{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
医療ビッグデータの利活用の法的問題点 ― 匿名加工情報と学術研究の例外のユースケースを解説
2020-10-14
近時、実臨床から収集した膨大な医療情報である「医療ビッグデータ」の利活用に対して期待が高まっています。もっとも、医療ビッグデータにはさまざまな法規制が関係してくるため、その利活用にあたっては、個人情報保護と研究倫理に関するそれぞれのルールに留意する必要があります。
個人情報保護に関するルールは、民間の事業者には個人情報の保護に関する法律(以下「個人情報保護法」)が適用されますが、公的機関には、その主体に応じて、行政機関の保有する個人情報の保護に関する法律、独立行政法人等の保有する個人情報の保護に関する法律または各地方公共団体の個人情報保護条例の義務規定が適用されるため、これらの法令に留意する必要があります(なお、以下においては民間の事業者に適用される個人情報保護法についてのみ解説します)。
研究倫理に関するルールは、人を対象とする医学系研究に関する倫理指針(以下「医学系指針」)などの各種研究倫理に関するルールに留意する必要があります(なお、医学系指針は、現時点では「人を対象とする生命科学・医学系研究に関する倫理指針」への改定が検討されていますが、以下においては、現行の医学系指針を前提に解説します)。
もっとも、医療分野の研究開発に資するための匿名加工医療情報に関する法律(以下「次世代医療基盤法」)の認定を受けた事業者の場合、同法のルールに基づいて医療ビッグデータの利活用を検討することになります。現時点で主務大臣の認定を受けた事業者は少数に留まりますが、今後、次世代医療基盤法に基づきさまざまな医療ビッグデータの利活用が可能になると期待されます(なお、以下においては、次世代医療基盤法の認定を受けていない事業者の法的問題点について解説します)。
本稿では、医療ビッグデータの利活用のユースケースを紹介します。中でも「サービスベンダーによる医療情報の外部提供」と「大学病院との人工知能(AI)の共同研究」の2つの想定事例を取り上げて、データ利活用の観点から法的問題点を解説します。
「サービスベンダーによる医療情報の外部提供」の事例
概要
サービスベンダーによる医療情報の外部提供の事例(以下「想定事例(1)」)では、以下の通り、医療機関・健康保険組合に対してコンサルティングサービスを提供しているベンダーが医療情報の提供を受け、さらに当該医療情報を情報利用者に提供するユースケースを想定しています。
法的問題点
個人データの第三者提供規制と委託
想定事例(1)において、医療機関・健康保険組合がサービスベンダーに対して個人データとしての医療情報を提供することは、個人情報保護法上、個人データの第三者提供に該当し、原則として患者本人の同意を得なければなりません(同法23条1項)が、患者本人からの同意を取得することは現実的ではない場合が少なくありません。そのような場合には、医療情報を匿名加工情報にして提供することが考えられます。匿名加工情報については、作成時に、当該情報に含まれる個人に関する情報の項目を公表し、第三者提供時に当該情報に含まれる個人に関する情報の項目およびその提供の方法について公表する必要がある(同法36条3項および4項、37条)一方で、第三者提供にあたり本人の同意を得ることが不要となります。
この際、医療機関・健康保険組合において匿名加工情報を作成する知見がないために、実務上、コンサルティングサービスを提供するサービスベンダーが医療機関・健康保険組合に代わって匿名加工情報を作成することがあります。このようなケースにおいて、当該サービスベンダーによる匿名加工情報の作成が、個人情報保護法上、医療機関・健康保険組合からの個人データの取り扱いの委託として整理できるかが問題となります。
この点について、個人情報保護委員会は、「委託元が個人データの管理のみを委託している場合において、委託先が自ら利用する目的で当該個人データから匿名加工情報を作成することは認められません」(2018年12月25日付け結果公示の「個人情報の保護に関する法律についてのガイドライン(通則編)」の改正案に関する意見募集の結果について(別紙)ご意見に対する考え方(以下「本件パブコメ」)No.12)との見解を示しています。このパブリックコメントからは、委託先が、本来的なサービス提供による委託の範囲内において、サービスベンダーが自ら利用する目的で匿名加工情報を作成することは許されないと解すことができます。
一方、同委員会は「新たに提供元が委託する業務に含める場合は、別途委託契約を締結する方法等が考えられます」(本件パブコメ No.10)との見解も示しているため、匿名加工情報の作成業務を、別途委託契約を締結したと評価される方法によって新たに提供元が委託する業務に含める場合には、委託先が匿名加工情報を作成することができると解すことができます。
匿名加工情報の作成および第三者提供に係る公表主体
想定事例(1)において、医療機関・健康保険組合とサービスベンダーの関係では、匿名加工情報の作成に係る公表の義務については、委託元である医療機関・健康保険組合において果たさなければなりません(個人情報保護法36条3項、同法施行規則21条2項)。また、匿名加工情報の第三者提供に係る公表の義務についても、医療機関・健康保険組合が第三者提供することになるため、同様に医療機関・健康保険組合において行わなければなりません(同法36条4項)。
一方、サービスベンダーと情報利用者の関係では、匿名加工情報の第三者提供に係る公表の義務は、サービスベンダーが第三者提供をすることになるため、サービスベンダーにおいて行わなければなりません(同法37条)。
「大学病院とのAIの共同研究」の事例
概要
大学病院とのAIの共同研究の事例(以下「想定事例(2)」)でては、以下の通り、システム開発会社が大学病院との共同研究において提供を受けた医療情報を学習用データとしてAIを開発し、ユーザーに対してサービスを提供するというユースケースを想定しています。
法的問題点
個人データの第三者提供規制と要配慮個人情報の取得規制
想定事例(2)において、大学病院がシステム開発会社に対して個人データとしての医療情報を提供することは、個人情報保護法上、個人データの第三者提供に該当し、原則として患者本人の同意を得なければなりません(同法23条1項)。また、システム会社が医療情報を取得することは要配慮個人情報の取得に該当し、同様に、原則として患者本人の同意を得なければなりません(同法17条2項)。
学術研究の適用除外
上記の通り、想定事例(2)においては個人情報保護法上、本人の同意が必要になるのが原則ではありますが、学術研究の適用除外に該当する場合には、個人情報保護法の義務規定が適用されず、医療情報の第三者提供または取得にあたり、本人の同意を得ることが求められません(同法76条1項3号)。
学術研究の適用除外に該当するためには、(1)学術研究を目的とする機関若しくは団体又はそれらに属する者であること、(2)学術研究の用に供する目的で個人情報を取り扱うことのいずれの要件も満たす必要があります。
- 学術研究を目的とする機関若しくは団体又はそれらに属する者であること
民間企業であっても、学術研究機関との間の1つの主体と見なすことができる共同研究に属する者と認められる場合には充足すると解されています(「個人情報の保護に関する法律についてのガイドライン」および「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A:8-4)。 - 学術研究の用に供する目的で個人情報を取り扱うこと
医療情報を取り扱う目的が学術研究のためである場合には、(2)の要件を満たすことになります。この点、医療情報を取り扱う時点において営利事業への転用が想定されておらず、学術研究を目的としていれば、(2)の要件を満たすこととなると考えられますが、具体的に目的をどのように評価するかは事案に応じて検討する必要があるとも考えられます※1。
※1 経済産業省「グレーゾーン解消制度に係る事業者からの照会に対し回答がありました/疾患診断補助機器の開発のための個人情報の提供に係る個人情報保護法等の取り扱い」の回答では、「新たな診断補助に必要なアルゴリズムを開発する目的に限って個人情報を利用することとしていることから、当該アルゴリズムの開発は『学術研究の用に供する目的』に該当する」と述べられており、参考になります。
人を対象とする医学系研究に関する倫理指針
想定事例(2)において、学術研究の適用除外に該当し、個人情報保護法の義務規定の適用がない場合であっても、医学系指針の遵守が求められる場合があります。当該医学系指針には主に、(1)研究計画書に関する手続、(2)倫理審査委員会の設置、(3)インフォームド・コンセントを受ける手続、(4)重篤な有害事象への対応、(5)研究の信頼性確保のための手続が定められており、特に(3)のインフォームド・コンセントをどのように受けるかが実務上、重要となります。
この点、想定事例(2)においては、医学系倫理指針における他の研究機関に既存試料・情報を提供しようとする場合に該当するため、大学病院において患者から口頭でインフォームド・コンセントを受け、記録を作成するのが原則となります(医学系指針第5章・第12・1・(3))。もっとも、インフォームド・コンセントにはさまざまな例外が定められています。例えば、(1)インフォームド・コンセントを行うことが困難であること、(2)学術研究の用に供するときその他の特段の理由があること、(3)所定の事項につき通知又は公開をしていること、(4)誰の情報であるか直ちには判別できないような匿名化をしていることのいずれにも該当する時は、インフォームド・コンセントは不要となります(医学系指針第5章・第12・1・(3)・ア・(ウ))。
以上、2つのユースケースから、医療ビッグデータの利活用に際して起こり得る法的問題点を解説しました。いずれのユースケースも個人情報保護法との関係が問題となりますが、想定事例(1)は「匿名加工情報」、想定事例(2)は「学術研究の例外」を用いて、医療ビッグデータの利活用を実現しています。このように、医療ビッグデータの利活用を実現するためには、個別のケースごとに個人情報保護法の規制への対応を検討することが重要になります。
執筆者
村上 諭志
TMI総合法律事務所 パートナー 弁護士、Certified Information Privacy Professional(EU)
個人情報保護法などの情報法を専門とするほか、消費者関連法、知的財産権法、IT関連法にも精通しており、さまざまなインターネットビジネスの国内・グローバル展開のサポートに多数関与している。
野呂 悠登
TMI総合法律事務所 弁護士
国内外のデータ保護法、プライバシー、知的財産等に関する業務を主に取り扱う。個人情報保護委員会事務局に出向経験があり、特に個人情報保護法に関する業務を専門とする。
平岩 久人
パートナー, PwCあらた有限責任監査法人
篠宮 輝
マネージャー, PwCコンサルティング合同会社
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
