伝統的に倫理的な医療では,患者の医療情報を秘密にしておくことが常に必須とされてきた。ただし,医療保険の相互運用性と説明責任に関する法律(Health Insurance Portability and Accountability Act:HIPAA―www.hhs.gov/ocr/privacy/を参照)では,医療提供者,医療保険(health plan),医療クリアリングハウス,ならびに医療情報および関連情報を電子的に伝送するそのビジネスアソシエートに対する責任が成文化されている。それらの適用範囲はHIPAA下の全ての主体に及んでいる。HIPAAの重要な規定は,Privacy Rule,Security Rule,およびBreach Notification Ruleの3つの規則(現在は1つのオムニバスルールに含められている)で構成されており,これらは全て個人を識別できる健康情報(保護対象健康情報[protected health information:PHI]と呼ばれる)のプライバシーおよびセキュリティを確保するために策定されている。
Privacy RuleではPHIの保護の基準が規定されており,患者に対して自身の健康情報に関する重要な権利を与えるものである。Security Ruleでは,電子的なPHIのプライバシー,完全性,およびセキュリティを確保するために適用対象の主体およびそのビジネスアソシエートが導入しなければならない安全策が規定されている。Breach Notification Ruleでは,適用対象の主体に対し,PHIのセキュリティ確保の違反について,影響を受けた個人および連邦政府のほか,一部のケースではメディアにも通知することが求められている。米国保健福祉省(Department of Health and Human Services)の公民権局(Office for Civil Rights)がこれら3つの規則を施行しており,その遵守に関するガイドラインを提供している。
Privacy Ruleの要点を以下に詳述する。
医療記録の入手
典型的に,患者または患者の委任代理人は,医療記録の閲覧およびその写しを入手すること,ならびに,誤りを特定した場合は訂正を要求することが可能であるべきである。Privacy Ruleで規定されるところでは,患者の「個人代理人(personal representative)」と認定された人とは,健康に関する意思決定について権限を有する後見人,医療判断代理委任状で指定された代理権者,または州法の下で健康に関する意思決定の代理人を務める権限を与えられた家族または友人である。患者はまた,署名された書面による承認により,別の人物が医療記録の全部または一部を入手できるようにする権利を有する。
プライバシーポリシーの通告
医療提供者は,個人の医療情報の考えられる用途,およびHIPAA規制の下での患者の権利に関して通告しなければならない。
個人の医療情報の使用に対する制限
HIPAAは医療提供者がPHIを使用できる方法を制限している。この法律は,医師,看護師およびその他の医療従事者が患者の治療に必要な情報を共有することは制限していない。COVID-19パンデミックなどの発生中に公衆衛生上の目的で健康情報交換組織(health information exchange)および公衆衛生当局に情報を開示することは,米国保健福祉省(Department of Health and Human Services)の公民権局(Office for Civil Rights)のガイドラインにおいて,許容される開示とされている。ただし,医療従事者が使用または共有できる情報は,特定の目的に必要とされる最小限の保護されたものに限定される。大半の状況下では,個人の健康情報を医療とは関係のない目的に使用することは許可されていない。例えば,医療提供者が患者の現在の医療ニーズとは関係のない目的で生命保険会社,銀行,マーケティング会社またはその他の外部の企業にその患者の医療情報を開示する前に,患者は特定の許可書に署名しなければならない。
マーケティング
マーケティングとは,人々に特定の商品またはサービスの購入を勧めるために考案された情報伝達である。HIPAAは,マーケティング目的で情報を開示する前に患者から特定の許可を得ることを要求している。医療提供者は,マーケティングの結果受け取ることとなる全ての報酬を開示しなければならない。しかしながら,医療提供者は,治療選択肢,製品および疾患管理プログラムなどを含めた他の健康関連のサービスに関しては,自由に患者と話し合うことができる。
秘密厳守によるコミュニケーション
医療従事者は,患者とのコミュニケーションは機密性が保たれ,患者の要望に添った形で行われていることを保証するために適切な方策をとるべきである。例えば,医師と患者との医療に関する話し合いは,一般的には内々で行われるべきであり,患者は,医師が自宅ではなく職場に電話することを望む場合もある。それでもなお,もしその情報が患者のケアもしくはケアに対する支払いに関わる患者の直接の家族または親しい個人的友人として知られている人物の関与に関係するものであって,かつその情報がその人物の関与に必要なものに限定されているのであれば,患者が反対しない限り,医療従事者はその人物と医療情報を共有することができる。医療従事者は専門的な判断力を駆使することを求められる。
患者の個人代理人と認定された人は,情報へのアクセスおよび意思決定への参加に関して患者と同一に取り扱われるべきである。したがって,代理人は情報を入手する同じ権利があり,情報の機密性に関する同じ権利を行使する場合がある。とはいえ,代理人によるドメスティックバイオレンス,虐待,またはネグレクトに関する妥当な懸念がある場合,医療従事者は情報またはその入手権を制限してもよい。
コミュニケーションの中には,機密性が保たれないものもある。医療従事者は,ときに法律により特定の情報の開示を要請されることがあり,通常は他者に危害が及びうる状況のためである。例えば,特定の感染症(例,COVID-19,HIV,梅毒,結核)は州または地元の公衆衛生当局に報告しなければならない。小児に対する,および多数の州では,成人もしくは高齢者に対する虐待またはネグレクトの徴候は,典型的には保護サービスに報告しなければならない。認知症や最近の痙攣発作など,患者の自動車運転能力を大きく障害しうる病態については,一部の州では車両管理局(Department of Motor Vehicles)に報告しなければならない。
苦情
患者は,これらのプライバシーの取り扱い方法の遵守に関して苦情を申し立てることができる。苦情は,医療従事者に直接,米国保健福祉省(Department of Health and Human Services)の公民権局(Office for Civil Rights)に対して,またはHIPAAに従い医療機関が指定するプライバシーコンプライアンスオフィサーに対して申し立てることができる。HIPAAの下では,患者は個人的訴訟を起こす権利をもたない。個人健康情報の不適切な開示に対しては民事罰および刑法罰が課せられる。医療従事者がとるべき最も確実な道は,HIPAAについて熟知し,誠実かつ妥当な対応に努めることである。
