なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:医療データ

内閣府や厚労省等の検討会議で、健康・医療データについて本人同意なしに二次利用(目的外利用・第三者提供)を認める方向で検討がなされているようですが、この方向の検討に難治性の疾患の長年の患者の一人として反対です。

例えば、厚労省の検討会「健康・医療・介護情報利活用検討会 医療等情報の二次利用に関するワーキンググループ」の第2回資料をみると、健康・医療データを本人同意なしで二次利用する方向で議論しています。

第一回でいただいたご意見
(厚労省の検討会「健康・医療・介護情報利活用検討会 医療等情報の二次利用に関するワーキンググループ」の第2回資料より)

医療データ利活用の関する議論の全体像
「医療データの利活用に関する議論の全体像ー目指すべき未来」『医療データ利活用について(論点整理(骨子))』内閣府より)

医療データは要配慮個人情報・センシティブ情報であり、個人情報のなかでもとりわけ取扱注意な情報です(個人情報保護法2条3項、20条2項、27条2項ただし書き)。それを患者本人の同意を取らずに勝手に二次利用とは個情法の観点からもあまりにもおかしいと考えます。

プライバシーに関しては日本の憲法学では一応、自己情報コントロール権説(情報自己決定権説)が通説なのですから、その観点からも本人同意なしは説明がつかないと考えます。

(なお、有力説としては曽我部真裕教授などの「自らの個人情報を適切に取扱われる権利」説や、高木浩光氏の「関連性のない個人データによる個人の選別・差別禁止」説などがあるが、これらの説ではこの医療データの本人同意なしの二次利用の問題などについて、政府等から「いやいや貴方の医療データは適切に取扱います。もちろん関連性のない個人データで貴方を選別・差別したりしません。」と言われたときに患者・国民は何も反論できないという問題点がある。)

医療データは風邪のような軽微なものから、がんやHIV、精神病など社会的差別の原因となる疾病が多いのに、医療データを乱雑に扱ってよいとはとても思えません。とくに精神疾患は患者の内心(憲法19条)に直結しています。政府や製薬会社・IT企業等は、患者・国民の内心・内面や思想・信条に土足で踏み込むつもりなのでしょうか。これらの社会的差別の原因となる、あるいは患者の内面に直結する医療データを患者の本人同意なしに二次利用してよいとはとても思えません。

日本経済の発展のために医療データの利活用が必要だとしても、オプトアウト制度など何らかの患者本人が関与するしくみが絶対に必要だと考えます。

日本は中国やシンガポール等のような全体主義国家ではなく、国民主権の民主主義国なのですから(憲法1条)、国民の個人の尊重や基本的人権の確立が最も重要な国家目的のはずです(憲法13条、12条、97条)。患者・国民を国や製薬会社・IT企業等のために個人データを生産する家畜のように扱うことは絶対に止めるべきです。

健康・医療データについて本人同意なしに二次利用を認めることには患者の一人として私は反対です。政府は患者・国民不在でこういう検討を勝手に進めるのは止めてほしいと思います。

■関連するブログ記事
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた

■参考文献

・山本龍彦・曽我部真裕「自己情報コントロール権のゆくえ」『<超個人主義>の逆説』165頁
・高木浩光「個人情報保護から個人データ保護へ(6)」『情報法制研究』12 巻49頁
・黒澤修一郎「プライバシー権」『憲法学の現在地』(山本龍彦・横大道聡編)139頁
・成原慧「プライバシー」『Liberty2.0』(駒村圭吾編)187頁
・「患者データ利用 同意不要へ」読売新聞2023年7月26日付記事

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

LDIトップページ

本日(2022年9月20日)の内閣府などのプレスリリースなどによると、次世代医療基盤法の認定事業者ライフデータイニシアティブがデータを委託しているNTTデータが、約9万5千件の医療データを本人への通知なく収集していたとのことです。内閣府などのプレスリリースによると、原因はNTTデータのプログラムの不備であるそうです(次世代医療基盤法では患者本人への第三者提供等の「通知」が必要なところ、その通知が行われていない患者の医療データをNTTデータが誤って収集していた)。言うまでも無く医療データは要配慮個人情報であり、これは重大なインシデントであると思われます。
・次世代医療基盤法の認定事業者による医療情報の不適切取得事案について(PDF)|内閣府

内閣府リリース
(内閣府のプレスリリースより)

ライフデータイニシアティブおよびNTTデータのサイトのプレスリリース
・次世代医療基盤法に基づく認定事業における不適切な情報の取得に関して(PDF)|ライフデータイニシアチブ・NTTデータ

LDIプレスリリース
(LDIプレスリリースより)

NTTデータのプレスリリース
・次世代医療基盤法に基づく認定事業における不適切な情報の取得に関して|NTTデータ

なお、9月15日の個人情報保護委員会の会議はこの次世代医療基盤法の事故の件だったようです。
・第216回 個人情報保護委員会|個人情報保護委員会
PPCリリース
(個人情報委員会のプレスリリースより)

次世代医療基盤法とは、国民個人のカルテや処方箋、各種検査結果などのセンシティブな個人情報である医療データを国が認定した事業者(LDI)が一元的に収集し、当該医療データをIT企業や製薬企業などに第三者提供し、AI分析などで研究開発等を行わせて、日本の経済発展の起爆剤にしようという内容の法律です。

次世代医療基盤法
(内閣府サイトより)

次世代医療基盤法は、センシティブ情報である患者の医療データの収集や第三者提供を行うものなのに、通知を受けた患者本人からの「拒否」(法31条1項)がない限りは患者本人の医療データは第三者提供等がなされているなど、さまざまな問題をはらんでいます(水町雅子『Q&Aでわかる医療ビッグデータの法律と実務』6頁)。

今回の個人情報の事故は、その通知の取扱いすら不備があったという点で重大な個人情報のインシデントであると思われます。

■追記(2022年11月2日)
本日(2022年11月2日)、本事件に関連し、個人情報保護委員会はライフデータイニシアチブ、NTTデータおよび9つの医療機関に対して個人情報保護法に基づく行政指導を行ったとのことです。

・医療分野の研究開発に資するための匿名加工医療情報に関する法律の医療情報取扱事業者等である個人情報取扱事業者に対する個人情報の保護に関する法律に基づく行政上の対応について(令和4年11月2日)|個人情報保護委員会

■関連する記事
・保険証の廃止によるマイナンバーカードの事実上の強制を考えたーマイナンバー法16条の2(追記あり)
・「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」のPPC・令和2年改正個人情報保護法ガイドラインへのパブコメ意見がいろいろとひどい件
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?



[広告]








このエントリーをはてなブックマークに追加 mixiチェック

doctor_isya_warui
1.はじめに
NHKの5月14日のニュースによると、帯広中央病院、済衆館病院、JA広島総合病院、福井赤十字病院、府中病院(大阪)の5か所の病院の眼科医5名が、米医療機器会社の日本法人「スター・ジャパン」社に対して、患者の白内障手術をスター・ジャパン社のカメラで撮影した画像データを3年間にわたり繰り返し第三者提供し現金(40万円~105万円)を受け取っていたことが発覚したとのことです。

・“手術動画”無断で外部提供か 病院側「再発防止に努めたい」|NHKニュース

本事件は、センシティブ情報の要配慮個人情報である医療データについて、①取得にあたり「本人の同意」は適正に取得されていたのか、②医療機器メーカーに販売するという利用目的での本人の同意は取得されていたのか、あるいは目的外利用に本人の同意はあったのか、③医療機器メーカーに販売するという第三者提供について本人の同意は得られていたのか、④各病院の安全管理措置、⑤医師の守秘義務などが主に問題になると思われます。

2.要配慮個人情報
白内障手術の画像データは、「医師等により心身の状態の改善のための指導又は診療」に該当する「診察情報」(個人情報保護法施行令2条3項)に該当するので、要配慮個人情報に該当します(個人情報保護法2条3項)。そして要配慮個人情報の収集にあたっては原則として「本人の同意」が必要となります(法20条2項)。(岡村久道『個人情報保護法 第4版』237頁、91頁。)

3.「医療・ 介護関係事業者における個人情報の適切な取扱いのためのガイダンス」における「本人の同意」
この「本人の同意」について、平成29年4月29日・個人情報保護委員会・厚生労働省「医療・ 介護関係事業者における個人情報の適切な取扱いのためのガイダンス」の「Ⅳ 医療・介護関係事業者の義務等」の「9.個人データの第三者提供(法第27条)」の「(3)本人の同意が得られていると考えられる場合」は、つぎのような場合は本人の同意は得られているとしています(黙示の同意)。

「(略)このため、第三者への情報の提供のうち、患者の傷病の回復等を含めた患者への医療の提供に必要であり、かつ、個人情報の利用目的として院内掲示等により明示されている場合は、原則として黙示による同意が得られているものと考えられる。(後略)」
病院の本人の同意
(個人情報保護委員会・厚生労働省「医療・ 介護関係事業者における個人情報の適切な取扱いのためのガイダンス」より)

つまり、①患者への医療の提供に必要であり、かつ、②個人情報の利用目的として院内掲示板等により明示されている場合、には、患者本人からの明確な本人同意がなくても黙示の同意が得られており、「本人の同意」は適法に取得されていると本ガイダンスはしています。

この点、例えば今回問題となった帯広協会病院は、同病院サイトでプライバシーポリシーのなかで利用目的を表示しています。

帯広病院1
帯広病院2
(帯広協会病院サイトより)

しかしこの帯広協会病院のプライバシーポリシーの利用目的には、「外部の医療機器メーカーなどの医療機器の研究開発に協力する」であるとか、「外部の医療機器メーカーなどに患者の医療データを販売(第三者提供)する」などの利用目的は記載されていません。(個人情報保護委員会等の本ガイダンスに記載されている利用目的の例をみると、他の4つの病院にも記載はないものと思われます。)

4.小括
(1)そのため、本事件において、5つの病院は本人の同意なしに要配慮個人情報の患者の白内障手術の画像データを取得している点で法20条2項違反であり、また本人の同意なしに患者の個人データを目的外利用し、またスター・ジャパン社に第三者提供しているので、法18条1項違反および法27条1項違反であると思われます。さらに、所属する眼科医がこのような違法な行為をしていたことを見逃していた帯広協会病院など5つの病院は、病院内の個人情報に関する安全管理措置に重大な落ち度があったといえると思われます(法23条、24条)。

(2)加えて、今回違法に提供された白内障手術の画像データの全部または一部をスター・ジャパン社に提供し、現金を受け取っていた5名の医師および病院は、1年以下の懲役又は50万円以下の罰金の個人情報データベース等提供罪に該当する可能性があるのではないでしょうか(法174条)。同時にこの医師らは守秘義務違反として刑事責任を問われる可能性があります(刑法134条)。

5.被害にあった患者の方などについて
本事件では、白内障手術の画像データという個人データが本人の同意なしに目的外利用され、また第三者提供されているので、被害にあった患者の方は、各病院に対して、個人データの利用の停止または消去と、第三者提供の停止請求を行うことができます(法35条1項、3項)。また、被害にあった患者の方々は、各病院および各医師に対してプライバシー権の侵害として不法行為に基づく損害賠償責任を請求することができます(民法709条、715条)。

6.個人情報保護委員会など
本事件は個人情報漏洩事故といえるので、各病院は個人情報保護委員会および厚労省に対して報告をし、被害者に通知するとともに公表することが義務付けられています(法26条)。

一方、個人情報保護委員会および厚労省は、各病院に対して報告を徴求し立入検査を行い(法143条)、指導・助言や勧告・命令などの行政指導・行政処分を出すことができます(法144条、145条)。

7.まとめ
このように本事件は、センシティブ情報の要配慮個人情報である医療データについて、①取得にあたり「本人の同意」が適正に取得されておらず違法であり、②医療機器メーカーに販売するという利用目的での本人の同意は取得されておらず違法な目的外利用であり、③個人データの医療機器メーカーへの第三者提供について本人の同意は得られておらず違法であり、④各病院の安全管理措置は尽くされておらず、⑤医師の守秘義務違反による刑事責任やプライバシー侵害による不法行為に基づく損害賠償請求権が問題となる事案であると思われます。

■追記(5月17日)
NHKのニュースによると、本事件について、厚労省はスター・ジャパン社に聞き取りをするなどの調査を開始したとのことです。また、業界団体の「医療機器業公正取引協議会」も調査を開始したとのことです。今後の展開が気になるところです。

追記(2022年11月2日)
本事件について個人情報保護委員会が行政指導を行った旨のプレスリリースと、注意喚起のページを公開しています。
・手術動画提供事案に対する個人情報の保護に関する法律に基づく行政上の対応について|個人情報保護委員会
・「医療機関における個人情報の取扱い」に関する注意喚起(PDF)|個人情報保護委員会

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・岡村久道『個人情報保護法 第4版』237頁、91頁、400頁、405頁
・平成29年4月29日・個人情報保護委員会・厚生労働省「医療・ 介護関係事業者における個人情報の適切な取扱いのためのガイダンス」

■関連する記事
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-デジタル・ファシズム













このエントリーをはてなブックマークに追加 mixiチェック

今までどおり保険証を2
(ある病院のポスターより)

■関連する記事
・保険証の廃止によるマイナンバーカードの事実上の強制を考えたーマイナンバー法16条の2(追記あり)

1.マイナンバーカードへの健康保険証の一体化にマイナンバーを入力?
3月下旬に、マイナンバーカードに健康保険証を一体化させる事業においてマイナンバーの入力などに多くの不備が見つかり、厚労省はこの業務の本格稼働を遅らせるとの報道がなされました。これに対して、「マイナンバーカードでなく何故マイナンバーを使っているのか?」とネット上で疑問の声があがっています。

・データ入力不備で相次いだマイナカード保険証トラブル、チェックシステム導入へ|日経新聞

上の日経新聞の記事には、「健康保険組合などは組合加入者の被保険者番号、マイナンバーを厚労省の「医療保険者等向け中間サーバー」に登録」しているとはっきり書いています。

マイナンバー制度開始の当初は、国は「マイナンバー(個人番号)は行政の個人情報のデータベースを名寄せできる究極のマスターキーであるので、国民の個人情報やプライバシー保護のために、行政の個人情報のデータベースは分散管理を続ける。」、「センシティブ情報の医療関係の個人情報は、マイナンバーに直結するのではなく医療IDで管理する」という趣旨の説明をしていたはずです。

マイナンバー分散管理
(マイナンバー制度と個人情報の分散管理の説明図。内閣府サイトより)

この点、厚労省の健康保険証のマイナンバーカードへの一体化を説明するページのQA9は、「医療機関・薬局がマイナンバー(12桁の番号)を取り扱うのですか。」という問いに対して、「医療機関・薬局がマイナンバー(12桁の番号)を取り扱うことはありません。マイナンバー(12桁の番号)ではなく、マイナンバーカードのICチップ内の利用者証明用電子証明書を利用します。」と回答しています。

厚労省マイナンバーカード健康保険証QA9

・マイナンバーカードの保険証利用について|厚労省サイト

厚労省の説明によれば、やはり健康保険証のマイナンバーカードにおいても、利用するのはマイナンバーカードのICチップ内の利用者証明用電子証明書であって、マイナンバーそのものではないはずです。厚労省や内閣府などの政府は国民に嘘をついているのでしょうか?

2.カルテ情報や処方箋情報もマイナンバーに連結される
しかも、この厚労省サイトの「マイナンバーカードの保険証利用について」をみると、問題はより深刻です。

NHKなどのマスメディアは、健康保険証の問題ばかりを取り上げていますが、厚労省サイトの説明によると、患者・国民が健康保険証のマイナンバーカードへの一体化に一度同意してしまうと、健康保険証番号だけでなく、カルテ情報処方箋情報健康診断などの医療データも自動的にマイナンバー連結されるとあります。(顔データも連結される。)

ExZi6NqUcAAUa4x
ExZi6NqVgAIvxRB
ExZlAsrVIAEuWu-
(厚労省「マイナンバーカードの保険証利用について」より)

そしてこれらの機微な医療データがマイナンバーに連結後は、国・自治体、製薬会社やIT企業などから閲覧され利用され放題となることについての説明もありません。これは「偽りその他不正の手段」による個人情報の収集(個人情報保護法17条1項)、つまり騙し討ちなのではないでしょうか。

3.平成27年のマイナンバー法改正
この点、内閣府のマイナンバー関係のサイトによると、平成27年のマイナンバー法改正により、健康保険組合などがマイナンバーを取扱い可能となる改正がなされているようです。(法9条の別表一に関する改正。)そのため、法律上は健康保険組合がマイナンバーを扱うこと自体の手当はなされているようです。

平成27年マイナンバー法改正概要

・マイナンバー法|内閣府

しかし厚労省や内閣府のサイトを見ても、「税務関係で企業などに提出したマイナンバーを、目的外利用で企業から健康保険組合に第三者提供する」という通知・通達やガイドラインなどは出されていません。これでは、「マイナンバーの本人の同意のない目的外利用や第三者提供」であると、やはり国に騙されたと感じる国民も多いのではないでしょうか。

4.国民の医療データが製薬会社やIT企業などに利用される
さらに、カルテや処方箋データ、健康診断などの医療データをマイナンバーに直結させるという国の医療データの取扱に関する方針について、正面からの説明がありません。

国は、2018年に次世代医療基盤法などを制定し、医療データを病院・薬局などから地方自治体に共有化させ、さらには製薬会社やIT企業などにも利活用させることにより、日本の経済発展を行う方針のようです。

次世代医療基盤法概要
(次世代医療基盤法のイメージ図。内閣府サイトより)

しかし、国民の病気・ケガは、風邪など誰もがかかるような一般的な傷病だけでなく、例えば、ガン、HIV、精神病、身体障害・精神障害・知的障害など現在も社会的差別の原因となっている傷病も多く存在します。また傷病に関するカルテ上の情報などは、患者の人間としての身体的なデータや内心を含む精神的なデータ、さらには遺伝子情報も含む、人間そのものの機微な個人データです。(近年、アメリカ、ドイツなどには遺伝子差別禁止法が制定されていますが、日本にはそれさえも存在しません。)

そのため、製薬会社などの経済的利益や国・自治体の行政サービス向上のために患者・国民の医療データを利用する必要性があるとしても、まずは患者・国民が自らの医療データを病院・薬局などの医療機関だけでなく、国・自治体や製薬会社などに目的外利用および第三者提供させることについて明確な本人の同意が必要なはずです。日本は中国のような全体主義・国家主義の国ではなく、個人の尊重と基本的人権を目的とする自由な民主主義国家のはずなのですから(憲法11条、13条、97条)。

5.個人データ保護法の趣旨・目的
現在、参議院で審議中のデジタル関連法案のなかのマイナンバー法改正法案においては、国家資格の有資格者のデータをマイナンバーに連結すること等も盛り込まれています。また、政府・与党は銀行・商社など大企業の従業員の情報を国が管理し、それらの従業員を地方で働かせる政策を発表しています。

・官民を通じた個人情報保護制度の見直し|個人情報保護委員会

しかし、マイナンバーに医療データや国家資格のデータ、経歴や職務経歴などのさまざまな個人データをどんどん連結させてゆくことは、いわば「国家の前に国民が丸裸となる状態」(住基ネット訴訟・金沢地裁平成17年5月30日判決)の危険があるのではないでしょうか。

また、1974年の国連事務総長報告書「人権と科学技術の開発―人間の諸権利に影響をおよぼすおそれのあるエレクトロニックスの利用,及び民主的社会における右利用に課せられるべき制限」に始まり、1996年のILOの「労働者の個人情報保護に関する行動準則」2000年の日本の労働省「労働省の個人情報保護の行動指針」6(6)1995年の欧州のEUデータ保護指令2014年のEUのGDPR22条など、世界の個人データ保護法制は、「コンピュータによる人間の選別・差別から人間の「個人の尊重」を守ること」すなわち「コンピュータの個人データの自動処理(プロファイリング)のみによる決定を拒否する権利」を法目的の一つとしてきました。

「コンピュータによる人間の選別・差別から人間の「個人の尊重」を守ること」が世界の個人データ保護法制の法目的の一つであるとするなら、現在日本が推進している、マイナンバーに医療データや国家資格データなど各種の個人データをどんどん連結させてゆくことは、国・企業がコンピュータの個人データによる国民の選別・差別をどんどん容易にすることであり、1970年代からの世界の個人データ保護法制の趣旨に逆行しているのではないかと思われます。

コンピュータ自動処理拒否権の歴史の図1
コンピュータ自動処理拒否権の歴史の図2

6.まとめ
マイナンバー法3条2項は、国は「個人情報の保護に十分配慮」しなければならないと規定し、マイナンバー法の一般法にあたる個人情報保護法17条1項は「偽りその他不正の手段により個人情報を取得してはならない」と規定し、同法同条2項はセンシティブ情報について「あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない」と規定しています。(また、同法23条2項はオプトアウト方式による要配慮個人情報(センシティブ情報)の第三者提供も禁止しています。)

それを受けて、マイナンバー法17条は、マイナンバーカードの自治体の発行について、「その者の申請により、その者に係る個人番号カードを交付する」と規定し、あくまでも住民・国民の任意の申請に基づくことを規定しています。

さらに個人情報保護法1条および3条は、立法の趣旨・目的として「個人情報の有用性」だけでなく、「個人の権利利益の保護」、「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきもの」と明記しています。

法律による行政の原則、つまり法治主義に基づいて行政を運営することにより国民の個人の尊重と基本的人権を守るはずの国が、国民の個人情報やプライバシーを守るための個人情報保護法制や憲法を逸脱するような行政活動を行うことは許されないのではないでしょうか。

■関連するブログ記事
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?
・文科省が小中学生の成績等をマイナンバーカードで一元管理することを考える-ビッグデータ・AIによる「教育の個別最適化」
・日本年金機構からの再委託による中国へのマイナンバー等の流出疑惑について
・国がマイナンバーカード未取得者約8000万人に申請書発送の方針-国が国民に強制すべきことなのか?
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・遺伝子検査と個人情報・差別・生命保険/米遺伝子情報差別禁止法(GINA)


■参考文献
・高木浩光「個人情報保護から個人データ保護へ ―民間部門と公的部門の規定統合に向けた検討(2)」『情報法制研究』2号75頁
・高野一彦「従業者の監視とプライバシー保護」『プライバシー・個人情報保護の新課題』163頁(堀部政男)
・山本龍彦「AIと個人の尊重、プライバシー」『AIと憲法』59頁
・奥平康弘・戸松秀典「国連事務総長報告書(抄)人権と科学技術の開発」『ジュリスト』589号105頁









このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ