ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

医療情報関連ガイドラインはどうあるべきか

医療情報に適用されるガイドライン等には以下があります。

 

なお、上記先頭3つのガイドラインは、今後2つのガイドラインに集約される予定です(3省4ガイドライン→3省3ガイドライン3省2ガイドライン)。

 

[1] http://www.soumu.go.jp/main_content/000567201.pdf

[1] https://www.mhlw.go.jp/stf/shingi2/0000166275.html

[2] http://www.soumu.go.jp/main_content/000567229.pdf

[3] http://www.meti.go.jp/policy/it_policy/privacy/kojin_gadelane.html

[4] https://www.ppc.go.jp/personal/legal/guidelines/#iryokanren

[5] https://www.ppc.go.jp/personal/legal/

 

仕事の関係で、印刷して読んでみましたが、私ですら全部を通読するのは厳しかったです。なんとなくの邪推ですが、これらのガイドラインを全部読む人は、おそらく日本全国で見ても5~6人ではないかと思ってしまいました^^。外部委託する際は、「これらのガイドラインに遵守してね」って約束することが通例かと思いますけど、受託事業者さんもおそらくこれらすべてを読んではいないのではないかと思ってしまうほどです。あまりに量が多い、そして重複が多いのではないでしょうか。

 

4つのガイドラインが現在3つになっていて(先頭3つのガイドラインのこと)、これから2つになるそうですが、それでも、読み手に配慮されていないのではと思います。やるべきこととしては次のような感じかと

・重複記載はやめる

・複数省庁連名でガイドラインを1本化する

・関連情報にはリンクを貼る

 

厚生労働省「医療情報システムの安全管理に関するガイドライン」と総務省クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン」と経済産業省「医療情報を受託管理する情報処理事業者向けガイドライン第2版」は重複記載が見受けられます。

総務省は電気通信の観点からのガイドラインで、経産省は情報処理事業の観点からのガイドラインというのはわかりますが、重複記載されると、どこを読み飛ばしていいのかよくわからなくなります。重複していないところも読み飛ばしてしまいそうになります。もちろんガイドライン中で厚労省ガイドラインを引用していたりと配慮されているのはわかりますが、読み手からすると、ちょっと辛すぎです。役所の担当官と違って、読み手は、ほかに本業があって、このガイドラインは参考参照なわけです。それなのに、読みこなすのに時間がかかってしまうと、きちんと読んでくれる人が少なくなって、遵守期待性が低くなってしまうと思うのです。

厚労省総務省経産省の3省連名で一本化して、一本のガイドライン中に、「クラウドを使う場合の留意点」「受託事業者側の留意点」などと特記するのが、わかりやすいのではないでしょうか。

 

さらにいうと、厚生労働省「医療情報システムの安全管理に関するガイドライン」ですら、個人情報保護委員会厚生労働省「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」の安全管理措置との重複が見られます。

個人情報保護委員会厚労省「~ガイダンス」はそのままとして、そのガイダンス別冊として「医療データの安全管理」といった題のものを設けて、そこにガイダンスと重複しない厚労「医療情報システムの安全管理に関するガイドライン」の記載をもってきて、かつ総務省経産省ガイドラインもそこに盛り込めばよいのではないでしょうか。

 

私、この作業やっても良いですよ^^

 

昔、個人情報保護法ガイドラインが各省ごとに1~複数あって、「すごく読みづらいです!一本化すべきです!」って、首相官邸の会議で発言して、で、ガイドラインが大体一本化されましたが、役所のガイドラインは増幅傾向にありがちですので、読み手を一番に考えて、一本化する方向でやっていっていただければなと思います。

共管になると大変なのでしょうけれども、そこはやはり主役は国民たる読み手ですので、ガイドライン一本化(共管・連名)でお願いできればと思います。

 

あと言うこととしては、個人情報保護委員会のWebサイトでは、個人情報関連のガイドラインしかないので、「医療情報システムの安全管理に関するガイドライン」や「人を対象とする医学系研究に関する倫理指針」の存在に気付かない人も出てしまうのではないかと思います。関連情報への相互リンクが必要だと思います。

 

あと本当は、「人を対象とする医学系研究に関する倫理指針」が非常に読みづらいので、これも改訂した方が良いと思います。既存の倫理指針に、匿名加工情報や要配慮個人情報を足したためかわかりませんが、非常に読みづらい。個人情報・医療情報の経験が多い私ですら、この倫理指針はいつも非常に注意深く読まないと、適用関係がわからなくなってしまうことがあります。医療研究現場に個人情報保護法の適用と倫理指針の具体的手続きの関係を理解せよというのは、ちょっと厳しいのではないでしょうか。個人情報保護法は基本的には適用除外でしょうが、民間が関与してたりすると一部適用になったりしますし、個人情報保護法の同意と倫理指針のICが違ったり、個人情報保護法のオプトアウトと倫理指針の拒否機会の保障が違ったり、個人情報保護法の通知・公表義務事項と倫理指針の通知・公表事項が違ったり、個人情報保護法の共同利用手続と倫理指針の共同研究手続が違ったりして、非常に難しいものになっていると思います。

 

ただ、今回改めて厚生労働省「医療情報システムの安全管理に関するガイドライン」を読みましたが、これ自体は非常にクオリティの高いものだと思います。検討観点が充実していて、記載も丁寧です。旧経産省の個人情報ガイドラインもクオリティが高いと思いますが、厚労省のこのガイドラインも、クオリティ高い。

 あと、経産省の「医療情報を受託管理する情報処理事業者向けガイドライン」もクオリティ高いですね。せっかくクオリティ高いのに、ガイドラインが複数あるせいで、読みたいという気分が削がれてしまうのが惜しいところです。あと用語の定義とかは、末尾に載せた方がよいかもしれませんね。最初の方がそういう雑多な抽象的な説明になってしまうと、本文にたどり着かずに読むのを終える読者さんもいそうな気がするので。

 

最後にそれぞれのガイドラインの簡単な説明を。

 

(1)厚生労働省「医療情報システムの安全管理に関するガイドライン第5版」

 医療機関、薬局、介護事象者、EHR運営事業者等(「医療機関等」と定義されている)を対象としたガイドライン(4ページ)。同ガイドライン中で医療機関等の監督義務・委託契約に含むべき事項・責任分解点等を記載することで、医療機関等から委託を受けて医療情報システムを構築・保守する者についても同ガイドラインの間接的な適用が及ぶ。

(2)総務省クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン
 クラウドサービスの性格上、医療機関等は、クラウドサービス事業者が提示する医療情報システムの安全管理対策の内容に一定程度対策を委ねざるを得ないケースも生じるため、クラウドサービス事業者が厚生労働省ガイドラインに準拠したサービスを提供するために、クラウドサービス事業者に対して、必要な安全管理対策を講じるためのガイドラインとして、同ガイドラインが示されている(11ページ)。

(3)経済産業省「医療情報を受託管理する情報処理事業者向けガイドライン第2版」
 同ガイドラインは、外部の情報処理事業者が医療機関等から「医療情報の外部保存に関する業務」を受託して医療情報を取扱う際の安全管理基準を示すものであり、医療機関等においては医療情報安全管理ガイドラインに従ってシステム構築及び個人情報の保護に係る安全管理措置が適用され、情報処理事業者においては本ガイドラインに従ってシステム構築及び個人情報の保護に係る安全管理措置が適用される(14ページ)。

 

(4)個人情報保護委員会厚生労働省「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス 」

 病院、診療所、薬局、介護保険法に規定する居宅サービス事業を行う者等の事業者等が行う個人情報の適正な取扱いの確保に関する活動を支援するための具体的な留意点・事例等を示すもの。(1)から(3)との違いは、ITシステムやクラウドが関係せずとも適用になる点(紙情報とか)。また、個人情報保護法の解説になっているので、(1)から(3)よりも大元となる上位ガイドライン。(1)から(3)はあくまで個人情報保護法等は遵守することを前提に、さらに医療情報化に対しての上乗せガイドラインである。

 

(5)個人情報保護委員会個人情報の保護に関する法律についてのガイドライン

 (4)の元となるガイドラインであり、(4)に記載のない事項は同ガイドラインを参照する。(1)から(5)の中で最上位のガイドラインとなる。