HIPAA法やHITECH法は、医療に関わるクラウドサービスを利用する際に避けて通れない法律です。この記事では、HIPAA法とHITECH法の概要について紹介した上で、クラウドサービスがどのように関わってくるか解説しています。
「HIPAA法」および「HITECH法」とは
HIPAA法およびHITECH法は、いずれも医療情報を扱うクラウドサービスに関わる法律です。以下、それぞれの概要について解説します。
HIPAA法とは?
HIPAA(Health Insurance Portability and Accountability Act)法とは、電子化した医療情報に関するプライバシー保護・セキュリティ確保について定めたアメリカの法律です。日本語では、「医療保険の相互運用性と説明責任に関する法律」と訳すことができます。HIPAA法は1996年に制定され、その後の社会状況をもとに、複数回の改正が行われてきました。
HIPAA法では、個人を特定できる保健情報のことを「保護対象保健情報(Protected Health
Information【PHI】)」と呼びます。具体的には、個人の健康状況(過去・将来を含む)やヘルスケアの対策、そのための支払い状況等を指し、これらを保護するため、データのプライバシーやセキュリティの条件を定めるのがHIPAA法の目的です。
これらデータの保有者が、データの管理に関わる業務を外部に委託する場合は、「ビジネスアソシエート契約」を結ばなくてはなりません。
HITECH法とは?
HITECH(Health Information Technology for Economic and Clinical Health Act)法とは、簡単に言うと、前述のHIPAA法を拡張し違反に対する罰則を厳しくしたアメリカの法律です。日本語では「経済的及び臨床的健全性のための医療情報技術に関する法律」と訳されます。HITECH法では医療機関が、HIPAAが定める「プライバシー規則」「セキュリティ規則」に準拠しているか監査します。HIPAA法とHITECH法の両方で、PHIのセキュリティとプライバシーを保護するわけです。
なおHITECH法では、その適用対象が対象事業者の事業提携者(BA/Business Associate)に拡大されました。BAとは、PHIの管理に関わる業務を対象事業者に代わって行うか、PHIの管理に関わるサービスを対象事業者に提供する組織もしくは個人を指します。PHIを保護する法律的義務を負う対象が増えたわけです。
クラウドサービスも監査の対象に
さまざまな業態でクラウドサービスの利用が主流となる中、医療業界においてもクラウドサービスは欠かせません。
そんな中で、前述の通りHITECH法では適用対象が拡大されています。「HIPAAクラウド・ガイドライン」によると拡大された対象の中には、患者のデータを保存するストレージや電子カルテ、ヘルスデータを分析するアプリケーション等のクラウドサービスの事業者やその下請け事業者も含まれているとのことです。
つまり、クラウドサービスを提供する事業者やその下請け事業者は、HIPPA法やHITECH法を順守する必要が生じることになります。クラウド事業者は、下請け事業者が法律に違反していることを知りながら必要な対策を講じなかったり、処置が不十分なまま契約を終了したりすると、HIPAA順守違反と判断される可能性も否定できません。
対象となるMicrosoftのクラウド サービス
Microsoftが提供するクラウドサービスもHIPPA法やHITECH法の対象となり、独立監査人による監査を受けています。以下、参考までに対象となるMicrosoftのクラウドサービスを列挙します。
- Azure およびAzure Government
- Microsoft Cloud App Security
- Microsoft Microsoft 医療ボットサービス
- Microsoft Stream
- Microsoft Professional Services: Azure、Dynamics 365、Intune と、Microsoft 365 for business のMedium Business およびEnterprise 利用者のPremier およびオンプレミス サポート
- Dynamics 365、Dynamics 365 U.S. Government
- Power Automate(旧称Microsoft Flow)スタンドアロン サービス、またはOffice 365 やDynamics 365 ブランド プランあるいはスイートに搭載されているサービスとしてのクラウド サービス
- Intune
- Office 365、Office 365 U.S. Government、Office 365 U.S. Government Defense
Power Apps クラウド サービス (スタンドアロン サービス、またはOffice 365 やDynamics 365 ブランド プランあるいはスイートに搭載されているサービス) - Power BI クラウド サービス (スタンドアロン サービス、またはOffice 365 およびDynamics 365 ブランド プランあるいはスイートに組み込まれているサービス)
- Azure DevOps Services
HIPPA法の対象となるサービスを提供する事業者は、MicrosoftとPHIを適切に保護することを保証する契約を結ぶ必要があります。
まとめ
HIPAA法とHITECH法は、電子化された医療情報におけるプライバシーとセキュリティを保護するための法律です。電子カルテを所有する医療現場に限らず、電子カルテを扱うクラウドサービスまで法律の効力が及びます。必要に応じてサービス提供元と、電子化された医療情報の適切な保護を保証する契約を締結しなくてはなりません。
