FTC、健康侵害通知ルールを明確にする変更を提案

5 月 18 日、連邦取引委員会 (FTC) は、健康アプリやその他の同様のテクノロジーへのルールの適用性の明確化を含む、健康侵害通知規則 (HBNR または規則) の変更を提案しました。 これらの変更案は、2021年の政策声明で概説されているように、FTCのルールの広範な解釈を正式に制度化することを目指している。

具体的には、これらの変更案は、HBNR の適用方法を、多くの締約国がこれまでに関連する法律や規則を理解していた方法と比較して大幅に拡大することになる。 これらの変更により、規則の対象となるエンティティの種類が拡大され（これまで規則の対象とは考えられていなかった特定の健康アプリに適用されるなど）、規則の通知義務を引き起こす活動の種類も拡大されます（例:消費者の同意なしに特定の健康情報を第三者に不正に開示すること）。 これらの解釈は、FTC の最近のガイダンスと執行決定の両方と一致していますが、この提案された規則によって法的要件として強化される新たな展開です。 この提案によって影響を受ける可能性がある企業は、当初の法的権限に照らしてこの追加の範囲と適用範囲を評価し、このコメント期間中にこれらの変更案に対して最善の対応方法を検討する必要があります。

さらに、FTC が提案している HBNR の変更は、FTC が「機密性の高い」カテゴリーのデータの保護に特に関心を持っていることを示すために講じた一連の措置の一部です。 健康データに関する最近の強制措置に加え、FTC は最近、児童オンライン プライバシー保護法に違反して子どものデータを処理した企業に対する 2 件の強制措置を発表しました。 また、5月には生体認証情報の処理に伴うリスクの増加に関するガイダンスも発表しており、当局がこの問題にも注意を払っていることを示している。 通常の業務過程でこれらのより機密性の高いカテゴリのデータを処理する企業は、FTC が細心の注意を払っていることを認識し、自社のプライバシー慣行が FTC の最近の指導および執行措置と一致していることを確認する必要があります。

以下に規則に対する主な変更案をまとめましたので、ご質問があれば喜んでお答えいたします。 WilmerHale のプライバシーとサイバーセキュリティのブログを購読すると、引き続き最新情報を入手できます。

多くの健康アプリや同様のテクノロジーは HIPAA の対象になっていませんが、この規則の範囲が明確化されたことで、そのような企業も対象となることになります。 これまで健康や医療の問題とは見なされていなかったかもしれないウェルネス関連サービスを提供する企業は、この明確化された範囲がそれらをカバーすることを意図していることにも注意する必要があります。（「健康」製品ではなく）「ウェルネス」製品としてブランド化された製品は、これらの変更案に基づく HBNR 義務は引き続き適用されます。

提案された変更はまた、この定義の下で事業体の範囲を狭めようとする政府機関の試みにおいて、安全ではないPHRの識別可能な健康情報にアクセスまたは送信する事業体のみがPHR関連事業体とみなされることを明確にする。 この新しい定義による義務の矛盾を避けるために、政府機関はまた、サードパーティのサービスプロバイダーがサービスを提供する過程で安全でない PHR 健康情報にアクセスする場合、PHR 関連事業体とはみなされないことを明確にするよう努めています。

セキュリティ侵害の定義の拡大

この変更に基づき、規則はセキュリティ侵害の定義も更新し、データセキュリティ侵害または不正開示の結果として発生する PHR を特定できる健康情報の不正取得を対象とする予定です。

現在の規則では、セキュリティ侵害を「個人の許可なしに、個人の健康記録にある個人の安全でない PHR 識別可能な健康情報を取得すること」と定義しており、個人のデータへの不正アクセスに対する反証可能な推定が含まれています。 新しい定義には「無許可の個人健康記録内の安全でない PHR 識別可能な健康情報の取得データ侵害または不正な開示の結果として発生した場合「（強調追加）。新しい定義は、違反または不正な開示の結果として発生する特定可能な健康情報の不正な取得が規則の対象となることを明らかにすることになる。」

第三者と情報を共有する企業は、そのような開示が顧客の承認を得ていることを確認する必要があります。 新しい定義では、消費者の許可なしに PHR ベンダーが自発的に行う開示は、GoodRx 事件や Easy Healthcare 事件などの最近の FTC の措置と一致して、明示的にセキュリティ侵害とみなされることになります。

通知方法の最新化

新しい規則では、電子メールとは、テキスト メッセージング、アプリケーション内メッセージング、または電子バナーの少なくとも 1 つと組み合わせた電子メールを意味します。 電子メール通知への 2 番目のプロングの追加は、消費者が侵害通知に遭遇する可能性を高めることを目的としています。

企業は現在、侵害に関与した可能性のある、保護されていない PHR による特定可能な健康情報の種類についての説明を通知に含めることが義務付けられています。 現在の規則では、氏名、生年月日、社会保障番号、口座番号、障害者コードなどの情報の例を定めています。 提案された変更の下では、このリストは、健康診断または健康状態の情報、検査結果、投薬、その他の治療情報、ユーザーによる健康関連のモバイル アプリケーションの使用、およびデバイスなど、他の種類の PHR で識別可能な健康情報を含むように拡張される予定です。識別子。 FTC は、健康情報の公開はさまざまな害を引き起こす可能性があると指摘しています。 たとえば、個人による健康関連のモバイル アプリケーションの使用が明らかになっただけでも、当惑、社会的偏見、高額な健康保険料、さらには失業などの損害につながる可能性があります。 セキュリティ侵害に遭遇した企業は、どのような種類の健康情報が流出した可能性があるかを慎重に検討する必要がある。政府機関は、PHR で識別可能な健康情報に含まれる内容について広範な解釈を示唆しているからである。

規則に対する最終的な変更案では、個人が違反について詳しく知ることができるように、企業に少なくとも 2 つの連絡手順を提供することが求められています。