エピックが把握した不正行為の範囲を超えて、潜在的なデータ流出が広がる懸念
ケアクオリティが取り扱うデータの規模を考えれば、不正行為の影響を受けたドキュメントの数は、これまでに確認された約30万件を大きく上回る可能性がある。エピックが追跡できたのは、あくまで自社の顧客に関する記録に限られている。たとえば、独自システムを使用し、現在はOracle Health(オラクル・ヘルス)への移行を進めている米国退役軍人省(VA)のような大規模な組織は算定に含まれていない。VAの医療ネットワークには、約900万人の退役軍人が登録されている。
advertisement
患者データの不正利用が、エピックが把握した範囲を超えて広がっていると考える理由もある。相互運用性に基づく迅速なデータ共有の仕組みでは、安全対策が十分とはいえず、手作業の時代のように、やり取りされる記録が個別に精査されることはなくなった。
「2週間に1度は、無知からか悪意からか、純粋な治療目的とはいえない形でネットワークを利用しようとする組織の話を聞いている。これは本当に、よくあることだ」。医療IT企業HTD Health(HTDヘルス)で相互運用性分野を統括するブレンダン・キーラーはそう明かす。
保険会社が、保険金支払いに先立ち医療行為の必要性を確認するために記録を求めるような、治療とは直接関係しない用途でも、正当なケースはある。しかし、データを要求する主体がマーケターや弁護士であれば、通常は規則に反する。
advertisement
患者本人は、誰が自分の医療記録を取得したのかという事実を把握できない
しかも患者本人は、その事実をほとんど把握できない。ケアクオリティには、誰が自分の医療記録を取得したのかを患者が確認できる仕組みがなく、悪意のある第三者にアクセスされたかどうかを簡単に知る手段もない。エピックの訴状で指摘された行為の影響を受けた多くの患者は、自身のデータが盗まれていたことをこれまで認識していなかった可能性が高い。
