2017年3月10
「ヘルステック」企業が直面する法的規制
医療IT革命は法規制と政府による監視という新たな難局を迎えることになる
おはようございます。
今回の記事は、一般企業にお勤めの方対象の物ではなく、投資家と買収担当者対象の物ですが、今後「ヘルステック」に関連するIT系企業やメーカー、医療従事者方々にとっては大きな示唆に富む内容です。
近年、医療におけるIT企業のかかわりはますます深いものとなっております。これまで実現できなかった医療の領域にデジタル技術サービスが提供可能になるにつれ、法的規制にハイテク企業が直面する機会の可能性は大きくなりつつあります。
政府や関係各局、医療機関や患者自身にとっても、医療情報やプライバシー、消費者保護やセキュリティに対する意識を持つことは大きな意義があります。それを最も客観的に冷徹に見ることのできる視点を持つ立場は、投資家や企業買収従事者といえます。
この文章は、IT企業や医療従事者、患者という当事者であることを離れた、客観的利益に基づいた視点で、今後起こりうる法的懸念への可能性を述べたものであり、医療関連従事者や企業が持つべき現在最も基礎的な知識を網羅しています。
また、記事はアメリカでの医療業界と事業に関してのものですが、日本を含め世界の医療や商取引、またITなどの電子技術に関する取り決めや制度構築は、アメリカで行われたものを規範として行われることが大きく、その影響は大きいといえます。日本の医薬系の法律や制度は米国のFDAなどの関係機関で施行されたものに沿って、その答申を受けたうえでなされることが多いため、アメリカ国内の行政と法制関連の動向を注視していることは、関係業界に従事している人にとっては賢明だといえます。
デジタル医療企業にとって法的に健康であることは容易ではない
Legal health isn’t easy for digital health companies
Posted Apr 13, 2016
by Samuel Waxman, Behnam Dayanim, Brooke Schachner
https://techcrunch.com/2016/04/13/legal-good-health-isnt-easy-for-digital-health-companies/
iOSデバイス用の医療用アプリケーションの開発を簡素化するオープンソースのプラットフォームであるApple CareKitが最近発表されたことで、デジタル医療業界は2016年にさらに堅牢になる状態であることが明らかになりました。
昨年、デジタル医療企業は約45億ドルの資金調達を行いました。302件の融資案件があり、その平均規模は1480万ドルで、これらの取引が大幅に増加した2014年から、わずかに増加しました。
医療とテクノロジーの収束が続くにつれて、テクノロジー企業(および投資家)は、なじみの薄い規制当局によって実施される、患者情報のプライバシー、消費者保護、詐欺、患者の安全性などの独自の法的問題という複雑に入り組んだ茂の中にますます迷いこんでいます。
デジタル医療企業の投資家や買収従事者は、投資や買収契約の当初にこうした問題に取り組めるため、こうした懸念を認識しておく必要があります。
医療技術規制
家庭用電化製品市場の規制は、デジタル医療製品ユーザーを保護しようという政府の取り組みと比較して軽いものです。米国では、デジタル医療分野に進出する企業は、連邦、州、時には地元の規制機関の連動した、時には重複した管理体制に直面しており、規制遵守に大きなリソースを費やさざるを得なくなることが予想されます。
連邦レベルでは、「医療保険の携行性と責任に関する法律」(HIPAA)の中に、保護医療情報(PHI)の許可された使用および開示を規定する「プライバシー規則」と、保険、医療提供者およびこれら事業体の関連企業すべてを含む一定の対象事業者によるPHIの電子保管および移転を規定する「安全保障規則」があります。
ヘルステック部門の発展が拡大するにつれて、ハイテク企業へより多くの法的問題が提起されることになります。
対象事業者およびその関連企業は、安全保障規則の下で今後起こり得るリスクを評価し、これらのリスクに対処するセキュリティ対策を実施する必要があります。HIPAAへの準拠を確実にすることによって、特にスタートアップは、技術的および管理上の問題の両方が提起されることがあります。
注意すべきなのは、いくつかのモバイルアプリケーションを含む一部のデジタル医療企業は、HIPAAに準拠する必要はありません。その規制は、対象事業者またはその関連企業に代わってPHI(医療記録や受診予約日など)を送信するアプリにのみ適用され、一般に個人が単独で使用するように設計された「健康アプリ」は含まれません。
ほとんどのテクノロジー企業は食品、医薬品、医療機器の規制当局である米国食品医薬品局(FDA)を懸念する必要はない一方で、FDAは医療分野において重要な役割を果たしています。しかしながら、FDAは、特定のソフトウェアプログラムを含む「一般的な健康用途のみ」を目的とした「低リスク」製品と呼ばれるものへの提言のみにとどまろうとします。
したがってFDAは、医療機器を制御または変換し、診断や治療の推奨事項などのトピックを扱う「モバイル医療アプリ」を組み込んだ医療機器の定義に明確に従ったアプリに対してのみ、厳密に規制し、政府機関の承認を求めます。特に、当該政府機関は、意図したとおりに機能しなければ患者の安全に危険をもたらす可能性のあるアプリに関心を持ちます。
FDAによって規制されていないモバイルアプリの場合、消費者が自分の健康を管理するために使用するものと同様に、当該機関には「強制裁量」があります。血圧測定アプリが不正確で安全ではないことを明らかにしたある調査周辺で最近公表された内容によれば、FDAがそのようなアプリをより厳密に規制するよう求めています。
製品またはアプリケーションがHIPAA規則の対象ではなく、FDAによって規制されている場合、連邦取引委員会(FTC)によって公布された規則にも直面する可能性が依然としてあります。FTCは、詐欺的または不公正なビジネス慣行を扱いますが、最近では、同意なしに個人の医療情報を収集した医療費請求会社と、第三者が合理的なセキュリティ対策を実施できることを確認せずに第三者をサービスに使用した医学記録転写会社に対して強制的措置を実行しました。
さらに、FTCの医療違反通知規則(罹患者、FTC、および場合によっては、個人医療情報への無断アクセス、使用または開示をしたメディアへの通知を要求する)はHIPAAの対象外であっても、「個人医療記録」の任意のベンダー、またはそのようなベンダーへのサービス提供者に適用されます。
ヘルステックの企業は厳しい監視に直面する可能性がある
連邦政府の規制や監督に加えて、デジタル医療企業は、プライバシー、消費者保護、および医療業界全体を監督する州法に関しても懸念する必要があります。いわゆる 「遠隔医療」または「遠隔ドック」企業は、州の免許交付規則を認識している必要があります。ほとんどの州では、医師が患者の居住地で診療しているとみなし、それに応じて現地で免許の交付を必要としているとみなします。認可された医療従事者へのオンラインまたはモバイルアクセスを患者に全国的に提供している企業は、50州すべてで免許交付要件を満たす必要があるかもしれません。
関連する問題は、医師が管理していない事業者が医療行為を行うことや、医師を雇うことを禁止する医療政策に関する企業の活動です。多くの州では、この政策を歯科医や理学療法士などのさまざまなタイプの医療従事者にまで適用する幅広い規制があり、医療やその他のヘルスケアサービス利用を提供しようとするデジタル医療企業は、それに従って自社のビジネスを構築しなければなりません。
最後に、47州とコロンビア特別区には違反通知の法令があります。それらの法令により、企業は特定の種類の個人情報への不正アクセス、使用または開示の事例に関して、個人や、多くの場合、州当局、信用調査機関またはメディアに通知する必要があります。特定の医療記録に含まれる内容に応じて、そのような記録を含む違反がこれらの法令の1つに抵触することがあります。
投資家やバイヤーがすべきことは何か?
「ヘルステック」部門の投資家とバイヤーは、資金調達や買収に関連するこれらの規制上の落とし穴を意識しているべきです。 デュー・ディリジェンスは、対象企業がその技術を運用するために必要な権限と承認をすべて取得したかどうかを特定するものでなければなりません。これは、テクノロジー企業投資家にとって常である見直しをするだけでは不十分で、より詳細で深い検討をする必要があるかもしれません。有効性に関する会社の方針と手順を見直して、医療業界の規範や政府の規制や法的要件に準拠していることを確認することも重要です。
相当[適切・正当]な注意[配慮]◆【同】due care
《経済》デュー・デリジェンス、精査、適正評価◆債権(特に不良債権)の適正価格を値踏みすること(価格は5-40%程度になることが多い)。それをハイリスク・ハイリターンを容認する投資家に売却する。その債権を債務者から回収する業者がサービサー(servicer)。
《経済》債務返済追行、改革実行◆今までの債務、赤字解消の努力をすること。
さらに、潜在的に起こり得るまたは訴訟や捜査が潜在的に起こり得るのではないか、または現在行われていないかどうかを検討し、製造者責任の懸念や虚偽のビジネス慣行などといった危険信号を認識することは賢明です。こうした評価を習慣的に行うことは、特定の状況において、売り手または(投資や買収の)対象企業が契約上の関係を有する第三者に拡大すべきものです。
契約上の保護に関しては、テクノロジー企業とヘルステックのスタートアップ企業との間で取り交わされる最近の買収契約には、対象企業の医療機器の合法性と法令遵守を証明する詳細な項が含まれています。特にFDA規制、連邦食品医薬品化粧品法、詐欺、不正使用、またはリベートに関するその他の法律があります。
これには、FDAまたは他の機関によって法執行が現在なされている、またはそのおそれがないこと、FDAによって発行された免許が停止されていないこと、および臨床試験が法律に従って行われていることが含まれています。これらの規定は、ユーザーのプライバシー、消費者の保護および患者の安全性に対象企業がきちんと関与しているかどうかを考慮して、医療テクノロジー企業の買収をすることを確実にすることが重要であることを示しています。
ヘルステック部門の発展が進むにつれて、ハイテク企業へより多くの法的問題が提起されることになります。2月上旬、上院健康教育労働年金委員会は、上院で可決を目指して、「医療情報技術法の改善」と題する法案を承認しました。
この法案が可決すれば、医療IT製品の認証が奨励され、透明な製品評価システムが確立し、患者が自分の医療情報にしっかりとアクセスできるようにする技術開発の方向へ向かうでしょう。
同時に、血液検査のスタートップ企業Theranosによって使用された技術の正確さに関する最近の論争は、デジタル医療業界における規制および資金調達に対する不安を引き起こしています。将来、ヘルステック企業は、政府、潜在的な投資家、消費者からのより厳しい監視に直面する可能性があるといえるでしょう。
編集部からのコメントです。
以下は英語原文です。
With the recent announcement of the Apple CareKit, an open-source platform to simplify the
development of healthcare apps for iOS devices, it appears that the digital health industry is primed
to become even more robust in 2016.
Over the past year, digital health companies raised about $4.5 billion in funding. There were 302
financing deals, with an average size of $14.8 million — up slightly from 2014, when there was a
substantial surge in these deals.
As the convergence of healthcare and technology continues, technology companies (and investors)
are increasingly finding themselves lost in a thicket of unique legal issues, enforced by unfamiliar
regulators, including privacy of patient information, consumer protection and fraud and patient
safety.
Investors in and buyers of digital health companies should be aware of these concerns, as they can be
addressed at the outset of investment and acquisition agreements.
Health technology regulation
The consumer electronics market is lightly regulated in comparison to government efforts to protect
users of digital health products. In the United States, companies moving into the digital health sector
are faced with an interlocking and sometimes overlapping regime of federal, state and sometimes
local regulatory bodies, and should expect to expend significant resources on regulatory compliance.
At the federal level, the Health Insurance Portability and Accountability Act (HIPAA) has both a
“Privacy Rule” that governs permissible uses and disclosures of protected health information (PHI),
and a “Security Rule” that governs electronic storage and transfer of PHI by certain covered entities,
including health plans, healthcare providers and any business associates of these entities.
As development in the healthtech sector expands, there will be more legal issues presented for tech
companies.
Under the Security Rule, covered entities and their business associates must evaluate potential risks
and implement security measures to deal with these risks. Ensuring compliance with HIPAA can
present both technical and administrative issues, especially for startups.
Notably, some digital health companies — including some mobile apps — are not required to
comply with HIPAA. Its regulations only apply to those apps that transmit PHI (like medical records
or appointment dates) to or on behalf of covered entities or their business associates, and generally
would not include “health” apps designed for use solely by individuals.
While most technology companies would have no reason to be concerned about the regulatory
authority of the U.S. Food and Drug Administration (FDA), which regulates food, drugs and medical
devices, the FDA plays a significant role in the healthcare sector. However, the FDA has shown
reticence to go beyond suggestions for what they call “low-risk” products that are intended “for only
general wellness use,” which includes certain software programs.
As such, the FDA only strictly regulates and requires agency approval for apps that specifically
conform to a definition of medical devices that capture “mobile medical apps” that control or
transform a medical device and deal with topics such as diagnosis and treatment recommendations.
In particular, the agency is concerned with apps that could pose a risk to patient safety if they did not
function as intended.
For those mobile apps not regulated by the FDA, like those used by consumers to manage their own
health, the agency maintains “enforcement discretion.” Recent publicity surrounding a study that
found a blood pressure measuring app to be inaccurate and unsafe has prompted calls for the FDA to
more closely regulate such apps.
In the event a product or application is not subject to HIPAA rules or regulated by the FDA, it may
still face regulations promulgated by the Federal Trade Commission (FTC). The FTC deals with
deceptive or unfair business practices, and has recently enforced actions against a medical billing
company that collected personal medical information without consent and a medical transcription
company that used a third party for services without making sure that third party could implement
reasonable security measures.
Moreover, the FTC’s Health Breach Notification Rule — which requires notice to affected
individuals, the FTC and, in some cases, the media of unauthorized access, use or disclosure of
personal health information — applies to any vendor of “personal health records” or service provider
to such a vendor, even if not covered by HIPAA.
Healthtech companies could face increased scrutiny.
In addition to federal regulation and oversight, digital health companies also must worry about state
laws governing privacy, consumer protection and the healthcare industry generally. So-called
“telehealth” or “teledoc” companies should be aware of state licensure rules. Most states deem
physicians to be practicing in the place where the patient resides and accordingly require licensure in
that locale. Companies offering patients online or mobile access to licensed healthcare professionals
nationwide may implicate licensure requirements in all 50 states.
A related issue is the corporate practice of medicine doctrine that prohibits non-physician-controlled
business entities from practicing medicine or employing physicians to do so. Many states have broad
regulations that extend this doctrine to different types of healthcare professionals, such as dentists
and physical therapists, and digital health companies that seek to provide access to medical or other
healthcare services must structure their businesses accordingly.
Many states also prohibit licensed professionals or licensed facilities from sharing their professional
fees with unlicensed entities and individuals, also known as “fee-splitting.” Payments must be
appropriately structured to comply with state fee-splitting prohibitions.
Finally, 47 states and the District of Columbia maintain breach notification statutes, which require
companies to provide notice to individuals and, in many cases, state authorities, credit reporting
agencies or the media of instances of unauthorized access, use or disclosure of certain types of
personal information. Depending on what a particular health record contains, a breach involving
such a record may trigger one of those statutes.
What is an investor or buyer to do?
Investors and buyers in the “healthtech” sector should be conscious of these regulatory pitfalls in
connection with financings and acquisitions. Due diligence should identify whether the target
company has obtained all necessary authorizations and approvals to operate its technology. This may
require a more detailed and deeper review than is typical for technology investors. It is also
important to review the company’s policies and procedures on effectiveness to ensure that they
comply with norms within the healthcare industry, as well as with government regulations and legal
requirements.
Additionally, it would be prudent to review any potential or current litigation and investigations to be
aware of red flags, like product-liability concerns or fraudulent business practices. These diligence
practices should, in certain circumstances, be extended to third parties with whom the seller or target
has contractual relationships.
With respect to contractual protections, recent acquisition agreements between technology
companies and healthtech startups have included detailed sections attesting to the legality of the
target company’s medical devices and their compliance with laws — specifically FDA regulations,
the Federal Food, Drug and Cosmetic Act, HIPAA and any other laws relating to fraud, abuse or
kickbacks.
This includes stating that there are no current or threatened enforcement actions by the FDA or any
other agency, that no licenses issued by the FDA have been suspended and that any clinical trials are
being conducted in accordance with the law. These provisions indicate the importance of assuring
that any acquisition of healthcare technology should take into consideration the target’s commitment
to user privacy, consumer protection and patient safety.
Future developments
As development in the healthtech sector expands, there will be more legal issues presented for tech
companies. In early February, the Senate Committee on Health, Education, Labor and Pensions
approved a bill titled the “Improving Health Information Technology Act” for a future vote in the
Senate.
If passed, this bill would encourage certification of health IT products, establish a transparent
product rating system and seek to develop technology that would make it easier for patients to
securely access their own health information.
At the same time, a recent controversy over the accuracy of the technology used by blood-testing
startup Theranos has caused some unease over regulation and funding in the digital health industry.
In the future, healthtech companies could face increased scrutiny from the government, potential
investors and consumers.