人事管理局(OPM)が連邦職員とその家族の個人識別可能な健康情報の収集を認める提案は、プライバシーとセキュリティのリスク、およびHIPAA違反とデータの悪用の可能性により、強い批判を集めています。
2025年12月12日の情報収集要求(ICR)に関する通知—「連邦職員健康給付(FEHB)および郵政サービス健康給付(PSHB)プログラムサービス利用およびコストデータ」—によると、OPMは保険キャリアにFEHBおよびPSHBプログラムの請求データをOPMに提出することを要求しています。この提案の下では、保険キャリアは現在および元の連邦職員とその家族の保護された健康情報(個人識別子を含む)の月次提出を義務付けられています。OPMによれば、このデータにより「OPMが健康給付プログラムを監督し、競争力のある質の高い手頃な価格の計画を確保する」ことができるようになります。データの収集と分析からコスト削減とケア品質の向上などの明確な利点が得られる一方で、この提案は重大なプライバシーとセキュリティの懸念を引き起こしています。
トランプ政権は労働者の医療情報への前例のないアクセスを求めています—健康保険の携行と責任に関する法律(HIPAA)によって保護された情報です。求められているデータは政府データではなく、HIPAA規制対象エンティティによって維持される保護された健康情報です。この提案の下でOPMに提出される情報は政府データベースに入力されますが、OPMはその情報がどのように使用、維持、保護されるかについて十分に説明することに失敗しています。したがって、要求されたデータが述べられた目的以外の理由で使用される可能性があるという正当な懸念があります。特に、トランプ政権が過去12ヶ月間に社会保障局と内国歳入庁から個人情報を取得しようと試みたことを考えると。
「OPMはFEHBおよびPSHBキャリアからサービス利用とコストデータを収集しており、医療請求、薬局請求、遭遇データ、およびプロバイダーデータが含まれます。このデータにより、OPMが健康給付プログラムを監督し、競争力のある質の高い手頃な価格の計画を提供することを保証できるようになります」とOPMは通知で説明しています。「OPMはFEHBプログラムを効果的に管理するために、キャリアが必要な情報を報告し、監査および検査を許可することを要求しています。」
通知の中で、OPMはHIPAAの下では健康計画などの対象エンティティが、保護された健康情報(サービス利用とコストデータを含む)を45 CFR 165.512(d)(1)で認可されている監視活動のための健康監視機関(OPMを含む)に開示することが許可されていることを説明しています。通知は65のキャリアに対し、連邦職員と退職者のための請求レベルのデータの継続的な月次提出と四半期メーカーリベートデータの提出を求めています。キャリアは連邦労働者、郵便配達人、退職した議会議員、およびその直系家族を含む、800万人以上のアメリカ人のデータを保有しています。
データカテゴリーに対してそのような広い用語を使用することは警報を鳴らしています。OPMは求められた治療と受けた治療に関する情報を含む、大量の機密性の高い個人識別可能な情報を提供される可能性があります。たとえば、遭遇データは完全な医療記録と医師のメモを潜在的に含む可能性があり、これは述べられた健康監視活動に必要な情報を超えています。
非識別化されたデータは述べられた目的を達成するために潜在的に使用される可能性がありますが、OPMは個人識別子を削除することについて言及していません。したがって、プライバシーグループからは、OPMが機密性の高い情報の巨大なデータベースを作成し、容易に悪用される可能性があるという正当な懸念があります。たとえば、彼らが求めた医療サービスと受けた医療サービスに基づいて特定の従業員をターゲットにするため、またはDEI、性別肯定ケア、および生殖医療ケア構想、またはターゲットにされている他の医療サービスで政権を支援するため。
データ悪用の可能性は別として、この提案はキャリアに対して重大なコンプライアンスと法的リスクを生み出します。OPMは通知の中でHIPAAプライバシー規則が健康監視活動のための保護された健康情報の開示を許可していることを述べていますが、保護された健康情報の広い範囲を要求しており、その提供は最小必要基準に違反する可能性があります。最小必要基準—45 CFR 164.502(b)、164.514(d)—は健康監視活動のために開示されたデータに適用されます。「保護された健康情報を使用または開示する場合、または保護された健康情報を要求する場合…対象エンティティまたはビジネスアソシエイトは、使用、開示、または要求の意図された目的を達成するために必要な最小限度まで保護された健康情報を制限するための合理的な努力を行う必要があります。」
現在の形では、この提案は開示の目的についての詳細な情報が不足しており、要求されたデータの広いカテゴリーはキャリアがHIPAAコンプライアンスのロープを歩くことを要求します。トランプ政権がOPMデータ開示に関するHIPAAコンプライアンスを施行する意図がないかもしれませんが、将来の政権は完全に異なる見方を取る可能性があり、データ開示はキャリアを重大な法的リスクにさらします。現在のところ、キャリアがこの提案にコンプライアンスするつもりかは不明です。
HIPAAは健康監視活動のための保護された健康情報の開示を許可していますが、これはHIPAAの下で必須の開示ではありません。キャリアは適切で必要と考える情報のみの開示を選択する場合があります。ただし、開示の正確な目的についての詳細情報がない場合、どの情報が適切で必要かを判断することは困難であり、コンプライアンスと行政上の負担は重大なものになります。
政府に提供される保護された健康情報とその情報の使用方法についての懸念に加えて、政府エンティティが脅威アクターの標的にされている程度、およびOPMとトランプ政権の機密データ保護の歴史を考えると、機密性の高い保護された健康情報のデータベースを保護するOPMの能力についての懸念が提起されています。OPMは2015年に2つの大規模なデータ侵害を経験しました。1つは420万人の現在および元の連邦職員の個人情報を含むもので、もう1つは2,200万人以上のアメリカ人の個人記録の盗難を含むものです。中国政府が攻撃の背後にあると言われています。
この提案は重大な批判を引き起こしています。連邦保健機関協会(AFHO)は、OPMが2010年に同様の提案をしたことがあり、医療請求データウェアハウスの確立を求めることは初めてではないことを指摘しています。16年前に提起されたのと同じHIPAAコンプライアンスの懸念は、最新の提案にも当てはまります。AFHOは非識別化されたデータのみを共有すべきであると主張していました。しかし、今日、OPMとの非識別化されたデータの共有は重大なコンプライアンスリスクを伴っています。AFHOは、OPMが既に登録者とその家族についての詳細な情報を持っているため、非識別化されたデータが再識別される可能性があり、HIPAAプライバシー規則は再識別のリスクがある場合の非識別化されたデータの共有を許可していないことを懸念しています。AFHOはOPMとCMS間の合意を提案し、CMSエッジサーバーシステムを使用してデータをクエリし、再識別のリスクを排除するか、生データを実行可能な洞察に変換することができるHealth Care Cost Instituteとの契約を締結することを提案しています。
民主主義フォワード財団のプロジェクトである市民奉仕強化の管理ディレクター、ロバート・H・シューラー3世は、ICRに対する強い反対を表明しました。特に、OPMが提案されたデータ収集を正当化し、データがどのように使用されるかを明確に述べることに失敗したこと、データがどのように保護されるかを説明することに失敗したこと、およびデータの悪用のリスクが原因です。「OPMのICRはトランプ-ヴァンス政権の連邦労働者への露骨な軽蔑と機密データへの無責任なパターンを考えると、特に懸念されます」とシューラーはICR通知に対応するコメントで書きました。彼はトランプ政権が機密データで信頼できないことを実証したと述べ、トランプ政権が機密社会保障局データが認可されていない個人に送られ、政府以外のサーバーで共有されたことを最近認めたこと、そして特にDOGE活動を通じて「政府データで綱渡りをしている」ことを引用しました。
オバマおよびバイデン政権の下でFEHBプログラムについて助言していた元OPM職員のジョナサン・フォーレイは、個人識別可能なデータを収集および分析することから得られる価値がある利益があると信じていますが、データの悪用の相当な可能性とプライバシーリスクについて警告しています。通知に対応するコメントの中で、フォーレイはトランプ政権が機密情報を適切に処理することについて貧弱な記録を持ており、連邦プログラム全体で識別可能なデータをリンクしようと試み、データが収集された元の目的とは関係のない理由でそれを使用しようと試みたと述べました。フォーレイは、非識別化されたデータがOPM以外の信頼できるエンティティによって収集および維持される可能性があること、その信頼できるエンティティからのデータへの直接アクセスを要求することを防ぐガードレールがあることを提案しています。CVSヘルスは、OPMが利害関係者作業グループを招集して、要求されたゴールをサポートするために必要な特定のデータ要素を決定し、一貫した報告フレームワークを確立することを提案しています。
最近、2026年4月17日に、下院監視委員会の16人の民主党議員がOPMディレクターのスコット・クポワとOMBディレクターのラッセル・ヴォートに手紙を送り、データの悪用の可能性、HIPAA違反、およびOPMが機密データを責任を持って保護するために必要なセーフガードを欠いているという懸念に基づいて、提案された計画の撤回を求めました。「800万人以上のアメリカ人がFEHBおよびPSHBプログラムの下で健康保険を受けています。連邦労働者、郵便配達人、およびその直系家族が含まれています。彼らは医者との相談で医療上の決定を下すことができるべきです—連邦政府ではなく」と上院議員は書きました。「したがって、私たちはOPMがプライベート健康保険データを収集するすべての計画を中止し、このポリシーを施行することの決定についてのブリーフィングを提供することを要求します。」上院議員は、従業員のプライバシーに対するいかなるガードレールまたは保護もなく、そのような広範なデータセットを取得する決定について説明するよう指導者に求めました。
翻訳元: https://www.hipaajournal.com/opm-plan-collect-federal-employees-health-insurance-data-criticism/
