なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:センシティブ情報

my_number_card_omote
1.マイナンバーカードへの健康保険証の一体化にマイナンバーを入力?
3月下旬に、マイナンバーカードに健康保険証を一体化させる事業においてマイナンバーの入力などに多くの不備が見つかり、厚労省はこの業務の本格稼働を遅らせるとの報道がなされました。これに対して、「マイナンバーカードでなく何故マイナンバーを使っているのか?」とネット上で疑問の声があがっています。

・データ入力不備で相次いだマイナカード保険証トラブル、チェックシステム導入へ|日経新聞

上の日経新聞の記事には、「健康保険組合などは組合加入者の被保険者番号、マイナンバーを厚労省の「医療保険者等向け中間サーバー」に登録」しているとはっきり書いています。

マイナンバー制度開始の当初は、国は「マイナンバー(個人番号)は行政の個人情報のデータベースを名寄せできる究極のマスターキーであるので、国民の個人情報やプライバシー保護のために、行政の個人情報のデータベースは分散管理を続ける。」、「センシティブ情報の医療関係の個人情報は、マイナンバーに直結するのではなく医療IDで管理する」という趣旨の説明をしていたはずです。

マイナンバー分散管理
(マイナンバー制度と個人情報の分散管理の説明図。内閣府サイトより)

この点、厚労省の健康保険証のマイナンバーカードへの一体化を説明するページのQA9は、「医療機関・薬局がマイナンバー(12桁の番号)を取り扱うのですか。」という問いに対して、「医療機関・薬局がマイナンバー(12桁の番号)を取り扱うことはありません。マイナンバー(12桁の番号)ではなく、マイナンバーカードのICチップ内の利用者証明用電子証明書を利用します。」と回答しています。

厚労省マイナンバーカード健康保険証QA9

・マイナンバーカードの保険証利用について|厚労省サイト

厚労省の説明によれば、やはり健康保険証のマイナンバーカードにおいても、利用するのはマイナンバーカードのICチップ内の利用者証明用電子証明書であって、マイナンバーそのものではないはずです。厚労省や内閣府などの政府は国民に嘘をついているのでしょうか?

2.カルテ情報や処方箋情報もマイナンバーに連結される
しかも、この厚労省サイトの「マイナンバーカードの保険証利用について」をみると、問題はより深刻です。

NHKなどのマスメディアは、健康保険証の問題ばかりを取り上げていますが、厚労省サイトの説明によると、患者・国民が健康保険証のマイナンバーカードへの一体化に一度同意してしまうと、健康保険証番号だけでなく、カルテ情報処方箋情報健康診断などの医療データも自動的にマイナンバー連結されるとあります。(顔データも連結される。)

ExZi6NqUcAAUa4x
ExZi6NqVgAIvxRB
ExZlAsrVIAEuWu-
(厚労省「マイナンバーカードの保険証利用について」より)

そしてこれらの機微な医療データがマイナンバーに連結後は、国・自治体、製薬会社やIT企業などから閲覧され利用され放題となることについての説明もありません。これは「偽りその他不正の手段」による個人情報の収集(個人情報保護法17条1項)、つまり騙し討ちなのではないでしょうか。

3.平成27年のマイナンバー法改正
この点、内閣府のマイナンバー関係のサイトによると、平成27年のマイナンバー法改正により、健康保険組合などがマイナンバーを取扱い可能となる改正がなされているようです。(法9条の別表一に関する改正。)そのため、法律上は健康保険組合がマイナンバーを扱うこと自体の手当はなされているようです。

平成27年マイナンバー法改正概要

・マイナンバー法|内閣府

しかし厚労省や内閣府のサイトを見ても、「税務関係で企業などに提出したマイナンバーを、目的外利用で企業から健康保険組合に第三者提供する」という通知・通達やガイドラインなどは出されていません。これでは、「マイナンバーの本人の同意のない目的外利用や第三者提供」であると、やはり国に騙されたと感じる国民も多いのではないでしょうか。

4.国民の医療データが製薬会社やIT企業などに利用される
さらに、カルテや処方箋データ、健康診断などの医療データをマイナンバーに直結させるという国の医療データの取扱に関する方針について、正面からの説明がありません。

国は、2018年に次世代医療基盤法などを制定し、医療データを病院・薬局などから地方自治体に共有化させ、さらには製薬会社やIT企業などにも利活用させることにより、日本の経済発展を行う方針のようです。

次世代医療基盤法概要
(次世代医療基盤法のイメージ図。内閣府サイトより)

しかし、国民の病気・ケガは、風邪など誰もがかかるような一般的な傷病だけでなく、例えば、ガン、HIV、精神病、身体障害・精神障害・知的障害など現在も社会的差別の原因となっている傷病も多く存在します。また傷病に関するカルテ上の情報などは、患者の人間としての身体的なデータや内心を含む精神的なデータ、さらには遺伝子情報も含む、人間そのものの機微な個人データです。(近年、アメリカ、ドイツなどには遺伝子差別禁止法が制定されていますが、日本にはそれさえも存在しません。)

そのため、製薬会社などの経済的利益や国・自治体の行政サービス向上のために患者・国民の医療データを利用する必要性があるとしても、まずは患者・国民が自らの医療データを病院・薬局などの医療機関だけでなく、国・自治体や製薬会社などに目的外利用および第三者提供させることについて明確な本人の同意が必要なはずです。日本は中国のような全体主義・国家主義の国ではなく、個人の尊重と基本的人権を目的とする自由な民主主義国家のはずなのですから(憲法11条、13条、97条)。

5.個人データ保護法の趣旨・目的
現在、参議院で審議中のデジタル関連法案のなかのマイナンバー法改正法案においては、国家資格の有資格者のデータをマイナンバーに連結すること等も盛り込まれています。また、政府・与党は銀行・商社など大企業の従業員の情報を国が管理し、それらの従業員を地方で働かせる政策を発表しています。

・官民を通じた個人情報保護制度の見直し|個人情報保護委員会

しかし、マイナンバーに医療データや国家資格のデータ、経歴や職務経歴などのさまざまな個人データをどんどん連結させてゆくことは、いわば「国家の前に国民が丸裸となる状態」(住基ネット訴訟・金沢地裁平成17年5月30日判決)の危険があるのではないでしょうか。

また、1974年の国連事務総長報告書「人権と科学技術の開発―人間の諸権利に影響をおよぼすおそれのあるエレクトロニックスの利用,及び民主的社会における右利用に課せられるべき制限」に始まり、1996年のILOの「労働者の個人情報保護に関する行動準則」2000年の日本の労働省「労働省の個人情報保護の行動指針」6(6)1995年の欧州のEUデータ保護指令2014年のEUのGDPR22条など、世界の個人データ保護法制は、「コンピュータによる人間の選別・差別から人間の「個人の尊重」を守ること」すなわち「コンピュータの個人データの自動処理(プロファイリング)のみによる決定を拒否する権利」を法目的の一つとしてきました。

「コンピュータによる人間の選別・差別から人間の「個人の尊重」を守ること」が世界の個人データ保護法制の法目的の一つであるとするなら、現在日本が推進している、マイナンバーに医療データや国家資格データなど各種の個人データをどんどん連結させてゆくことは、国・企業がコンピュータの個人データによる国民の選別・差別をどんどん容易にすることであり、1970年代からの世界の個人データ保護法制の趣旨に逆行しているのではないかと思われます。

コンピュータ自動処理拒否権の歴史の図1
コンピュータ自動処理拒否権の歴史の図2

6.まとめ
マイナンバー法3条2項は、国は「個人情報の保護に十分配慮」しなければならないと規定し、マイナンバー法の一般法にあたる個人情報保護法17条1項は「偽りその他不正の手段により個人情報を取得してはならない」と規定し、同法同条2項はセンシティブ情報について「あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない」と規定しています。(また、同法23条2項はオプトアウト方式による要配慮個人情報(センシティブ情報)の第三者提供も禁止しています。)

それを受けて、マイナンバー法17条は、マイナンバーカードの自治体の発行について、「その者の申請により、その者に係る個人番号カードを交付する」と規定し、あくまでも住民・国民の任意の申請に基づくことを規定しています。

さらに個人情報保護法1条および3条は、立法の趣旨・目的として「個人情報の有用性」だけでなく、「個人の権利利益の保護」、「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきもの」と明記しています。

法律による行政の原則、つまり法治主義に基づいて行政を運営することにより国民の個人の尊重と基本的人権を守るはずの国が、国民の個人情報やプライバシーを守るための個人情報保護法制や憲法を逸脱するような行政活動を行うことは許されないのではないでしょうか。

■関連するブログ記事
・日本年金機構からの再委託による中国へのマイナンバー等の流出疑惑について
・国がマイナンバーカード未取得者約8000万人に申請書発送の方針-国が国民に強制すべきことなのか?
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・遺伝子検査と個人情報・差別・生命保険/米遺伝子情報差別禁止法(GINA)


■参考文献
・高木浩光「個人情報保護から個人データ保護へ ―民間部門と公的部門の規定統合に向けた検討(2)」『情報法制研究』2号75頁
・高野一彦「従業者の監視とプライバシー保護」『プライバシー・個人情報保護の新課題』163頁(堀部政男)
・山本龍彦「AIと個人の尊重、プライバシー」『AIと憲法』59頁
・奥平康弘・戸松秀典「国連事務総長報告書(抄)人権と科学技術の開発」『ジュリスト』589号105頁









このエントリーをはてなブックマークに追加 mixiチェック

日生ポイントトップ画面
(日本生命保険サイトより)

1.日本生命保険のポイントに関する不祥事
日本生命保険が保険契約者のポイントを同社職員が横領・着服するなど、東洋経済のスクープを受けて炎上中のようです。

・日本生命で発覚「客のポイント使い込み」の唖然|東洋経済

2.保険募集の観点から
そもそも保険会社が保険契約者等に特別な利益を与えて保険募集等を行うことは法律上、原則禁止されています(特別利益の提供、保険業法300条1項5号)。

保険契約上の重要な事実の不説明(重要事項の不告知)や告知書に事実を告げないことをそそのかすこと(不告知教唆)などと並んで、特定の顧客に対してだけ利益を与えて保険の募集・勧誘を行うことは、保険会社の営業において発生しやすく、保険制度の公平性をゆがめかねない不正な事項であるからです。保険業法300条1項はこれらの保険募集上の禁止事項を列挙しています。

そのため、生命保険会社等がポイントを顧客に付与してよいかは比較的最近の法的論点であり、グレーゾーンです。

*詳しくはこのブログ記事をご参照ください。
・保険会社が保険契約者等にポイントを交付することは保険業法上許されるのか?/特別利益の提供

つまり、ポイント制度は特別利益の提供という、保険会社の不正が発生しやすい保険募集上の禁止事項に関係するデリケートな部分であり、保険業法の急所の一つともいえます。週刊誌にスクープされ、監督官庁の金融庁の担当部署は激怒中なのではないでしょうか。

私は日本生命の関係者ではないので分かりませんが、上のブログ記事でみたように、日生がこのポイント制度を積極的に推進していることから、おそらく日生は、この保険業法300条の問題をクリアするために、正面突破的な方法として、約款・事業方法書など保険業の骨格となる基礎書類上の許認可を金融庁から得た上で、ポイント制度を運営してるのではないかと推測されます(保険業法4条2項)。

しかしもしそうであるならば、日生は金融庁の許認可に明確に違反して業務を行っていることになるので、事態は非常に深刻だと思われます。

3.個人情報保護・情報セキュリティの観点から
また、生命保険業は顧客の金融情報を取扱う金融業界の一角である上に、顧客の健康状態・傷病の状態などのセンシィティブ情報(要配慮個人情報)を業務の性質上取り扱うので、情報管理や情報セキュリティは非常に高いレベルが要求されます。

にもかかわらず、業界1位の日生が情報管理・情報セキュリティの面でこれでは、生保業界全体の社会的信用の問題として非常にまずいものがあります。金融庁は業界全社に類似の事案の有無などに関して、保険募集上および情報システム上の調査を指示するのではないかと思われます。

*なお、日生の不祥事とは事案が異なりますが、第一生命等のウェブサイトも、情報セキュリティの観点から残念な事象がみられるようです。

■関連するブログ記事
・第一生命保険の「ご契約者専用サイト」の初期設定登録がセキュリティ的にひどい件

4.まとめ
このように、今回の不祥事について日生は、保険募集および情報管理・個人情報保護上の不祥事件として保険業法に基づく報告(不祥事件届出)を行い、金融庁・個人情報保護委員会が行政処分・行政指導を出す可能性があります(保険業法127条1項、同100条の2、同306条、個人情報保護法20条、保険業法施行規則85条5項、同53条の8、保険監督指針II-6、II -4-4-1-2(13))。

■参考文献
・錦野裕宗・稲田行祐『保険業法の読み方 三訂版』95頁、162頁、269頁
・中原健夫・山本啓太・関秀忠・岡本大毅『保険業務のコンプライアンス 第3版』165頁、316頁、340頁









このエントリーをはてなブックマークに追加 mixiチェック

金融庁プレート

1.明治安田生命保険の遺伝子検査に関する見解の新聞報道
Fintech(フィンテック)という言葉がもてはやされるようになった2016年4月に、大手生命保険会社の一つである明治安田生命保険が、人の遺伝子の情報を保険サービスに活用する検討に入ったことが新聞報道されました。

・明治安田生命 遺伝情報、保険に活用検討 病気リスクで料金に差も|毎日新聞

しかしこれは、顧客が生命保険契約に加入する際に、遺伝子情報の内容により、保険料が割高となったり、あるいは保険金額が削減されたり、最悪の場合、顧客が保険加入を断られるリスクが発生する危険があります。そもそも保険とは多数の顧客が加入することにより、広くリスクを分散する、相互扶助の制度であるにもかかわらずにです。

平成27年に改正された個人情報保護法は、「要配慮個人情報」に関する条文を新設し(法2条3項)、病歴などのセンシティブ情報(機微情報)に該当する個人情報は特に厳格な取り扱いが必要と定めました。この要配慮個人情報には遺伝子検査の結果も含まれています(個人情報保護委員会「個人情報保護ガイドライン(通則編)」2-3(8))。また、最近、IT企業などが実施している消費者直版型遺伝子検査(DTC)の結果もこれに含まれます(個人情報保護委員会Q&A1-26、岡村久道『個人情報保護法 第3版』91頁)。

また、アメリカやドイツなどでは、遺伝子情報に基づく進学・就職・保険への加入などにおける差別を禁止する遺伝子差別禁止法が制定されていますが、日本にはそのような法律は未だ存在していないのが現状です。

■関連するブログ記事
・遺伝子検査と個人情報・差別・生命保険/米遺伝子情報差別禁止法(GINA)
・明治安田生命保険が保険の引受け審査に遺伝子情報の利用を表明/ドイツ遺伝子診断法

2.保険法学界の反応
このような一部の生命保険会社の前のめりな姿勢に対して、学説はつぎのような批判的な見解をとっています。

『保険加入のために(加入者の側が)遺伝子検査を受けることを強制されることは自己決定権を侵害することになる。既に遺伝子検査を受けており何らかの異常があることが判明している場合に、自分自身では如何ともしがたい遺伝子情報を理由に保険への加入を拒絶されることは不当な差別である。また生存に不可欠な保険に加入する権利を脅かすものである』(山下友信『保険法(上)』(2018年6月)418頁以下)。


3.金融庁の反応
そして、監督官庁である金融庁も2018年2月のプレスリリースのなかで、このような一部生命保険会社のスタンスをつぎのように牽制しています。

4.「遺伝」情報の取扱いについて
○ 先日、全ての生保会社および損保会社を対象に、約款および事業方法書等に「遺伝」関連の文言が残っていないかの調査を行ったところ、約款に4社、事業方法書等に 33 社、「遺伝」関連の文言が確認された。(略)

○ 各社におかれては、これまでも遺伝的特徴に基づく不当な差別的取扱いの排除に努めているものと承知しているが、今後とも、役職員に対する教育を徹底するなど、引き続き適切に対応してほしい。

・生命保険協会(平成30年2月16日)(PDF:75KB)|金融検査・監督の考え方と進め方|金融庁

4.まとめ
このように、学界や監督官庁から、遺伝子検査の結果などを生命保険の引き受け審査に利用することは、顧客への差別などにつながるので許容されないとの見解が出されている以上、明治安田生命をはじめ、一部の前のめりな生命保険各社は、遺伝子検査情報に関するスタンスを今一度確認する必要があります。

一部の医療機関でない民間IT企業などによる安易な通販型の遺伝子検査(消費者直版型遺伝子検査(DTC))がすでに行われる一方で、わが国においては未だ遺伝子検査・遺伝子情報の取扱について社会的議論が深まっているとはいえない状況にあり、米独などのような遺伝子差別禁止法も制定されていません。

このような社会情勢のなか、生命保険会社が急性に遺伝子検査情報を保険の引き受け査定などに利用することは、社会からの生命保険業界全体への厳しい批判や信頼低下を招くおそれがあります。

また、消費者も占いでも楽しむように安易な感覚で民間企業の遺伝子検査を受けることは避けるべきです。軽い気持ちで検査を受けて、入学、就職、保険への加入など人生における重要な事柄を台無しにしてしまいかねません。

■参考文献
・山下友信『保険法(上)』(2018年6月)418頁以下
・岡村久道『個人情報保護法 第3版』91頁







このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ