安全管理措置の比較表を以前作成していましたが、匿名加工医療情報を追記したバージョンにアップデートしましたので、ブログでお知らせします。右から3列目です。
コチラ
次世代医療基盤法ガイドラインの要修正事項
次世代医療基盤法の解説パワポをアップデートするために、次世代医療基盤法ガイドラインをよみこんでいますが、ガイドライン上で修正した方がよい記述を見つけたので、備忘としてブログに書いておきます。
特に「やーい、間違ってるぞー」とかいう意図はないですし、「私はこんなにわかってる」アピールをするつもりは毛頭ありません。気づいたことを書きとめておかないと、すぐ忘れてしまい、また性格上資料がどこかに行ってしまうので、ブログに書いておくのが一番備忘としてよいため、日々もそうやってブログを備忘録に使っているためですので、変な意図は一切ありません。
前置きが長くなりましたが(汗)、ガイドラインⅡ16ページ(通算ページだと37ページ)
規則第6条(第4号)ニ(1) 送受信の用に供する回線部分
電気通信による送受信により医療機関等から医療情報の提供を受ける際には、電気通信回線について十分な安全性が確保されていることが求められる。具体的には、専用線又は専用線と同等の安全性が確保される仮想専用線(以下略)
ガイドライン本文で、「医療機関等から医療情報の提供を受ける際には」専用線等が必要と書いてありますが、ここの説明は施行規則6条4号二(1)部分の説明です。そして施行規則6条4号二では「認定事業医療情報等を電気通信により送受信するとき、又は移送し、若しくは移送を受けるときは、次に掲げる措置を講じていること」とあり、(1)では「外部の者との送受信の用に供する電気通信回線として」とありますので、特に医療情報の提供を受ける場合に限っていません。
医療機関等から医療情報をもらう際のみ専用線にすればよいのではなく、受託者との間でやりとりする場合、法令で認められた範囲で他の者に医療情報等を提供する場合、利活用者に匿名加工医療情報を送受信する場合も、専用線が必要ですね。その点、誤解を生みそうな記述なので、いつかガイドラインを修正することがあれば、そのタイミングでここも記述を直した方が良いと思います。
パブコメ時にはここまでは細かく読んでいなかったため、意見を出せませんでした。
まあそうはいっても、あちらこちらに専用線を用いよという記述がみられますので、この点を誤解する認定医業者はいなそうですけどね。だから実害がないとはいえますね。でも、一般の方(非法曹という趣旨)は、四角でくくってある条文は読み飛ばし、ガイドライン本文を読むイメージなので、できるだけガイドライン本文の記述は、条文を読まなくても正しく理解できるように書いた方が良いかなと思いました。
ガイドラインⅡ17ページ(通算ページだと38ページ)
医療情報及び匿名加工医療情報等を管理するサーバ(以下「認定事業医療情報等管理サーバ」という。)
これは、医療情報等及び匿名加工医療情報を管理するサーバ、又は認定事業医療情報等を管理するサーバの間違いですかね。
あと、技術的安全管理措置の記載は、どの条文に該当するのかよくわからない部分もありましたので、わかりやすく整理できると良いかなと思いました(認定事業医療情報等の管理の際の暗号化(18ページ)は該当条文なし?)
ガイドラインⅠ16ページ
④匿名加工医療情報作成事業を行う役員又は使用人の氏名及び住所
ガイドラインというか、主務省令を修正した方が良いように思います。
法8Ⅱ⑤を受けた主務省令がないものの、ガイドラインで上記のように記載しているのではないでしょうか。様式第一(法8Ⅰ・規則3Ⅰ)の記載事項だからということでしょうけれども、法8Ⅱ⑤を受けた主務省令という形にしないといけないのではないでしょうか?私の読み間違えかな??
規則3Ⅱは「法第八条第二項の主務省令で定める書類」なので、これを法8Ⅱ⑤を受けたものとは言えないのではないでしょうか。また
規則8Ⅱ①「匿名加工医療情報作成事業を行う役員又は使用人の氏名の変更であって、役員又は使用人の変更を伴わないもの」は、法8Ⅱ⑤を受けた主務省令がないのに、なぜここにこれだけ出てくるのでしょうか。私の勘違いなのか・・・ 主務省令を修正した方が良いように感じます。
蛇足ですが、「次世代医療基盤法」でぐぐると、官邸のサイトが2個ぐらいでて、その次に私の解説パワポが出ていたのです。SEO対策を一切やっていないのに、なんと官邸につぐ表示順、Google検索3位(笑)ということで、実は喜んでいたのですが、最近日経メディカルさんの記事が私のブログより上位に表示されます。残念です(笑)
EU十分性認定に伴う規制
日本とEUで個人情報保護として十分な国ですね、とお互い認定したことを受けて、
「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」が8月24日に個人情報保護委員会より公表されています。
今後の講演資料には、これを足しこまなくては。
あと過去の講演資料をWeb上にUPしているものをかなりの数ご参照いただいているようですので、それ自体を直した方がいいかもしれません。
概要は以下の通りです。匿名加工情報以外、そんなに大変な話ではないかと思います。
- 要配慮個人情報
- 保有個人データ
- 6月以内に消去するものも保有個人データに含まれることになる
- 確認・記録
- 利用目的も含めて確認して記録する
- 匿名加工情報
- 匿名化された個人を再識別することを何人にとっても不可能とした場合に限り、法第 2 条第 9 項に定める匿名加工情報とみなすこととする。
匿名加工情報は、EEAのものは実際上不可能ということになりましたね。
しかし、この程度の実務にあまり影響のない範囲での補完ルールでEUとの協議がおさまったとのことは、大変評価できるかと思います。ご関係者のご努力に敬意を表したいと思います。
日経XTECHにコメントしました〜被保険者番号&マイナンバーの民間利活用〜
日経XTECHにコメントしました
厚労省の資料は以下です。
- 被保険者番号については、「医療等分野における識別子の仕組み」が公表されています。
- 医療等分野情報連携基盤検討会のWebサイトはコチラ。
これらに関する、私の思いは以下の通りです。
1.識別子のリスクについて
識別子は、その他の個人情報とは異なる特徴があります。
その人の個人情報を紐づけるキーとなるという特徴であります。識別子であることから当然なわけですけれども。
この点がプライバシーに与える影響という意味でも、その他の個人情報と大きく異なります。
氏名ですと日本全国を見れば同姓同名者が複数いる。
氏名・住所の組み合わせでも、住所変更・氏名変更などがありえ、完全に個人を特定するには住民票などを確認する必要がある場合もある。
また、コンピュータでの取扱いやすさを考えれば、漢字が入っている氏名・住所よりも番号や記号が優れている。
そこで、お客様番号、お問合せ番号、ID等が出てくるわけです。
そういう意味では、マイナンバーも被保険者番号も、この番号・記号と同じなわけです。識別子という意味で。
ただ、識別子にも強力性の違いがあります。
ワンタイムパスワードではないですけれども、一過性の識別子なのか、永続的な識別子なのか。紐づく情報の範囲、識別子の共有範囲はどの程度か、などの点です。
お問合せ番号は一過性、識別子の共有範囲も一社内、紐づく情報もお問合せ内容のみということで、弱めの識別子です。
これに対してマイナンバーは永続的(変更要件が厳しい、基本的には生涯不変)、紐づく情報は多種類、全国の官民で共有される、強力な識別子です。
強力だからこそ名寄せに効果を発揮して、行政効率化などに役立つわけですが、悪用された場合はプライバシー権に与える影響が甚大です。
私がよく講演で話している例は次の通りです。
氏名も意外と怖いところがあって、氏名がわかれば、Google検索すればさまざまなことがわかってしまう。私であれば事務所の情報、講演情報、書籍情報などが検索結果として表示されるが、ここに例えば趣味でマラソン大会に出てたりしてその結果が表示されたり、趣味でインタビューを受けた様子なども表示されたりすることがある。仕事という文脈以外の情報も幅広く表示される。
さらには、「悪徳」などの口コミが検索される人もいなくはない。しかもそのネット上の記述が正しいかどうかは定かではなかったりする。
でも氏名であれば、有名人と同姓同名だったり、同姓同名者の多い氏名なら自分の情報は検索上位には表示されないし、氏名を変更することもできる。一般的に結婚・離婚・養子縁組・離縁以外に氏名を変更する人は少ないと認識されているかもしれないが、とある世界ではそんなこともなかったりする。
しかしこれがマイナンバーであったらどうだろう。今は違法なので今から述べることは行われていないが、仮に違法状態が蔓延して、マイナンバーでGoogle検索すればさまざまな情報が表示されたとしたら。マイナンバーは基本的に生涯不変で変えられない。「違うんです。おんなじ番号の別人です」という言い訳も通らない。
これがGoogle検索だけではなく、裏名簿のようなものでも同様であろう。
最悪の事態を考えると、昔の「烙印」ではないが、生涯にわたって、自分のさまざまな行為や真実ではない噂などが、マイナンバーによって自分につきまとい続ける可能性すらある。
これが識別子の悪用の具体例である。
だからこそマイナンバーは、利用範囲を限定して、ある意味マイナンバーの利便性を自ら下げているのである。
マイナンバーによって検索できる範囲の情報を法律で限定することで、マイナンバーを悪用しても検索できる情報の範囲を減らしているのである。
この点、マイナンバーをもし個人情報と同じ規律にするとすれば、利用範囲の制限もなく、上記のGoogle検索も、実現されなくはないといえます。ネット公開すればそれは第三者提供に当たりますが、個人情報と同じ規制にするのであれば、オプトアウトでマイナンバーを第三者提供できることになります。
つまり本人同意なくネット上でその人の情報とともにマイナンバーを公開して、本人が拒否して初めて削除するという対応が可能です。また共同利用構成によって、本人同意なく、さまざまな者の間でマイナンバーを共有することも可能になります。
マイナンバーが過剰規制というのであれば、個人情報と同じ規律にすると言う乱暴な方法で規制緩和するのではなく、具体的にどういう点が過剰規制になっているかを丁寧に検証すべきです。なお、これは経済同友会さんに事前にも言っています。
規制緩和されれば、便利な使い道が思いつきやすくなるという発想かもしれませんが、それで悪用のリスクも著しく増大するわけです。
マイナンバーを民間開放するのであれば、公益性の高いところから、国民にメリットのある分野から、厳格な法令遵守が期待できる企業から、ではないかと思います。
話を被保険者番号に移すと、マイナンバーよりも被保険者番号の方が識別子としての強度は低いと評価できます。
保険者を移れば変更になるからです。ただ、定年まで勤続する方の場合は、定年までずっと同じ被保険者番号になりますので、マイナンバーのように生まれてから亡くなるまで同じというわけではないですが、人によっては、かなり永続的な識別子となり得ます。
また、保険証に書いてあるし、利用制限もないため、共有範囲も広い。
被保険者番号を医療等分野で利活用するのであれば、
・変更要件(希望があれば変更できるようにするのかどうか)を詰める
↑永続性を少しでも減らす
・医療等分野以外の利活用禁止(身分証明書利用は医療等分野以外でも可)
↑紐づく情報の範囲を少しでも減らす
・被保険者番号履歴の提供の厳格な制限
↑永続性減少
の丁寧な検討・法規制が必要だと考えます。
番号が乱立すればプライバシー保護にいいわけでは必ずしもないため、被保険者番号の活用に、反対というわけでは私はありません。見えない符号にしたとしても、被保険者番号の個人化はオンライン資格確認を保険証でやる場合のためにおそらく必要なはずで、そうすると見える番号と見えない符号が医療等分野でも出てきて、さらにもっとジャンルごとに番号を分割せよとか言いだすと、迷宮的な制度になってしまいそうでしたので、被保険者番号でも良いのかなとは思います。
ただ、報告書に書いてある通り、被保険者番号を利活用するとしても、どういうユースケースがあり、どういう悪用の可能性があり、どういう対策が必要なのかを、具体的に突っ込んで深堀して考えて、必要な法規制を検討していくべきだと考えます。
2.医療等分野の識別子の必要性(一般向け)
医療の分野で「患者さんはこの人です」ということを明らかにすることが必要です。
氏名・住所だけでは同姓同名もいらっしゃいますし、氏名も住所も変わり得る。人の一生をかけて健康情報を保存したり分析したりしていくとした場合に、氏名・住所だけではそれらのデータを統合することは困難です。母親のお腹の中にいるときには妊婦健診を、生まれてからは乳幼児健診を、学校に入ってからは学童健診を、病気にかかれば病院でカルテを書かれ検査をされ投薬等を受けます。予防接種も受けています。大人になってからは会社の健康診断を受け、病気になって病院にかかったりします。こういう長い生涯の中の健康情報はこれまで、データとして作成されてはいるものの、それは各病院や薬局、保険者などがバラバラに保有していて、それらが統合されたり、必要な時に過去のデータを本人や医師・薬剤師が見たり、といったことも、今まではほとんど行われてきませんでした。過去の病歴やアレルギーなどは、問診で本人から聞き取ったりしてきましたが、本当はもっともっとデータはいっぱいあって、過去にどういう病気をやったのか、どういう体質なのか、そこから見えてくるその人特有のモノも、本当はあるはずで、そういうものを活用していけば、その人に合った治療なども可能になっていく可能性があります。
また、新たな治療法を研究するという観点からも、識別子が必要です。
研究のためには膨大なデータが必要です。研究するためのデータは、この人がこういう病歴でこういう経過をたどっていったなどを丹念に見ていく必要がある場合がありますが、個人を特定するための情報が、病院の患者番号ですと、違う病院にかかっている病気のデータ等は見られなくなってしまいます。
地域医療連携でも、識別子が必要です。
クリニックで見てもらっていたけれども大学病院に移る、または別の病院に移るといったときに、過去のカルテ情報や検査結果を引き継ぐための基礎となるのが、この識別子です。
病院と薬局でデータを連携し、患者の待ち時間を短縮したり、より質の高い医療を提供していくためにも、こういった識別子があるととても良いでしょう。
医療と介護の連携にももちろん有用です。
ということで、医療等の分野の識別子は、非常に重要な価値を持ち、大変必要なものと言えるわけですが、これまた医療ということで、プライバシー性が高く、どうしたものかという議論があったわけです。それを受けての、この報告書となります。
この報告書では結論として、医療等の分野で「患者さんはこの人です」ということを明らかにするために=識別子として、保険証の番号を使うということが書かれています。
マイナンバーでも全く新規の番号でもないし、機械の中でしか読み取れないような符号を使うわけでもないということです。
3.報告書への私の雑感
非常にシンプルな結論であるなと思いました。
まず、マイナンバーは使わないという結論は最初からありきだったんだろうなと思います。マイナンバー=怖いのイメージがあるので、マイナンバーを識別子に使うと医療界からも一般からも理解が得られないような気がします。マイナンバー制度にとっても、ある意味医療と切り離した方が話がシンプルになり、マイナンバーの利活用の展開が少し見えてくるかなとも思います。
見えない符号を使わないという点については、私はこれはこれでいいと思います。なぜなら見えない符号なら保護には資するかもしれませんが、見えない符号だけだと、利活用が限定的になる可能性があるわけです。
なぜならば、見えない符号なら見えない場面でしか使えない。要は、専用のネットワークシステムに接続できる人しか使えない。紙に記載する必要のある場面では使えない(なぜなら紙に書けないからこそ見えない符号である)。
病院の窓口で考えてみると、いまどき大体の病院でPCはあるでしょうけれども、セキュリティレベルが今のままで十分かというとまた別問題です。専用のネットワークシステムに接続するからには、もしウィルス感染したPCなどで接続してしまうと、そのネットワークシステムに接続している全機関に悪影響を与えてしまう可能性があります。また病院から専用のネットワークシステムに接続するための回線も、インターネット回線で十分なのかという点が問題になりえます。
今ある設備では足りず、回線の設置、セキュリティ対策の根本的なレベルアップなどが各病院で必要になる可能性があります。さらに本当に小さい昔ながらの病院だったら、もしかするとPCすらないとこもあるかもしれない。手書きレセプトもごく一部残っているような気がしますし、そういうところについては、PCを買って、セキュリティ対策をして、回線を設置することになるわけですが、それを誰がやるのか。国が一軒一軒回って作業するのかとか。
さらにいえば、専用のネットワークシステム側の維持費も莫大です。これをずっと維持できるだけの効果があるのかというと、なかなか難しい。
また専用のネットワークシステムを通さないと何もできないことになってしまいます。マイナンバーで言えば、法定調書の提出は、普通に郵送でもいいしディスクでもいいわけです。マイナンバーも紙でもらったりスキャンデータでもらったりするわけです。それがもしマイナンバーという見える番号を廃止して見えない符号だけにするとすると、個人が企業等にマイナンバーを提供する際は、個人が専用のネットワークシステムにまず接続します。そして企業もそこに接続してそこから法定調書を税務署に提出することになります。その際、個人にまで強固なセキュリティ対策をというのは現実的ではないでしょうから、これは、情報提供ネットワークシステムとは別システムにしなければ、情報提供ネットワークシステムの安全性が担保できません。そうするとものすごいコストです。しかも大量の負荷がかかるわけですから、サーバ維持費も膨大でしょうし。PCとかそうさできない企業や個人の方全員にこの専用ネットワークシステムの使用を強いるとすると、たぶん現実的ではないし。
というように、医療についても、見えない符号だけで運用しようとすると、このようなことが考えられるわけです。
いずれにせよ被保険者番号の個人化はオンライン資格確認の関係で必須だったでしょうから(ICカードリーダーだけで処理するのは現実的ではないでしょうから)、被保険者番号のほかに見えない符号があると、議論が混乱しがちです(どこまで被保険者番号で処理してどこから見えない符号で処理するのかなど)。
さらには最近のブームとして番号の乱立状態がありました。マイナンバーの時も、狭義のマイナンバーそのもの、リンクコード、住基コード、あとは何でしたっけ、リンクコードじゃなくて情報提供ネットワークシステム側では一人に一個しかない見えない符号を持っているわけですよね。さらにはマイナンバーカードのシリアル番号とか、もう番号がいっぱいです。
これに加えて、医療等分野でさらに被保険者番号の個人化と見えない符号ととなって、それも見えない符号も1,2,3みたいにどんどん種類が増える感じのドキュメントも見ましたが、そういうことをやっていると、番号だらけになって、複雑怪奇になっていきます。
そもそも番号を分ける趣旨というのは、紐づく情報を限定的にする(利用目的の制限等)ということが大きな点ですので、マイナンバー制度のリンクコードをまねて、どんどん符号を増殖させていっても、本来の趣旨から離れて、保護のためにはとりあえず番号を乱立すればいいんでしょ?みたいな、乱雑な議論にもなりかけているようにも少し感じていました。
そこを今回は番号が複雑怪奇に乱立されなかったので、これはこれである意味評価できると思います。
4.蛇足
被保険者番号の報告書は、最近の行政文書には珍しく、非常にすっきりしたシンプルなわかりやすい記述になっていると思いました。前の情参室だったら、こういうものを書いてくるとはとても思えなかったのですが、幹部系の発言でこうなったのか。行政文書としては非常にできの良いものだなと思いました。上から目線で大変失礼な物言いですが、「え?情参室クレジット?え?ほんとに?」みたいに思いました。
あれ、でも今見てみたらクレジットは検討会名義で、検討会の庶務が情参室と医政局研究開発振興課ですか。作成者はどこなのかな。
しかし、人を対象とする医学系研究に関する倫理指針とか、改正個人情報保護法の影響で、もうものすごくこまかくて、専門家だって担当官だって完全に理解できるかどうかというレベルの、難解な物になっていると思うのですが、この被保険者番号の報告書は非常にシンプルでポイントをついていたと思います。それと、今後の被保険者番号の個人情報保護の具体的な話はまた別の話ですが、心からそう思ったので、上から目線で大変失礼な物言いですが、思った感想を率直に書いておきます。
【情報法Q&A】社会福祉法人は個人情報保護法の適用ですか
保育園を運営している社会福祉法人ですが、個人情報保護法の適用ですか?それとも市区町村の個人情報保護条例の適用ですか?
済生会病院は独立行政法人等個人情報保護法ですか?
社会福祉法人は個人情報保護法の適用です。済生会も社会福祉法人なので個人情報保護法の適用です。
このところ、医療データ関連のご相談が多く、「〇〇病院は個人情報保護法か、独立行政法人等個人情報保護法か、どちらの適用か」などを検討することが多いです。過去にブログにも書いてきました(こことかこことか)。
今日は、質問を受けた私も、少しびっくりする質問を受けました。
「済生会病院は何法が適用ですか?」
え、済生会って民間病院じゃないんですか?と思ってWebサイトを見ると、組織概要として総裁が秋篠宮殿下。設立者が明治天皇の模様。公的病院と説明されることも多いようです。
元々明治天皇がお手元金を総理に渡し、天皇陛下からいただいたという意味の「恩賜財団済生会」が創立されたようです。山縣有朋、大山巌、松方正義、井上馨、西園寺公望、徳川家達、大隈重信、板垣退助、渡辺千秋、渋沢栄一など明治の重鎮が役員に名を連ね、医務主管には北里柴三郎が任ぜられたとのこと。
この文章を読んだだけでちょっと衝撃が強すぎて、私は今何のためにこのサイトを読んでいるのかがわからなくなってしまいそうでした。あれ、幕末から明治維新について気になって見ていたのかしら?みたいな。
しかし気を取り直して、個人情報保護法の適用かどうかをかんがえます。
済生会は戦後、恩賜財団は解散し、社会福祉法人として再スタートしたとのことで、種別が社会福祉法人です。
社会福祉法人といえば、保育園の運営事業者、老人施設の運営事業者、社会福祉協議会などがいますね。
はてなダイアリー終了
はてなダイアリー終了ですね。残念です。
ぼちぼち、時期を見て、はてなブログに移行しますかね・・・
