医療プライバシー

処方履歴、医療記録、性生活履歴、薬物使用情報など、世界で最も重要な情報の一部が、デジタルの世界に入りつつあります。 医療記録のデジタル化は、ヘルスケアに革命をもたらす機会として販売されています。 しかし、デジタルカルテには確かに特別な利点がある一方で、この技術革新は私たちのプライバシーに大きな影響を及ぼすものでもあるのです。

EFFの医療プライバシープロジェクトは、医療プライバシーにおける新たな問題を調査し、医療プライバシー法の遅れと急速に進む技術革新により、患者が医療データの暴露、悪用、誤解を受ける可能性があることを考察しています。

• 
• 
• 
• 

• 
• 
• 

私たちはみな自分の医療情報がプライベートであってほしいと願いますが、これは自分と医療従事者だけのものだと信じているからです。 しかし、残念ながら、そうでないことがよくあります。

治療や処方の提供や支払いのプロセスだけで、多くの個人的な健康データが流通しています。 例えば、公衆衛生目的の義務付けられた報告により、膨大な量の特定可能な健康情報が収集されます。 そして、私たちは皆、病気や症状についてオンラインに投稿したり、インフルエンザについての情報を検索エンジンで探したり、仕事に応募したり、ジムに入会したり、その他様々な方法で行動するために、自分の健康に関する多くの情報を自発的に、あるいは認識された利益を受け取るために、無意識のうちに提供しているのである。

健康プライバシー法

米国には、たとえばEUのデータ保護指令に匹敵するような普遍的な情報プライバシー法はありません。 存在する法律はセクター固有であり、かなり異なります。 健康情報に対する基本法は、医療保険の相互運用性と説明責任に関する法律 (Health Insurance Portability and Accountability Act: HIPAA) です。 HIPAAは、患者にいくつかの権利を提供していますが、法律が「対象事業者」、すなわち医療提供者、医療計画、医療照会機関、または関連する業務提携者（BA）と見なす事業者にしか適用されないため、非常に限定的なものとなっています。 つまり、携帯電話のアプリや23andmeのような遺伝子検査サービスなど、医療情報を受け取る可能性のある多くの事業体には、HIPAAは適用されないということです。

現実的には、HIPAAはプライバシー法ではなく、開示規制法です。 それは、あなたの健康情報が、あなたの同意のあるなしにかかわらず、どのように開示されるかを規制しています。 治療、支払い、ヘルスケア業務には、同意は必要ありません。 例えば、あなたの医者は、それがあなたの怪我の治療の一部であるため、あなたの同意を得ることなく、あなたの最新の怪我について他の医者と相談することができます。

個人の医療情報は、公衆衛生報告、法執行の支援、司法および行政目的、または給付やサービスの受給資格の決定のために、あなたの同意なしに開示されることもあります。 また、国家安全保障の目的のために、あなたが知り得ない方法で開示されることもあります。

州はまた、医療プライバシーを保護することができます。 連邦法として、HIPAAは国の「床」を確立しているが、州がより強い患者のプライバシー保護を持つことを許可している。 いくつかの分野では、カリフォルニア州法はHIPAAより強力である。

医療プライバシーに関連する特定のトピックを理解するためには、医療情報に適用される州法と連邦法のパッチワークを理解することが役に立ちます。 医療プライバシー法に関する当社のガイドをお読みください。

医療記録にはどのような情報が記載されていますか？

医療記録で収集および共有される医療および非医療情報には、以下のようなものがあります。

• 住所、電話番号、電子メールアドレス、年齢、性別、人種などの基本的な統計データ
• フルネーム、アカウント番号、場合によってはソーシャルセキュリティ番号。 社会保障番号の使用は、ID 盗難の危険性があるため、推奨されません。 このため、すべてではありませんが、一部の医療機関は、現在、社会保障番号ではなく、割り当てられた患者ID番号を使用しています。
• 病歴：診断、治療、診断テストの結果、処方箋、および既知の病状、アレルギー、薬/アルコール/喫煙の習慣など。

• 請求および支払い情報

• がんや糖尿病など特定の病気の履歴など、近親者について入力フォームに記入した情報

医療情報がHIPAAで扱われない場合はどのような場合か。

多くの状況で、HIPAA の対象外のエンティティが医療情報を持っています。 そのような事業体には、他のプライバシー法が適用されることもあれば、適用されないこともあります。

健康情報は、完全な記録でないとしても、例えば、処方箋や精神科治療の支払いをクレジットカードで行う場合、財務記録に含まれていることがあります。 学校の記録には、身体検査、行動評価、またはスポーツによる怪我の治療の記録が含まれることがあります。この情報は通常、FERPA (Family Educational Rights and Privacy Act) によってカバーされます。 雇用記録にも、健康情報が含まれることがあります。

また、私たちが自発的に提供する情報のデジタルシンクホールも存在します。 これは、ソーシャルメディア、健康関連のウェブサイトやチャット グループ、モバイルの健康やフィットネスのアプリにおける識別可能な情報です。 また、あらゆるウェブサイトが収集し、他のデータと組み合わせて識別可能にしている可能性のある、非識別化された追跡情報である場合もあります。

誰があなたの医療記録にアクセスできるのですか？

多くの機関や組織が、HIPAA やその他多くの法律のもと、医療情報に合法的にアクセスすることができます。 まず、保険会社は一般に、医療保険だけでなく、生命保険、長期介護保険、および怪我の医療払い戻しを伴う自動車保険にもアクセスできます。 また、メディケア、メディケイド、社会保障障害、労働災害補償、州および連邦政府の公衆衛生局など、数多くの政府機関もアクセス権を有しており、数え上げればきりがありません。

さらに、医療情報局（MIB）は、保険申請の際に開示が義務付けられている医療記録をすべて収集しています。 しかし、2014年以降、米国医療保険改革法（Affordable Care Act: ACA）によって、健康保険に加入する際の既往症の判断材料がなくなり、患者は申請手続きの一環として医療記録を開示する必要がなくなります。 これらの記録は、保険会社が、あなたが申込書に正直に記入したことを確認するのに役立ちます。

また、医療保険制度の薬物給付プログラムを管理するPharmacy Benefit Managers（PBM）もある。 PBMは、あなたのすべての処方履歴（薬、日付、投与量、誰が処方したかなど）を持っています。 彼らはまた、非識別化情報（個人を特定できる情報が取り除かれているため、HIPAAの対象外）をデータマイニング業者に売り、その業者はそれをさまざまな種類のレポートとしてパッケージ化して再販しています。

雇用主は、求人に応募する際のバックグラウンドチェックで健康情報にアクセスすることができますが、最初に書面による許可を得ることになっています。 従業員の健康増進プログラムを運営または委託している場合、あなたが運動や減量をしているか、本当に禁煙しているか、アンガーマネジメント問題のコントロールに成功しているかといった情報にアクセスできる可能性があります。

前述のように、法執行機関のための医療記録へのアクセス同意には、司法および行政手続きのための例外と同様に、標準的な例外が存在します。 国家安全保障の目的で取得された情報はより神秘的で、不幸にも自分が政府による訴追の対象とならない限り、自分の記録が開示されたことを知ることはまずないでしょう。

規制の枠外で人々が医療情報を提供するもうひとつの分野は、非公式の健康診断、健康フェア、商業的に管理されたワクチンプログラム（コストコでのインフルエンザ予防接種やウォルグリーンでの帯状疱疹ワクチン接種など）です。

自分の医療情報に対してどのような権利や管理がありますか？

自分の個人的な健康情報に何が起こるかについて発言することに関しては、あなたは最後尾にいますが、いくつかの権利があります。

あなたは、医療機関があなたの情報をどのように使用し（つまり、あなたに選択の余地はない）、あなたの権利が何であるかを伝えるプライバシー慣行通知（NPP）を渡さなければなりません。 プロバイダーは、STD、薬物乱用治療、および心理療法ノートに関する情報を開示するために、あなたの書面による承認を必要とします。 書面による承認は、処方箋のリマインダー以外のマーケティングの任意の種類のために必要です。 あなたが求めるとあなたの記録のコピーを受信し、修正を要求することができます。 あなたがあなた自身の治療のために支払うと、保険会社に情報を開示しないようにプロバイダに依頼した場合、それは開示することはできません。

さらに、医療提供者の過失、悪意のあるハッカーの行為、またはその他の何らかの手段によるデータ侵害で、医療情報が漏洩する可能性があります。 2005 年から 2013 年にかけて、Privacy Rights Clearinghouse は、潜在的に 29,000,000 件以上の機密記録を暴露した 1,118 件の医療データ侵害の報告を集めました。 また、医療記録の侵害は、場合によっては多額の罰金につながることもあります。 連邦政府も現在、影響を受けた個人数の推定値を含む医療データ流出情報を公表しています。

健康情報を電子的に共有するための方針はまだ定まっていませんが、医療記録をデジタル データの流れに乗せるために、治療、支払い、医療業務に関する HIPAA の同意を前提とした以上の追加の同意は必要ない、というのが既定の見解のようです。

医療プライバシー法についてもっと読む。

リソースとブログ。

CalOHII (California Office of Health Information Integrity) には、医療情報のプライバシーに関する連邦およびカリフォルニア州の法律と規制について、有用でよくまとまったセクションがあります。

California Health Information Law Identification (CHILI) CHILI は、個人を特定できる健康情報のプライバシー、アクセス、セキュリティに関連するカリフォルニア州法および規制の特定を支援する検索ツールです。

カリフォルニア州司法長官事務所（カリフォルニア州のすべてのプライバシー法へのリンク）

民主主義と技術センターの医療プライバシープロジェクト

健康の自由のための市民会議

責任ある遺伝学のための協議会

保健福祉省および教育省（Department of Health and Human Services and Department of Education: Health and Human Services and Department of Education: Joint Guidance on the Application of the Family Educational Rights and Privacy Act (FERPA) And the Health Insurance Portability and Accountability Act of 1996 (HIPAA) To Student Health Records. (FERPAとHIPAAの相互作用について）

Genetic Alliance

GeneWatch UK

Genomic Law Report

HealthLawProf Blog

Indiana University Center for Bioethics Newborn Blood Spot Banking（インディアナ大学生命倫理センター、新生児血液スポットバンク）。 Approaches to Consent – PredictER Law and Policy Update

国立ヒトゲノム研究所 Genome Statute and Legislation Database

患者のプライバシー権

プライバシー権クリアリングハウスの医療プライバシープロジェクト

UCバークレー総長室が情報取扱法をよくまとめています。

World Privacy ForumのPatient’s Guide to HIPAA

（英語