우편함에서 꺼냅니다. 재미있고 친근한 색상으로 인쇄되어 있습니다. 면봉으로 긁고, 침을 뱉고, 손가락을 찌릅니다. 다시 우편으로 보냅니다. 곧 당신은 자신에 대해 새로운 것을 알게 될 것입니다: 호르몬, 생식 능력, 암 위험, 알츠하이머 경향, 신진대사, 음식 민감성, 또는 전체 게놈까지도요. 이것이 가정용('소비자 직접 의뢰') DNA 및 건강 검진의 유혹입니다. 늦은 밤, 휴대폰으로 보험에 가입되지 않았거나, 호기심이 많거나, 단순히 당신의 몸이 어떤 비밀을 숨기고 있을지 불안하다면 집에서 할 수 있는 거의 모든 검사를 주문할 수 있습니다.

직접 주문하기 전에 약간의 구글 검색을 해봤습니다. 처음에는 간단한 답을 찾고 있었습니다: 검사가 FDA 검토를 받았는가? 회사가 HIPAA의 적용을 받는가? 의사가 결과를 설명해 주는가? 더 읽을수록 덜 간단해졌습니다. FDA 관련 문구는 드물었고, 나타나더라도 보통 특정 검사, 보고서 또는 수집 키트에 국한되었지, 반드시 회사 전체나 서비스 전체는 아니었습니다. 일부 회사는 HIPAA를 준수한다고 말했고, 다른 회사는 그렇지 않았습니다. 거의 모든 회사가 CLIA 인증 또는 CAP 인증 실험실을 언급했지만, 이는 단지 실험실 품질 기준일 뿐입니다. 상담 및 후속 치료도 크게 다양했습니다. 이로 인해 나는 더 깊이 약관을 파고들었습니다: 내 정보가 법 집행 기관과 공유되거나 광고나 연구에 사용될 수 있을까?

답은 대부분의 사람들이 읽지 않는 정책에 있었습니다. 하지만 나는 10개 회사에 대해 읽었습니다: Everlywell, LetsGetChecked, Labcorp OnDemand, Nebula Genomics / DNA Complete, Nucleus, SiPhox, myLAB Box, CircleDNA, SelfDecode, 23andMe. 언급된 모든 회사에 연락해 논평을 요청했습니다. 또한 생명윤리, 유전학, HIPAA 및 의료법, FDA 규제, 소비자 프라이버시, 사이버 보안 분야의 전문가 12명과 이야기했지만, 그중 6명만 인용했습니다.

첫 번째 위험? 생물학적 샘플을 채취하는 데 사용하는 란셋, 면봉 또는 튜브가 아닙니다. 더 일찍 시작됩니다. 검사를 주문할 때, 회사가 건강 관련 데이터를 취급하기 때문에 내 정보가 다른 의료 기록처럼 보호된다고 가정할 때입니다. 미국에서는 1996년 건강보험 이동성 및 책임법(HIPAA)이 적용 대상 기관 및 그 업무 제휴사가 생성, 유지 또는 전송하는 개인 건강 정보(PHI)를 보호합니다. 모든 사람을 위한 포괄적인 프라이버시 법은 아닙니다.

아이오와 대학교 로스쿨의 David H. Vernon 법학 교수인 Anya Prince는 건강 및 유전 프라이버시를 연구합니다. Prince는 ZDNET에 주요 질문은 회사가 HIPAA의 적용을 받는지 여부라고 말했습니다. "DTC 실험실은 적용 대상 기관으로 간주되지 않을 수 있습니다,"라고 Prince는 말했습니다. "그들이 가진 건강 정보는 PHI로 간주되기보다는 회사의 개인정보 처리방침에 의해 규율될 것입니다." 인기 있는 가정용 DTC 회사들을 살펴보았을 때, 여러 곳에서 HIPAA 관련 문구를 사용하고 일부 격차가 있음을 발견하고 놀랐습니다. Everlywell은 HIPAA에 따라 "개인 식별 건강 정보를 보호하기 위해 노력"한다고 말했습니다. Labcorp는 HIPAA에 따라 "건강 정보의 프라이버시를 유지할 법적 의무"가 있다고 말했습니다. Nucleus는 "HIPAA 준수"라고 말했습니다. SiPhox는 "HIPAA 등급 보안"을 갖추고 있다고 말했고, myLAB Box는 키트와 관련된 정보 및 샘플이 HIPAA에 따라 "보호"된다고 말했습니다. 다른 회사들에 대해서는 회사가 HIPAA를 준수하거나 적용받는다는 현재 공개 페이지를 찾을 수 없었습니다.

Engage Compliance의 설립자이자 DTC 건강 및 유전 검사 회사의 아웃소싱 데이터 보호 책임자인 Julian Gage는 ZDNET에 "HIPAA 등급" 및 "HIPAA 준수" 주장은 마케팅 언어일 뿐 "보호가 아니다"라고 말했습니다. "HIPAA 등급 암호화는 보안 설정에 대한 진술일 뿐입니다,"라고 Gage는 말했습니다. "HIPAA가 실제로 당신에게 적용되는지 또는 회사가 당신의 결과로 무엇을 할 수 있는지에 대해서는 아무것도 말하지 않습니다." 예를 들어, DTC 회사가 의사나 원격 의료 네트워크를 통해 주문을 라우팅할 때, 그 임상의나 네트워크는 HIPAA 적용 대상 기관일 수 있으며, 그것이 생성하고 보관하는 데이터 조각은 HIPAA의 적용을 받을 수 있습니다. 그러나 이것이 반드시 검사 회사나 전체 서비스를 HIPAA 적용 대상으로 만들지는 않습니다.

태그: 23andMe, HIPAA, Everlywell, LetsGetChecked, DNA 검사, 유전 프라이버시