第1 はじめに
医療機関、薬局、健康保険組合等が保有する診療録、処方箋、レセプト等の患者データは、創薬、ヘルスケアサービス、医療AI、保険サービス、マーケティング分析等において高い価値を有します。
他方で、患者データには病歴、投薬歴、検査値等の極めて機微な情報が含まれるため、民間企業がこれを利活用する場合には、個人情報保護法上の規制を慎重に検討する必要があります。
この点、「匿名加工情報」を用いれば、本人の同意なく第三者提供を受け、比較的自由に利活用できるのではないか、という発想があります。
確かに、匿名加工情報は、個人情報保護法上、個人情報とは異なる規律に服するものであり、データ利活用の有力な選択肢です。
もっとも、「氏名を削除した」「患者IDをハッシュ化した」という程度では、直ちに匿名加工情報になるわけではありません。
本記事では、患者のデータの利活用方法として検討できる匿名加工情報の活用方法について解説します。
第2 匿名加工情報とは
1 定義
匿名加工情報とは、一定の措置を講じることにより、特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいいます(個人情報保護法第2条第6項)。
匿名加工情報は、適切に作成されれば、個人情報について課される利用目的の制限や、個人データの第三者提供に関する本人同意の規律とは異なる取扱いが可能になります。
もっとも、匿名加工情報であっても、何らの制限もなく「自由に」使えるわけではなく、匿名加工情報に関する公表義務、安全管理措置、識別行為の禁止等を遵守する必要があります。
2 患者データの場合の注意点
患者データは、一般的な購買履歴や行動履歴と比べても、特定個人の識別につながるリスクが高い情報です。
例えば、極めて希少な疾患名、特異な年齢、特殊な治療歴、居住地域、受診時期等が組み合わされると、氏名が削除されていても本人が特定される可能性があります。
したがって、患者データを匿名加工情報として利活用する場合には、形式的なマスキングでは足りず、データ項目の性質、患者数、地域性、疾患の希少性、他の公開情報との照合可能性等を踏まえた実質的な検討が必要です。
第3 匿名加工情報の作成基準
1 加工基準
匿名加工情報を作成する個人情報取扱事業者は、個人情報保護法第43条第1項に基づき、個人情報保護委員会規則で定める基準に従って個人情報を加工しなければなりません。
具体的には、個人情報保護法施行規則第34条において、主に以下の措置が定められています。
個人情報保護委員会のFAQでも、これらは選択的に講じればよいものではなく、該当する情報がある限り各号の措置を行う必要があるとされています。
(1)特定の個人を識別できる記述等の削除
氏名、住所、生年月日、電話番号、メールアドレス等、特定の個人を識別し得る記述等の全部又は一部を削除する必要があります。
(2)個人識別符号の削除
マイナンバー、保険者番号・被保険者番号、顔認証データ、指紋データ等、個人識別符号に該当する情報は削除する必要があります。
(3)連結符号の削除
元の個人情報と加工後の情報を連結できるID、対応表、管理番号等がある場合には、これを削除する必要があります。
(4)特異な記述等の削除
患者データでは、この点が特に重要です。
例えば、症例数が極めて少ない疾患名、非常に高齢の年齢、特殊な治療歴、地域内で一人しか該当しない属性等は、特異な記述等として削除又は一般化する必要があります。
(5)データベースの性質に応じた措置
上記のほか、データベース全体の性質、項目間の組合せ、他の情報との照合可能性等を踏まえ、適切な加工を行う必要があります。
2 「匿名化」と「匿名加工情報」は異なる
実務上、「匿名化」という言葉は広く使われていますが、法律上の「匿名加工情報」と同じ意味ではありません。
氏名を削除しただけの情報、患者IDを別番号に置き換えた情報、ハッシュ化した情報等は、なお個人情報又は仮名加工情報にとどまる場合があります。
特に、医療現場で従来「匿名化」と呼ばれてきた処理であっても、個人情報保護法上の匿名加工情報の基準を満たしていない場合があります。
その場合、本人同意なく第三者提供を受けると、個人情報保護法第27条第1項に違反するリスクがあります。
第4 匿名加工情報に関する主な義務
1 作成者の義務
匿名加工情報を作成した事業者には、以下の義務が課されます。
(1)加工方法等情報の安全管理措置
匿名加工情報の作成に用いた加工方法等情報について、安全管理措置を講じる必要があります(個人情報保護法第43条第2項)。
(2)情報項目の公表
匿名加工情報を作成したときは、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければなりません(同法第43条第3項)。
(3)第三者提供時の公表及び明示
匿名加工情報を第三者に提供するときは、提供する情報項目及び提供方法を公表し、提供先に対して匿名加工情報であることを明示する必要があります(同法第43条第4項)。
(4)識別行為の禁止
匿名加工情報を本人識別目的で他の情報と照合してはなりません(同法第43条第5項)。
(5)安全管理措置等の努力義務
匿名加工情報の安全管理措置等を講じ、その内容を公表するよう努める必要があります(同法第43条第6項)。
2 提供を受ける側の義務
匿名加工情報の提供を受ける民間企業にも、匿名加工情報取扱事業者として義務が生じます。
(1)第三者提供時の公表及び明示
提供を受けた匿名加工情報をさらに第三者に提供する場合には、情報項目及び提供方法の公表、匿名加工情報であることの明示が必要です(個人情報保護法第44条)。
(2)識別行為の禁止
本人を識別する目的で、匿名加工情報を他の情報と照合してはなりません(同法第45条)。
(3)安全管理措置等の努力義務
匿名加工情報の安全管理措置を講じ、その内容を公表するよう努める必要があります(同法第46条)。
第5 患者データを取得する民間企業が注意すべき点
1 医療機関からの取得
民間企業が患者データを利活用する場合、医療機関等から個人データの第三者提供を受ける方法もありますが、この場合は原則として本人同意が必要です(個人情報保護法第27条第1項)。
患者データには病歴等の要配慮個人情報が含まれることが通常であり、取得・提供の適法性については特に慎重な検討が必要です。
これに対し、医療機関側で適切に匿名加工情報を作成し、その提供を受ける場合には、本人同意なく第三者提供を受けることが可能です。
ただし、医療機関に匿名加工のノウハウがない場合には、民間企業が匿名加工情報の作成業務を受託する設計が考えられます。
2 匿名加工情報の作成委託を明確にすること
医療機関が民間企業に分析業務のみを委託している場合、委託先である民間企業が独自に匿名加工情報を作成し、自社利用することは、委託の範囲を超えるおそれがあります。
個人データの取扱いの委託に伴う提供は、第三者提供に当たらないとされていますが(個人情報保護法第27条第5項第1号)、これはあくまで委託された業務の範囲内での取扱いに限られます。
したがって、契約書上、「分析業務」だけでなく、「匿名加工情報の作成業務」を明確に委託業務として定めるべきです。
3 作成後の二次利用の設計
委託先である民間企業が匿名加工情報を作成し、そのまま自社のために二次利用する場合、医療機関による委託先監督義務(個人情報保護法第25条)や、民間企業による不適正取得(同法第20条第1項)の問題が生じ得ます。
そのため、実務上は、民間企業が委託に基づき匿名加工情報を作成した後、いったん医療機関に納品し、医療機関から改めて匿名加工情報の第三者提供を受ける形をとることが望ましいと考えられます。
形式的に迂遠であっても、個人データの委託処理と、匿名加工情報の第三者提供・自社利用を明確に区別することが重要です。
4 公表義務の履行主体の整理
匿名加工情報の作成に関する公表義務については、委託元である医療機関側が行うべき場面があります。
医療機関が公表を怠った場合、データ提供を受ける民間企業にも、違法又は不適切なデータ取得を行ったとのレピュテーションリスクが生じます。
したがって、医療機関との契約において、匿名加工情報の作成時及び第三者提供時の公表、提供先への明示、加工方法等情報の管理、安全管理措置、再提供の可否、監査権限等を明確に定めるべきです。
第6 まとめ
民間企業が患者データを利活用する場合には、取得するデータの種類、利用目的、医療機関との契約関係、匿名加工情報の作成主体、公表義務の履行主体、二次利用の可否を整理したうえで、法務・情報セキュリティ・医療データ実務の各観点から慎重にスキームを設計することが重要です。
