ヘルスケア隣接データとは何か？

ヘルスケア隣接データとは、HIPAAが定義する保護対象保健情報（Protected Health Information）の定義から外れる、あらゆる健康関連または健康の影響を受ける情報を指します。これは、対象事業体またはビジネス・アソシエイトによって作成・受領・維持・送信されたものではない、またはHIPAAの規制対象となる活動のために処理されていないためです。

デジタルヘルスツール、ウェアラブル、AI駆動型サービスが一般化するにつれ、従来の医療の周縁に位置する情報が増えています。こうした情報はしばしば健康データのように見え、健康に関する意思決定に影響し得ますが、HIPAAの下で常に保護対象保健情報（PHI）に該当するとは限りません。

PHIとヘルスケア隣接データの違いを理解することは、医療機関、ビジネス・アソシエイト、第三者サービス提供者にとって不可欠になっています。彼らは、連邦および州のプライバシー法が重なり合う規制環境、そしてデータが臨床・消費者・商用システム間を自由に流通するデジタル・エコシステムの中で事業を行っているからです。

HIPAAがPHIをどう定義し、何が定義の外にあるのか

HIPAAは、対象事業体またはビジネス・アソシエイトによって、HIPAAの規制対象活動のために作成・受領・維持・送信され、個人の健康、医療の提供、または医療費の支払いに関連する、特定の「個人を識別できる健康情報」を保護します。これらの要素のいずれかが欠ける場合、その情報はPHIに該当せず、HIPAA規則の適用対象にもなりません。

ヘルスケア隣接データとは、この定義の外にある健康関連または健康の影響を受ける情報を指します。これには、雇用主としての役割において対象事業体が保有する従業員の健康情報、病院の公開ソーシャルメディアページでのやり取り、そしてカフェテリアのロイヤルティプログラムのデータのように医療要素を含まない識別可能情報が含まれます。

また、フィットネストラッカー、消費者向け健康アプリ、ウェルネスプログラム、その他の健康関連IoTデバイスによって収集される情報も含まれます。これらのデータストリームは、第三者サービス提供者がビジネス・アソシエイトとして情報を収集し、患者のHIPAA保護対象の診療記録に組み込むために対象事業体へ送信する場合を除き、ヘルスケア隣接データのままです。

ヘルスケア隣接データがPHIになるとき

多くの状況では、ヘルスケア隣接データは、対象事業体が受領した瞬間にPHIになります。病院がウェアラブルや消費者向け健康アプリから情報を取り込むと、そのデータはHIPAA規制対象の事業体の手元にある個人識別可能な健康情報となるため、PHIになります。健康に関係のない情報であっても、対象事業体が臨床記録や請求記録と同じ指定記録セットに保存すれば、PHIとしての性格を帯びることがあります。

ビジネス・アソシエイトの場合、分析はより微妙です。ビジネス・アソシエイトが対象事業体のためのサービス提供の一環としてヘルスケア隣接データを収集または受領する場合、その情報はPHIになります。同種のデータであっても、対象事業体に提供するサービスの範囲外で、ビジネス・アソシエイト自身の目的のために収集される場合はPHIに該当せず、別途分離して管理しなければなりません。

逆のシナリオも重要です。個人が対象事業体から個人用デバイスやアプリへPHIを転送した場合、対象事業体が保持するコピーはPHIのままですが、個人用デバイスに保存された版はもはやHIPAAによって保護されません。デバイスまたはアプリのベンダーが個人のデバイスから健康データを受領しても、そのベンダーは、元のPHIを保有していた対象事業体と正式なビジネス・アソシエイト契約を結んでいない限り、ビジネス・アソシエイトにはなりません。

州のプライバシー法はヘルスケア隣接データをどう扱うか

HIPAAは米国のプライバシー環境の一層にすぎません。多くの州のプライバシー法はPHIを適用範囲から除外しますが、同じ組織が収集する他の種類の健康関連データは規制します。これにより、対象事業体またはビジネス・アソシエイトが、PHIについては州法の適用除外であっても、ヘルスケア隣接データについては全面的に適用対象となり得る状況が生まれます。

カリフォルニア州はこれを明確に示しています。医療情報機密保持法（CMIA）は提供者やプランが保有する「医療情報」を保護する一方、カリフォルニア州消費者プライバシー法（CCPA/CPRA）はPHIを適用除外としますが、ウェブサイト分析、アプリのテレメトリ、ウェルネスプログラム情報、またはマーケティングに用いられる健康推論などの他の健康関連データは除外しません。病院のEHRは適用除外ですが、患者ポータルのCookieやモバイルアプリのトラッキングデータは適用除外ではありません。

ワシントン州のMy Health My Data Actはさらに踏み込みます。HIPAAのPHIは適用除外とする一方で、治療・支払い・医療運営の外で、消費者が生成した、推論された、または収集された情報である場合、病院を含むあらゆる事業体が収集する事実上あらゆる健康関連データを規制します。コロラド州、コネチカット州、バージニア州などの他の州プライバシー法も同様のパターンに従います。PHIは適用除外ですが、非PHIの健康データは「機微データ」として規制されます。

このようなパッチワークにより、ヘルスケア隣接データには、HIPAAが適用されない場合でもプライバシー上の義務が伴うことが少なくありません。

ヘルスケア隣接データとPHIに影響する連邦規則

ヘルスケア隣接データが侵害された場合に適用され得る主要な連邦規則は、Health Breach Notification Ruleです。この規則は、個人健康記録および類似サービスのベンダーに対し、暗号化されていない個人識別可能な健康情報が露出した場合、連邦取引委員会（FTC）および影響を受けた個人へ通知することを義務付けます。この規則は、HIPAAの適用範囲外にある消費者生成の健康データに関する規制上の空白の一部を埋めます。

HIPAA自体にも、消費者向け技術と重なる文脈でPHIがどのように共有され得るかに影響する規定があります。プライバシールールには、患者の承認なしに対象事業体がPHIを開示できる重要な例外が2つあります。

1つ目は、45 CFR §164.512(b)(1)にあり、FDA規制対象製品の品質・安全性・有効性に関連する活動のために、FDA規制対象デバイスのベンダーへ開示することを認めています。これには、AI駆動型の医療ソリューションへデータを送信する個人用健康デバイスが含まれます。

2つ目の例外は、45 CFR §164.512(i)(1)にあり、施設内審査委員会（IRB）またはプライバシーボードにより承認された場合、匿名化なしで準備研究のためにPHIを開示することを認めています。これらの場合、PHIは対象事業体のもとに留まらなければならず、教師あり学習アルゴリズムの学習などの準備活動にのみ使用できます。

これらの連邦および州の枠組みが相まって、PHI、ヘルスケア隣接データ、消費者生成の健康情報が、誰がデータを保有しているか、なぜ収集されたか、どのように使用されるかによって、それぞれ異なる義務の対象となり得る複雑な環境が形成されています。

対象事業体はすべての健康情報をHIPAA保護対象の記録セットに統合しなければならないのか？

一部の組織は、HIPAAコンプライアンスを簡素化するために、対象事業体はすべての健康関連データをHIPAA保護対象の指定記録セットに統合する必要があると考えています。実務上は、状況は一様ではありません。

HIPAAは、対象事業体に対し、すべての健康関連データを指定記録セット（DRS）へ統合することを求めていません。DRSの定義は狭く、診療記録、請求記録、その他個人に関する意思決定に用いられる記録が含まれます。ウェブサイト分析、マーケティングデータ、アプリのテレメトリ、消費者生成データは、対象事業体が意図的にそこへ置かない限り、DRSに属しません。

一部の組織は、曖昧さを減らし、HIPAAレベルの保護策を一律に適用するためにデータを統合します。このアプローチはHIPAAトレーニングを簡素化し、誤分類のリスクを低減します。しかし、多くの組織は、DRSにデータを追加するとHIPAA上の義務が増え、ベンダー関係が複雑化し、州のプライバシー要件と抵触する可能性があるため、意図的にシステムを分離しています。マーケティングプラットフォーム、モバイルアプリ、分析ツールはしばしばHIPAAの外で運用され、ベンダーは非臨床データについてビジネス・アソシエイト契約への署名に応じない場合があります。

傾向としては、すべての健康関連データにHIPAAに類似した保護を適用しつつ、規制および運用上の理由からPHIシステムと非PHIシステムの明確な境界を維持するハイブリッドモデルへ向かっています。