本日(2022年9月20日)の内閣府などのプレスリリースなどによると、次世代医療基盤法の認定事業者ライフデータイニシアティブがデータを委託しているNTTデータが、約9万5千件の医療データを本人への通知なく収集していたとのことです。内閣府などのプレスリリースによると、原因はNTTデータのプログラムの不備であるそうです(次世代医療基盤法では患者本人への第三者提供等の「通知」が必要なところ、その通知が行われていない患者の医療データをNTTデータが誤って収集していた)。言うまでも無く医療データは要配慮個人情報であり、これは重大なインシデントであると思われます。
・次世代医療基盤法の認定事業者による医療情報の不適切取得事案について(PDF)|内閣府
(内閣府のプレスリリースより)
ライフデータイニシアティブおよびNTTデータのサイトのプレスリリース
・次世代医療基盤法に基づく認定事業における不適切な情報の取得に関して(PDF)|ライフデータイニシアチブ・NTTデータ
(LDIプレスリリースより)
NTTデータのプレスリリース
・次世代医療基盤法に基づく認定事業における不適切な情報の取得に関して|NTTデータ
なお、9月15日の個人情報保護委員会の会議はこの次世代医療基盤法の事故の件だったようです。
・第216回 個人情報保護委員会|個人情報保護委員会
(個人情報委員会のプレスリリースより)
次世代医療基盤法とは、国民個人のカルテや処方箋、各種検査結果などのセンシティブな個人情報である医療データを国が認定した事業者(LDI)が一元的に収集し、当該医療データをIT企業や製薬企業などに第三者提供し、AI分析などで研究開発等を行わせて、日本の経済発展の起爆剤にしようという内容の法律です。
(内閣府サイトより)
次世代医療基盤法は、センシティブ情報である患者の医療データの収集や第三者提供を行うものなのに、通知を受けた患者本人からの「拒否」(法31条1項)がない限りは患者本人の医療データは第三者提供等がなされているなど、さまざまな問題をはらんでいます(水町雅子『Q&Aでわかる医療ビッグデータの法律と実務』6頁)。
今回の個人情報の事故は、その通知の取扱いすら不備があったという点で重大な個人情報のインシデントであると思われます。
■追記(2022年11月2日)
本日(2022年11月2日)、本事件に関連し、個人情報保護委員会はライフデータイニシアチブ、NTTデータおよび9つの医療機関に対して個人情報保護法に基づく行政指導を行ったとのことです。
・医療分野の研究開発に資するための匿名加工医療情報に関する法律の医療情報取扱事業者等である個人情報取扱事業者に対する個人情報の保護に関する法律に基づく行政上の対応について(令和4年11月2日)|個人情報保護委員会
■関連する記事
・保険証の廃止によるマイナンバーカードの事実上の強制を考えたーマイナンバー法16条の2(追記あり)
・「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」のPPC・令和2年改正個人情報保護法ガイドラインへのパブコメ意見がいろいろとひどい件
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
[広告]
