HIPAA(Health Insurance Portability and Accountability Act of 1996)は1996年8月21日にビル・クリントン大統領が署名した米国連邦法で、医療保険の継続性確保とともに、患者の医療情報を保護するための国家的な枠組みを初めて整備したことで知られる。Title IIで定められたAdministrative Simplificationの一部としてPrivacy Rule、Security Rule、Breach Notification Ruleなどが順次施行され、現在は保健福祉省(HHS)のOffice for Civil Rights(OCR)が監督・執行を担っている。本稿では制定の経緯、対象事業者、主要規則、執行状況を整理する。
この記事の目次
- HIPAA成立の経緯と構造
- 対象事業者とBusiness Associate
- Privacy RuleとSecurity Ruleの要点
- 罰則と侵害通知、関連法との関係
- まとめ
HIPAA成立の経緯と構造
1990年代の米国では医療情報の電子化が進む一方、患者情報の流出や保険の継続性が大きな社会問題となっていた。HIPAAは1996年8月21日に連邦法Pub. L. 104-191として成立し、Title Iで医療保険のポータビリティを、Title IIで医療詐欺対策と情報保護を、Title III以降で税制・歳入関連を扱う構成となった。Title IIに含まれる「Administrative Simplification」が情報保護の中核で、ここからPrivacy Rule(2003年4月)、Security Rule(2005年4月)、Enforcement Rule(2006年3月)、Breach Notification Rule(2009年9月)が派生した。
2009年のHITECH法(American Recovery and Reinvestment Actの一部)はHIPAAを大幅に強化し、Business Associate(BA)への直接適用、罰則の引上げ、データ侵害通知義務の追加を行った。2013年1月のOmnibus Final RuleはこれらをHIPAA規則に取り込み、現代の医療データ保護フレームワークの基礎を確立した。HIPAAは医療産業の電子的取引フォーマットも標準化し、米国保健福祉省のCMS(Centers for Medicare & Medicaid Services)がX12フォーマット等の電子取引仕様を管理している。
対象事業者とBusiness Associate
HIPAAの規制対象は「Covered Entity(CE)」と呼ばれる三類型で、(1) 医療機関(Health Care Provider)、(2) 医療保険プラン(Health Plan)、(3) 健康情報を電子的に処理するクリアリングハウス(Health Care Clearinghouse)が該当する。また、CEの業務を支援するためにPHI(Protected Health Information、保護対象保健情報)にアクセスする外部事業者は「Business Associate(BA)」と位置づけられ、サブコンタクターも含めてHIPAAが適用される。
CEとBAの間ではBusiness Associate Agreement(BAA)と呼ばれる契約を締結し、PHIの利用目的、保護策、再委託、侵害通知、契約終了時のデータ処理などを明文化する必要がある。AWS、Azure、Google Cloud、Salesforce、Slack、Zoomなど主要クラウドサービスはBAA締結に対応するエンタープライズプランを提供しており、HIPAA対象事業者が利用する場合は所定のサービス範囲に限定して契約する仕組みとなる。
Privacy RuleとSecurity Ruleの要点
Privacy Rule(45 CFR Part 160 and Subparts A and E of Part 164)はPHIの取扱いに関する基本ルールを定め、Treatment、Payment、Healthcare Operations(TPO)目的以外の利用には患者本人の同意(Authorization)が必要であると規定する。また患者には自身のPHIにアクセス・修正・利用履歴を取得する権利が認められ、Notice of Privacy Practices(NPP)の交付が義務化されている。
Security Rule(45 CFR Part 164, Subpart C)は電子PHI(ePHI)に絞り、Administrative(管理的)、Physical(物理的)、Technical(技術的)の三領域における安全管理策を要求する。それぞれRequired(必須)とAddressable(条件付き)の二段階に分類され、後者は組織の規模・複雑性・リスクに応じて代替策が許容される柔軟な構造になっている。技術的措置にはアクセス制御、監査ログ、伝送暗号化(TLS 1.2以上が推奨)、整合性検証、認証強化(多要素認証)などが含まれる。
罰則と侵害通知、関連法との関係
HIPAA違反はOCRが調査と執行を担当し、罰則は4段階の過失レベルに応じて1件あたり最低100ドルから最大5万ドル、年間上限190万ドル(2024年調整値)まで科される。Breach Notification Ruleでは、500人以上が影響する侵害は60日以内にHHSへ通知、HHSの「Wall of Shame」と呼ばれる公開リストに掲載される。Anthemの2015年8000万件侵害事件は1億1500万ドル、Premera Blue Crossの侵害は1000万ドルの和解金が課されるなど、巨額の制裁事例が報告されている。
HIPAAは医療データに特化する一方、州法のCCPA/CPRA(カリフォルニア)やNew York SHIELD Act、欧州のGDPRと適用範囲が重なる場面もあり、グローバル医療事業者は複数規制への適合が必須となる。実装ガイドとしてはNIST SP 800-66(HIPAA Security Ruleの実装ガイダンス、2024年2月にRev. 2が発行)が活用され、技術的措置の具体策はNISTのCSFやSP 800-53と整合させて運用するのが定石である。
まとめ
HIPAAは医療プライバシ保護の世界的な参照モデルとして、現代のヘルステック事業に強い影響を与え続けている。Privacy Rule、Security Rule、Breach Notification Ruleの三本柱とBAA運用を押さえ、NIST SP 800-66で技術的措置を補完すれば、厳格な医療データ規制にも自信をもって対応できる。
※本記事はIT用語辞典の手書きドラフトです。公開前に最新情報・出典を確認のうえ加筆修正してください。
コメント