伝統的に倫理的な医療では,患者の医療情報を秘密にしておくことが常に必須とされてきた。ただし,米国では,医療保険の相互運用性と説明責任に関する法律(Health Insurance Portability and Accountability Act:HIPAA―Pub. L 104-191 (1996)を参照)により,医療従事者,医療保険(health plan),医療クリアリングハウス,ならびに医療情報および関連情報(例,医療記録,登録,請求,適格性の確認)を電子的に伝送するそのビジネスアソシエートに対する責任が成文化されている。それらの適用範囲はHIPAA下の全ての主体に及んでいる。(U.S. Department of Health and Human Services: HIPAA for Professionalsも参照のこと。)
HIPAAの重要な規定は,以下の3つの規則(現在は1つのオムニバスルールに含められている)で構成されており,これらは全て個人を識別できる健康情報(保護対象健康情報[protected health information:PHI]と呼ばれる)のプライバシーおよびセキュリティを確保するために策定されている:
Privacy Rule:PHIの保護の基準が規定されており,患者に対して自身の健康情報に関する重要な権利を与えるものである
Security Rule:電子的なPHIのプライバシー,完全性,およびセキュリティを確保するために適用対象の主体およびそのビジネスアソシエートが導入しなければならない安全策が規定されている
Breach Notification Rule:適用対象の主体に対し,PHIのセキュリティ確保の違反について,影響を受けた個人および連邦政府のほか,一部のケースではメディアにも通知することが求められている
米国保健福祉省(Department of Health and Human Services)の公民権局(Office for Civil Rights)がこれら3つの規則を施行しており,その遵守に関するガイドラインを提供している。
Privacy Ruleの要点を以下に詳述する。
医療記録の入手
典型的に,患者または患者の委任代理人は,医療記録の閲覧およびその写しを入手すること,ならびに,誤りを特定した場合は訂正を要求することが可能であるべきである。Privacy Ruleで規定されるところでは,患者の「個人代理人(personal representative)」と認定された人とは,健康に関する意思決定について権限を有する後見人もしくは保佐人,事前指示書もしくは医療判断代理委任状で指定された代理人もしくは代理権者,または州法の下で健康に関する意思決定の代理人を務める権限を与えられた家族もしくは友人である。患者はまた,署名された書面による承認により,別の人物が医療記録の全部または一部を入手できるようにする権利を有する。
プライバシーポリシーの通告
医療従事者は,PHIの考えられる用途,およびHIPAA規制の下での患者の権利に関して通告しなければならない。
保護対象健康情報(PHI)の使用に対する制限
HIPAAは医療従事者がPHIを使用できる方法を制限している。この法律は,医師,看護師およびその他の医療専門職が患者の治療に必要な情報を共有することは制限していない。COVID-19パンデミックなどの発生中に公衆衛生上の目的で健康情報交換組織(health information exchange)および公衆衛生当局に情報を開示することは,米国保健福祉省(Department of Health and Human Services)の公民権局(Office for Civil Rights)のガイドラインにおいて,許容される開示とされている。ただし,医療専門職が使用または共有できる情報は,特定の目的に必要とされる最小限の保護されたものに限定される。大半の状況下では,PHIを医療とは関係のない目的に使用することは許可されていない。例えば,医療従事者が患者の現在の医療ニーズとは関係のない目的で生命保険会社,銀行,マーケティング会社またはその他の外部の企業にその患者の医療情報を開示する前に,患者は特定の許可書に署名しなければならない。
マーケティング
マーケティングとは,人々に特定の商品またはサービスの購入を勧めるために考案された情報伝達である。HIPAAは,マーケティング目的でPHIを開示する前に患者から特定の許可を得ることを要求している。医療従事者は,マーケティングの結果受け取ることとなる全ての報酬を開示しなければならない。しかしながら,医療従事者は,治療選択肢,製品および疾患管理プログラムなどを含めた他の健康関連のサービスに関しては,自由に患者と話し合うことができる。
秘密厳守によるコミュニケーション
医療専門職は,患者とのコミュニケーションは機密性が保たれ,患者の要望に添った形で行われていることを保証するために適切な方策をとるべきである。例えば,医師と患者との医療に関する話し合いは,一般的には内々で行われるべきであり,患者は,医師が自宅ではなく職場に電話することを望む場合もある。それでもなお,もしその情報が患者のケアもしくはケアに対する支払いに関わる患者の直接の家族または親しい個人的友人として知られている人物の関与に関係するものであって,かつその情報がその人物の関与に必要なものに限定されているのであれば,患者が反対しない限り,医師はその人物とPHIを共有することができる。医師は専門的な判断力を駆使することを求められる。
患者の個人代理人と認定された人は,情報へのアクセスおよび意思決定への参加に関して患者と同一に取り扱われるべきである。したがって,代理人は情報を入手する同じ権利があり,情報の機密性に関する同じ権利を行使する場合がある。とはいえ,代理人によるドメスティックバイオレンス,虐待,またはネグレクトに関する妥当な懸念がある場合,医療専門職は情報またはその入手権を制限してもよい。
コミュニケーションの中には,機密性が保たれないものもある。医療専門職は,ときに州法または現地法により特定の情報の開示を要請されることがあり,通常は他者に危害が及びうる状況のためである。HIPAAは,疾患,損傷,または障害を予防または管理する目的でPHIの情報を得る法的権限を有する公衆衛生当局に対して,PHIの開示を許可している(1)。(U.S. Department of Health and Human Services: HIPAA for Professionals: Disclosures for Public Health Activitiesも参照のこと。)例えば,特定の感染症(例,COVID-19,HIV,梅毒,結核)は州または地元の公衆衛生当局に報告しなければならない。小児虐待,および多数の州では,成人または高齢者に対する虐待またはネグレクトの徴候は,典型的には保護サービスに報告しなければならない。一部の州では,認知症や最近の痙攣発作など,患者の自動車運転能力を大きく障害しうる病態については,車両管理局(Department of Motor Vehicles)に報告しなければならない。
苦情
患者は,これらのプライバシーの取り扱い方法の遵守に関して苦情を申し立てることができる。苦情は,医療専門職に直接,米国保健福祉省(Department of Health and Human Services)の公民権局(Office for Civil Rights)に対して,またはHIPAAに従い医療機関が指定するプライバシーコンプライアンスオフィサーに対して申し立てることができる。HIPAAの下では患者は個人的訴訟を起こす権利をもたないが,プライバシーと機密性を保護する他の法律の下では訴訟を起こすことができる。公民権局(Office for Civil Rights)は,個人健康情報の不適切な開示に対して頻繁に民事罰および刑法罰を課している。医療専門職がとるべき最も確実な道は,HIPAAについて熟知し,誠実かつ妥当な対応に努めることである。
参考文献
1.United States Code of Federal Regulations (CFR): 45 CFR §164.512.Accessed September 22, 2023.
より詳細な情報
U.S. Department of Health and Human Services: HIPAA for Professionals: Provides detailed information about HIPAA and its rules and administration, including frequently asked questions about HIPAA.
