要配慮個人情報というカテゴリーの意味
個人情報保護法は、すべての個人情報を一律に扱っているわけではありません。人種・信条・社会的身分・病歴・犯罪歴など、差別や不利益につながるおそれが高い情報を、特に「要配慮個人情報」と呼び、取得や第三者提供に当たって原則として本人の同意を必要とする、と定めています。その中核に位置するのが、まさに医療データです。
要配慮個人情報というカテゴリーが設けられた背景には、欧州のGDPRなど国際的なプライバシー法制の動向とともに、日本国内での差別や偏見への懸念があります。例えば、就職や昇進の場面で過去の精神疾患の履歴が不当に参照されたり、保険商品の引き受け判断の際に糖尿病やがんの既往歴が不適切に利用されたりすれば、個人の尊厳が大きく損なわれます。健康情報は、一見すると医療従事者と本人だけの問題に見えますが、その実、社会生活のあらゆる局面に影響を与えうるセンシティブな情報なのです。
そのため、医療機関や企業が健康情報を取得する際には、原則として本人の明示的な同意が必要とされます。診療の過程で医師が患者から問診を行い、検査を指示するような場面では、診療契約に付随するものとして取得が許容されますが、診療目的を超えた利用、例えばマーケティングやサービス改善のために第三者に提供する場合には、改めて明確な同意や法令上の根拠が求められます。この「一次利用と二次利用の違い」が、医療データの活用において常に問題になるゆえんです。
取得・利用・第三者提供における法的枠組み
個人情報保護法の枠組みは、大きく「取得」「利用」「第三者提供」の三つのフェーズに分けて理解すると分かりやすくなります。医療機関を例にとると、取得の段階では、初診時に記入する問診票や診療情報提供書、紹介状などを通じて患者情報が集められます。このとき、医療機関は利用目的を「診療および診療に付随する業務」「診療報酬請求」「医療の質向上」といった形でできる限り具体的に特定し、院内掲示やWebサイトで公表します。ここでのポイントは、後になって「そんな使い方をされると思っていなかった」と患者に感じさせない程度の具体性が求められるということです。
利用のフェーズでは、医師や看護師、検査技師、医療事務など、多くの職種が患者情報にアクセスします。個人情報保護法は、こうした院内の利用そのものを細かく規制しているわけではありませんが、「目的外利用をしないこと」という原則は貫かれます。例えば、職員が個人的な興味から有名人のカルテを閲覧したような場合、たとえ外部に漏らしていなくても、目的外利用として重大な法令違反と評価されうるのです。
第三者提供のフェーズでは、ルールが一段と厳しくなります。医療機関が患者情報をほかの医療機関や企業、研究機関に提供する場合、原則として患者本人の同意が必要です。健康診断の結果を職場に提供するような場合も、個人情報保護法と労働法制の双方を踏まえた慎重な運用が求められます。要配慮個人情報である医療データについては、単に「同意を取った」と言えば足りるわけではなく、同意が真に自由意思に基づいているか、情報非対称性が大きすぎないか、といった観点も重要になります。
クラウド・AI時代の「越境移転」と責任の所在
近年の大きな論点の一つが、医療データのクラウド利用やAIモデル学習における「越境移転」です。医療機関が国内クラウドにデータを保存する場合であっても、そのクラウドベンダーが海外グループ企業と連携しているケースは少なくありません。さらに、AIモデルの学習のために海外のデータセンターが使われると、事実上、患者情報が海外に移転されることになります。個人情報保護法は、こうした越境移転について、十分性認定や標準契約条項に相当する枠組みを通じて一定の条件を定めていますが、実務での理解はまだ発展途上と言えます。
また、AIベンダーが医療機関から受託する形でデータを預かる場合、その関係が「委託」なのか「第三者提供」なのかによって、法的な位置付けが大きく変わります。委託であれば、あくまで医療機関の管理のもとでデータが処理されるため、委託先の監督義務が中心的な論点になりますが、第三者提供であれば、AIベンダーが自らの目的でデータを利用することになるため、患者の同意や次世代医療基盤法のような特別法上の枠組みが必要になります。この線引きは、契約書の書きぶりだけでなく、実際のビジネススキームによっても左右されるため、ケースごとに慎重な検討が欠かせません。
こうした状況の中で、医療機関や企業に求められているのは、単に法令を「守る」ことにとどまりません。患者の視点から見て、データの利用が理解可能であり、納得できるものであるかどうか。データガバナンスの設計と説明責任の果たし方が、今後ますます重要になっていくでしょう。
Read More from This Article: 「健康情報」はなぜ特別扱いなのか――個人情報保護法から見た医療データ
Source: News