平成29年5月公布、「医療ビッグデータ法」のポイント

IT・情報セキュリティ

目次

  1. 医療情報は要配慮個人情報に該当する
  2. 医療情報が要配慮個人情報に該当することによるビッグデータ利用時の問題
    1. 要配慮個人情報に関する規定
    2. 個人情報保護法では要配慮個人情報にオプトアウト手続の適用は認められない
  3. 倫理指針と医療ビッグデータ法の関係
  4. 医療ビッグデータ法の概要
    1. 医療ビッグデータ法が可能とすること
    2. 認定匿名加工医療情報作成事業者の認定(医療ビッグデータ法8条)
    3. 認定匿名加工医療情報作成事業者の利用目的による制限(医療ビッグデータ法17条)
    4. 匿名加工情報の作成等にあたっての義務(医療ビッグデータ法18条)
    5. 消去義務(医療ビッグデータ法19条)
    6. 医療情報等・匿名加工医療情報の安全管理措置(医療ビッグデータ法20条)
    7. 従業者の監督(医療ビッグデータ法21条)
    8. 従業者等の義務(医療ビッグデータ法22条)
    9. 委託(医療ビッグデータ法23条)
    10. 委託先の監督(医療ビッグデータ法24条)
    11. 他の認定匿名加工医療情報作成事業者に対する医療情報の提供(医療ビッグデータ法25条)
    12. 認定匿名加工医療情報作成事業者による医療情報の第三者提供の制限(医療ビッグデータ法26条)
    13. 苦情の処理(医療ビッグデータ法27条)
    14. 医療情報取扱事業者による医療情報の提供(医療ビッグデータ法30条)
    15. オプトアウトの停止の求めに対する書面等の交付・保存(医療ビッグデータ法31条)
    16. 医療情報の提供に係る確認・記録義務(医療ビッグデータ法32条・33条)
  5. 医療ビッグデータ法と個人情報保護法の比較

 平成29年5月12日に公布された『医療分野の研究開発に資するための匿名加工医療情報に関する法律』 (平成29年5月12日法律第28号、以下「医療ビッグデータ法」といいます)について解説します。

医療情報は要配慮個人情報に該当する

 平成29年5月30日の個人情報保護法の改正で定められた「要配慮個人情報」に該当し得る医療情報としては、「病歴」、「医師等により行われた健康診断等の結果」および「健康診断等の結果に基づき医師等により行われた指導・診療・調剤」があります(個人情報保護法2条3項、個人情報保護法施行令2条2号および3号)。

 「医師等により行われた健康診断等の結果」および「健康診断等の結果に基づき医師等により行われた指導・診療・調剤」は、具体的には、病院、診療所、その他の医療を提供する施設における診療や調剤の過程において、患者の身体の状況、病状、治療状況等について、医師、歯科医師、薬剤師、看護師その他の医療従事者が知り得た情報すべてを指し、診療記録や調剤録、薬剤服用歴、お薬手帳に記載された情報等が該当し、病院等を受診したという事実および薬局等で調剤を受けたという事実も該当します。

 また、遺伝子検査により判明する情報の中には、差別、偏見につながり得るもの(例:将来発症し得る可能性のある病気、治療薬の選択に関する情報等)が含まれ得ますが、当該情報は、「医師等により行われた健康診断等の結果」または「健康診断等の結果に基づき医師等により行われた指導・診療・調剤」に該当する可能性があります(「個人情報の保護に関する法律についてのガイドライン(通則編)」)。

医療情報が要配慮個人情報に該当することによるビッグデータ利用時の問題

要配慮個人情報に関する規定

 要配慮個人情報を取得するにあたっては、本人の同意が必要となります(個人情報保護法17条2項)。
 もっとも、個人情報取扱事業者は、他の個人情報と同様に、利用目的の範囲で要配慮個人情報の利用が可能です。

 また、個人情報取扱事業者は、個人データである要配慮個人情報を第三者に提供する場合、原則として、本人の事前の同意が必要となります(個人情報保護法23条1項本文)。
 さらに、要配慮個人情報以外の個人データ同様に、要配慮個人情報であっても、法令に基づく場合等の第三者提供の例外(個人情報保護法23条1項各号)や委託、事業承継、共同利用による個人データの提供(個人情報保護法23条5項各号)の場合には、本人の同意は必要となりません。

 加えて、要配慮個人情報を含む個人情報を加工して匿名加工情報を作成することも可能です(「個人情報の保護に関する法律についてのガイドライン(通則編)」および「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A11-7)。
 そういう意味で、要配慮個人情報に該当するからといって、それ以外の個人情報(個人データ)と比べて制限はあまりないとも言えます。

個人情報保護法では要配慮個人情報にオプトアウト手続の適用は認められない

 しかしながら、要配慮個人情報に該当する個人データについては、要配慮個人情報以外の個人データでは認められるオプトアウトの手続の適用は認められません(個人情報保護法23条2項)。オプトアウト手続については、法に定める一定の手続をとったとしても、実際には本人が明確に認識できないうちに個人データが第三者に提供されるおそれがあるため、情報の性質上慎重な取扱いが求められる要配慮個人情報にはかかる取扱いを認めないものとしたのです。

 これが、要配慮個人情報に該当する医療情報をビッグデータ(匿名加工情報)として利用する際の支障となります。すなわち、医療機関が、匿名加工情報に該当する患者の医療情報を、ビッグデータとして利用したい製薬会社や研究機関(大学等)に提供したい場合に、医療機関は患者の同意を個別に取得するのは困難なので、本人が利用停止を求めるまで第三者提供が可能なオプトアウトの手続を利用したいところですが、これが認められないのです

 そこで、医療ビッグデータ法においては、個人情報保護法では認められないオプトアウトによる要配慮個人情報の提供が可能となりました。

【医療ビッグデータ法の仕組み】

医療ビッグデータ法の仕組み

倫理指針と医療ビッグデータ法の関係

 平成26年12月22日に公表、平成29年2月28日に一部改正された、「人を対象とする医学系研究に関する倫理指針」 (文部科学省・厚生労働省、以下「倫理指針」といいます)では、研究対象者のインフォームド・コンセント1が必要とされており、この指針と、オプトアウトにより情報の提供を認める医療ビッグデータ法の関係が問題となります。

 この点について、政府からは大要、以下の答弁がなされています(平成29年4月25日参議院内閣委員会・大島一博政府参考人発言)。

  • 倫理指針と対象となるいわゆる学術研究は、たとえば、本人の同意を得て患者さんを集め、既存の医療にはない新しい手術方法や新薬等の投薬を行い、その結果を分析するものと認識している。
  • 今回の法案は、個人が識別できないように匿名加工された医療情報の適正な利活用を通じて医療分野の研究開発を促進するものであり、すでに行われている医療におけるデータを事後的に解析しようとするものである。最適な医療の提供、あるいはより確実な医薬品等の副作用の発見などのためには、患者等の個人から提供された事後的な、統計的な分析を通じた利活用も不可欠と考えている。
  • 今回の法案は、こうした取組の促進に向け、情報セキュリティーや匿名加工技術などについて厳格に審査を受けた認定事業者を認定するという仕組みを新たに創設したうえで、認定した後も安全管理措置を義務付けている。
  • 法令違反の疑いがある場合には立入検査や是正命令、それに従わない場合には認定の取消しや、罰則の規定がある。この罰則の規定は個人情報保護法よりも重い量刑を設定しており、そういったことを通じて信頼できる匿名加工情報の利活用の枠組みをつくろうとするものである。
  • 国の監督、規制を受ける事業者による匿名加工ということを前提とした利活用に限った仕組みなので、あらかじめ本人に通知し、本人が拒否しない場合には医療機関は認定事業者に医療情報を提供できるという形にした。

 参照:「第193回国会 参議院内閣委員会会議録第7号

医療ビッグデータ法の概要

医療ビッグデータ法が可能とすること

 医療ビッグデータ法は、医療機関(「医療情報取扱事業者」)が高い情報セキュリティーの認定等で担保された「認定匿名加工医療情報作成事業者」に「要配慮個人情報」に該当する患者の医療情報を提供する場合に限り、オプトアウトの手続の利用を認めるもので、上記2の医療情報が要配慮個人情報に該当することの問題を解決するものです。
 そして、「認定匿名加工作成事業者」は、ビッグデータ(「匿名加工医療情報」)を作成して、製薬会社、研究機関(大学等)、行政に提供することが可能となります。

認定匿名加工医療情報作成事業者の認定(医療ビッグデータ法8条)

 主務大臣は、高い情報セキュリティーを確保し、十分な匿名加工技術を有するなどの一定の基準を満たし、医療情報等の管理や利活用のための匿名化を適正かつ確実に行うことができる者を「認定匿名加工医療情報作成事業者」として認定することとされています。

 認定の基準は以下のとおりです(医療ビッグデータ法8条3項各号)。

  1. 法令違反や破産等をしていない者であること
  2. 医療情報を取得・整理・加工して匿名加工医療情報を適確に作成・提供するに足りる能力を有するものとして主務省令で定める基準を充たすこと
  3. 医療情報等(医療情報、匿名加工医療情報の作成に用いた医療情報から削除した記述等、個人識別符号、加工方法に関する情報、匿名加工医療情報の管理の方法)・匿名加工医療情報の漏えい・滅失・毀損の防止その他の当該医療情報等・匿名加工医療情報の安全管理のために必要かつ適切なものとして主務省令で定める基準に適合すること
  4. 医療情報等・匿名加工医療情報の安全管理のための措置を適確に実施するに足りる能力を有すること

認定匿名加工医療情報作成事業者の利用目的による制限(医療ビッグデータ法17条)

 認定匿名加工医療情報作成事業者は、医療機関から医療情報の提供を受けた場合は、当該医療情報が医療分野の研究開発に資するために提供されたものであるという趣旨に反することのないよう、認定事業の目的の達成に必要な範囲を超えて、当該医療情報を取り扱ってはならないこととされています。
 ただし、①法令に基づく場合、および、②人命の救助、災害の救援その他非常の事態への対応のため緊急の必要がある場合は利用制限がありません。

匿名加工情報の作成等にあたっての義務(医療ビッグデータ法18条)

(1)適正加工義務(同条1項)

 認定匿名加工医療情報作成事業者は、特定の個人を識別することおよびその作成に用いる医療情報を復元することができないようにするために必要なものとして主務省令で定める基準に従い、当該医療情報を加工する義務を負います。

 個人情報取扱事業者が匿名加工情報を作成する際の個人情報保護法36条1項の適正加工義務に相当するものです。

(2)照合禁止義務(自ら作成した匿名加工医療情報)(同条2項)

 認定匿名加工医療情報作成事業者は、匿名加工医療情報を作成して自ら当該匿名加工医療情報を取り扱うにあたっては、当該匿名加工医療情報の作成に用いられた医療情報に係る本人を識別するために、当該匿名加工医療情報を他の情報と照合してはなりません。

 個人情報取扱事業者が、匿名加工情報を作成して自ら当該匿名加工情報を取り扱うにあたっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならないとする個人情報保護法36条5項に相当する規定です。

(3)照合禁止義務(第三者が作成した匿名加工医療情報)(同条3項)

 匿名加工医療情報取扱事業者(匿名加工医療情報データベース等を事業の用に供している者)は、他の認定匿名加工医療情報作成事業者が作成した匿名加工医療情報を取り扱うにあたって、匿名加工医療情報の作成に用いられた医療情報に係る本人を識別するために、当該医療情報から削除された記述等もしくは個人識別符号・加工の方法に関する情報を取得、または、他の情報と照合してはなりません。

 匿名加工情報取扱事業者(匿名加工情報データベース等を事業の用に供する者)が、他の個人情報取扱事業者が作成した匿名加工情報を取り扱うにあたって、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等・個人識別符号、加工の方法に関する情報を取得し、または当該匿名加工情報を他の情報と照合してはならないとする個人情報保護法38条に相当する規定です。

(4)匿名加工情報に関する規定の不適用(同条4項)

 個人情報取扱事業者が匿名加工情報を作成する際の義務について規定した個人情報保護法36条は、上記(1)により、認定匿名加工医療情報作成事業者または認定医療情報等取扱受託事業者(医療ビッグデータ法28条の認可を受けた者)が匿名加工医療情報を作成する場合には適用がありません。

 また、匿名加工情報取扱事業者が、他の個人情報取扱事業者が作成した匿名加工情報を取り扱う場合の義務について定めた個人情報保護法37条から39条までの規定は、匿名加工医療情報取扱事業者が、他の認定匿名加工医療情報作成事業者が作成した匿名加工医療情報を取り扱う場合については適用がありません。

 なお、不適用となっていない、匿名加工情報の第三者提供時の相手方への明示・公表義務(個人情報保護法36条4項、37条)は個人情報保護法の規定が適用されるものと考えられます

消去義務(医療ビッグデータ法19条)

 認定匿名加工医療情報作成事業者は、認定事業に関し管理する医療情報等(医療情報、匿名加工医療情報の作成に用いた医療情報から削除した記述等、個人識別符号、加工方法に関する情報、匿名加工医療情報の管理の方法)または匿名加工医療情報を利用する必要がなくなったときは、遅滞なく、当該医療情報等または匿名加工医療情報を消去しなければなりません。これは法的義務です。

 個人情報保護法では、個人情報取扱事業者は、個人データを利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならないとして、努力義務について定めています(個人情報保護法19条)。また、利用する必要がなくなった匿名加工情報を消去しなければならない旨の規定は定められていません

 これらの点については、個人情報取扱事業者が負う消去義務より認定匿名加工医療情報作成事業者の負う消去義務の方が重いといえます。

医療情報等・匿名加工医療情報の安全管理措置(医療ビッグデータ法20条)

 認定匿名加工医療情報作成事業者は、認定事業に関し管理する医療情報等(医療情報、匿名加工医療情報の作成に用いた医療情報から削除した記述等、個人識別符号、加工方法に関する情報、匿名加工医療情報の管理の方法)または匿名加工医療情報の漏えい・滅失・毀損の防止その他の当該医療情報等または匿名加工医療情報の安全管理のために必要かつ適切なものとして主務省令で定める措置を講じなければなりません。

 個人情報保護法では、加工方法等の情報に関する安全管理措置は法的義務ですが(個人情報保護法36条2項)、匿名加工情報の安全管理措置は努力義務です(同条6項)。

 医療ビッグデータ法では、「医療情報等」の安全管理措置だけでなく、「匿名加工医療情報」の安全管理措置についても法的義務とされている点が厳しくなっています。

従業者の監督(医療ビッグデータ法21条)

 認定匿名加工医療情報作成事業者は、従業者に認定事業に関し管理する医療情報等または匿名加工医療情報を取り扱わせるにあたっては、当該医療情報等または匿名加工医療情報の安全管理が図られるよう、主務省令で定めるところにより、当該従業者に対する必要かつ適切な監督を行わなければなりません。

 個人情報保護法では、同法21条で「従業者の監督」に関する規定が設けられていますが、その詳細は「ガイドライン」(「個人情報の保護に関する法律についてのガイドライン(通則編)」)で定められているのに対して、医療ビッグデータ法では「主務省令」で定めることとされている点が厳しいといえます。

従業者等の義務(医療ビッグデータ法22条)

 認定匿名加工医療情報作成事業者の役員・従業者またはこれらであった者は、認定事業に関して知り得た医療情報等または匿名加工医療情報の内容をみだりに他人に知らせ、または不当な目的に利用してはなりません。
 これに相当する義務は、個人情報保護法には置かれていません。

委託(医療ビッグデータ法23条)

 認定匿名加工医療情報作成事業者は、認定医療情報等取扱受託事業者に対してする場合に限り、認定事業に関し管理する医療情報等または匿名加工医療情報の取扱いの全部・一部を委託することができます。個人情報保護法においては、委託先について特に限定はありませんが、医療ビッグデータ法では、認定医療情報等取扱事業者にだけ委託をすることができます(医療ビッグデータ法23条1項)。

 「認定医療情報等取扱事業者」とは認定匿名加工医療情報作成事業者の委託(2以上の段階にわたる委託を含む)を受けて医療情報等または匿名加工医療情報を取り扱う事業を行おうとする者(法人に限る)で、主務大臣の認定を受けた者です(医療ビッグデータ法18条4項、28条)。

 認定医療情報等取扱受託事業者は、当該医療情報等または匿名加工医療情報の取扱いの委託をした認定匿名加工医療情報作成事業者の許諾を得た場合であって、かつ、認定医療情報等取扱受託事業者に対してするときに限り、その全部または一部の再委託をすることができます(医療ビッグデータ法23条2項)。

 医療情報等または匿名加工医療情報の取扱いの全部・一部の再委託を受けた認定医療情報等取扱受託事業者は、当該医療情報等または匿名加工医療情報の取扱いの全部・一部の委託を受けた認定医療情報等取扱受託事業者とみなして、再委託の規定が適用されます(同条3項)。

 このように委託先・再委託先を限定する規定は個人情報保護法にはありません。

委託先の監督(医療ビッグデータ法24条)

 認定事業に関し管理する医療情報等・匿名加工医療情報の取扱いの全部・一部を委託する場合は、その取扱いを委託した医療情報等・匿名加工医療情報の安全管理が図られるよう、主務省令で定めるところにより、委託を受けた者に対する必要かつ適切な監督を行わなければなりません。

 個人情報保護法では、同法22条で「委託先の監督」に関する規定が設けられていますが、その詳細は「ガイドライン」(「個人情報の保護に関する法律についてのガイドライン(通則編)」)で定められているのに対して、医療ビッグデータ法では「主務省令」で定めることとされている点が厳しいといえます。

他の認定匿名加工医療情報作成事業者に対する医療情報の提供(医療ビッグデータ法25条)

 医療情報の提供を受けた認定匿名加工医療情報作成事業者は、主務省令で定めるところにより、他の認定匿名加工医療情報作成事業者からの求めに応じ、匿名加工医療情報の作成のために必要な限度において、当該他の認定匿名加工医療情報作成事業者に対し、提供された医療情報を提供することができます(医療ビッグデータ法25条1項)。

 当該提供を受けた認定匿名加工医療情報作成事業者は、患者本人からオプトアウトの手続により(医療ビッグデータ法30条1項)、医療情報の提供を受けた認定匿名加工情報作成事業者とみなして、他の認定匿名加工医療情報作成事業者からの求めに応じ、匿名加工医療情報の作成のために必要な限度において、当該他の認定匿名加工医療情報作成事業者に対し、提供された医療情報を提供することができます(同条2項)。

認定匿名加工医療情報作成事業者による医療情報の第三者提供の制限(医療ビッグデータ法26条)

 認定匿名加工医療情報作成事業者は、①「医療ビッグデータ法25条の規定により提供する場合」(上記4-11)、②「法令に基づく場合」、③「人命の救助、災害の救援その他非常の事態への対応のため緊急の必要がある場合」を除くほか、25条の規定およびオプトアウトの手続(医療ビッグデータ法30条1項)により提供を受けた医療情報を第三者に提供してはなりません(医療ビッグデータ法26条1項)。

 ただし、当該医療情報の提供を受ける者が、①事業の承継に伴って医療情報が提供される場合または、②医療情報の取扱いの全部・一部を委託することに伴って当該医療情報が提供される場合は、認定匿名加工医療情報作成事業者からみて第三者に該当しないので、提供が可能です(医療ビッグデータ法26条2項)。個人情報保護法23条5項各号に相当する規定ですが、共同利用(同項3号)による第三者の例外の規定は設けられていません。

苦情の処理(医療ビッグデータ法27条)

 認定匿名加工医療情報作成事業者は、主務省令で定めるところにより、認定事業に関し管理する医療情報等または匿名加工医療情報の取扱いに関する苦情を適切かつ迅速に処理しなければなりません。
 認定匿名加工医療情報作成事業者は、主務省令で定めるところにより、前項の目的を達成するために必要な体制を整備しなければなりません。

 個人情報取扱事業者の苦情の処理は努力義務(個人情報保護法35条)であるのに対して、認定匿名加工医療情報作成事業者は法的義務で厳しくなっています。

医療情報取扱事業者による医療情報の提供(医療ビッグデータ法30条)

(1)趣旨

 上記4-1で説明したとおり、本条が、医療ビッグデータ法の要となる規定です。個人情報保護法では認められない要配慮個人情報に該当する医療情報のオプトアウト手続について、医療情報取扱事業者が認定匿名加工医療情報作成事業者に提供する場合に限ってオプトアウトの手続を認めるものです。

 高い情報セキュリティーを確保し、十分な匿名加工技術を有するなどの一定の基準を満たし、医療情報等の管理や利活用のための匿名化を適正かつ確実に行うことができる者(認定匿名加工医療情報作成事業者)を認定することにより、オプトアウト手続の利用を可能としたものです。

(2)規定内容

 規定の立て付けは、個人情報保護法23条2項から4項までの個人データのオプトアウトの手続と同じです。ただし、個人情報保護法のオプトアウトの場合は、「通知」のほか「本人の知り得る状態」に置くことも認められていますが(個人情報保護法23条2項)、医療ビッグデータ法においては「通知」のみが認められています。

 医療情報取扱事業者は、認定匿名加工医療情報作成事業者に提供される医療情報について、主務省令で定めるところにより本人またはその遺族(死亡した本人の子、孫その他の政令で定める者)からの求めがあるときは、当該本人が識別される医療情報の認定匿名加工医療情報作成事業者への提供を停止することとしている場合であって、次に掲げる事項について、主務省令で定めるところにより、あらかじめ、本人に通知するとともに、主務大臣に届け出たときは、当該医療情報を認定匿名加工医療情報作成事業者に提供することができます(医療ビッグデータ法30条1項)。

  1. 医療分野の研究開発に資するための匿名加工医療情報の作成の用に供するものとして、認定匿名加工医療情報作成事業者に提供すること
  2. 認定匿名加工医療情報作成事業者に提供される医療情報の項目
  3. 認定匿名加工医療情報作成事業者への提供の方法
  4. 本人またはその遺族の求めに応じて当該本人が識別される医療情報の認定匿名加工医療情報作成事業者への提供を停止すること
  5. 本人またはその遺族の求めを受け付ける方法

 上記の②・③・⑤の事項を変更する場合もオプトアウト手続による必要があります(医療ビッグデータ法30条2項)。
 主務大臣は届出があった場合は、公表する義務があります(医療ビッグデータ法30条3項)。

(3)提供される医療情報

 「医療情報」として想定されているのは、医療情報の利活用の中心となって使われているいわゆる「レセプト情報」ですが、これに加えて、診療行為の結果に関する情報である「問診内容」、「検査結果」、「治療予後」といった情報も想定しています(平成29年4月25日参議院内閣委員会・大島一博政府参考人発言)。

(4)相当の期間

 オプトアウトに基づく医療情報の提供はすぐに認められるのではなく、本人が提供の停止を求めるのに必要な期間を置く旨を定めることが検討されています。
 この期間に関して、具体的な必要な期間という言葉でいくのか、具体的な期間を示すかどうかについては、個人情報保護法令では具体的な期間を示されていないということも参考にしつつ、施行までに検討することとされています(平成29年4月25日参議院内閣委員会・大島一博政府参考人発言)。

(5)オプトアウトの適用される年齢

 オプトアウト手続については、患者が子供である場合、通知は保護者に対して行うことが基本とされます。個人情報保護法制あるいは研究倫理指針における取扱いを参考に、具体的には患者が中学の課程を修了している場合、または16歳以上である場合には子供本人に対して通知をすることが予定されています(平成29年4月25日参議院内閣委員会・大島一博政府参考人発言)。

オプトアウトの停止の求めに対する書面等の交付・保存(医療ビッグデータ法31条)

 医療情報取扱事業者(医療機関)は、オプトアウトの通知を受けた本人またはその遺族から当該本人が識別される医療情報の認定匿名加工医療情報作成事業者への提供を停止するように求めがあったときは、遅滞なく、主務省令で定めるところにより、当該求めがあった旨その他の主務省令で定める事項を記載した書面を、当該求めを行った者に交付しなければなりません(医療ビッグデータ法31条1項)。

 医療情報取扱事業者は、あらかじめ、認定匿名加工医療情報作成事業者への提供を停止するように求めを行った者の承諾を得て、書面の交付に代えて、当該書面に記載すべき事項を記録した電磁的記録を提供することができます。この場合において、当該医療情報取扱事業者は、上記の書面の交付を行ったものとみなされます。(医療ビッグデータ法31条2項)

 上記の書面を交付し、または上記の電磁的記録を提供した医療情報取扱事業者は、主務省令で定めるところにより、当該書面の写しまたは当該電磁的記録を保存しなければなりません。(医療ビッグデータ法31条3項)

 当該義務に相当する義務は、個人情報保護法上のオプトアウトの手続にはありません。

医療情報の提供に係る確認・記録義務(医療ビッグデータ法32条・33条)

(1)医療情報の提供に係る記録の作成等(医療ビッグデータ法32条)

 医療情報取扱事業者は、医療情報を認定匿名加工医療情報作成事業者に提供したときは、主務省令で定めるところにより、当該医療情報を提供した年月日、当該認定匿名加工医療情報作成事業者の名称および住所その他の主務省令で定める事項に関する記録を作成し、主務省令で定める期間保存しなければなりません。(医療ビッグデータ法32条1項、2項)

 これは、個人情報保護法上の個人データの提供者の記録義務(個人情報保護法25条)に相当するものです。

(2)医療情報の提供を受ける際の確認(医療ビッグデータ法33条)

 認定匿名加工医療情報作成事業者は、医療情報取扱事業者から医療情報の提供を受けるに際しては、主務省令で定めるところにより、次に掲げる事項の確認を行わなければなりません(医療ビッグデータ法33条1項)。

  1. 当該医療情報取扱事業者の氏名または名称および住所ならびに法人にあっては、その代表者(法人でない団体で代表者または管理人の定めのあるものにあっては、その代表者または管理人)の氏名
  2. 当該医療情報取扱事業者による当該医療情報の取得の経緯

 医療情報取扱事業者は、認定匿名加工医療情報作成事業者が同項の規定による確認を行う場合において、当該認定匿名加工医療情報作成事業者に対して、当該確認に係る事項を偽ってはなりません(医療ビッグデータ法33条2項)。
 認定匿名加工医療情報作成事業者は、確認を行ったときは、主務省令で定めるところにより、当該医療情報の提供を受けた年月日、当該確認に係る事項その他の主務省令で定める事項に関する記録を作成し、主務省令で定める期間保存なければなりません。(医療ビッグデータ法33条3項、4項)

 これらの義務は、個人情報保護法における個人データの受領者である個人情報取扱事業者の確認・記録義務(個人情報保護法26条)に相当するものです。

医療ビッグデータ法と個人情報保護法の比較

 以下、医療ビッグデータ法と個人情報保護法上の義務規定の比較になります。

医療ビッグデータ法 個人情報保護法
適正加工義務 あり(18条1項) あり(36条1項)
照合禁止義務(自ら作成した匿名加工医療情報) あり(18条2項) あり(36条5項)
照合禁止義務(第三者が作成した匿名加工医療情報) あり(18条3項) あり(38条)
匿名加工した情報の第三者提供 規定なし。匿名加工情報の第三者提供時の明示・公表義務適用(個人情報保護法36条4項、37条) 第三者提供時の明示・公表義務(36条4項、37条)
消去義務 法的義務(19条) 努力義務(19条)
安全管理措置 以下のいずれについても法的義務(20条)
・医療情報等(医療情報、匿名加工医療情報の作成に用いた医療情報から削除した記述等、個人識別符号、加工方法に関する情報、匿名加工医療情報の管理の方法)
・匿名加工医療情報
加工方法等情報の安全管理措置は法的義務(36条2項)
匿名加工情報の安全管理措置は努力義務(36条6項)
従業者の監督 主務省令で従業者の監督の内容が定められる(21条)。 ガイドラインに従業者の監督の内容が定められる(21条)。
従業者等の義務 認定匿名加工医療情報作成事業者の役員・従業者またはこれらであった者は、認定事業に関して知り得た医療情報等または匿名加工医療情報の内容をみだりに他人に知らせ、または不当な目的に利用してはならない(22条)。 なし
委託先の限定 ・委託先は認定医療情報等取扱事業者に限定される。
・再委託は、認定匿名加工医療情報作成者の許諾を得た場合であって、認定医療情報等取扱受託事業者に対してする場合に限られる。
(23条)
なし
委託先の監督 主務省令で委託先の監督の内容が定められる(24条)。 ガイドラインで委託先の監督の内容が定められる(22条)。
第三者提供の制限 ・認定匿名加工医療情報作成者は、医療情報について、①他の認定匿名加工医療情報作成者への提供(25条)、②法令に基づく場合、③人命の救助、災害の救援その他非常の事態への対応のため緊急の必要がある場合を除いて、第三者提供ができない(26条1項)。
・①事業の承継に伴って医療情報が提供される場合、②医療情報の取扱いを委託することに伴って当該医療情報が提供される場合には、第三者提供とは見られない(26条2項)。
個人データの第三者提供については以下の場合に認められる。
①本人の同意がある場合(23条1項)
②法令に基づく場合等の例外(23条1項各号)
③オプトアウト手続(23条2項)
④第三者に該当しない場合(23条5項各号)

・事業承継(1号)
・委託(2号)
・共同利用(3号)

苦情処理 法的義務(27条) 努力義務(35条)
オプトアウト手続 認定匿名加工医療情報作成事業者への提供に限り要配慮個人情報に該当する医療情報についてオプトアウトの方法による提供を認める(30条)
・本人に対しては通知の方法のみ
・主務大臣への届出
要配慮個人情報を含む個人データについてはオプトアウトの方法が認められていない(23条2項)
・本人には通知のほか、本人の知り得る状態も認められている。
・個人情報保護委員会への届出
利用停止を求めた者への書面交付義務 利用停止を求めた本人に対して書面交付義務あり(31条) 利用停止を求めた本人に対して書面交付義務なし
第三者提供の提供者の記録義務 医療情報を提供した医療情報取扱事業者に記録の作成・保存義務あり(32条) 個人データを提供した個人情報取扱事業者に記録の作成・保存義務あり(25条)
第三者提供の受領者の確認・記録義務 医療情報の提供を受けた認定匿名加工医療情報作成事業者に確認、記録の作成・保存義務あり(33条) 個人データの提供を受けた個人情報取扱事業者に確認、記録の作成・保存義務あり(26条)

  1. 研究対象者またはその代諾者等が、実施または継続されようとする研究に関して、当該研究の目的および意義並びに方法、研究対象者に生じる負担、予測される結果(リスクおよび利益を含む。)等について十分な説明を受け、それらを理解したうえで自由意思に基づいて研究者等または既存試料・情報の提供を行う者に対し与える、当該研究(試料・情報の取扱いを含む)を実施または継続されることに関する同意をいう。 ↩︎

この特集を見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する