Privacy of Medical Information:
INTRODUCTION
雇用者は、健康保険フォーム、労災レポート、休暇申請、欠勤に関する医師のメモ、および申請者や従業員との一般的な会話や交流を含む様々なソースを通じて、申請者や従業員に関する医療情報を定期的に入手します。 多くの雇用主は、このような情報は慎重に扱われるべきであると理解していますが、多くの雇用主は、従業員や応募者の医療情報が、連邦法や州法による特定の保護の対象となる可能性があることを理解していないようです。 連邦法では、米国障害者法、家族医療休暇法、公正信用報告法、医療保険の相互運用性と説明責任に関する法律の下で発行された規制はすべて、直接的または間接的に、雇用者が保有する医療情報に関連しています。
ADA
The Americans with Disabilities Act (ADA) は、少なくとも15人の従業員を抱える雇用主に適用され、「障害を持つ有資格者に対して、その障害のために」その個人の応募または雇用のあらゆる側面に関して差別することを禁止しています。 42 USC §12112(a)。 サブセクション(d)は、「サブセクション(a)で言及される差別の禁止は、健康診断と照会を含む」ことを規定している。 第(d)節は、雇用者が応募者及び従業員に対して行うことができる医療上の質問を制限し、雇用者に応募者及び従業員の病状又は病歴に関するあらゆる情報を収集するために別の用紙を使用することを義務付け、雇用者にそのような情報を他の人事ファイルとは別に保管するよう要求している。 さらにADAは、特定の狭い例外を除いて、雇用主がそのような情報を秘密にすることを要求しています。
この法律の下で、雇用主はそのような情報を以下の者にのみ開示することができます。 (i)「従業員の仕事または職務に対する必要な制限および必要な便宜」に関連する場合、上司および管理者 (ii)「障害により緊急治療が必要となる場合、適切な場合、救急および安全担当者」 (iii) ADAの遵守について調査する政府職員、要請に応じて、にのみ情報を開示することができる。 ADAを施行する雇用機会均等委員会(EEOC)は、ADA技術支援マニュアルやガイダンスでこれらの条項を解釈している。
EEOC’s Guidance on Pre-Employment Disability-Related Inquires and Medical Examinations Under the ADA (October 10, 1995) では、雇用主は労災保険会社や州の労災事務所に労災法に従って医療情報を開示し、「医療情報を保険のために使用できる」-例えば雇用主の保険会社に健康保険制度の運営に必要な情報を提供するなど-と述べている。 また、雇用プロセスやアファーマティブ・アクション・プログラムの実施に関わる雇用主の代表者が「情報を知る必要がある」範囲において、医療情報を共有することができる。
EEOCガイダンスは、ADAにおける雇用主の守秘義務は、個人が医療照会や健康診断に応じて提供した情報に加え、応募者や従業員が自発的に雇用主に開示した医療情報にも適用されると述べている。 ガイダンスでは、従業員の一般的な人事ファイルには「いかなる医療関連資料」も含めるべきではないとしています。 この点について、ガイダンスは、従業員が病気休暇を取ったことや医師の診察を受けたことを通知するだけでは、対象となる医療情報とはみなされず、従業員の診断や症状に関する情報を含む文書が対象となる医療情報であると区別しています。 1992年1月に発行されたEEOCのTechnical Assistance Manual on the Employment Provisions of the ADAの6.5項では、雇用主は「医療情報の安全を保証する措置を取るべき」としており、「人事ファイルとは別に、医療ファイルとして鍵付きのキャビネットに保管する」「そのファイルへのアクセスを特定の人物に制限する」といったことを挙げている。 また、障害を理由とする差別を禁止する他の連邦法および州法の遵守を調査する政府関係者への開示や、「他の連邦法および規制も関連する医療情報の開示を要求する場合がある」
The Enforcement Guidance on Disability-Related Inquiry and Medical Examinations Under the ADA (July 26, 2000) は、雇用者は組織内の他の職に応募する従業員を応募者として扱うべきと定めている。 従って、EEOCは、従業員の医療情報を知っている現職の上司は、その情報を転職の面接者や転職先の上司に開示してはならないとしている。
本ガイダンスにおいて、EEOCは、医療情報の照会に対する制限や守秘義務は「障害のある従業員だけでなく、全ての従業員」に適用されるという立場を取っている。 この見解は、第8、9、10巡回区で支持されているが、第5巡回区の見解とは異なっている。 Griffin v. Steeltek, 160 F.3d 591 (10th Cir. 1998); Fredenburg v. County of Contra Costa, 172 F.3d 1176 (9th Cir. 1999); and Cossette v. Minnesota Power and Light, 1888 F.3d 964 (8th Cir. 1999) と Armstrong v. Turner Industries, Inc, 141 F.3d 554 (5th Cir. 1998)と比較してみて下さい。 第3巡回控訴裁は最近、この問題についての判決を下している。 Tice v. Centre Area Transportation Authority, 245 F. 3d 506 (3d Cir. April 23, 2001).
障害者でない個人が§12112(d)の下で申し立てを行うことができるかという訴訟に加えて、裁判所はその規定の下で申し立てを裏付けるために必要な損傷の程度について議論している。 最近の控訴裁判決は、§12112(d)の違反が原告に損害を与えたことを証明するよう求めている。
Ticeにおいて、第3巡回区は、被雇用者に対する略式判決の付与を認め、「実際の損害(感情、金銭、その他)、あるいは裁判所の介入がなければ原告が従う可能性が高い継続した違法行為の存在」、事実上の損害の存在を証明しなければ、原告は§12112(d)の違反に対する訴因を持たないと判示した。 裁判所は、原告の「精神的/感情的苦痛、精神的苦悩、ストレス、不都合に関する単なる主張」では不十分であると判断したのです。 裁判所は、Armstrongにおける第5巡回控訴裁の判決を引用し、「ADAの条文にもその歴史にも、§12112(d)の技術的違反が損害を生じさせることを意図した兆候はない」と述べた。
Cossette において、第8巡回控訴裁は、原告は訴訟を維持する前提条件として「申し立てられた違法開示によって引き起こされた目に見える損害を立証」しなければならないと判示した。 Cossetteさんは、雇用主が機密の医療情報を社内と、彼女が求職中の無関係な企業に不当に開示したと主張しました。 裁判所は、不当な開示が原因でより高収入の仕事を断られたのであれば、ADAの請求は可能であると述べました。 その上で、裁判所は、社内への情報開示の方が「より問題である」と判断しました。 裁判所は、医療機密情報の開示が原因で同僚から見下したような態度で扱われたことは、「§12112(a)に基づく障害者差別の一応の事実を立証するのに必要な雇用上の不利益処分には当たらない」と指摘しました。 しかし、そのような扱いが§12112(d)に基づく医療情報の違法開示の主張の十分な根拠となるかどうかを連邦地裁が判断できるよう、本件を差し戻した。
グリフィン対スチールテックでは、原告は初めて訪れた10巡回区で勝訴し、§12112(d)で訴訟を起こすために障害者となる必要はないとの判決を下した。 しかし、連邦地裁に戻ると、Griffin氏は本案で敗訴した。 第10巡回控訴裁は、グリフィン氏の再度の控訴を棄却する判決を下した(Griffin v. Steeltek, 2001 U.S. App. LEXIS 18917 (August 22, 2001)において、「単に許されない質問をされただけでは、認識可能な損害を与えるには不十分」であり、補償的損害賠償(名目的損害賠償も含む)は、原告が禁止されている質問をすることによって雇用主が「実際に不法な意図的差別を行った」と立証した場合にのみ可能である、と述べている。 その上で、裁判所は、最近の最高裁判決であるBuckannon Bd. &ケアホーム、Inc.対West Va. Dept. of Health & Human Resources, 121 S. Ct. 1835 (2001)の最近の最高裁判決を引用した。 第10巡回控訴裁は、「変化のための触媒」理論を否定し、判決や同意協定によってADA訴訟の本案で勝訴しなかった原告は、「たとえ訴訟の追求が、許されない問い合わせの中止など、被告の行為に望ましい自発的変化をもたらしたとしても」弁護士報酬を得る権利はない、と判示した。
EEOCは、12112(d)に基づき、雇用主に対して、許されない問い合わせ、人事ファイルへの医療情報の混入、守秘義務違反などを理由にADAを主張する訴訟を多数起こしている。 しかし、いずれの訴訟においても、EEOCはADAや他の市民権法への違反も訴えている。 2001年9月現在、EEOCのボルチモア地区事務所で係争中の27件のうち、1件は医療情報を別のファイルに保存しなかったことを、1件は医療情報の不当開示を訴えている。
医療情報の機密保持を求めるADA条項違反に対する雇用者の責任については、第4巡回区及びメリーランド州の連邦地裁の判決は出ていない。 EEOCはこれらの条項の適用を継続的に求めている。 また、個人はADAに基づく私的権利を有している。 ADAの守秘義務規定の違反により、雇用主がどの程度被害を受けるかはまだ確定していない。
FMLA
その他の連邦法も、雇用における医療情報の保護を規定している。 家族・医療休暇法(FMLA)、29 U.S.C. §2601 et seq.は、そのような情報を要求または質問する雇用者の権利を制限することにより、間接的に従業員の医療情報の保護を与えている。 雇用主は、自身の深刻な健康状態または対象となる親族の深刻な健康状態のためにFMLA休暇を取る従業員に、医療提供者からの医療証明書を提出するよう要求することができます。 しかし、労働省の規制により、雇用主は従業員または対象となる親族の診断を要求することはできません。 29 CFR § 825.306. さらに、一旦医療証明が提供されれば、雇用主は医療提供者に追加情報を要求することはできな い。 雇用主は医療証明の明確化または認証のために従業員の医療提供者に連絡することができるが、その連絡は雇用主を代表する医療提供者が、従業員の許可を得てのみ行わなければならない。 連邦規則集第 29 編第 825.307 条。 一方、従業員がFMLA休暇と同時に進行している労災休業中であり、労災法の規定が従業員の労災担当医と直接接触することを雇用者に許可している場合、雇用者はその接触を継続することができる。 2934>
FCRA
The federal Fair Credit and Reporting Act (FCRA), 15 U.S.C. § 1681-1681u, also affords protection to employee medical information.連邦公正信用報告法(FCRA)は、従業員の医療情報に保護を与える。 FCRAは、「消費者報告機関」からの「消費者報告」への雇用者のアクセスを規制しています。 合衆国法律集第 15 編第 1681 条。 法は、雇用主が、個人の雇用を考慮する際に使用するための報告機関から情報を調達しようとしてい ることを応募者または従業員に開示することを要求している。 合衆国法律集第 15 編第 1681d 条。 FCRAの第604条(g)は、消費者報告機関が、報告の対象である消費者の事前の特別な同意なしに、雇用目的のために、または信用取引や保険取引に関連して、医療情報を含む報告を提供することを禁止している。 雇用目的で医療情報を求める場合、消費者は雇用主が一般的に消費者情報を取得することを許可するだけでなく、医療情報の公開に明示的に同意しなければならない。 第603条(i)は、「医療情報」を「免許を持つ医師や開業医、病院、診療所、その他の医療施設や医療関連施設から、本人の同意を得て得た情報や記録」と定義している。 雇用主など医療以外の情報源からの情報は「医療情報」ではない。
HIPAA
議会が医療保険の相互運用性と説明責任法(42 U.S.C. § 1320d, et seq.)を可決したとき。 (「HIPAA」)を可決したとき、それは「管理簡素化」に関する条項を含み、「特定の健康情報の電子送信のための標準および要件の確立を通じて……ヘルスケアシステムの効率および有効性」を改善することを目的とした。 P.L. 104-191 § 261. 健康情報の電子送信の強調は、プライバシーに関する懸念を生じさせ、この法律は、保健福祉長官(「HHS」)に健康情報のプライバシーに関する議会への勧告を行うことを要求し、議会が3年以内に法案を可決しない場合、長官は健康情報のプライバシーを保護するための規則を発行するよう要求されると規定した。 P.L. 104-191 § 264. 議会は法案を通過させず、HHSは2000年12月に最終的なHIPAAプライバシー規則を発行した。 65 Fed. Reg. 82526 (12/28/00). HIPAAプライバシー規制は、「対象事業体」、すなわち特定の取引を電子的に行うことを選択したヘルスプラン、ヘルスケア・クリアリングハウス、およびヘルスケア・プロバイダーに直接適用される。 連邦規則集第 45 編第 160.103 条。 カバーされない唯一の健康計画は、参加者が50人未満であり、計画スポンサーによって管理されるものである。 同上。 規制は雇用者に直接適用されないが、医療給付を提供するほとんどの雇用者は、医療プランに適用される 規定および「業務提携者」に適用される規定を通じて影響を受ける。
規制は、対象事業者が「業務提携者」から、対象事業者に適用するのと同じプライバシー保護義務 を遵守する合意を得るよう求めている。 連邦規則集第45編第164.502条(e)。 業務関係者とは、請求処理、請求、または給付管理などの機能を実行または支援する、あるいは法律、保険数理、会計、コンサルティング、管理、または財務サービスを提供する場合、対象事業者が保護される健康情報を開示するあらゆる事業者を指す。 45 C.F.R. § 160.103. 雇用主がそのスポンサーであるヘルスプランの業務関係者となるような機能あるいはサービスを提供する場合、雇用主は業務関係者契約を締結することが求められ、ヘルスプランと同じHIPAAプライバシー要件すべてを遵守することが求められる。 例えば、多くの雇用主は、登録および保険料支払い機能を扱うことにより、ヘルスプランに管理サービスを提供している。
法律サービスのプロバイダーが「業務提携」の定義に含まれるということは、対象事業体、または対象事業体の業務提携者(ヘルスプランを後援する雇用主など)を代理する弁護士は、クライアントから保護されるべき健康情報を受け取っているか、業務提携契約を結ぶことが求められるかどうかを判断する必要があるということだ。 PHIは、個人を特定できる情報であり、病状、治療、またはヘルスケアに対する支払いに関連するものである。 45 CFR § 164.501. すべてのPHIは、口頭、紙、または電子的形態に関係なく対象となり、45 CFR § 160.103、PHIは参加者によって許可された場合、または規則によって許可された場合にのみ使用または開示され ることができる。 PHI の使用に関する制限が含まれていることは、外部への情報開示だけでなく、情報の内部使用にも規制が適用されることを意味する。
PHI の定義は非常に幅広く、「保護された健康情報」というフレーズから通常思い浮かぶものをはるかに超えて広がっている。 保険料の支払い、クレーム、既往症、代位弁済、給付の調整に関する情報はすべてPHIであるかもしれない。 情報は、個人を特定するために、名前、住所、社会保障番号などの識別子を含む必要はない。 例えば、診断名や処置名、支払額のみが記載された高額請求レポートは、その情報が対象者を特定するために使用できると信じる合理的な根拠がある場合、個人を特定できる情報を含むかもしれない。 45 C.F.R. § 164.501.
規制の対象となるヘルスプランは、次のことを行わなければならない:
– 規制の要件を満たす書面によるプライバシー方針および手順を採用および実施する、45 C.F.R. 164.503(i);
– プライバシー方針および手順の通知を各参加者に提供する、45 C. F.R. § 184.401(i).-
– プライバシー方針の通知を提供する、45 C.F.ER. 164.503(i);45 C.F.ER. 164.501(i).- プライバシー方針の通知を実施する。F.R. 164.520;
– プライバシーポリシーと手続きについて従業員を教育する、45 C.F.R. 164.530(b);
– プライバシー担当者を任命する、45 C.F.R. 164.530(a);
– 支払いとヘルスケア業務以外の目的でPHIを使用する許可を得る、45 C.F.R. 164.520;
– プライバシー担当者を任命する、45 C.F.R. 164.530(c);45 C.F.R. 164.530(d);45 C.F.R. 164.530(e)508(a); and
– 必要最小限のPHIのみを開示する、45 C.F.R. § 164.502(b).
さらに、規則はプラン参加者に、自分のPHIを検査しコピーを入手する権利、45 C.F.R. § 164.524, 自分のPHIを修正要求、45 C.F.R. § 164.526, PHI開示の記録を受け取る、45 C. § 163(b)、45 C.F.R. § 163(c)、45 C.F.RA, 45 C.R. § 163(d)を与えている。HIPAAプライバシー規則は、ヘルス・プランを後援する雇用者とヘルス・プラン自体の区別を強調し、ヘルス・プランが雇用者に開示できるものに制限を課している。 ヘルスプランは、雇用主が、プラン文書がHIPAAプライバシー規則、45 C.F.R. § 164.504(f) の定めるところにより改正され、以下の条項を含むことを証明した場合にのみ、PHIを雇用主に開示できる。
– プラン文書により許可または要求された、あるいは法律により必要とされる以外に雇用者がPHIを使用または開示することを禁止、45 C.F.R. § 164.504(f) に規定されている。F.R. § 164.504(f)(2)(ii)(A);
– 雇用関連の行為、あるいは雇用主が後援する他の給付制度との関連でPHIを使用あるいは開示することを禁止する、45 C.F.R. § 164.504(f)(2)(ii)(C);
– PHIの不正使用あるいは開示を雇用主に計画へ報告するよう求める、45 C.F.R. § 164(2)(2)および-PHIの使用あるいは開示は、雇用主が計画へ報告するよう求められる、 45 C.F.R. § 164(2)(2)(3)および
-PHIの使用あるいは開示は、雇用主が計画へ報告するよう求められる。504(f)(2)(ii)(D);
– 許された使用が完了した後、雇用主がPHIを返却または破棄することを要求する場合、45 C.F.R. § 164.504(f)(2)(ii)(I); および
– どの従業員にPHIへのアクセスが可能か記述していること , 45 C.F.R. § 164.2(2)(III); – PHIにアクセスすることができるのは誰であるか。F.R. § 164.504(f)(2)(iii)(A), および雇用主が行うプラン管理機能にアクセスを制限すること、45 C.F.R. § 164.504(f)(2)(iii)(B).
ヘルス・プランを後援し、これまで雇用主の情報とプランの情報を区別していなかった雇用主は、その区別を認識し、プランの情報の使用とアクセスを制限しなければならなくなる。
HIPAA管理簡素化規定は、不順守に刑事および民事罰を課す。 故意に商業的利益または悪意のある損害を意図した違反に対しては、刑事罰として最高25万ドルの罰金および10年の禁固刑が科されます。 合衆国法律集第 42 編第 1320d-6 条。 民事罰は、同じ要件または禁止事項の違反に対して、違反ごとに最高 100 ドル、年間最高 25,000 ドルまで課される可能性がある。 合衆国法律集第 42 編第 1320d 条第 5 項。 しかし、規制の基準は、従業員の健康情報の取り扱いにおける「合理的な注意」とは何かについての基準となり、州裁判所は、雇用者および医療計画が従業員の健康情報の取り扱いにおいて合理的に行動したかどうかを評価するために規制を使用することができるかもしれない。 これは、雇用主が州の不法行為法の下で訴えられる可能性がある。
プライバシー規制は、上限ではなく、下限を定めている。 HIPAAプライバシー要件が州法より厳しい場合、連邦の基準が適用される。 一方、州法がヘルスプランの参加者をより厳しく保護している場合は、州法が適用される。 45 C.F.R § 160.203.
MARYLAND LAW
1990年に、メリーランドは医療記録の秘密保持法、Md. Code Ann.、Health-Gen. I, § 3-401,etc.は、「医療記録の機密性を提供し、一般に患者のプライバシー権を強化する」ために制定された。 Warner v. Lerner, 115 Md. App. 428, 693 A.2d 394 (1997)。 この法律は、医療関係者が利害関係者の許可なく情報を開示できる場合を狭く規定している。 同法、§4-305。 雇用主への、または雇用目的のための無許可の開示については規定がない。 同様の法的制限は、保険会社又は保険サービス機関による医療情報の開示に関して存在し、被保険者 である従業員の同意に基づき、雇用者がそのような情報にアクセスすることを条件としている。 Md. Ins. Code Ann., §4-403; 63 Op. Att’y Gen. 432 (1978).
Maryland には、その状態が「仕事を適切に遂行する応募者の能力又は適性に直接、重要、 かつ適時に関係する」場合を除き、雇用応募者に病状に関する情報の提供を要求することに対する長年の 法定禁止事項が存在する。 Md. Ann. コード、Lab. & Empl.、§3-701。 さらに、メリーランド州の労働安全衛生法、Md. Ann. Code, Lab. & Empl., § 5-101 et seq.は、関連性または病状に関する従業員による不正な不実表示について同等の証明がない限り、個人が雇用者の団体医療保険に加入することによって得た情報に基づき、雇用者が従業員または応募者に対して不利益な雇用措置を取ることを禁止している。 2934>
最近制定された州法は、雇用者が雇用の決定に関連して遺伝情報を使用する権利を制限している。 2001 年 10 月 1 日以降、雇用主が、個人の遺伝情報、または個人が遺伝検査を受けること、もしくは遺伝検査の結果を利用できるようにすることを拒否したことを理由に、個人を雇用しない、または拒否する、あるいは個人を差別することは、違法な雇用慣行となる。 これらの目的のために、「遺伝情報」とは、以下の情報を意味します。 (i) 染色体、遺伝子、遺伝子産物、又は個人若しくは家族に由来する遺伝的特性に関するもの (ii) 診断又は治療目的で得られたもの (iii) その情報が関係する個人が疾患に対して無症状である時点で得られたもの、ただし、 (a) 日常の身体測定 (b) 広く受け入れられ臨床で用いられている化学、血液及び尿検査、又は (c) 薬物の使用に関するテストは含まれない。 遺伝子検査」とは、ヒトの染色体、遺伝子、または遺伝子産物の実験室における検査で、病気や疾患と関連する遺伝的物質における先天的または遺伝的変化の有無を識別するために使用される。
最後に、メリーランドの慣習法は、雇用者による従業員の医療情報へのアクセスが「プライバシー侵害」になる範囲にさらなる保護を提供するだろう。 メリーランド州は、”intrusion upon seclusion” と “publication of private fact” に対して訴因を認めている。 Allen v. Bethlehem Steel Corp., 76 Md. App. 642, 547 A.2d 1105, cert. denied, 314 Md. 458, 550 A.2d 1168 (1988)を参照。 前者は、”合理的な人にとって非常に不快となるような、他人の私的な事柄や関心事の孤独や密室への意図的な侵入 “を要求している。 Furman v. Sheppard, 130 Md.を参照。 App. 67, 73, 744 A.2d 583 (2000)を参照。 後者の主張は、他人の私生活に関する事柄を公表し、公表された事柄が、(a)合理的な人にとって非常に不快であり、(b)公衆にとって正当な関心事でない種類のものである場合に存在する。 77頁。 公表の要素では、「少人数のグループ」を超えて広まることが要求される。 2934>
メリーランド州の裁判所は、医療情報の取得、使用、または普及に基づくプライバシー侵害の不法行為の請求について報告した判決はないが、この問題は他の管轄区域で生じている。 例えば、Knecht v. Vandalia Med. Ctr., Inc., 470 N.E. 2d 230 (Ohio Ct. App. 1984) (医療記録の無許可の開示はプライバシー侵害の請求を支持することができるとする)などを参照。 しかし、このような請求は、医療情報が本人の認識や許可なく入手されたこと、あるいはその情報が正当な利害関係を持たない個人にも広く流布されたことを原告が証明できない限り、うまくいかないと思われる。 ミズーリ州控訴裁判所は、セント・アンソニーズ・メッド(St. Ctr. v. HSH, 974 S.W. 2d 606 (Mo. Ct. App. 1998) は、病院が原告の同意や知識なしに記録を開示したことが、違法な「隠匿への侵入」または「私的事実の公表」にあたるとする主張を退けたが、これはそれぞれ記録が詐欺やその他の不当な手段で得られたものではなく、公表が「公衆全般または多数の個人」に対するものでもなかったためである); See also , 633 N.E. 2d 280 (Ind. Ct. App. 1994) (同); Luedtke v. Nabors Alaska Drilling, Inc, 768 P.2d 1123 (Alaska 1989) (雇用主が要求した尿検査から発生した隠匿に対する原告の請求は、「不当な侵入方法、または不当な目的での侵入」のいずれも示されなかったため、失敗したとした)。。