HIPAAがトラッキングについて実際に述べていること

HIPAA自体はクッキー、ピクセル、またはウェブトラッキングについて言及していません。この法律は1996年に書かれ、2009年にHITECH Actによって改正されました。オンライントラッキングに関連する規則は二つの場所から来ています。Privacy RuleのPHI定義と、電子PHI（ePHI）の保護に関するSecurity Ruleの要件です。これらを合わせると、対象エンティティまたはビジネスアソシエイトが保持する個別に識別可能な医療情報はすべて保護されなければならず、許可またはビジネスアソシエイト契約なしに第三者への開示を行うことは許可されない使用であると述べています。

OCRトラッキング技術通知

出版社にとっての重要な規制文書は、「HIPAA対象エンティティおよびビジネスアソシエイトによるオンライントラッキング技術の使用」と題されたOCR通知です。2022年12月の元のバージョンは積極的な立場をとっており、ページが特定の健康状態に関するものであれば、ウェブページで収集されたすべてのIPアドレスは潜在的にPHIであるとしていました。2024年に連邦裁判所がOCRの権限を超えるとして通知の一部を覆す判決を下した後、OCRは文書を改訂し、未認証のマーケティングページと認証済みの患者ポータルページの間に鋭い境界線を引きました。2024年の改訂版が2026年の支配的テキストであり、CMPを設定する際に出版社の法務チームが第2のモニターで常に開いておくべき文書です。

トラッキングの文脈でPHIとみなされるもの

OCRは、識別子（IPアドレス、デバイスID、ブラウザフィンガープリント、ハッシュ化されたメール）と特定の個人の健康に関する情報（状態の検索、治療ページへのクリック、症状を含むフォーム送信）の組み合わせを、既知の患者または識別可能な人物に関連する場合にPHIとして扱います。識別子だけではPHIではなく、健康情報だけでもPHIではありませんが、組み合わせはPHIです。これが出版社を不意打ちする分析上の動きです。なぜなら、標準的なアドテクのピクセルは測定とパーソナライゼーションの目的でまさにその組み合わせを第三者に渡すように設計されているからです。

認証済みページと未認証ページの区別

OCR通知の最も重要な概念は、認証済みページ（ユーザーが患者ポータル、EHR接続の予約システム、請求コンソールにログインすることで到達するページ）と未認証ページ（一般的なマーケティングページ、疾患情報記事、医師検索）の境界線です。コンプライアンスの姿勢はこの二つの間で大きく異なります。

認証済みページ

認証済みページは高リスクな表面です。ユーザーがログインすると、対象エンティティはその人物が誰であるかを知り、それらのページで起動するあらゆるトラッキング技術は、リクエストを受け取るベンダーに潜在的にPHIを開示します。サードパーティのピクセル、マーケティングピクセル、およびビジネスアソシエイト契約の外で運用される分析タグは、認証済みページでは一切実行すべきではありません。ここでのOCRの立場は明確であり、事件の和解は相当なものでした。

未認証ページ

未認証ページはより微妙です。2024年のOCR改訂は、一般的なマーケティングページへのすべての訪問がPHIを生成するわけではないことを認めました。糖尿病に関する一般的な記事を読んでいるユーザーは、必ずしも糖尿病を持っていることを開示しているわけではありません。しかし、ページが識別子と明確な医療コンテキストを組み合わせると境界線が動きます。自由形式の入力を受け取り、入力が添付されたピクセルを起動する症状チェッカー、URLをトラッキングパラメータとして使用する疾患特定のランディングページ、専門分野と郵便番号を分析ベンダーに渡す専門医検索ツール。これらのフローが未認証ページをPHI表面に変えます。

実践的なテスト

2026年に出版社が実施する実践的なテストは合理的期待テストです。このページを訪問した合理的な人物は、自分の訪問が特定の健康上の懸念を示すと期待するでしょうか？もしそうであれば、そのページは認証状態に関係なく、トラッキングの目的でPHI保有として扱われます。このテストは設計上保守的です。許容的な側で誤りを犯すと執行リスクが生じますが、制限的な側で誤りを犯すと広告収入が失われるだけです。

ビジネスアソシエイト契約とベンダースタック

HIPAAは、ベンダーがHIPAAと同等の保護にコミットするビジネスアソシエイト契約（BAA）に署名した場合にのみ、対象エンティティがPHIをベンダーと共有することを許可します。主要なアドテクと分析ベンダーの間でBAAの状況は不均一であり、重大な結果をもたらします。

BAAに署名するベンダー

GoogleはGoogle Workspace、Google Cloud Platform、および特定の設定の下でのGoogle Analytics 4展開の限られたサブセットに対してHIPAA BAAを提供しています。MicrosoftはAzureおよび制約されたMicrosoft Clarity設定に対してBAAに署名します。医療に特化した少数の分析プラットフォーム（Freshpaint、HIPAAアドオン付きHeap、FullStoryの医療設定）がBAAに署名します。これらがHIPAA対象の出版社が認証済みまたはPHI保有の表面で使用できるベンダーです。

BAAに署名しないベンダー

MetaはMeta PixelまたはConversions APIのいかなる標準設定においてもBAAに署名しません。TikTokはTikTok PixelのBAAに署名しません。ほとんどのプログラマティックSSPとDSPはBAAに署名しません。標準のGoogle Analytics、標準のGoogle Tag Managerテンプレート、およびデフォルトのGoogle Ads変換タグはGoogleのBAAの対象外です。これらのいずれかをPHI保有の表面で実行することは、同意バナーの設定に関係なくHIPAA違反です。PHIが関与する場合、同意はBAAの代替にはなりません。

同意プラスBAAスタック

医療出版社のマーケティングページに対応したパターンは同意プラスBAAスタックです。未認証のマーケティングページは、非必須のトラッキングに対する同意ゲートを備えたCMPを実行し、分析レイヤーはHIPAAを意識したベンダーとのBAAの下で設定され、マーケティングピクセルレイヤーは合理的期待テストを通過したページでのみ実行されるか、非BAAベンダーへの転送前に識別情報を削除するサーバーサイドの変換APIを通じてルーティングされます。

医療出版社のCMPアーキテクチャ

HIPAA対象の出版社向けCMPは同意の収集以上のことを行います。ページクラスの区別を強制し、BAA状況によってベンダーをゲートし、HIPAAのSecurity Ruleの文書化要件とその上に適用される州のプライバシー法の両方を満たす監査ログを生成します。

ページクラスの検出

CMPは、どのページクラスでレンダリングしているかを知る必要があります。最もクリーンなパターンは、CSPが注入したJavaScript変数です。これはサーバーによってURLパターン、認証状態、コンテンツタイプのメタデータに基づいて設定され、CMPが初期化時に読み取ります。この変数は三状態を生成します。公開-低リスク（医療コンテキストなし）、公開-PHI保有（医療コンテキストあり、認証なし）、または認証済みです。CMPのベンダーリストと同意のデフォルトは三つの状態にわたって変化します。

BAA状況によるベンダーゲーティング

CMPのベンダーリスト内のすべてのベンダーは、BAA状況とBAAが適用される条件でタグ付けされなければなりません。BAAなしのベンダーは、同意状態に関係なくPHI保有および認証済みの表面でハードブロックされます。条件付きBAA（特定の設定選択を必要とするもの）を持つベンダーは、それらの条件が確認された場合にのみ許可されます。監査ログはページクラス、同意状態、およびBAA決定を含むすべてのベンダー決定を記録し、規制当局の調査のための防御可能な記録を生成します。

州法レイヤー

HIPAAは連邦の最低基準です。州の法律（カリフォルニアのCMIA、ワシントンのMy Health My Data Act、コネチカットとネバダの消費者健康プライバシー条項）はその上に、特定の範囲でより厳格な要件とともに存在します。CMPアーキテクチャはHIPAAをベースラインとして扱い、ユーザーの地理的シグナルがより強い消費者健康レジームを持つ州を示す場合は常に、最も厳格な適用可能な州規則を上に重ねる必要があります。

和解を引き起こすよくあるHIPAAトラッキングの失敗

2024年と2025年のHIPAAトラッキング執行措置は、OCR調査につながるパターンの明確なリストを生み出しました。コンプライアンスに相談せずにマーケティング分析のために追加したことで、患者ポータルで起動しているMeta Pixel。カスタムディメンションとして症状が渡された症状チェッカーツールで実行されているGoogle Analytics。分析タグが取得して転送するURLパラメータとして専門分野を渡す医師検索ページ。有料獲得のためにTikTok Pixelがインストールされ、ユーザーが認証済みポータルに入ったときに削除されなかったテレヘルスのオンボーディングフロー。患者向けフォームを含むすべてのページでヒートマップレコーダーを起動したマーケティングチームのA/Bテスト。これらのそれぞれが、2022年以降の執行ウィンドウで公開和解または是正措置計画を生み出しました。

結論

2026年のHIPAAはもはやマーケティングチームが無視できるバックオフィスのコンプライアンス体制ではありません。OCR通知、公開和解、および認証済みページでのピクセル使用に対する執行の成熟した連鎖は、デジタルフットプリントを持つあらゆる対象エンティティにとってオンライントラッキングを取締役会レベルの問題にしました。コンプライアンスの姿勢は不可能ではありません。ページクラスを知るCMP、BAA境界を尊重するベンダースタック、州法の重複を処理する同意レイヤー、OCR調査官が1時間で読んで確信を持って立ち去ることができる文書化されたアーキテクチャです。2026年にそのアーキテクチャに投資する出版社はデジタルチャンネルを開いたままにし、オーディエンスを収益化可能な状態に保ちます。医療ページをeコマースページのように扱い続ける出版社は、次の2年間を連邦政府との和解合意の起草に費やすことになります。