{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
デジタル・ヘルス・サービスを検討する上で考慮すべきデータコンプライアンス
2021-08-19
予防医療の重要性の高まりや個別化医療、在宅医療など近年のヘルスケア業界の潮流をとらえ、個人の医療・健康データを二次利用して、既存のサービスを高度化したり、新たなサービスを企画・設計したりする取り組みが活発になってきています。製薬会社や医療機器メーカーはもちろん、他業種からの参入も多く見られ、さまざまな視点から各種データを二次利用する、新たなヘルスケアサービスの創出を巡る競争は激化の一途をたどっています。
特に、これまでヘルスケア事業・サービスを提供してきた企業においては、既存分野のデータのみならず、近接する別の分野のデータも収集し、それらを利活用することで新たなデータ・ドリブン・ビジネスを創出しようとする動きが多く見受けられます。一方で、これまでヘルスケアサービスを提供してこなかった企業であっても、固有の技術や顧客基盤など既存の自社資産と他社の強みを組み合わせることで、同様のサービスを開発・展開するようになってきています。
今後、こうしたヘルスケア分野におけるデータビジネスの市場はより拡大していくことが予想されますが、日本国内で個人の医療・健康などに関係する機微性の高いデータを取り扱う場合、さまざまなデータコンプライアンス(法令要件)への対応が必要となります。本コラムでは、個人の医療・健康データを二次利用するデジタル・ヘルス・サービスを国内で展開する上で考慮・検討すべき代表的なデータコンプライアンスについて概説します。
なお、本コラムにおける意見・判断に関する記述は筆者の私見であり、所属する組織の見解とは関係のない点をあらかじめお断りしておきます。
医療データを取り扱うサービスは3省2ガイドラインの順守が不可欠
個人の医療・健康データは一般的に、医療機関などが患者の診療や治療の目的で作成および管理する診療録、処方箋、介護の計画および記録といった医療データ(EHR:Electronic Health Record)と、個人が主に日々の体調管理などの目的で記録する健康データ(PHR:Personal Health Record)の2種類に大別されます。
EHRを取り扱う場合は、医療機関などを対象とする厚生労働省の「医療情報システムの安全管理に関するガイドライン」*1および、医療情報システム・サービスを提供する事業者を対象とする経済産業省・総務省の「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」*2の、いわゆる「3省2ガイドライン」の順守がデータコンプライアンスとして求められます。これらのガイドラインは、医療等従事者が患者を診療する目的で作成し、その後も継続的に経過状況を確認し、治療方針を検討することなどに利用するEHRが適用対象です。このような目的から完全に切り離されたEHRは、当該ガイドラインの適用対象からは外れることになります。
そのため、医療機関などが管理する個人のEHRを利活用するデジタル・ヘルス・サービスの開発を検討する場合には、医療機関などが患者の診療などを目的としてEHRに継続的にアクセスしているかどうかが、3省2ガイドラインへの対応要否を判断するにあたっての重要な検討ポイントになります。
なお、医薬品治験に関連する診療録、または関連データ(検査伝票や同意説明文書など)は、いわゆる日本版ER/ES方針*3・関連事務連絡*4とともに、厚生労働省「医薬品・医薬部外品製造販売業者等におけるコンピュータ化システム適正管理ガイドライン」*5に基づく管理が求められますが、これらのEHRを二次利用する場合にも、基本的には上記同様の検討が必要となります。
個人管理のEHR、または医療目的のPHRを取り扱うサービスは3省PHR指針への対応が必要
では、医学的目的から切り離されたEHRとは、具体的にどのようなものがあるでしょうか。例えば、本来医療機関などが管理するEHRを個人が引き取り、個人の責任においてPHR事業者が提供するクラウドサービスなどを用いて管理するケースがこれに該当します。
こうしたケースにおけるデータの管理方針は現行の3省2ガイドラインではなく、2021年4月に厚生労働省、経済産業省、総務省の3省が共同公開した「民間PHR事業者による健診等情報の取扱いに関する基本的指針」(以下、「3省PHR指針」)*6に取りまとめられています。
3省PHR指針では、予防接種歴、乳幼児健診、特定健診、薬剤情報など、医療機関などから個人が引き取ったEHR、または個人が自ら測定し、その記録を管理しているPHRが適用対象となります。こうしたデータを利活用して、医療機関などによる患者診療などのサポートを目的としたサービスを提供する事業者は3省PHR指針への対応が必要となります。
3省PHR指針の内容は、個人情報保護法の要件を基に、市場動向や技術環境の変化などを踏まえた新規要件を追加したものであり、個人情報保護法に基づく対応を確実に遂行している事業者にとっては対応もそれほど困難ではないものと考えられます。なお、3省PHR指針では、事業者による管理態勢の信頼性を対外的に発信する取り組みが必須とされていますが、これは3省2ガイドライン同様、ユーザーを含めた利害関係者に対するリスクコミュニケーションの重要性が強調されていることと同じ文脈で考える必要があるでしょう。
セルフ・ヘルス・マネジメントのみを目的としたサービスは個人情報保護法への対応が必要
個人がセルフ・ヘルス・マネジメントのみを目的として測定し、記録管理したPHR(日々のバイタルデータなど)は3省PHR指針の適用対象外となります。その代わり、こうしたサービスを提供する事業者は従来の個人情報保護法に基づく対応が引き続き求められます。
そのため、PHR関連のデジタル・ヘルス・サービスを新たに企画・設計する場合には、そのサービスは個人の健康管理支援を目的としたものとするか、あるいは将来的なビジネススケールの中で医療機関などへの連携までも視野に含めるのかといった、サービスのスコープを事前にしっかり検討し、適切なデータコンプライアンスへの対応を計画することが重要になります。
デジタル・ヘルス・サービスの提供機能が医療行為に該当するか否かの精査も重要
こうしたデータコンプライアンスに加え、自社で検討するデジタル・ヘルス・サービスが個人の疾患や病態の把握、予想、または治療方針の提言など、医師法で定められる医療行為に該当するか否かの精査も重要です。
前回のコラムでも記載した通り、個人の疾患・病態に関する医学的な判断や受診勧奨を行うデジタル・ヘルス・サービスは、「プログラムの医療機器該当性に関するガイドライン」*7で定義されている通り、医療機器プログラム(SaMD: Software as a Medical Device)に分類されるため、医療機器としての申請・承認手続きが法令上求められます。これは自己(自社)がサービス提供機能を「あくまで個人(ユーザー)の健康促進を目的とするものである」と定義したとしても一切考慮されず、提供される機能の実態に即して客観的に判断されるものです。
従って、ユーザーの健康促進・管理を目的とするヘルス・データ・サービスという位置付けを採用するのであれば、少なくともユーザーの疾患や病態を把握したり、治療方針の助言を行ったりする機能が外形的にでも存在するようなサービスの仕様は避けなければなりません。
対応策としては、例えばユーザーのEHR・PHRだけでなく、他の個人データも含めた統計的な分析を行った結果に基づく一般論的な観点から個人の健康状況を示すことで、セルフ・ヘルス・マネジメントに向けた行動変容・意識改革を行うことを目的とするなど、ユーザーへ提供する機能を厳密に精査することが必要になるでしょう。特にデジタル・ヘルス・サービスには他業種からの参入企業も多いことから、上記ガイドラインや規制当局から提供される情報などを基に、自社が提供予定のサービスが医療機器に該当するか否か、慎重に確認する必要があります。
医療・健康データを二次利用するデジタル・ヘルス・サービスを検討する際のポイント
上述の通り、デジタル・ヘルス・サービスの分野においては、どのような医療・健康データをどのような目的・用途で取り扱うのかによって、検討すべきデータコンプライアンスが変化します。同一のデータであっても取り扱いの目的・用途によっては対応すべきコンプライアンス上の要件が変わる可能性があるため、サービスの目的・機能に照らして、適切なコンプライアンスを見極め、確実な対応を実施することが必要です。
加えて、サービスの提供機能によってはSaMDとしての取り扱いが求められる場合もあります。事前の検討が不十分なため、サービスリリース直前にSaMDとしての法令要件を満たす必要があることが発覚し、サービスの見直しや断念につながるケースも想定されます。
一般的に、データを利活用するサービスモデルは、データの収集度、蓄積度の高まりに応じてサービスの規模や範囲が拡大していくものです。そのため、設計段階での検討不足に伴いリカバリーをしなければならなくなった場合のネガティブなインパクトも、時間の経過とともに高まります。
特にこの種のデジタル・ヘルス・サービスは、要配慮個人情報など社会的にセキュアに管理することが求められる機微なデータを取り扱うものになります。そのため、他分野と比較しても、こうした検討不足が原因で仮に何らかのインシデントが発生した場合、企業としてのレピュテーションリスクに大きな影響を及ぼすリスクも想定されます。従って、こうしたデジタル・ヘルス・サービスの開発、導入を進めるにあたっては、取り扱うデータに求められる社会的な期待水準も踏まえ、設計段階で十分な検討を行うことが重要といえます。
本稿では国内でデジタル・ヘルス・サービスを展開する上で考慮すべきデータコンプライアンスについて述べましたが、海外への展開も視野に入れているデジタル・ヘルス・サービスの事例も多く見られます。データコンプライアンスに関する各国規制当局の関心は非常に高く、各国固有の規制が続々と整備されていることにも十分に留意した上で検討を進めることが、併せて推奨されます。
*1:厚生労働省, 2021. 「医療情報システムの安全管理に関するガイドライン 第5.1版」
https://www.mhlw.go.jp/content/10808000/000730541.pdf
*2:総務省および経済産業省, 2020. 「医療情報を取り扱う情報システム・サービスの 提供事業者における安全管理ガイドライン」
https://www.meti.go.jp/press/2020/08/20200821002/20200821002-3.pdf
*3:厚生労働省, 2005. 薬食発第0401022号「医薬品等の承認又は許可等に係る申請等における. 電磁的記録及び電子署名の利用について」
https://www.mhlw.go.jp/web/t_doc?dataId=00ta8216&dataType=1&pageNo=1
*4:厚生労働省医薬食品局審査管理課 事務連絡 「「治験関連文書における電磁的記録の活用に関する基本的考え方」の一部改正について」(平成26年7月1日)
https://www.pmda.go.jp/files/000211366.pdf
*5:厚生労働省, 2014.「治験関連文書における電磁的記録の活用に関する基本的考え方」の一部改正について
独立行政法人医薬品医療機器総合機構ウェブサイト
https://www.mhlw.go.jp/web/t_doc?dataId=00tb6573&dataType=1&pageNo=1
*6:総務省、厚生労働省、経済産業省, 2021. 「民間PHR事業者による検診等情報の取扱いに関する基本的指針」
https://www.meti.go.jp/press/2021/04/20210423003/20210423003-1.pdf
*7: 厚生労働省, 2021.「プログラムの医療機器該当性に関するガイドライン」
https://www.mhlw.go.jp/content/11120000/000764274.pdf
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
