EssentialHealthcareItの基準と規制に関するガイド

公開: 2022-03-25

1980年代、ERPとEHRは、ヘルスケアITの現代を先導しました。 今日、臨床ケア、患者の安全、および品質の向上は、ほぼ完全にコンピューターに引き継がれています。

それでも、利用可能な通信技術の配列にもかかわらず、ヘルスケアデータを管理および転送する普遍的な方法はありません。 円滑なデータ交換を妨げる最大の障害は、臨床情報の保存、エンコード、および共有のためのヘルスケアデータ標準の無秩序な採用でした。

連邦政府は医療システムの統合を進めていますが、多くの医療IT標準をナビゲートする必要性はしっかりしています。

このブログ投稿には、ヘルスケアテクノロジーを開発および展開する際に留意すべきヘルスケアソフトウェア企業および医療機関向けの重要なヘルスケアIT標準および規制がリストされています。 飛び込みましょう!

データセキュリティを管理するヘルスケアIT標準

HIPAA

かつて職を失った労働者の健康保険を保護する法律、HIPAA、または医療保険の相互運用性と収益性に関する法律として始まったものは、おそらく現在、医療情報を保護する最も有名な法律です。 これは、個人を特定できる健康情報(PHI)を保存、共有、管理、および記録するための基準を設定します。

したがって、医療データの運用またはそのようなデータを処理するソフトウェアのプロビジョニングに関与するエンティティは、必要な医療情報技術規制が満たされていることを確認する必要があります。 HIPAAは、いくつかのコンポーネントで構成されています。

  • セキュリティルール
  • プライバシールール
  • 違反通知ルール
  • オムニバスルール
  • 施行規則

ヘルスケアソフトウェアにバインドされているのは、セキュリティ、プライバシー、および違反通知ルールです。

HIPAAセキュリティルール

セキュリティルールは、PHIを保護するためのセーフガードの概要を示しており、技術的、物理的、および管理上のセーフガードの3つの部分にまたがっています。

技術的な保護手段

技術的な安全対策では、電子PHIが内部サーバーを超えて移動した場合、医療機関は電子PHIを暗号化する必要があります。 組織は、次の要件を実装するための適切な手段を自由に選択できます。

  • アクセス制御(必須)により、PHIにアクセスできる各ユーザーが一意の名前とパスワードを使用できるようになります。 ヘルスケアデータ標準では、緊急時のPHIのリリースと開示を管理する手順を導入することも求められています。
  • ePHI認証(アドレス指定可能)では、PHIが変更または妨害されたかどうかを確認するメカニズムを確立する必要があります
  • 暗号化と復号化(アドレス指定可能)は、内部サーバーを介して送信されたメッセージを暗号化および復号化するための機能を提供します
  • アクティビティログと監査制御(必須)は、PHIアクセスの試行を登録し、データにアクセスするとデータに加えられた変更を記録します
  • 自動ログオフ(アドレス指定可能)は、デバイスが放置された後の個人の健康情報の侵害を防ぎます

物理的な保護手段

物理的な保護手段は、PHIへの物理的なアクセスを保護することに重点を置いており、モバイルデバイスとワークステーションを保護するための対策を示しています。 医療機関は以下を実施する必要があります。

  • 施設のアクセス制御(アドレス指定可能)
  • ワークステーションの検索と使用に関するガイドライン(必須)
  • モバイル機器の使用手順(必須)
  • インベントリおよびハードウェアポリシー(アドレス指定可能)

管理上の保護手段

行政上の保障措置は、PHI保護のための高レベルの対策を定めています。 必要なもの:

  • リスクアセスメントの実施(必須)
  • リスク管理方針の紹介(必須)
  • 健康データの安全な取り扱いに関する従業員のトレーニング(アドレス指定可能)
  • 緊急時対応計画の作成(必須)
  • 緊急時対応計画のテスト(対処可能)
  • データへのサードパーティのアクセスを制限する(必須)
  • セキュリティインシデントの報告(アドレス指定可能)

HIPAAプライバシールール

HIPAAヘルスケアデータ標準のプライバシールールは、PHIの使用方法と開示方法に関する対策の概要を示しています。 プライバシー規則の下では、医療機関は次のことを行う必要があります。

  • 組織のセキュリティメカニズムの外部で共有される可能性のある情報と共有されない可能性のある情報を確実に把握できるように、従業員をトレーニングします
  • PHIの完全性を維持するための適切な対策を実施する
  • 患者の健康情報がマーケティング、資金調達、または研究に使用される前に、患者から書面による許可を受け取っていることを確認してください

HIPAA違反通知ルール

違反通知ルールでは、PHIが危険にさらされている場合、医療機関は患者に通知する必要があります。 また、エンティティは、保健社会福祉省にPHI違反を迅速に通知し、違反が500人を超える患者に影響を与える場合はメディアに通知する必要があります。

ハイテック

経済的および臨床的健康のための医療情報技術法は2009年に署名されました。新しい医療IT規制は、「医療情報技術の採用と有意義な使用」を促進し、HIPAAのより厳格な施行を設定することを目的としています。 この法律では、医療提供者がHIPAAのプライバシーとセキュリティのルールに準拠しているかどうかを調査するためにセキュリティ監査を実行する必要があります。

したがって、HITECHはHIPAAの執行部門と見なすことができます。 ヘルスケアIT規制は、ヘルスケア組織がEHRに切り替えるコストを打ち消すための金銭的インセンティブと、ヘルスケアプロバイダーとソフトウェアベンダーの両方に対するより厳しいデータセキュリティ要件とペナルティも提供します。 HITECHの下では、患者は自分のデータへの不正アクセスについて通知を受ける必要があり、個人の健康情報は安全な方法でのみ共有できます。

GDPR

一般データ保護規則は、EU内のすべての問題データを管理する重要な医療IT規制の1つであり、健康情報はその範囲に含まれます。 GDPRは、EUに拠点を置く組織だけでなく、EUに拠点を置く個人を対象とする場合は、EU外の組織にも適用されることを覚えておく価値があります。 GDPRコンプライアンススパンを確保するために組織が取るべき重要なステップ:

  • 専任のデータ保護責任者を任命する
  • データ保護影響評価(DPIA)を実施してデータ関連のリスクを評価する
  • データセキュリティ戦略の設計と展開
  • 72時間以内にデータ侵害を通知します。

医療機器および医療機器としてのソフトウェア(SaMD)を管理する医療IT規制

FDA

米国食品医薬品局は、食品から医薬品、化粧品に至るまで、あらゆるものを規制しています。 医療ITベンダーにとって興味深いのは、企業が医療機器および医療機器として機能するソフトウェアアプリケーションの医療IT基準を精査して設定することです。 したがって、ソフトウェアが医療タスクの実行に関与していて、このソフトウェアの意図しない使用が高いリスクにつながる場合は、FDAの認可を取得する必要があります。

FDAの規制に該当するソフトウェアの例には、血圧カフの膨張と収縮を制御するのに役立つアプリケーションや、インスリンポンプでのインスリン送達を指示するモバイルアプリが含まれます。 ここで、製品をFDAの承認の対象にするすべての機能を確認できます。

一方、ソフトウェアが医療機器の定義を満たしていない場合、または一般の人々へのリスクが低い場合は、FDAの承認を申請する必要がない可能性があります。 FDA認定から除外されるアプリケーションには、特定の治療提案を提供せずに患者が自分の状態を自己管理するのに役立つモバイルアプリや、医療提供者が日常業務を自動化するのを支援するモバイルアプリが含まれる場合があります。 FDAの承認を得るには、

デバイスまたはSaMDを分類します

ヘルスケアアプリ開発の旅の開始時に、ソフトウェアまたはデバイスを分類します。 製品の機能に応じて、実行する医療ソフトウェア規制を決定するクラスI、II、またはIIIに分類される場合があります。 デバイスが分類されるクラスは、その使用目的と、さらに重要なことに、そのリスクによって異なります。 クラスIは、リスクが最も低いデバイスとクラスIII(最も高いデバイス)にまたがっています。 製品クラスを決定するには、分類データベースに直接アクセスして、デバイスを名前で検索します。

または、パネルリストに移動して、デバイスが属するパネルまたは専門医で検索することもできます。 さらに、クラスIデバイスの最大74%が市販前通知プロセスから免除されているため、医療機器の免除ページで製品を検索して、製品に当てはまるかどうかを確認してください。 また、まったく新しい使用目的で医療機器またはSaMDを開発している場合は、FDAに直接連絡して、医療情報技術規制が適用される可能性があるかどうかについて話し合うことをお勧めします。

必要な制御を実装する

クラスIの医療機器は、一般的な制御を実装する必要があります。

  1. 施設登録および医療機器リスト(21 CFR Part 807)
  2. 品質システム規制(21 CFR Part 820)
  3. ラベル付け要件(21 CFR Part 801)
  4. 医療機器報告(21 CFR Part 803)
  5. 市販前通知(21 CFR Part 807)
  6. 修正と削除の報告(21 CFR Part 806)
  7. 治験薬の臨床試験のための治験薬免除要件(21 CFR Part 812)

クラスIIデバイスでは、上記の一般的な制御、特別な制御、および市販前の通知を実装する必要があります。 クラスIIIデバイスには、一般的な制御と市販前の承認を実装する必要があります。 必要な書類を準備したら、検討のために提出してください。 注:2022年の初めの時点で、エンティティはリモートデータ取得と臨床調査のためのデジタルヘルステクノロジーを規制するガイダンスを起草しています。 ガイダンスはまだ確定していませんが、今後も注目していきます。

ヘルスケアコンテンツ構造基準

HL7

HL7は、フレームワークと関連する医療情報規制を提供する非営利団体であるHealth Level Seven Internationalによって開発され、異種の医療システム間の医療データの交換を処理します。 標準はEHRのバックボーンです。 EHRは、特定のヘルスケアプロセスを構成するために複数のサブシステム間のスムーズな相互作用に依存する分散システムであるため、HL7はそれらのサブシステム間のリンクとして機能します。 HL7ヘルスケアIT標準には2つのバージョンがあります。

  • HL7バージョン2:HL7 v2は、患者データが部門のサブシステムに存在する集中型の患者ケアシステムおよび分散環境に適しています。 HITECHの署名により、HL7バージョン2.5.1は、特定の認定を満たすための標準として特別に選択されています。
  • HL7バージョン3:HL7 v3は、XML構文で記述されたメッセージに依存する臨床情報を交換するための新しいアプローチを採用しています。 HL7 v3の目標は、HL7標準の世界的な採用を増やし、あいまいさを取り除き、レガシーの問題のない、より正確な標準を作成することでした。 そのため、HL7バージョン2と比較して、HL7バージョン3は、一貫したデータモデルと、さまざまな臨床機能に使用されるアプリケーションとメッセージの明確に定義された役割を備えています。

HL7バージョン3は、主にレガシー通信要件のないアプリケーション、HL7バージョン2の過去の使用法がないアプリケーション、またはHL7v3の使用に関する政府の厳格な要件がある地域で採用されています。 ヘルスケアデータ標準の両方のバージョンが共存しており、同じ機関で標準の複数のバージョンを同時に展開することはかなり一般的です。

メッセージの転送基準

FHIR

HL7に基づいて構築されたFastHealthcareInteroperability Resourcesは、電子健康記録のデータ形式とAPIについて説明しています。 この標準は、ヘルスケアプロバイダーがXMLおよびJSON形式でデータを共有できるようにするHTTPベースのRESTfulAPIのセットを提供します。 この標準は、モバイルアプリからクラウドアプリケーション、EHRベースのデータ共有まで、さまざまな設定に適用できます。 FHIRの重要な要素はリソースです。

そのタイプに応じて、リソースには、患者の人口統計、投薬、ケアプラン、アレルギーなどに関するデータを含めることができます。 リソースを組み合わせると、さまざまな臨床および管理ワークフローが構成されます。 FHIRの成熟度に対するヘルスケアプロバイダーの反応はまちまちですが、FHIRは2024年までに他のヘルスケアデータ交換標準を引き継ぐと予測されています。その理由は、FHIRが、インフラストラクチャを支えるEHRに関係なく、ヘルスケアデータにアクセスするための標準化されたアプリケーションを構築する可能性を提供するためです。

DICOM

DICOM、または医療におけるデジタル画像と通信は、ソフトウェアとハ​​ードウェア間での医療画像と関連データの交換を容易にします。 JPEGやTIFFなど、画像のコンテキストに関するデータを備えていない標準の画像ファイルと比較すると、DICOMファイルの構造はより複雑です。

これらには、患者と画像取得パラメータに関する洞察を提供するメタデータが含まれています。 DICOMが適用されるシステムは多岐にわたります。CTおよびMRIスキャナーから、画像アーカイブおよび通信システム(PACS)、放射線情報システム(RIS)までです。

ヘルスケアテクノロジーソリューションを扱う際に留意すべき重要事項

パンデミックにより、多くの医療機関や新興企業はデジタルファーストを考えるようになりました。 その結果、ヘルスケア市場に参入するテクノロジーソリューションの数は大幅に増加しています。 ヘルスケアテクノロジーのプロバイダーおよびユーザーとして、問題のソリューションが必要なヘルスケアIT規制のすべてを確実に満たすために何ができるでしょうか。 覚えておくべき重要なヒントのリストをまとめました。

ヘルスケア技術ベンダー向けのヒント:

  • 新しいテクノロジーソリューションを開発するには、医療システムの複雑さと詳細を深く理解する必要があります。 したがって、製品設計を掘り下げる前に、組織の設定、関連する利害関係者グループ、および利害関係者の関係など、製品が使用されるコンテキストを理解してください。 開発したヘルスケア技術の使用に関連するリスクを評価することも不可欠です。 リスクを知ることは、必要なヘルスケアIT基準の概要を説明するのに役立ちます。
  • 製品を承認するには、すべての種類の文書を規制当局に提出する必要があります。 したがって、ソリューションを考案、設計、および開発するときは、開発プロセスを文書化してください。 従う必要のある文書と手順を定義するには、保健社会福祉省、監察局(OIG)、麻薬取締局(DEA)、および食品医薬品局(FDA)を参照してください。
  • 実際に市場に参入する前に、外部コンプライアンステストの実施を検討してください。 ヘルスケアソフトウェアの規制を熟知しているベンダーと協力することで、製品を市場に出す際のリスクを減らすことができます。

医療機関向けのヒント:

使用するテクノロジーが必要なすべての医療ソフトウェア規制に準拠していることを確認するには、組織全体の包括的なコンプライアンスプログラムを確立することが重要です。

  • そのためには、学際的な委員会を設立し、コンプライアンスの取り組みを指導する最高コンプライアンス責任者(CCO)を任命します。
  • 2番目のステップとして、委員会に、コンプライアンスを達成するために必要なポリシー、プロセス、およびスケジュールを定めさせます。
  • コンプライアンスロードマップが定期的な内部および外部監査を備えていることを確認してください。 コンプライアンスプロセスのレビューにサードパーティの監査人を関与させると、脆弱性、抜け穴、ワークフローの非効率性を特定するのに役立ちます。
  • コンプライアンスへの取り組みを最大化するには、強力な従業員教育プログラムを展開し、関連するヘルスケアIT基準に一貫して準拠するように従業員に指導するようにします。
  • 最後に、コンプライアンスプログラムの有効性を定期的に評価して、努力が実を結ぶようにします。

結論の代わりに

ヘルスケアテクノロジーが勢いを増し、医療AI、IoMT、RPAなどの革新的なテクノロジーが注目を集めるにつれ、規制当局は設定されたヘルスケアIT標準の作成に取り組んでいます。 標準がより正確で複雑になるにつれて、医療の新興企業や医療機関が自社の製品に関連するものを見つけてコンプライアンスを維持することは非常に難しい場合があります。

したがって、必要なすべてのコンプライアンスボックスをチェックするヘルスケアソリューションを開発する場合は、ITRexの専門家に連絡してください。 私たちはあなたが最高の安全性と妥協のないセキュリティを達成するのを助けます。

もともとは2022年3月22日にhttps://itrexgroup.comで公開されました。