米国 FTC 健康侵害通知規則を改正（HIPAAの対象外である健康アプリや同様の技術への適用も...）

こんにちは、丸山満彦です。

米国の公正取引委員会 (Federal Trade Commission; FTC) が健康侵害通知規則 (Health Breach Notification Rule) を改正しましたね...

ポイント...

・HIPAAの対象外の健康アプリや類似のテクノロジーにも適用される

・「データセキュリティ侵害」の定義には、データセキュリティ侵害と不正開示の両方が含まれる

・改正された「PHR関連事業体」の定義は、モバイルアプリを含む個人健康記録ベンダーのオンラインサービスを通じて製品やサービスを提供する事業体にもこの規則が適用されることを定めている

・「個人健康記録」の定義では、複数の情報源から情報を引き出す技術的能力が重要である

・最終規則は、消費者に対する電子的通知の利用を拡大する

・消費者への通知はより多くの情報を含み、"明確かつ目立つ"、"合理的に理解できる "ものでなければならない

・対象事業体は、500人以上が関係する情報漏えいについて、消費者、およびFTCに通知するために迅速に行動しなければならない

・相互参照、引用、および違反に対する罰則に関する詳細情報が追加されている

 

● Federal Trade Commission; FTC

プレス...

・2024.04.26 FTC Finalizes Changes to the Health Breach Notification Rule

FTC Finalizes Changes to the Health Breach Notification Rule	FTC、医療情報漏えい通知規則の変更を最終決定する
Final rule underscores its application to health apps and similar technologies not covered by HIPAA	最終規則では、HIPAAの対象外である健康アプリや類似技術への適用が強調されている。
The Federal Trade Commission today announced it has finalized changes to the Health Breach Notification Rule (HBNR) that will strengthen and modernize the rule by clarifying its applicability to health apps and other similar technologies and expanding the information that covered entities must provide to consumers when notifying them of a breach of their health data.	米連邦取引委員会（FTC）は本日、健康侵害通知規則（HBNR）の変更を最終決定したと発表した。HBNRは、健康アプリやその他の類似技術への適用を明確化し、対象事業体が消費者に健康データの侵害を通知する際に提供しなければならない情報を拡大することで、同規則を強化・近代化するものである。
The HBNR requires vendors of personal health records (PHR) and related entities that are not covered by the Health Insurance Portability and Accountability Act (HIPAA) to notify individuals, the FTC, and, in some cases, the media of a breach of unsecured personally identifiable health data. It also requires third party service providers to vendors of PHRs and PHR related entities to notify such vendors and PHR related entities following the discovery of a breach.	HBNRは、医療保険の相互運用性と説明責任に関する法律（HIPAA）の対象外である個人健康記録（PHR）業者および関連事業体に対し、保護されていない個人識別可能な健康データの漏えいについて、個人、FTC、場合によってはメディアに通知することを義務付けている。また、PHRベンダーやPHR関連事業体に対するサードパーティ・サービス・プロバイダに対しても、情報漏洩の発見後、当該ベンダーやPHR関連事業体に通知することを求めている。
“Protecting consumers’ sensitive health data is a high priority for the FTC,” said Samuel Levine, Director of the FTC’s Bureau of Consumer Protection. “With the increasing use of health apps and connected devices, the updated HBNR will ensure it keeps pace with changes in the health marketplace.”	「FTC消費者保護局のサミュエル・レバイン局長は、「消費者の機密性の高い健康データを保護することは、FTCにとって最優先事項である。「健康アプリやコネクテッドデバイスの利用が増える中、HBNRの更新により、健康市場の変化に対応できるようになる」と述べた。
In May 2023, the FTC sought comment on proposed changes to the HBNR. After receiving approximately 120 comments from a broad range of individuals and stakeholders, the Commission has finalized changes to the rule, including:	2023年5月、FTCはHBNRの変更案についてコメントを求めた。幅広い個人および関係者から約120件のコメントを得た後、欧州委員会は以下のような規則の変更を最終決定した：
・Revising definitions: The Commission revised several definitions to underscore the final rule’s application to health apps and similar technologies not covered by HIPAA. This includes modifying the definition of “PHR identifiable health information” and adding two new definitions for “covered health care provider” and “health care services or supplies”;	・定義の見直し： 定義の修正：欧州委員会は、HIPAAの対象外である健康アプリや類似技術への最終規則の適用を強調するため、いくつかの定義を修正した。これには、"PHR識別可能な健康情報 "の定義の修正、"対象医療プロバイダ "と "医療サービスまたは医療用品 "の2つの新しい定義の追加が含まれる；
・Clarifying breach of security: It clarifies that a “breach of security” under the final rule includes an unauthorized acquisition of identifiable health information that occurs as a result of a data security breach or an unauthorized disclosure;	・セキュリティ侵害の明確化： セキュリティ侵害の明確化：最終規則における「セキュリティ侵害」には、データセキュリティ侵害または不正開示の結果として発生する、識別可能な健康情報の不正取得が含まれることを明確化する；
・Revising definition of PHR related entity: The definition of “PHR related entity” has been revised in two ways that pertain to the rule’s scope. The revised definition makes clear that the final rule covers entities that offer products and services through the online services, including mobile applications, of vendors of personal health records. It also makes clear that only entities that access or send unsecured PHR identifiable health information to a personal health record — rather than entities that access or send any information to a personal health record — qualify as PHR related entities;	・PHR 関連事業体の定義の改訂： PHR関連事業体」の定義は、規則の適用範囲に関連する2つの点で改訂された。改訂された定義は、最終規則が、個人健康記録のベンダーのモバイル・アプリケーションを含むオンライン・サービスを通じて製品やサービスを提供する事業体を対象としていることを明確にしている。また、PHR関連事業体として適格であるのは、個人健康記録にいかなる情報でもアクセスしたり送信したりする事業体ではなく、個人健康記録に保護されていないPHRを特定できる健康情報をアクセスしたり送信したりする事業体だけであることを明確にしている；
・Clarifying multiple sources of PHR identifiable health information: The final rule clarifies what it means for a personal health record to draw PHR identifiable health information from multiple sources;	・PHR 識別可能な健康情報の複数の情報源の明確化： 最終規則は、個人健康記録が複数の情報源からPHR識別できる健康情報を引き出すことの意味を明確にしている；
・Expanding use of electronic notification: The final rule authorizes the expanded use of email and other electronic means of providing clear and effective notice to consumers of a breach;	・電子的通知の利用拡大： 電子的通知の利用拡大：最終規則は、情報漏えいの明確かつ効果的な通知を消費者に提供する電子メールその他の電子的手段の利用拡大を認可する；
・Expanding consumer notice content: The final rule expands the required content that must be provided in the notice to consumers. For example, the notice would be required to include the name or identity (or, where providing the full name or identity would pose a risk to individuals or the entity providing notice, a description) of any third parties that acquired unsecured PHR identifiable health information as a result of a breach of security;	・消費者通知の内容の拡大： 消費者への通知内容の拡大：最終規則は、消費者への通知で提供されなければならない要求される内容を拡大する。例えば、セキュリティー侵害の結果、セキュリティー保護されていないPHR識別可能な健康情報を取得した第三者の氏名または身元（あるいは、氏名または身元を完全に提供することが個人または通知を提供する事業体にリスクをもたらす場合には、その説明）を通知に含めることが義務付けられる；
・Changing timing requirement: The final rule modifies when the FTC must be notified under the rule. For breaches involving 500 or more individuals, covered entities must notify the FTC at the same time they send notices to affected individuals, which must occur without unreasonable delay and in no case later than 60 calendar days after the discovery of a breach of security; and	・タイミング要件の変更： 時期要件の変更：最終規則は、規則に基づきFTCに通知しなければならない時期を変更している。500人以上の個人を含む情報漏えいの場合、対象となる事業体は、影響を受ける個人に通知を送付するのと同時にFTCに通知しなければならない。
・Improving readability: The final rule also includes changes to improve the rule’s readability and promote compliance.	・読みやすさの改善： 読みやすさの改善：最終規則には、規則の読みやすさを改善し、コンプライアンスを促進するための変更も含まれている。
The final rule will go into effect 60 days after its publication in the Federal Register.	最終規則は、連邦官報に掲載されてから60日後に発効する。
In addition to amending the HBNR, the FTC has recently taken action against companies for violating the HBNR, including GoodRx and Easy Healthcare (publisher of the Premom app).	HBNRの改正に加え、FTCは最近、GoodRxやEasy Healthcare（Premomアプリの発行元）など、HBNRに違反した企業に対する措置も取っている。
The Commission voted 3-2 to approve the publication of the final rule in the Federal Register with Commissioners Melissa Holyoak and Andrew N. Ferguson voting no. Chair Lina M. Khan along with Commissioners Rebecca Kelly Slaughter and Alvaro Bedoya issued a separate statement, while Commissioner Holyoak, joined by Commissioner Ferguson, issued a dissenting statement.	委員会は3対2で最終規則を連邦官報に掲載することを承認し、メリッサ・ホリョーク委員とアンドリュー・N・ファーガソン委員は反対票を投じた。リナ・M・カーン委員長、レベッカ・ケリー・スローター委員、アルバロ・ベドヤ委員はそれぞれ声明を発表したが、ホリョーク委員はファーガソン委員とともに反対声明を発表した。
The lead staffers who worked on this rule include Ryan Mehm and Ronnie Solomon with the FTC’s Bureau of Consumer Protection.	この規則に携わった主なスタッフは、FTC消費者保護局のRyan MehmとRonnie Solomonである。

 

・2024.04.26 Health Breach Notification Final Rule

・[PDF]

 

 

ブログ...

2024.04.26 Updated FTC Health Breach Notification Rule puts new provisions in place to protect users of health apps and devices

 

Updated FTC Health Breach Notification Rule puts new provisions in place to protect users of health apps and devices	更新されたFTC健康侵害通知規則は、健康アプリやデバイスのユーザーを保護するための新たな規定を設ける。
It was Shakespeare who said, “Once more unto the breach.” The FTC’s goal is never more unto the breach, but until companies keep health data secure and private, we’ll continue to update and enforce the Health Breach Notification Rule to protect consumers and keep up with the digital revolution in health information. Benefited by insights from researchers, industry members, legislators, and consumers who responded to our call for public comments, the FTC just finished a head-to-toe HBNR check-up. The just-announced Final Rule makes it clear that health apps and similar technologies are covered and expands what covered entities must tell consumers if there’s been a breach of their data. How will the new rule affect your business?	シェイクスピアは "Once more unto the breach "と言った。FTCの目標は、これ以上の侵害を決して起こさないことであるが、企業が健康データを安全かつプライベートに保つまで、我々は消費者を保護し、健康情報のデジタル革命に対応するために、健康侵害通知規則の更新と施行を継続する。FTCは、研究者、業界関係者、議員、そしてパブリックコメントの募集に応じた消費者からの見識に支えられ、HBNRの頭からつま先までの点検を終えたところである。発表されたばかりの最終規則では、健康アプリや同様の技術が対象となることが明確にされ、データの侵害があった場合に対象事業体が消費者に伝えなければならないことが拡大された。新ルールはあなたのビジネスにどのような影響を与えるだろうか？
HIPAA – HHS’ Health Insurance Portability and Accountability Act – addresses privacy and security for most doctors’ offices, hospitals, and insurance companies. But with advances in monitoring and technology, a lot of health-related information doesn’t fall within HIPAA. That’s where the FTC’s Health Breach Notification Rule comes in. Since the FTC announced the Rule in 2009, vendors of personal health records (PHR) – a phrase the Rule defines – and related entities not covered by HIPAA must notify individuals, the FTC, and, in certain cases, the media if there’s been a breach of unsecured personally identifiable health data. The Rule also requires third party service providers to vendors of PHRs and related entities to notify those vendors and related entities following the discovery of a breach.	HIPAA（HHSの医療保険の相互運用性と説明責任に関する法律）は、ほとんどの医院、病院、保険会社のプライバシーとセキュリティに対応している。しかし、モニタリングやテクノロジーの進歩により、多くの健康関連情報はHIPAAに該当しない。そこで、FTCのHealth Breach Notification Ruleの出番となる。2009年にFTCがこの規則を発表して以来、個人健康記録（PHR）-この規則ではこの言葉を定義している-を扱う業者や、HIPAAの対象外の関連事業体は、保護されていない個人識別可能な健康データが漏えいした場合、個人、FTC、そして場合によってはメディアに通知しなければならなくなった。同規則はまた、PHRベンダーや関連事業体に対するサードパーティ・サービス・プロバイダに対し、情報漏洩の発覚後、それらのベンダーや関連事業体に通知することを求めている。
You’ll want to read the Federal Register Notice for specifics about what’s new, but here are some notable takeaways from the Final Rule.	新規事項の詳細については、連邦官報告示をお読みいただきたいが、最終規則から注目すべき点をいくつか挙げる。
1. The Rule applies to health apps and similar technologies not covered by HIPAA. The FTC underscored that point by modifying the definition of “PHR identifiable health information” and adding definitions for “covered health care provider” and “health care services or supplies.” That shouldn’t come as a surprise to businesses familiar with the FTC’s 2021 Statement of the Commission on Breaches by Health Apps and Other Connected Devices, recent FTC actions enforcing the Rule, and the 2023 Notice of Proposed Rulemaking.	1. この規則は、HIPAAの対象外の健康アプリや類似のテクノロジーにも適用される。FTCは、"PHR識別可能な健康情報 "の定義を修正し、"対象医療プロバイダ "と "医療サービスまたは用品 "の定義を追加することで、この点を強調した。このことは、FTCの2021年の「健康アプリおよびその他の接続機器による侵害に関する委員会の声明」、同規則を施行する最近のFTCの行動、および2023年の「規則制定提案通知」に詳しい企業にとっては驚きではないだろう。
2. The definition of “breach of security” includes both data security breaches and unauthorized disclosures. Here’s how the Final Rule puts it: “A breach of security includes an unauthorized acquisition of unsecured PHR identifiable health information in a personal health record that occurs as a result of a data breach or an unauthorized disclosure.” Recent FTC settlements with GoodRx and Easy Healthcare for failing to report that they shared consumers’ health data with advertising platforms in violation of their privacy promises illustrate that point, too.	2. 「データセキュリティ侵害」の定義には、データセキュリティ侵害と不正開示の両方が含まれる。最終規則ではこうなっている： "セキュリティ違反には、データ漏えいまたは不正開示の結果として発生した、個人健康記録における保護されていないPHRを特定できる健康情報の不正取得が含まれる。" 最近FTCがGoodRxとEasy Healthcareに対して行った和解は、彼らがプライバシーに関する約束に反して消費者の健康データを広告プラットフォームと共有したことを報告しなかったことを理由とするもので、この点も示している。
3. The revised definition of “PHR related entity” establishes that the Rule applies to entities that offer products and services through online services of vendors of personal health records, including mobile apps. To make that clear, the Final Rule updates the phrase “Web sites” to read “websites, including any online service.” Two reasons support this change: 1) adding online services is a more realistic reflection of the current marketplace; and 2) “Web sites” is so 2009. The “PHR related entity” definition also updates “accesses information” to read “accesses unsecured PHR identifiable information.”	3. 改正された「PHR関連事業体」の定義は、モバイルアプリを含む個人健康記録ベンダーのオンラインサービスを通じて製品やサービスを提供する事業体にもこの規則が適用されることを定めている。これを明確にするため、最終規則では "Webサイト "を "オンラインサービスを含むWebサイト "と読み替えている。この変更には2つの理由がある： 1）オンラインサービスを加えることは、現在のオンラインマーケットプレイスをより現実的に反映することである。また、"PHR関連事業体 "の定義では、"情報にアクセスする "を "保護されていないPHR識別情報にアクセスする "と更新している。
4. In the definition of “personal health record,” the technical capacity to draw information from multiple sources matters. The definition of “personal health record” originally referred to identifiable health information about a person that “can be drawn from multiple sources.” The new Rule substitutes the phrase “has the technical capacity to draw information from multiple sources.”	4. 「個人健康記録」の定義では、複数の情報源から情報を引き出す技術的能力が重要である。「個人健康記録」の定義は、もともと「複数の情報源から引き出すことができる」個人を特定できる健康情報を指していた。新規則では、"複数の情報源から情報を引き出す技術的能力を有する "という表現に置き換えられている。
5. The Final Rule expands the use of electronic notice to consumers. The Rule retains the long-standing requirement that a vendor of personal health records or a PHR related entity that discovers a breach of security must notify the individual promptly. Although notice by first-class mail is still OK in certain instances, the new focus is on email in combination with other forms of electronic notice like text messages or in-app messaging.	5. 最終規則は、消費者に対する電子的通知の利用を拡大する。同規則は、個人健康記録の業者またはセキュリティ侵害を発見したPHR関連事業体は、速やかに本人に通知しなければならないという長年の要件を維持している。第一種郵便による通知も一定の場合にはまだ問題ないが、テキストメッセージやアプリ内メッセージのような他の形態の電子的通知と組み合わせた電子メールに新たな焦点が当てられている。
6. Notices to consumers must include more information and must be “clear and conspicuous” and “reasonably understandable.” Under the Final Rule, in most cases, the notice must tell people the identity of any third parties that acquired unsecured PHR identifiable health information as a result of the breach. In addition, the notice must describe the types of health information the breach involved (for example, a health diagnosis or condition, lab results, medications, other treatment information, and their use of a health-related app). What’s more, the Final Rule doesn’t just require that the notice is “clear and conspicuous” and “reasonably understandable.” It offers detailed guidance on what entities should do to achieve that result. For example, consider using short explanatory sentences or bullet lists, plain-language headings, an easy-to-read typeface, wide margins, and ample spacing. Things to avoid: legal or highly technical terminology, multiple negatives, and imprecise explanations. Check out the appendices for sample text messages, in-app messages, web banners, and email notices. (By the way, even if the HBNR doesn’t apply to your business, the Rule’s practical approach to the “clear and conspicuous” standard offers insights for all companies.)	6. 消費者への通知はより多くの情報を含み、"明確かつ目立つ"、"合理的に理解できる "ものでなければならない。最終規則の下では、ほとんどの場合、通知は、情報漏えいの結果として保護されていないPHR識別可能な健康情報を取得したサードパーティの身元を伝えなければならない。さらに、通知には、情報漏洩が関係する健康情報の種類（例えば、健康診断や病状、検査結果、投薬、その他の治療情報、健康関連アプリの使用など）を記述しなければならない。さらに、最終規則では、通知が "明確かつ目立つ"、"合理的に理解できる "ものであることだけが要求されているわけではない。事業体がその結果を達成するために何をすべきかについて、詳細なガイダンスを提供している。例えば、短い説明文や箇条書きリスト、平易な見出し、読みやすい書体、広い余白、十分なスペーシングなどを使用することを検討する。避けるべきこと：法律用語や高度に専門的な用語、複数の否定、不正確な説明。テキストメッセージ、アプリ内メッセージ、ウェブバナー、Eメール通知のサンプルは附属書をチェックしよう。(ちなみに、HBNRがあなたのビジネスに適用されなくても、「明確かつ目立つ」標準に対する規則の実践的なアプローチは、すべての企業に示唆を与えてくれる)
7. Covered entities must move quickly to notify consumers – and the FTC – about breaches involving 500 or more people. For breaches involving 500 or more people, covered entities must notify the FTC at the same time they send notices to affected individuals. That must be “without unreasonable delay” and in no case later than 60 calendar days after the discovery of a breach of security. For breaches involving fewer than 500 people, covered entities must notify the FTC annually and no later than 60 calendar days following the end of the year. However, the notice to affected individuals must still occur “without unreasonable delay” and in no case later than 60 calendar days after the discovery of a breach of security.	7. 対象事業体は、500人以上が関係する情報漏えいについて、消費者、およびFTCに通知するために迅速に行動しなければならない。500人以上を巻き込む情報漏えいの場合、対象事業体は、影響を受ける個人に通知を送付すると同時に、FTCに通知しなければならない。これは「不合理な遅延なく」でなければならず、いかなる場合もセキュリティ侵害の発見から60暦日より遅くならない。500人未満の情報漏えいの場合、対象事業体は毎年、その年の年末から60日以内にFTCに通知しなければならない。ただし、影響を受ける個人への通知は、依然として「不合理な遅延なく」行われなければならず、いかなる場合もセキュリティ侵害の発見後60暦日より遅くならない。
8. The Final Rule adds cross-references, citations, and more information about penalties for non-compliance. A violation of the HBNR will be treated as a violation of a rule under section 18 of the FTC Act regarding unfair or deceptive acts or practices. That means violations are subject to civil penalties.	8. 最終規則では、相互参照、引用、および違反に対する罰則に関する詳細情報が追加されている。HBNRの違反は、不公正または欺瞞的な行為または慣行に関するFTC法第18条に基づく規則の違反として扱われる。つまり、違反は民事罰の対象となる。
The updated Health Breach Notification Rule goes into effect 60 days after it appears in the Federal Register. Follow the Business Blog for the effective date. Until then, the 2009 Rule continues to apply. Have a breach to report to the FTC under the 2009 Rule or after the Final Rule amendments go live? Use this form.	更新された健康侵害通知規則は、連邦官報に掲載されてから60日後に発効する。発効日についてはビジネスブログを参照されたい。それまでは、2009年規則が引き続き適用される。2009年規則または最終規則改正の施行後にFTCに報告すべき情報漏えいがある場合は、このフォームを使用すること。このフォームを使用する。