個人情報保護法の改正動向と医療の関わり --- 平岡 敦

アゴラ

平成17年(2005年)4月1日に個人情報保護法【註1】が施行されてはや10年近くが経過したが,昨今,情報通信技術(「ICT」【註2】と呼ばれる。)の急激な発展を背景に,2つの側面で個人情報保護法の改正が議論されている。


■1つ目の側面 情報漏えいの被害拡大に対する警戒

1つ目の側面は,情報量の取扱量の飛躍的な増大に伴い,情報漏えいが生じたときの損害も甚大になりがちという点を背景としている。日本では,平成26年7月にベネッセコーポレーションが保有していた大量の顧客情報が流出し,大きな問題となった。海外でも,アメリカでは大手小売チェーン店やネット販売業者の顧客情報が大量に漏えいして話題となった。日本の医療業界でも,1万件を超える個人情報の流出事故は,筆者が調べた限り,個人情報保護法の施行以降で計7回起きている。このような事態を受けて,各国では以前よりも厳しく個人情報を保護する制度を開始している。EUでは,以前「データ保護指令」としてDirectiveのレベルで運用されていた規制が,一段高いRegulationのレベルである「一般データ保護規則」【註3】として改正されようとしている。アメリカでも,消費者プライバシー権利章典【註4】が公表された。アメリカとEUとの間で取り交わされているセーフハーバー協定【註5】も,永らく実質的には骨抜きであったものが,厳格な運用が開始され始めた。

■2つ目の側面 ビッグデータの活用

2つ目の側面は,全く逆の方向性の動きで,ICTの発展に伴い大量かつ迅速なデータ処理が比較的安価に行えるようになってきたことから,いわゆるビッグデータを活用して新しいビジネスやインフラを創造しようという動きが出てきたことである。例えば,Amazonなどのネット販売業者が膨大な取引データを収集・蓄積・分析し,顧客の購買パターンを把握して効果的なマーケティングを行っている。ネット広告の世界でも,膨大なユーザのアクセス記録を蓄積・分析して,より効果的でピンポイントの広告を掲出する技術が進化している。

医療の分野でも,ビッグデータ【註6】を活用する動きが活発化している。平成26年11月放送のNHKスペシャル「医療ビッグデータ 患者を救う大革命」によると,109万回にも及ぶ入院病棟のナースコールに関する情報を時間帯,患者,病棟などの付属情報とともに蓄積し,看護師の負担軽減や適切な看護の両立に貢献しているとのことである。また,新生児治療室における新生児のバイタル情報を大量に蓄積して分析することで,感染症の発生を予測し,発症前に効果的に対策を打つことができるようになったなどの事例が紹介されている。

■矛盾する2つの要求

以上の2つの側面は,反対の方向性を有するので,それを統一的に捉えて解消することが難しい。例えば,平成26年7月にJR東日本がICカードであるSuicaの大量の利用データを個人を識別できないようにした上で売却しようとしたのに対し,個人情報保護の観点から問題があるのではないかとの世論が起こり,JR東日本が自主的に販売を中止した,という事件があった。このケースでは特定の個人は識別できないように匿名化がなされていたのであるが,情報が大量であることや,生活に密着した情報であることから,消費者の間に不安が広がったことが事件を複雑にし,JR東日本による自粛という結果を招いたのである。このようにパーソナルデータの利活用というニーズと,個人情報に関する意識の高まりを背景とした保護のニーズは,相反する側面があり,放置すると過剰な大衆反応や企業によるルーズな利活用という好ましくない事態を招きかねない。

■パーソナルデータの利活用に関する制度改正大綱

このような相反するニーズを受けて,日本の立法及び行政も動きを見せている。内閣の高度情報通信ネットワーク社会推進戦略本部は,平成26年6月に「パーソナルデータの利活用に関する制度改正大綱」【註7】を発表した。この中では「背景」として,「個人の行動・状態等に関する情報に代表されるパーソナルデータ」について利活用が求められる中,「自由な利活用が許容されるのかが不明確な「グレーゾーン」が発生・拡大し、パーソナルデータの利活用に当たって、保護すべき情報の範囲や事業者が遵守すべきルールが曖昧になりつつある。」と問題点が指摘されている。一方で「個人情報及びプライバシーという概念が世の中に広く認識されるとともに、高度な情報通信技術の活用により自分のパーソナルデータが悪用されるのではないか、これまで以上に十分な注意を払ってパーソナルデータを取り扱って欲しいなどの消費者の意識が拡大しつつあり、保護されるべきパーソナルデータが適正に取り扱われることを明らかにし、消費者の安心感を生む制度の構築が望まれている。」との問題意識も指摘されている。

この「大綱」は,個人情報保護法の改正を明確に視野に入れて,その大枠の方向性を示すために策定されたものである。

■グレーゾーンに対する対処

「大綱」は,個人情報とそうでない情報の中間的な概念として「グレーゾーン」【註8】という領域があることに触れ,「特定の個人が識別された状態にないパーソナルデータであっても、特定の個人の識別に結びつく蓋然性が高いなど、その取扱いによっては個人の権利利益が侵害されるおそれがあるもの」であるとして,それに関して「保護される対象及びその取扱いについて事業者が遵守すべきルール」を定めるべきであるとしている。そして,現行の個人情報保護法が取っている「目的外利用や第三者提供に当たって、本人の同意を必要とする現行法の仕組みは、事業者にとって負担が大きく、「利活用の壁」の一つとなっている。」として「パーソナルデータの利活用を促進するために、現行法の規律に加え、新たに一定の規律の下で原則として本人の同意が求められる第三者提供等を本人の同意がなくても行うことを可能とする枠組みを導入する。具体的には、個人データ等から「個人の特定性を低減したデータ」への加工と、本人の同意の代わりとしての取扱いに関する規律を定める。」としている【註9】。

大綱は特に医療情報においてそのような規律の必要性を表明しており,「医療情報等のように適切な取扱いが求められつつ、本人の利益・公益に資するために一層の利活用が期待されている情報も多いことから、萎縮効果が発生しないよう、適切な保護と利活用を推進する。」と述べている。

■分野別の民間による自主規制

このような新たな規制を導入する上で,大綱が重視しているのは,民間による自主規制である。すなわち国家レベルで単一の厳格な規制を取ったのでは,分野ごとの実情を十分に反映させることができない。また,日本社会の特質として自主規制を求めると各業界が真剣に対応を行うことが期待できる(ともすれば過剰になるほど)ので,大綱は細かいことは民間に任せてしまおうという方針を採ったものとも思われる。

このような自主規制ルールを実効化するしくみにも,今までの規制主体であった主務官庁に代わり第三者機関を利用するという方向性が示されている。具体的には,番号法の施行に伴い設置される特定個人情報保護委員会【註10】が,その1つの機能として業界ごとの自主規制ルールの認定なども行うことが予定されている。

このような枠組みのもと,今後,医療業界でも,しかるべき民間団体の主導の下,自主規制ルールの策定が始まり,その適用と見直しが行われていくものと思われる。なお,番号法についても,国民1人1人に付番されるマイナンバーを医療の分野でどう活用するかについて,当面の利用は先送りされたものの,既に議論が始まっている。

■まだ未知数

以上のように,消費者(患者)の間で高まる警戒感を背景に,技術革新により高度な利用が可能となりつつある大量のパーソナルデータをどのように扱っていくのか,今後,医療業界でも議論が深まっていくものと思われる。しかし,現時点では,まだどのような方向性で進んでいくのか未知数である。

マイナンバーの取扱いについても,数年後には実質的な議論の成果が示されるものと思われる。ストレスチェックを義務化する改正労働安全衛生法も平成27年12月1日から施行される。ストレスチェックの結果は,従来の企業内健康診断の結果と異なり,ストレスチェックの実施主体である医療機関等が保管し,労働者の同意がなければ企業もアクセスできないものとされている。したがって,医療機関が背負うリスクは今まで以上に増大するものと思われる。

このように医療機関を取り巻く個人情報やパーソナルデータに関する状況は,今後,より複雑かつ高度になって行くものと思われ,目が離せない事態となっている。


【註1】正式名称は「個人情報の保護に関する法律」。平成15年5月23日に成立し,一部の規定は即日施行された。
【註2】Information and Communication Technologyの略。
【註3】Commission Proposal for a Regulation of the European Parliament and of the Council on the Protection of Individuals with regard to the Processing of Personal Data and on the Free Movement of Such Data 平成26年3月に欧州議会で修正して可決。ただし,現時点では継続検討中。DirectiveはEU加盟国における国内法の制定を待たないと効力を生じないが,Regulationは国内法の制定を待たずして直ちに国内法と同様の効力を生ずる点で,より強力かつ包括的な規制である。
【註4】Consumer Privacy Bill and Rights 平成24年2月公表。
【註5】EUとアメリカ間の個人情報の移転を可能とするための協定(平成12年7月)。アメリカの企業はセーフハーバー協定で定めた基準をクリアしていることを自己宣言することで,EUの基準に達した個人情報保護措置を執っていることが擬制される仕組みであったが,チェック機能が充分に働いているのかが疑問視されていた。昨今,執行機関である連邦取引委員会が,ようやく事後的チェックを開始し,制度が実効的に運用され始めた。
【註6】明確な定義はないが,平成24年版情報通信白書によると,「ICT(情報通信技術)の進展により生成・収集・蓄積等が可能・容易になる多種多量のデータ」としている箇所がある。
【註7】官邸HPに掲載。
【註8】第2のⅠ2(1)① 6頁。
【註9】第2のⅡ1 7頁。
【註10】公正取引委員会などと同じ行政委員会として,強い権限と組織を持つものとして設置されることが予定されている。

平岡 敦
弁護士


編集部より:この記事は「先見創意の会」2013年11月25日のブログより転載させていただきました。快く転載を許可してくださった先見創意の会様に感謝いたします。オリジナル原稿を読みたい方は先見創意の会コラムをご覧ください。