Home アメリカ生活 シアトルの知恵ノート ワシントン州新法、My H...

ワシントン州新法、My Health My Data Act制定〜シアトルの知恵ノート

知恵ノート

知っておくと暮らしが豊かになるヒントを、シアトルで活躍するさまざまな専門家の方に聞きます。

ワシントン州新法、My Health My Data Act制定

州レベルでは前例のない「健康データ保護法(通称My Health My Data Act)」がワシントン州で制定されました。原則2024年3月31日施行の本法は、同州を始め、他州でも適用され得るので注意が必要です。

ストール・リーブス法律事務所

岩崎元太■東京生まれ。父親の赴任に伴い9歳から米国で育つ。米国の大学を経て、早稲田大学法学部で学士入学・卒業。4年間、企業勤めをした後、米国のロースクールに進学。2018年にジョージア州、2022年にワシントン州で弁護士登録。ヘルスケアを専門とし、特に高齢者支援に尽力する。ミズーリ大学にて老年学(Gerontology)修士号を取得。

Stoel Rives LLP
600 University St., #3600, Seattle, WA 98101
☎310-386-7540、genta.iwasaki@stoel.com
www.stoel.com/people/genta-iwasaki

新たな健康データ保護法制定の背景

米国では従来、1996年に制定された「医療保険の携行性と責任に関する法律(通称HIPAA)」が国民の健康データ保護を主に担ってきました。HIPAAは医療従事者や保険会社による健康データの取り扱いを想定しており、実際に医療機関や保険会社のみが保護義務を負っていました。しかし昨今では、アップル社のアップルウォッチが測定する心拍数、スマートフォン向けの万歩計や月経管理のアプリが収集するデータも立派な健康データと言え、非医療機関の関与が高まる傾向が見られます。

新法では、当時に想定していなかったアプリ、ウェブサイト、ゲーム、装着式のスマートデバイス等を中心に健康データ保護義務を課しています。

新法の概要

本法は、個人の健康データ保護を目的とし、規制対象事業主(regulated entity)に対して適用されます。規制対象事業主とは一般的に、(1)ワシントン州で事業を行っている/ワシントン州の消費者に対して製品やサービスを生産または提供している、かつ(2)単独または共同で個人の健康データの収集、処理、共有をしている/販売の目的と手段を決めている事業主を指します。

一方で、健康データの定義については、消費者に紐付けられている、もしくは消費者と紐付けることが合理的に可能な、過去、現在、未来の身体的または精神的健康状態を特定できる個人情報とされています。これには手術歴や服用中の医薬品情報が挙げられるでしょう。そのほか、フィットネス系ゲームでプレー前に自身の体重や身長を入力することも含まれ、健康データの提供先となるそのゲーム会社は、本法における規制対象事業主となります。

規制対象事業主に対する主な規定は次の通りです。

❶ 以下を明記するプライバシー・ポリシーの策定と自社ホームページへのリンク付けが求められる

○収集される健康データの種類と収集目的
○健康データが収集される情報源の種類
○共有される健康データの種類
○規制対象事業主が健康データを共有する第三者および関連会社の種類の一覧
○本法下の消費者の権利

❷ 消費者の事前の同意なしに健康データを収集および共有することはできない

○健康データの共有の同意と、収集の同意は、同一であってはならず、必ず分ける必要がある
○本法の「同意」とは、消費者の自由な意思に基づくオプトイン形式の同意を指す(電子的手段による書面の同意を含む)
○いかなる場合でも(1)個人データ処理に関する文言とそれ以外の文言を含む一般的な利用規約等、(2)消費者が特定のコンテンツにマウスのカーソルを合わせる、またはそのコンテンツをミュートする、一時停止する、もしくは閉じる、(3)欺瞞的な手法で得られた同意を含まない

❸ 消費者に対して、自身の健康データの確認およびアクセス、同意の撤回、健康データ削除依頼の権利を付与

○本法は、特に健康データ削除について詳細に規定しており、消費者の削除依頼を受け取った規制対象事業主は、そのネットワークおよびアーカイブまたはバックアップ・システムの全てから当該の健康データを削除し、かつ健康データを共有した全ての関連会社およびその他の第三者に連絡する義務がある
○連絡を受け取った関連会社およびその他の第三者は、同様に削除することが必要

❹ 健康データ・アクセスを許容する範囲

○消費者が事前に同意した目的、または消費者が規制対象事業主に求めた製品またはサービスの提供に必要な範囲に限り、規制対象事業主の従業員、下請業者等への健康データ・アクセスを許容
○扱う健康データの量と性質に応じて、合理的なデータ・セキュリティー・プロトコルを確立、導入、および維持する必要がある

違反時の罰則規定

他人に最も知られたくない健康情報の性質を鑑みて、本法はあえて規制対象事業主に対して法律違反を是正する期間や機会を設けていません。そのため、本法では、不十分な対応や「知らなかった」の言い訳は許されません。

違反時にはワシントン州消費者保護法が適用され、原則7,500 ドル(約100万円)以下の罰金が規制対象事業主に科されます。裁判所の裁量によっては、2万5,000ドル(約340万円)を上限に、実損害額の3倍まで損害賠償金が引き上げられることもあります。

また、ワシントン州消費者保護法下では、ワシントン州の司法長官が違反事業主を提訴できるのはもちろん、例外的に、損害を被った消費者自らが事業主を相手取って裁判することが認められています。

本内容について質問などあれば、筆者までご連絡ください。