MammothやRavillaMedを含む複数の共同被告が名指しされている。
Epicと4つの医療機関は、ロサンゼルスの連邦裁判所に火曜日に提出した訴訟で、フロリダ州拠点のHealth Gorillaが、複数の企業に対し、個人を治療しているという名目の下で「詐欺師」に約30万件に及ぶ患者の医療記録へのアクセスを不適切に提供することで、全国的な医療情報交換の枠組みを「悪用」させたと主張した。
「これらの悪質な行為者は、何千件もの患者記録にアクセスし、それを収益化してきた」とEpicは、医療ITコンサルティング会社OCHINおよび3つの医療提供者組織とともに提出した訴状で主張している。医療提供者側であるマサチューセッツ州のUMass Memorial Health Care、Trinity Health、Reid Hospital and Health Care Servicesは、Health Gorillaが関与した不正アクセス記録の中に自院の患者データが含まれていたと主張している。
訴状は、「被告Health Gorillaのように、これらの枠組みの実装者は、誰が枠組みに参加できるか、ひいては誰が機微な臨床患者記録に制限なくアクセスできるかを管理している」としている。
「したがって、参加者をオンボーディングする前に、患者に対する臨床治療を提供するという正当な目的で枠組みにアクセスしていることを確実にするという、対応する重要な義務を負っている。」
Health Gorillaは相互運用性プラットフォームを提供しており、全国的な医療データ交換を促進するため、連邦支援のTrusted Exchange Framework and Common Agreement(TEFCA)の下で認定されたQualified Health Information Network(QHIN)である。
一方、より規模が大きく歴史の長いウィスコンシン州拠点のEpicも、国内初期のQHINの一つとして立ち上げた子会社Epic Nexusを通じて、医療システムおよびEHR利用者からなる広大なネットワークをTEFCAに接続している。
Health Gorillaは声明で、Epicの主張を「断固として」否定し、EHR大手が競争を抑え込もうとしていると主張した。
「これらの行動は、Epicによる医療情報交換における独占的慣行について、業界の他者や政府関係者から提起されてきた、より広範で継続的な懸念を反映している。Health Gorillaは、競争、患者の選択、医療データへの公正なアクセスを促進する取り組みを支持する」と同社は述べた。
ガバナンスの弱点
一部の専門家は、今回の疑惑が、医療データの相互運用性および交換ネットワークに伴うリスクに対して好ましくない注目を当てていると述べた。
「この事案は、参加者が信頼を裏切ったときに生じる内部脅威の一例だ」と、コンサルティング会社Keyteraの創設者で、Health Information Management and Systems Societyのプライバシーおよびセキュリティ顧問を長年務めた弁護士のLee Kimは述べた。
「信頼は、プライバシー、セキュリティ、そして患者の善意の基盤である。効果的なガバナンスの仕組みは、内部脅威の検知と緩和に対処しなければならない。」
Kimによれば、医療データ交換の参加者は、正式なガバナンスプロセスを通じて審査されるべきである。この機能が委任されていない限り、リスクを負う主体が参加者の審査とアクセス付与に責任を持つべきだという。
「組織が技術的に医療情報へアクセスできるからといって、そのアクセスが当初の意図された目的に自動的に合致するわけではない」と、元医療機関CISOで、プライバシーおよびセキュリティ・コンサルティング会社Clearwaterのコンサルティングサービス担当シニアディレクターであるJackie Mattinglyは述べた。
「相互運用性は患者ケアに多くの良い影響をもたらしてきたが、データがEHRの外へ移動したら、そのガードレールも一緒に移動しなければならない」と彼女は述べた。
Mattinglyによれば、目的に基づくアクセスは入口の時点で止めることはできず、そのデータがどのように利用されるかというライフサイクル全体を通じて、継続的な監督と執行が必要である。
「これらの枠組みは、治療、支払い、医療運営を支えるために構築されたのであって、その境界の外にある二次利用や商業利用のためではない。明確なガバナンスと能動的な監視がなければ、データが発生元のシステムを離れた後の説明責任ははるかに難しくなる。」
翻訳元: https://www.databreachtoday.com/epic-lawsuit-targets-alleged-sham-providers-in-data-hie-a-30548
