高木浩光@自宅の日記

■しかく 匿名加工医療情報作成事業法案ファーストインプレッション(パーソナルデータ保護法制の行方 その29)

かつて「代理機関」と呼ばれていた構想が、「医療情報取扱制度調整ワーキンググループとりまとめ」*1 としてパブリックコメントにかけられていたが、これの法律案が3月10日に国会提出された。

• 医療分野の研究開発に資するための匿名加工医療情報に関する法律案, 内閣官房 国会提出法案 第193回通常国会
  • 概要
  • 法律案・理由

「概要」を見ると、法律の題名は、「医療分野の研究開発に資するための匿名加工医療情報に関する法律」なのに、その略称は「次世代医療基盤法」だという。「匿名加工医療情報作成事業法」の方が実態にそぐうように思えるくらいの内容だが*2 、どうなんだろうか。

早速、法律案の内容を読み込んでみたところ、大筋では悪くないとの感触(そもそもの方向性に疑問はあるにせよ)を持ったものの、テクニカルなところで気になるところが多々あった。

登場する用語を中心に概念整理すると図1のようになる。

ここで、「医療情報」と「匿名加工医療情報」は次のように定義されている。

第2条 この法律において「医療情報」とは、特定の個人の病歴その他の当該個人の心身の状態に関する情報であって、当該心身の状態を理由とする当該個人又はその子孫に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等(文書、図画若しくは電磁的記録(略)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号(個人情報の保護に関する法律(略)第2条第2項に規定する個人識別符号をいう。以下同じ。)を除く。)をいう。以下同じ。)であるものが含まれる個人に関する情報のうち、次の各号のいずれかに該当するものをいう。

一 当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)

二 個人識別符号が含まれるもの

3 この法律において「匿名加工医療情報」とは、次の各号に掲げる医療情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように医療情報を加工して得られる個人に関する情報であって、当該医療情報を復元することができないようにしたものをいう。

一 第1項第1号に該当する医療情報 当該医療情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

二 第1項第2号に該当する医療情報 当該医療情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

「医療情報」の定義は、個人情報保護法の「要配慮個人情報」の定義ぶりとはまた微妙に異なっている(「個人情報」からどのように限定するかが異なる)ようだ。「医療情報」が「要配慮個人情報」の部分集合なのかどうか*3 がはっきりしない。「要配慮個人情報」の定義では、「病歴......その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取り扱いに特に配慮を要するものとして政令で定める記述等」であるのに対して、「医療情報」では「当該心身の状態を理由とする当該個人又はその子孫に対する不当な差別、偏見その他の不利益が......」となっている。「本人」以外に「その子孫」が加えられている。「を理由とする」と書かれたのは、個人情報保護法より条文を明確化したのだろう。「政令で定める記述等」となっているので、結局、個人情報保護法と同じものが政令で規定されれば、結果的に同じものとなり、「医療情報」が「要配慮個人情報」の部分集合となるのかもしれない。

「匿名加工医療情報」の定義は、個人情報保護法の「匿名加工情報」と同じ定義ぶりで、「個人情報」を「医療情報」に差し替えたものになっている。

「医療情報」の定義が「個人情報」を参照しておらず、これらはパラレルであり、同一の語を参照して共通概念であるのが明らかなのは「個人に関する情報」の部分のみとなっている。つまり、以下の図2の左の図の構造であって、右の図の構造ではない。(「医療情報」は、「個人に関する情報」の一種であるが、「個人情報」の一種ではない。)

これは、「医療情報」を生存する個人に関する情報に限定しないもの(死者に関する情報を含むということ)とすることから、開いて定義する必要があって、こうなったのだろう。これにより、「医療情報」における「特定の個人を識別することができる」ものに限るとする要件が、「個人情報」におけるそれと同一なのかが不確かとなるところ、定義ぶりの同一性(限定のかけ方が同じであること)から、同一と推定されるものとなっている。

結局、対象情報の範囲は図3のようになる。「医療情報」は、生存しない個人に関する情報を含む分だけ幅が広く、奥行きは前記の「定義ぶりの同一性」から等しいと推定されるもので、高さは「要配慮」のうち「病歴...その他...政令で定める記述等」の部分(図中の桃色領域)と等しいと推測されるものの政令を待つ必要があるということになろうか。

この法律は、第3章で「認定匿名加工医療情報作成事業者」と「認定医療情報等取扱受託事業者」の義務規定等を置き、第4章で「医療情報取扱事業者」による医療情報の提供を可能とする規定を置いており、これにあたり、2条で以下の2つの用語を定義している。

4 この法律において「匿名加工医療情報作成事業」とは、医療分野の研究開発に資するよう、医療情報を整理し、及び加工して匿名加工医療情報(匿名加工医療情報データベース等(略)を構成するものに限る。以下同じ。)を作成する事業をいう。

5 この法律において「医療情報取扱事業者」とは、医療情報を含む情報の集合物であって、特定の医療情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の医療情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第四十四条において「医療情報データベース等」という。)を事業の用に供している者をいう。

4項の「匿名加工医療情報作成事業」は、8条中の「認定匿名加工医療情報作成事業者」の定義で参照されている。匿名加工医療情報作成事業を行う者は申請により主務大臣の認定を受けることができるとされ、認定を受けた者が「認定匿名加工医療情報作成事業者」であり、それを名宛人とした義務等が3章2節(医療情報等及び匿名加工医療情報の取扱いに関する規制)に並べられている。

5項の「医療情報取扱事業者」は、病院などの医療機関を指したもののようで*4 、4章(医療情報取扱事業者による認定匿名加工医療情報作成事業者に対する医療情報の提供)で、医療情報取扱事業者は医療情報を認定匿名加工医療情報作成事業者に(一定の条件の下で)提供することができるとしている。ここがこの法案の肝であり、改正個人情報保護法の施行によって、要配慮個人情報を本人同意なく(オプトアウト方式で)第三者提供することが許されなくなるところを、この法律によって部分的にオーバーライドし、そのような提供を可能にするというというものである。

3章2節の「認定匿名加工医療情報作成事業者」に係る義務等の規定は、以下のものとなっている。

第2節 医療情報等及び匿名加工医療情報の取扱いに関する規制

(利用目的による制限)
第17条 認定匿名加工医療情報作成事業者は、第25条又は第30条第1項の規定により医療情報の提供を受けた場合は、認定事業の目的の達成に必要な範囲を超えて、当該医療情報を取り扱ってはならない。

2(略(例外規定))

(匿名加工医療情報の作成等)
第18条 (略(後述))

(消去)
第19条 認定匿名加工医療情報作成事業者は、認定事業に関し管理する医療情報等又は匿名加工医療情報を利用する必要がなくなったときは、遅滞なく、当該医療情報等又は匿名加工医療情報を消去しなければならない。

(安全管理措置)
第20条 認定匿名加工医療情報作成事業者は、認定事業に関し管理する医療情報等又は匿名加工医療情報の漏えい、滅失又は毀損の防止その他の当該医療情報等又は匿名加工医療情報の安全管理のために必要かつ適切なものとして主務省令で定める措置を講じなければならない。

(従業者の監督)
第21条 認定匿名加工医療情報作成事業者は、その従業者に認定事業に関し管理する医療情報等又は匿名加工医療情報を取り扱わせるに当たっては、当該医療情報等又は匿名加工医療情報の安全管理が図られるよう、主務省令で定めるところにより、当該従業者に対する必要かつ適切な監督を行わなければならない。

(従業者等の義務)
第22条 認定匿名加工医療情報作成事業者の役員若しくは従業者又はこれらであった者は、認定事業に関して知り得た医療情報等又は匿名加工医療情報の内容をみだりに他人に知らせ、又は不当な目的に利用してはならない。

(委託)
第23条 認定匿名加工医療情報作成事業者は、認定医療情報等取扱受託事業者に対してする場合に限り、認定事業に関し管理する医療情報等又は匿名加工医療情報の取扱いの全部又は一部を委託することができる。

2 前項の規定により医療情報等又は匿名加工医療情報の取扱いの全部又は一部の委託を受けた認定医療情報等取扱受託事業者は、当該医療情報等又は匿名加工医療情報の取扱いの委託をした認定匿名加工医療情報作成事業者の許諾を得た場合であって、かつ、認定医療情報等取扱受託事業者に対してするときに限り、その全部又は一部の再委託をすることができる。

3 前項の規定により医療情報等又は匿名加工医療情報の取扱いの全部又は一部の再委託を受けた認定医療情報等取扱受託事業者は、当該医療情報等又は匿名加工医療情報の取扱いの全部又は一部の委託を受けた認定医療情報等取扱受託事業者とみなして、同項の規定を適用する。*5

(委託先の監督)
第24条 認定匿名加工医療情報作成事業者は、認定事業に関し管理する医療情報等又は匿名加工医療情報の取扱いの全部又は一部を委託する場合は、その取扱いを委託した医療情報等又は匿名加工医療情報の安全管理が図られるよう、主務省令で定めるところにより、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

(他の認定匿名加工医療情報作成事業者に対する医療情報の提供)
第25条 第30条第1項の規定により医療情報の提供を受けた認定匿名加工医療情報作成事業者は、主務省令で定めるところにより、他の認定匿名加工医療情報作成事業者からの求めに応じ、匿名加工医療情報の作成のために必要な限度において、当該他の認定匿名加工医療情報作成事業者に対し、同項の規定により提供された医療情報を提供することができる。

2 前項の規定により医療情報の提供を受けた認定匿名加工医療情報作成事業者は、第30条第1項の規定により医療情報の提供を受けた認定匿名加工医療情報作成事業者とみなして、前項の規定を適用する。

(第三者提供の制限)
第26条 認定匿名加工医療情報作成事業者は、前条の規定により提供する場合及び次に掲げる場合を除くほか、同条又は第30条第1項の規定により提供された医療情報を第三者に提供してはならない。
一 法令に基づく場合
二 人命の救助、災害の救援その他非常の事態への対応のため緊急の必要がある場合

2 次に掲げる場合において、当該医療情報の提供を受ける者は、前項の規定の適用については、第三者に該当しないものとする。
一 第10条第1項、第2項又は第4項から第6項までの規定による事業譲渡その他の事由による事業の承継に伴って医療情報が提供される場合
二 認定匿名加工医療情報作成事業者が第23条第1項の規定により医療情報の取扱いの全部又は一部を委託することに伴って当該医療情報が提供される場合

(苦情の処理)
第27条 認定匿名加工医療情報作成事業者は、主務省令で定めるところにより、認定事業に関し管理する医療情報等又は匿名加工医療情報の取扱いに関する苦情を適切かつ迅速に処理しなければならない。

2 認定匿名加工医療情報作成事業者は、主務省令で定めるところにより、前項の目的を達成するために必要な体制を整備しなければならない。

個人情報保護法4章の義務セットと似た義務セットが並べられているが、それぞれ強化されているようだ。「利用目的による制限」が、この認定事業の目的外での取り使いを禁止しているほか、「安全管理措置」(従業者・委託先の監督を含め)や苦情の処理で、主務省令で定められたものに従うとされており、19条の「消去」は、努力規定ではなく義務規定になっている。その他に、委託・再委託が、認定された事業者にしか委託できないことになっている。

そして、「従業者等の義務」として「みだりに他人に知らせ、又は不当な目的に利用してはならない」の規定があり、46条3号にその直罰規定が置かれている。この法案の罰則は公的部門よりも厳しくなっている。公的部門(行政機関個人情報保護法)では、7条で「みだりに他人に知らせ、又は不当な目的に利用してはならない」と、同様の規定を置いているものの、その直罰規定は置かれていないのであり、罰則は「正当な理由がないのに、個人の秘密に属する事項が記録された...個人情報ファイルを提供したとき」(53条)と「自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したとき」(54条)にしかなかった(この法案でも同様の直罰規定を44条、45条に置いている) ことと比べて、相当に厳しいものと言えよう。

ここで一つ疑問なのは、認定加工事業者において、「医療情報」に対する義務はこれらだけなのか、それとも、個人情報保護法4章の義務も併せて課されるのかである。もし「医療情報」が図1の右のように「個人情報」の一種として定義されていれば、個人情報保護法4章の義務も課されることは明らかであるところ、そういう定義になっていないせいで紛らわしいのだが、情報の範囲が図3の通りであるなら、「個人情報」に該当する部分については個人情報保護法4章の規定が適用されるということなのだろう。(ただ、この法案には、なぜか、「医療情報」に対する義務が課される場合について「個人情報保護法の規定は適用しない」とする規定が置かれていない。)

そうだとすると、大いに疑問なのは、個人情報保護法の「保有個人データ」に係る規定(開示・訂正・利用停止等)も「医療情報」(のうち生存する個人に関するもの)に対して適用されるのであろうか。ここが重要な点であるにもかかわらず、資料の「概要」からは読み取れない。

ちなみに、この法案は、個人情報保護法のように「個人情報」と「個人データ」の区別をしていない。この点は問題ないのだろうか。「医療情報」は散在情報でも全て該当することになるが、義務の対象とする取扱いがこの認定事業の用に供することに限られているから、個人情報データベース等(個人情報ファイル)を構成するものとすることを予定している情報しか取り扱わないはずであることから、実質的には処理情報に限定されているのに等しい*6 と言えるだろう。*7

次に、上記で省略した「匿名加工医療情報の作成等」は、以下のように規定されている。

(匿名加工医療情報の作成等)
第18条 認定匿名加工医療情報作成事業者は、匿名加工医療情報を作成するときは、特定の個人を識別すること及びその作成に用いる医療情報を復元することができないようにするために必要なものとして主務省令で定める基準に従い、当該医療情報を加工しなければならない。

2 認定匿名加工医療情報作成事業者は、匿名加工医療情報を作成して自ら当該匿名加工医療情報を取り扱うに当たっては、当該匿名加工医療情報の作成に用いられた医療情報に係る本人を識別するために、当該匿名加工医療情報を他の情報と照合してはならない。

3 匿名加工医療情報取扱事業者(匿名加工医療情報データベース等を事業の用に供している者をいう。以下同じ。)は、第1項(略)の規定により作成された匿名加工医療情報(...)を取り扱うに当たっては、当該匿名加工医療情報の作成に用いられた医療情報に係る本人を識別するために、当該医療情報から削除された記述等若しくは個人識別符号若しくは同項(...)の規定により行われた加工の方法に関する情報を取得し、又は当該匿名加工医療情報を他の情報と照合してはならない。

4 個人情報の保護に関する法律第36条の規定は認定匿名加工医療情報作成事業者又は第28条の認定を受けた者(以下「認定医療情報等取扱受託事業者」という。)が第1項(...)の規定により匿名加工医療情報を作成する場合について、同法第37条から第39条までの規定は匿名加工医療情報取扱事業者が前項に規定する匿名加工医療情報を取り扱う場合については、適用しない。

まず、注目は、1項で、「匿名加工医療情報を作成するとき」の加工基準は、「主務省令で定める基準に従い」とされている点である。「個人情報保護委員会が定める基準」ではない。

なぜこうしたのだろうか。一般の匿名加工情報と匿名加工の基準が異なるものとなったら、ややこしいことになりかねないと懸念されるところ、この法ではより厳しい匿名加工基準とすることも考えられる。なお、主務大臣は、「内閣総理大臣、文部科学大臣、厚生労働大臣及び経済産業大臣」としている(39条1項)が、「主務大臣は、主務省令を定め、又は変更しようとするときは、あらかじめ、個人情報保護委員会に協議しなければならない。」(同条3項)としているので、個人情報保護委員会により、ある程度は統一的な基準となるのかもしれない。

2項は、匿名加工情報を作成した者に再識別の禁止を課す規定であり、個人情報保護法36条5項と同趣旨のものであろう。この規定が何のためにあるのかについては、やっかいな論点であり、まだ書いていない「匿名加工情報は何でないか・後編」で書くつもりであるが、そこ以外のところを触れておくと、「自ら取り扱うに当たっては」というのが、個人情報保護法の36条5項では自社内での目的外利用を可能とするためという趣旨を含んでいたのに対し、この法案のここもその趣旨があるのかどうかが論点となる。

つまり、認定加工事業者が、作成した匿名加工医療情報を、認定事業から外れる目的で(22条の「不当な目的」に当たらない範囲で)自ら利用することができるのかどうか。個人情報保護法において「匿名加工情報」が「個人情報」でないとされているように、この法において「匿名加工医療情報」は「個人情報」でないという建て付けであろうから、「医療情報」でもないということのはずで、この法の17条(利用目的による制限)にも抵触しないはずだろう。ここは、認定加工事業者自身が「匿名加工医療情報」を用いた「医療分野の研究開発」を実施できる(と想定されている)かに関わる論点なので、重要である。

3項は、個人情報保護法で言うところの38条(識別行為の禁止)に相当するものである。これがここで規定された意義は大きい。行政機関法の改正においては、「非識別加工情報」を導入するに際してこの規定を置かず、その受領者には個人情報保護法の38条(識別行為の禁止)が適用されるという建て付けになっており、「非識別加工情報」と「匿名加工情報」と名称も異なり、用語定義の内容も異なるのに、どうしてそうなると言えるのかという疑問が出ていた*8 のに対して、今回の法案では、直接この法に「識別行為の禁止」規定を置いたので、その問題は生じないようになっている。

ただ、ここがこのようになっている理由がそのような理由からなのかは定かでなく、「匿名加工医療情報取扱事業者」の監督を、個人情報保護委員会ではなく、主務大臣とするためにこうしたのかもしれない。5章(監督)は、「主務大臣は、この法律の施行に必要な限度において、認定匿名加工医療情報作成事業者若しくは認定医療情報等取扱受託事業者(これらの者のうち外国取扱者である者を除く。)、匿名加工医療情報取扱事業者若しくは医療情報取扱事業者に対し必要な報告を求め、(...)ことができる。」といった規定を置いている。なぜ個人情報保護委員会の監督下に置かなかったのかというのも、疑問の一つとなろう。

4項の規定は、「匿名加工医療情報」に対して個人情報保護法の匿名加工情報に係る規定(36条から39条)の全部を「適用しない」とする規定である。この規定があることから、この法の「匿名加工医療情報」が、個人情報保護法の「匿名加工情報」にも該当する(又は一部が該当し得る)ことを想定していることがわかる。この項の前半は、加工情報の作成は、この法の規定に従うものとして、個人情報保護法36条は適用しないとしており、後半は、その受領者である「匿名加工医療情報取扱事業者」に対して、個人情報保護法37条、38条、39条は適用しないとしている。

ここで疑問なのは、後半について、38条(識別行為の禁止)を抜くのは理解できる(この法の18条3項と被るから)が、37条(匿名加工情報の提供)と39条(安全管理措置等)まで抜かれているのはなぜだろうか。これらに相当する規定がこの法のどこかで別途規定されているようには見えない。

37条(匿名加工情報の提供)は、匿名加工情報を第三者に提供するときに、あらかじめ公表することを求め、当該第三者にその情報が匿名加工情報である旨を明示せよとする規定であったが、「匿名加工医療情報」についてはその公表を義務とせず、提供時の明示も義務としないということであろうか。前者は、認定加工事業者となった時点で、「匿名加工医療情報」を第三者提供することが当然であるので、公表が必要ないということなのか。しかし、個人情報保護法37条は、公表事項として「個人に関する情報の項目」を含めていたが、「匿名加工医療情報」ではこれを公表しなくてよいということなのだろうか。

39条(安全管理措置等)は、匿名加工情報は、加工されているとはいえ特定の個人を識別できるリスクが残存し得るものであることから、努力規定とはいえ安全管理措置を求めていたが、「匿名加工医療情報」については、受領者側の安全管理は不要だということなのだろうか。これはもしかして、前記の通り、加工の基準も異なるものとすることが可能にされているから、安全管理措置が不要になるほどまでに十分に加工することを基準とする予定でもあるのだろうか。

以上のように、この法は、個人情報保護法の「個人情報」「匿名加工情報」に関する規律とは別に、「医療情報」「匿名加工医療情報」に関する規律を新たに横並びで構築する形になっているように見える。

次に、病院等の「医療情報取扱事業者」が「医療情報」を「認定匿名加工医療情報作成事業者」に提供できるとする規定は、4章で以下のように書かれている。

第4章 医療情報取扱事業者による認定匿名加工医療情報作成事業者に対する医療情報の提供

(医療情報取扱事業者による医療情報の提供)
第30条 医療情報取扱事業者は、認定匿名加工医療情報作成事業者に提供される医療情報について、本人又はその遺族(死亡した本人の子、孫その他の政令で定める者をいう。以下同じ。)の求めがあるときは、当該本人が識別される医療情報の認定匿名加工医療情報作成事業者への提供を停止することとしている場合であって、次に掲げる事項について、主務省令で定めるところにより、あらかじめ、本人に通知するとともに、主務大臣に届け出たときは、当該医療情報を認定匿名加工医療情報作成事業者に提供することができる。
一 医療分野の研究開発に資するための匿名加工医療情報の作成の用に供するものとして、認定匿名加工医療情報作成事業者に提供すること。
二 認定匿名加工医療情報作成事業者に提供される医療情報の項目
三 認定匿名加工医療情報作成事業者への提供の方法
四 本人又はその遺族の求めに応じて当該本人が識別される医療情報の認定匿名加工医療情報作成事業者への提供を停止すること。
五 本人又はその遺族の求めを受け付ける方法

2 (略)

3 (略)

(書面の交付)
第31条 医療情報取扱事業者は、前条第1項の規定による通知を受けた本人又はその遺族から当該本人が識別される医療情報の認定匿名加工医療情報作成事業者への提供を停止するように求めがあったときは、遅滞なく、主務省令で定めるところにより、当該求めがあった旨その他の主務省令で定める事項を記載した書面を当該求めを行った者に交付しなければならない。

2 (略)

3 (略)

(医療情報の提供に係る記録の作成等)
第32条 医療情報取扱事業者は、第30条第1項の規定により医療情報を認定匿名加工医療情報作成事業者に提供したときは、(略)

(医療情報の提供を受ける際の確認)
第33条 認定匿名加工医療情報作成事業者は、第30条第1項の規定により医療情報取扱事業者から医療情報の提供を受けるに際しては、(略)

(医療情報取扱事業者から医療情報の提供を受けてはならない場合)
第34条 認定匿名加工医療情報作成事業者は、次に掲げる医療情報について、法令に基づく場合を除き、医療情報取扱事業者から提供を受けてはならない。
一 第30条第1項又は第2項の規定による通知又は届出が行われていない医療情報
二 第31条第1項に規定する求めがあった医療情報

30条は、オプトアウト方式での提供を許す規定である。これは、改正個人情報保護法の施行により、要配慮個人情報のオプトアウト方式での提供が許されなくなることから、この法により、認定加工事業者への提供に限ってそれを可能とするものである。

しかし、「あらかじめ、本人に通知する」ことが条件になっている点が、従来のオプトアウト方式とは異なる。個人情報保護法23条2項のオプトアウト方式は、「あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは」となっていて、「本人が容易に知り得る状態に置いて」いれば「本人に通知」する必要がないとされるものだった。「本人が容易に知り得る状態に置く」ことよりも、「本人に通知する」ことの方が高コストであるから、法案のこれは厳しいのではないか。

昨年末からパブコメにかけられていた「医療情報取扱制度調整ワーキンググループとりまとめ」の時点では、「2本人が医療機関等に対し、医療情報匿名加工・提供機関(仮称)への情報提供の停止を求めることを可能とするとともに、その旨及び手続に関する案内紙を本人に提示する、初診時に案内紙を本人に直接配布する等の措置を講じる。」(20頁)という案が書かれていたので、従来通りに「本人に通知、又は本人が容易に知り得る状態に置く」措置で足りるとする制度にするつもりなのだろうと思っていた。それが、法案では、意外なことに、「本人に通知」を必須とするというのである。

これは、個人情報保護の観点からは良いことである(掲示だけでは、事実上だまし討ちのようなものとの非難もあり得るのだから)ものの、これで本当に実施する医療機関等が出てくるのだろうかという点が心配になる。

他方で、前掲の「とりまとめ」には、続けて、「3本人が、医療情報匿名加工・提供機関(仮称)に対して、医療等情報の破棄(データベースからの消去)を求めることを可能とする。」(20頁)とも書かれていたのに、今回の法案には、それを義務とする規定が存在しない*9 。確かに、この削除請求の手段を欠いているのに、通知なしのオプトアウトで許されるとするのが、認められないというのは理解できる。

理想的には「本人通知」かつ「削除対応」であるところ、無理だからどちらもやりたくないというのは、さすがに通らないのだろう。どちらか一方だけやるとすれば、「本人通知」を必須とするより「削除対応」を必須とする方が、利活用の余地は大きいように思えるのに、今回の法案は、なぜ「削除対応」を入れなかったのだろうか。

31条は、オプトアウトに際して書面で残すことを義務付けるようだ。

32条と33条は、改正個人情報保護法で導入される個人データ第三者提供時の確認・記録義務と同様のものを入れるようだ。しかし、改正個人情報保護法では「名簿屋対策だ」とされていたわけで、趣旨が異なるものをこのように共通のルールで規定するというのは、筋が悪いのではないだろうか。

34条は、適切なオプトアウトの実施を、受領者側の認定加工事業者にも求めるということのようだ。

以上を見渡して、疑問に思うのは、「認定匿名加工医療情報作成事業者」は、匿名加工に際して「医療情報」しか扱うことができないのか、という点である。

つまり、医療機関等から認定加工事業者に提供されて匿名加工に使うのに相応しい情報は、「医療情報」に限られるわけではなく、それ以外の「個人に関する情報」も使いたいはずと考えられる。

ただ、「医療情報」の定義は、「病歴その他の......であるものが含まれる個人に関する情報」であるから、「それ以外の個人に関する情報」も、「医療情報」に含めて扱えば、全体として「医療情報」ということになるので、そういう運用が可能とは思われる。しかし、元の「医療情報」と「それ以外の個人に関する情報」とを分けて提供する(別のタイミングで提供する)場合はどうなのか。

「医療情報」でない情報は「要配慮個人情報」ではない(ように政令が定められる)はずだから、医療機関側としては、元々、第三者提供は(個人情報保護法23条2項のオプトアウト方式で)可能なので、そこは問題とならないということであろうか。

では、そのように分けて提供を受けた認定加工事業者の側での扱いはどうなるのか。法案の18条は、「匿名加工医療情報を作成するときは、......当該医療情報を加工しなければならない。」としているから、「医療情報」以外を加工のソースに含めることは許されないことになるのではないか。

しかしここでも、分けて提供を受けた「医療情報」と「それ以外の個人に関する情報」とを、認定加工事業者が突合して一つの「医療情報」に一体化させる前処理をすれば、「医療情報」として匿名加工に用いることができるのであろうか。

同様のことは、認定加工事業者が、複数のソース(「医療情報取扱事業者」以外を含む)から情報(「医療情報以外の個人に関する情報」を含む)を集めてきて、同一人について突合して一つの「医療情報」に一体化させる場合についても疑問点となる。この法案は、そういう場合を想定しているのだろうか。

また、そういったことを想定しているとした場合、「要配慮個人情報」であるが「医療情報」でないものが問題となる。つまり、「人種、信条、社会的身分」、「犯罪の経歴、犯罪により犯罪により害を被った事実」その他政令で定める記述等である。これらが「医療情報」に該当しないのなら、今回の法案の30条(医療情報取扱事業者による医療情報の提供)の対象外なので、改正個人情報保護法の規定により、本人同意なく提供は許されないことになる。

つまり、「匿名加工医療情報」作成のソースに、人種、信条、社会的身分、犯罪の経歴、犯罪被害の事実は使うことはできないということになる。人種が使えないのは認定事業に支障ないのだろうか。さらに、「その他政令で定める記述等」には、「身体障害、知的障害、精神障害(略)その他の個人情報保護委員会規則で定める心身の機能の障害があること」が含まれるが、このうち、「身体障害」や「精神障害」が使えないのは、認定事業の支障とならないのだろうか。それとも、これらの一部を「医療情報」定義の「病歴その他の当該個人の心身の状態」に含めるように政令で定めるのであろうか。

そしてもう一つの疑問点は、そうして集めた「医療情報」を認定加工事業者が、「匿名加工医療情報」以外の形に加工して、利用・提供することは認められているのかである。法案の17条(利用目的による制限)は、集めた「医療情報」を「認定事業の目的の達成に必要な範囲を超えて取り扱ってはならない」としている。

この「認定事業」は、(8条1項の認定に係る)「匿名加工医療情報作成事業」のことを指し、その「匿名加工医療情報作成事業」は、定義(2条4項)から「医療分野の研究開発に資するよう、医療情報を整理し、及び加工して匿名加工医療情報を作成する事業」のことであるから、「加工して匿名加工医療情報を作成する」こと以外には「整理」することしか事業として想定されていない。

したがって、認定加工事業者は、「医療情報」を、「匿名加工医療情報」に該当しない(匿名加工情報にも該当しない意味で)ような、統計量に集計したデータ(「個人に関する情報」に該当しないところまで集計加工すると法の定義上「匿名加工情報」ではなくなる。)を作成して、利用・提供することは、認定事業の範囲を超えてしまうことになるのではないか。

個人情報保護法においては、以前にも触れたように、個人情報を統計量に集計して利用することは個人情報の利用に当たらないという解釈が、経産省ガイドラインQ&Aの「Q45」で示されていたところだが、これは、個人情報保護委員会が先ごろ公表した新Q&Aの「Q2-5」に引き継がれており、「統計データへの加工を行うこと自体を利用目的とする必要はありません。」と書かれた。

そのことと同様に解釈すれば、「医療情報」も、統計量に集計することは「医療情報の利用」に当たらないということになるようにも思える。しかし、個人情報保護法16条(利用目的による制限)は「特定された利用目的の達成に必要な範囲を超えて」と書かれているのに対し、この法案の17条(利用目的による制限)では「認定事業の目的の達成に必要な範囲を超えて」と書かれていて、「利用」という言葉が使われていない。新Q&A「Q2-5」は「利用目的」について言っているだけであって、この法案では、それとは別に「認定事業」の目的にそのような行為が含まれるかが問題となる。

もし、統計量に集計して提供する事業が「認定事業」に該当しないとなれば、統計量を提供したいときは、あえてわざわざ「個人に関する情報」の形で(つまり、個票の形で)提供することになるのであろうか。

以上が、先月、国会提出法案を見てのファーストインプレッションだった。

なお、情報法制研究所(JILIS)からは、昨年末のパブリックコメントに際して、以下の意見を提出していた。

• 「医療情報取扱制度調整ワーキンググループとりまとめ」にする意⾒, 一般財団法人情報法制研究所 個人情報保護研究タスクフォース, 2017年1月26日

  意見1
  【該当箇所】p.8
  【意見】 本制度が法制化を目指している、匿名加工情報に加工して希望する匿名加工情報取扱事業者に提供する事業(以下、「加工提供事業」と言う。)と、本人のためのサービスであるEHR事業とは、情報管理が混同されることのないよう、明確に区別する必要がある。
  【理由】 (略)

  意見2
  【該当箇所】p.20
  【意見】 医療情報匿名加工・提供機関(仮称)は、安全管理措置として、氏名・生年月日・住所等を削除した仮名化データのみを保有するべきであり、また、「医療情報等の破棄」を実現するために、情報の提供元である医療機関等で対応表を管理する連結可能匿名化の仕組みを用いるべきである。
  【理由】 (略)

  意見3
  【該当箇所】p.20 脚注11
  【意見】 脚注11で、医療情報匿名加工・提供機関(仮称)が匿名加工情報ではない医療等情報の提供を可能としている理由は、個人情報保護法の適用除外の考え方を逸脱しているのではないか。
  【理由】 (略)

  意見4
  【該当箇所】p.8
  【意見】 医療情報匿名加工・提供機関(仮称)は匿名加工情報に該当しない統計情報の提供を可能としているのか、明らかにされたい。
  【理由】 (略)

  意見5
  【該当箇所】全体
  【意見】 医療情報匿名加工・提供機関(仮称)に集中するリスクを低減するため、将来は、暗号を用いたプライバシー保護データマイニング技術を導入することや、集中型ではない分散型の医療ICT基盤を目指していくべき。
  【理由】 (略)

このパブコメは回答しないタイプのものだったので、これがどのように考慮されたのか不明であるが、出てきた法案をこれに照らすと次のように思った。

意見1については、「とりまとめ」が、EHR事業との混同を積極的に促すような書きぶりになっていたのを懸念したものだったが、法案には、それを増長させるような規定はなかった。

ただ、EHR事業の事業者が「医療機関等」に該当するのかが論点となり得る。これは、脚注4に書いたように、医療機関から診療録等の取扱いを委託されている受託事業者が「医療情報取扱事業者」(2条5項)に該当するものとして想定されているのか(EHR事業が、医療機関からの委託により提供されていると捉える場合)という点が一つと、EHR事業が、本人の希望によって直接的に利用される事業(当該事業者が自らdata controllerとして個人情報の取扱い主体となる形)である場合に、その事業が「医療情報取扱事業者」(2条5項)に該当するものとして想定されているかである。これらの点は明確にされていないように思える。

意見2については、【理由】のところに書いているように、本人によるデータ削除の請求をどうやって実現するのかに絡めた意見であったのだが、法案では、データ削除の請求を受け付ける制度になっていなかった。

したがって、氏名等の特定の個人を識別するために用いる情報(氏名等)を保有しておく必要が完全になくなったように見える。となると、「医療情報取扱事業者」から提供を受ける時点で、氏名等を削っておくことが安全管理措置として望ましいということになるが、そうするつもりがあるのかが論点となり得る。

その場合に、氏名等を削ったデータの「個人情報」該当性(この法案では「医療情報」該当性)が論点となる。このことは、【理由】のところで以下のように主張していた。

なお、この場合、医療情報匿名加工・提供機関(仮称)が保有するデータが、仮名化データとなり、当該機関においては個人情報保護法の(保有)個人データ(個人情報)に該当しないものとなり得るかもしれないが、提供元で個人データに該当するものの提供を、本制度の下で受けたものであることを理由に、当該機関においても(保有)個人データに該当するものとみなして、本人からの開示等の請求等への対応を含み、個人情報保護法の義務を適用する制度とするべきである。

仮名化されたデータの受領者において当該データが「個人情報」に該当するかについては、医学系研究倫理指針の改正では、(対応表を保有しない限り)該当しないとして整理されたが、その解釈を採用すると、上記のようにした場合、認定加工事業者において、集めたデータが「医療情報」に該当しないことになってしまい、法案の18条の「匿名加工医療情報を作成するときは、......当該医療情報を加工しなければならない。」を実行できないことになってしまう。そういうわけにはいかないので、認定加工事業者においては「医療情報」として扱うのだろう。*10

そうすると、疑問となるのは、今回上の方で書いたように、「医療情報」が個人情報保護法の「保有個人データ」にも該当し、「認定加工事業者」に個人情報保護法の「保有個人データ」に係る義務も課されるのだとした場合に、氏名等を保有していないのに開示等の求めに対してどう応じるのだろうかという点である。もし、応じるのだとすれば、意見2の【理由】に書いた以下の部分の「削除」を「開示」に置き換えた方法が考えられる。

また、本人はどこに削除の要求をすることになるのか。本人にとって医療情報匿名加工・提供機関(仮称)は遠い存在であって、削除をどこに求めればよいかがわからず、制度に対する不信感を持たれてしまうことが懸念される。本人に近い存在は本人が診療等を受けている医療機関等であるから、そうした医療機関等に求めることができる体制とするべきである。また、そのようにすれば、必要な本人確認は自然な形で行われることになる。

要求を受けた医療機関等は、その要求を医療情報匿名加工・提供機関(仮称)に伝達して、これを受けて削除を実施することになるが、どの仮名化データの削除が要求されているのかを特定するためには、提供元の医療機関等で氏名等と仮名(識別子)との対応表を管理する必要があろう。すなわち、従前「連結可能匿名化」と呼ばれてきた方法を用いることができるのではないか。

ただ、そもそも「保有個人データ」の開示等請求権は何のためにあるのかから考え直す必要があるように思える。認定加工事業者に集められた「医療情報」は、本人に何らかの影響を及ぼすことを想定しておらず、出口は「匿名加工医療情報」のみ(あるいは統計量データも含むか)であるから、本人からしてみれば、正確性の確保はどうでもよいことだし、訂正請求をする必要性もないように思われる。プロファイリングされることもないのだから、開示請求をする意義にも欠けるように思われる*11 。こういったことを議論する必要があるだろう。

意見3については、法案にはそれをよしとする規定はないように見えた。意見3の「脚注11」とは、「認定加工事業者」が、保有している「医療情報」を、個人情報に該当するようなデータのままで提供することが、提供先が学術研究機関で学術研究の目的のためであれば許されるのかという話である。

法案は、それを許しているようには見えない。26条(第三者提供の制限)には、1項で例外が規定されているが、「法令に基づく場合」(1号)と、「人命の救助、災害の救援その他非常の事態への対応のため緊急の必要がある場合」(2号)*12 のみとなっており、個人情報保護法23条1項の例外には存在した「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。」(4号)と「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。」(3号)が削られているくらいなのだから、想定していないのだろう。*13

意見4については、前記の通りであり、明らかになっていないように思える。

意見5については、この法案のそもそも論である。

【理由】
本件「とりまとめ」が提案する構想では、医療情報匿名加工・提供機関(仮称)にあらゆる人々のあらゆる情報が集められ、突合され、継続的に蓄積されることになる。大量のデータ流出といった事故が起きれば、重大な権利利益侵害が発生することになるから、そのような事態を完璧に防ぐ万全の安全管理措置が計画されているのであろう。しかし、本来は、そうした事故を防ぎ切れなくとも、被害が最小化されるような仕組みの構築を検討するべきではないか。

例えば、複数の医療機関等に跨って保有されている同一人の医療情報等を突合して分析することは、準同型暗号を用いたプライバシー保護データマイニング(Privacy-Preserving Data Mining、PPDM)技術を用いれば、本件「とりまとめ」が提案するような、データを実際に一箇所に集める必要がない。現時点では、そのような技術が実用化されていないので、その実用化を待たずに、医療情報匿名加工・提供機関(仮称)を先に実現していく必要性は理解できるが、将来には、リスクを低減するため、こうした高度な技術を導入して、情報の集中を避けることも計画していくべきではないか。

また、そうした技術をまだ用いることができないにしても、データを分散させて管理する*14 別案もあり得たのではないか。医療情報匿名加工・提供機関(仮称)は、データが必要とされる前から、あらゆる人のあらゆる分野の情報を集めて準備しておく方式であるがゆえにリスクが高いが、分野ごとに蓄積されているデータを、必要に応じて医学研究者等が必要最小限のデータを集めて突合し、分析を終えたらデータを返却するといった仕組みも考えられ、そちらの方がリスクが低いと言えるのではないか。そうした別案も検討していくべきではないか。

今これを言っても、この法案自体がどうなるというものでもないだろう。次の施策に向けて提案していきたい。

*1 内閣官房 健康・医療戦略推進本部

*2 この法律は、国の施策も第2章で規定され、基本法の様相を呈しているので、事業法と言うのは相応しくないのだろう。しかし、「次世代医療基盤法」だと言うからには、匿名加工に限らずに、「医療分野の研究開発に資する」医療情報の利用について扱うものとなっていて然るべきところ、そうはなっていない。将来にそこまで広げる予定があるということなのかもしれないが、この法案を見る限りは、完全に匿名加工医療情報に関してだけ規定されており、基本法部分である第2章も、国の施策が「匿名加工医療情報に関する施策」「匿名加工医療情報に関する基本方針」と明記されてしまっているので、匿名加工医療情報からはみ出すことは想定されていないように見える。6条の「規格の適正化」では、「医療情報及び匿名加工医療情報について、適正な規格の整備」としており、「医療情報」まで規格の対象に含めているものの、「......匿名加工医療情報の作成に寄与するため」としているし、7条の「情報システムの整備」でも、「匿名加工医療情報の作成を図るため」の情報システムの整備を指しているにすぎない。

*3 後述のように、「要配慮個人情報」は死者の情報を含むので、その意味で「医療情報」は「要配慮個人情報」の部分集合ではないのだが、ここではその点をさし置いて、死者を含まない「医療情報」が「要配慮個人情報」の部分集合となるのかについて。

*4 しかし、資料の「概要」には「医療機関等」と書かれており、「等」が何を指すのかが不明になっている。医療機関以外が「医療情報」の処理情報(データベース等)を事業の用に供することもあり得るから、法案の定義からすれば、それら(例えば、本人の同意を得て医療情報を研究開発目的で取り扱っている研究機関や医薬品開発事業者)も「医療情報取扱事業者」に該当してしまいそうだが、そういう趣旨なのだろうかと疑問がある。また、医療機関から診療録等の取扱いを委託されている受託事業者がこれに当たるのかもはっきりしない。受託事業者はdata processorに徹するべきで、委託元の医療機関の判断(data controllerとしての)なしに受託事業者が勝手に提供することができるものとしてこの規定を解釈すべきではないように思える。

*5 なるほど、こういうときはこうやって規定すればいいのだな。法制執務的帰納法だな。番号利用法10条もそうなっていたのか。2015年12月6日の日記の脚注4の件もこうすればよかったか。

*6 その点、現行の個人情報保護法は、個人情報データベース等に格納される前の段階の個人情報は、たとえ個人情報データベース等を構成するものとすることを予定している場合であっても、「個人データ」ではないとするのが政府解釈となっている。ここは、私の意見としては、そのような情報も「個人データ」として扱うべく法改正するべきと考えているのだが、今回の法案では、そういう整理がされていないので、「医療情報」を「個人データ」相当のものに限るようにしなかったのは已むを得ない。

*7 気になったのは、取得の制限が規定されていないから、どこから「医療情報」を取得するのかが問題となりそうに思えた。17条(利用目的による制限)、25条(他の認定匿名加工医療情報作成事業者に対する医療情報の提供)、26条(第三者提供の制限)では、「第25条又は第30条第1項の規定により医療情報の提供を受けた」ものに限定している(30条1項は医療機関等からの提供)からよいが、他の義務にはその限定がない。認定加工事業者も従業者に関する自社での健康診断結果の情報を取り扱うはずで、その情報は「医療情報」に該当するはず(「医療情報」の定義は用途を要件としていないので)であり、その取扱いにもこの法が適用されるのか。その点、19条から24条及び27条は「認定事業に関し管理する医療情報」に限定しているので、そこの点は回避されるようにちゃんと手当てされているようだ。ただ、それでも疑問として残るのは、認定加工事業者の従業者の自社での健康診断結果の情報(「医療情報」に該当)を、この認定事業の用に供することは許されているのかどうかである。禁止はされていないので可能ではあるが、想定されたことではないように思える。(このような綻びが生じるのは、「医療情報」の定義を用途で限定しないからだ。)

*8 2016年6月12日の日記「行政機関法改正の論点 国会会議録から抜粋」の論点「1」に書いた件。この件はその後、JILISからの情報公開請求により、何があったかが一部明らかになっている。この点は後日別途書く予定。

*9 前記のように、認定加工事業者が保有する「医療情報」について、個人情報保護法の「保有個人データ」に係る義務も課されるのだとしても、保有個人データに係る利用停止請求権は、個人情報保護法16条、17条、23条1項に違反して、取得・取扱い・提供されていることを理由に「利用の停止又は消去」を請求することができるものであって、無条件に請求できるものではないのだから、「とりまとめ」が書いていたことを実現するものではないはずだ。

*10 ここは、改めて、個人情報定義の「他の情報と容易に照合することができ」をどう解釈するかの論点を蒸し返すことになる。これについては日を改めて書くことにしたい。

*11 パブコメ意見の意見2で「個人データに該当するものとみなして、本人からの開示等の請求等への対応を含み、個人情報保護法の義務を適用する制度とするべきである」と主張したことと矛盾するが、これは、法案がどういうものになるかわからない中で、どうにか現行法にひっかけて、「個人情報でない」とかいう扱いにならないように釘を刺すために、こう言うしかなかったもの。

*12 この例外も、設ける必要があったのか疑問だ。元データは医療機関にあるのに、どういう場合を想定して必要があるとしたのだろうか。

*13 ただ、「法令に基づく場合」が例外として残ったことから、警察が提供を求めたら丸ごとデータを持っていかれることをこの法は阻止しないことになる。

*14 ここで言っている「分散させて管理」は、単にデータベースの置き場所を物理的に分散させろという意味ではない。同一の事業者(data controller)に全部を持たせるのが危ういという意味である。