医療技術がCURES法後の患者データを保護する方法

これは遠隔医療の中心にある中心的な難問です。プライバシーを危険にさらすことなく、患者はどのようにして最も重要な医療記録にアクセスできるのでしょうか。問題はユーザーアクティビティの1つだけではありません。これまで、医療提供者は、プライバシーと管理の両方に関連する懸念から、電子健康記録(EHR)を患者に直接提供することを警戒してきました。

ヘルステックCURES法

しかし、保健社会福祉省(HHS)のCURES法の最終規則が4月に発効したため、必要性からイノベーションが決定されました。医療提供者は、患者が自分のデータにアクセスできるようにするためのハードルに直面します。HHSは、プライバシーの免除を含め、これらの規則に8つの免除を提供し、提供者にデータの決定にある程度の余裕を与えます。

ただし、これらの免除を除けば、CURES法には制限がありません。医療情報プロバイダーは、適切な患者にEHRを提供する必要があり、それを行うには医療技術が必要です。

規制のハードル

CURES法の中心的な約束は、医療情報プロバイダーが患者のEHRへのアクセスを制限することを禁止する情報ブロック禁止です。HHSは、これらのルールを少なからずファンファーレで発表し、「相互運用性の新しい日」と呼んでいます。つまり、記録保持者が適切なデータを適切な患者のスマートフォンに送信するためのオプションがこれまでになく増えています。

しかし、セキュリティ上の懸念があります。

健康情報提供者は、患者がデータを要求したときにデータを送信するように求められる場合がありますが、彼らの心にある法律はCURES法だけではありません。HIPAAは、州および地方の規制と同様に、個人の患者データを危険にさらす組織に厳しい罰則を課す可能性があります。これらのEHRプロバイダーは、患者が自分の医療情報へのプライベートアクセスを望んでいるのと同じように、提携しているサードパーティが情報を安全に保つことができることを知りたいと考えています。

あるHHS当局者が述べたように、消費者が「財政や旅行を処理する」のと同じように、この情報を安全に提供することは難しい注文です。しかし、それは可能です。

プライバシーギャップを埋める

プライバシーを念頭に置いて開発されたヘルスケアアプリケーションには、いくつかの重要な特徴があります。具体的には、医療技術企業は次の基準に焦点を当てて、EHRプロバイダーと患者に、これらの記録に簡単にアクセスできるようになったとしても、データが安全であることを示すことができます。

透明性。医療データは、情報ブロック禁止に準拠して、ユーザーが送信したり、スマートフォンからアップロードしたり、EHRプロバイダーから転送したりできます。どのデータがどこからどこに送信されるかについての明確なガイダンスは、透明性を生み出します。これは、プライバシーを信頼するために必要な最初のステップです。

サーバー側の保護。HIPAAは、患者データにアクセスできるユーザーを厳密に規制しています。つまり、医療技術企業は、既存のBYODポリシーを確認することをお勧めします。会社のサーバーに保存されているデータには、HIPAA保護の対象となる情報が含まれている場合があります。つまり、サーバーアクセスは、確認済みの個人のみにアクセスを許可するように構成する必要があります。

多要素認証。HHSの目標は、スマートフォンを介して財務情報と同じくらい健康情報にアクセスできるようにすることです。これらのヘルステックアプリは、患者だけがデータにアクセスできるようにするためと、患者がこれらのアプリを使用して取り組むべき深刻さを伝えるために、最初からセキュリティを強化するための基準を設定できます。

相互運用性。医療システムには、数千の病院、ネットワーク、プロバイダーが含まれ、数万のスタッフがケア(およびデータ)を実行し続けています。これらのレガシーデータベースを介してデータをプッシュおよびプルすることは、APIを開発する際の課題の一部ですが、それは必要です。EHRプロバイダーから患者のスマートフォン、さらには医師や病院のシステムへの情報の取得は、完全にアプリ内で行う必要があります。スクリーンショットやアドホックデータ転送ソリューションの安全性ははるかに低くなります。

ヘルステックのプライバシーポリシー

ヘルステックがCURES後のActFinal Rulesスイートのアプリケーションを展開するため、最初から正しいトーンを設定することが重要になります。多要素認証と明確なUIは良いスタートですが、セキュリティに重点を置いたアプリの中核はプライバシーポリシーです。

企業がユーザーのデータを収集および管理する方法をリストしたこれらのステートメントは、無視されることがよくありますが、ユーザーがヘルスケアアプリに期待できることと期待すべきことを伝えるために不可欠です。医療技術会社は、EHRにアクセスする患者に明確さを与えるため、プライバシーポリシーを読んで理解することをお勧めします。

患者が探す重要な情報には、次のものがあります。

リスク低減策。データの匿名化またはIDトークン化は、健康情報に関しては便利なだけではありません。これらおよびその他のプライバシーを重視する対策は、潜在的な侵害に伴うリスクを軽減します。ユーザーは、データを保護するためにどのような手法が採用されているかを知りたいと思うでしょう。

サードパーティのアクセス。医療データのプライバシーを取り巻く主な懸念の1つは、広告にあります。企業は、医療情報に関連する商品やサービスで患者をターゲットにすることができますが、HIPAA規制のため、これは実行できない場合があります。アプリケーションがデータを共有するサードパーティに明示的に対処することで、データの使用に関して患者が期待できることを示します。

患者の権利。患者はヘルステックアプリを介してEHRにアクセスできますが、アプリ自体からどのような情報を取得できますか?収集されているデータと目的に関する情報は、アプリ自体のユーザーデータファイルに関するより具体的な情報を取得するための明確なガイドラインと組み合わせることができます。

ヘルステクノロジーの未来を築く

プライバシーはますますテクノロジーの世界の中心的な焦点になり、EHRを利用した新しいヘルスケアアプリの開発は、ヘルステクノロジー企業にとっての証明の場となる可能性があります。ロールアウトを正しく行うには、慎重な計画と検討が必要です。

HHSはこれを知っています。彼らは、EHR要件の完全なスイートが発効する前に、18か月の猶予期間を実装しました。これにより、情報プロバイダーと医療IT開発者は新しい判決に慣れることができます。

現在から2022年10月までの間に、ヘルステック企業はプライバシー基準とポリシーがどのようになるかを評価します。デザイン、ユーザーエクスペリエンス、パフォーマンスのベストプラクティスはすべて関連性を維持しますが、開発者はプライバシーに最も重点を置く必要があります。そうすることで、EHRプロバイダーからより多くの関心を引くだけでなく、患者に医療にふさわしい選択肢と明確さを提供するために必要な信頼を確保することができます。