ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

医療保険者関連のPIA

今日は、久々のマイナンバー関連の記事を書きます。

国のIT・データ活用戦略と法律トレンドという資料にも書きましたが、

最近のはやりは、「医療」「健康」「未病」「データ活用」って感じで、それに政府のマイナンバー戦略を組み合わせると、オンライン資格確認とかPHR、EHRとか次世代医療基盤法とか、なんか医療系のデータ活用がすごくはやっているように感じます。

民間企業でも、やっぱり医療ITがすごくはやっている気がします。健康増進、医療AI、データ活用とかそのあたりがすごくはやっている雰囲気をとても感じます。

 

で、医療データといえば、もちろん病院がいっぱい持っているわけですが、病院データを使うというのは医療AIとか次世代医療基盤法とか医療研究とかEHRとかそういう系統ではよくある話なわけですが、

民間企業のビジネスで考えるとなかなか病院データを取得するというのはハードルが高い場合も多く、そうなってくると医療データとして重要になってくるのが、レセプトや健診データを持っている医療保険者(健康保険組合、市町村国保後期高齢者国保組合、共済)かな、と。

ちなみに、次世代医療基盤法ではレセプトと健診は100万人カウントに入れられませんが、それって要は、100万人分のデータを集めるというのは非常にむずかしいけれども、でも健診情報を100万人分とか、レセプトを100万人分とかだと、そこそこ困難少なく集められるっていうことの裏返しかなと感じたりもします。それぐらい保険者には情報が集約されている、と。もちろんアウトカムデータというのは、病院側にいっぱいあるわけですが、保険者データ活用も、医療ITにとってはかなり重要な選択肢になるのかなと。

 

前置きが長くなりましたが、最近医療保険者についてそんな風に感じているところなんですが、医療保険者とマイナンバーの関わりっていうのを、もう一度自分的に整理してみようと思って、ブログを書いてみました。

 

  • まず、医療保険者は、給付や保険料徴収といったお金周りについて、マイナンバーを使うことが法律上認められています。
    お金周りではない診療とかそういったものには使えませんが。
    医療保険者は、個人番号利用事務実施者であり、別表第一にも第二にも規定されているわけです。
  • 医療保険者は別表第二にも掲載されているので、情報提供ネットワークシステムに接続することができます。しかし、個別にそれぞれの保険者が接続に行くと、システム改修費用も高額になり、またセキュリティ担保も難しい場合も考えられます。
    そこで、医療保険各法の改正により、各医療保険者等は他の医療保険者等と共同して「被保険者等に係る情報の収集又は整理に関する事務」及び「被保険者等に係る情報の利用又は提供に関する事務」を社会保険診療報酬支払基金又は国民健康保険団体連合会に委託することができるようになっています。
  • マイナンバーのPIA実施義務を考えると、官以外は、情報連携をする事業者だけが、PIAの義務付け対象です。
    評価指針第3では次の通り規定されています。
    情報連携を行う事業者(番号法第19条第7号に規定する情報照会者及び情報提供者のうち、上記(1)から(5)までに掲げる者以外のものをいう。下記第4の4(1)カにおいて同じ。)
    ※上記1から5というのは、官(行政機関、独法、地方公共団体、地方独法、J-LIS)
  • 市町村国保や後記高齢は官なので、当然PIAの義務付け対象ですが、それ以外の健康保険組合とか国保組合とかは民間ですが、情報連携するっていうことで、PIAの義務付け対象になっています。
    そこで各医療保険者は、給付や保険料徴収などに関する事務を、個別にPIAの実施をしています。
    一方で、支払基金は、共同委託されている事務であるところの資格履歴管理、情報連携、本人確認、オンライン資格確認関連について、PIAを実施しています。

  • しかし、ゆっくり考えてみると、なぜ支払基金がPIAを実施しているのかという疑問は残ります。というのも、支払基金は別表第二に規定されていないからです。この場合、考え方としては、個別に各医療保険者が支払基金に委託している事務について、自身のPIA評価書の中に埋め込んで評価するという方法もありえますが(テンプレート方式)、そうではなく、別個に支払基金事務分については支払基金PIA評価書にまとめて記述するという方式もありうる、ということかなと思います。
  • 医療保険者関連の事務周りもかなり複雑ですし、PIAもかなり複雑になってしまっているので、いずれかのタイミングでわかりやすく端的に整理できればいいなあと思っています。
  • 私としては、さまざまな事務を一つの評価書にまとめた方が良いかなと思って、テンプレート方式を考えたのですが、テンプレート方式だと意外とわかりづらい(単純なコピペになって、評価実施側も意味がわかっていない)ので、テンプレート方式はやめて、もっと大きなくくりで一個の評価をしていくといいかなと思ってます。
  • たとえば、医療保険というようなくくりです。別表第一の事務レベルで、もう医療保険なら厚労大臣(共済関連であれば、文科も連名)が一本の評価をやってしまう、と。制度面・事務概要については、もう個別に各保険者がやる必要はないように思うわけです。ここは制度所管(社保、国保の制度所管)の大臣が一本でやる、と。
    で、その下の医療保険者については、それぞれの保護対策・セキュリティ対策を一枚ものなどで示してもらい、それを厚労大臣がやる一本の評価の添付資料につける、みたいなイメージです。医療保険者の保護対策・セキュリティ対策については、各保険者を比較できるような比較表でもいいかもしれませんが、そうすると各保険者から反発が出そうなので実際には難しいかもしれません。
  • アンブレラPIAのような概念を上手に使って、評価の負担を少なく、読み手に親切な評価に大幅にブラッシュアップしていく必要があろうと思っていますが、今、仕事的にできないので、自分のできる範囲で、生涯をかけてPIA改善に取り組んでいきたいと思ってます。息を長くこつこつとやっていこうと自分的には思っています。とりあえずは個人情報PIAをやっていますが、ほかの仕事が忙しく、あまり個人情報PIAが進んでいないので、じっくり時間を長く捉えて、長期的なスパンで取り組んでいきたいと思ってます。10年後にはより良くなっているといいな、ぐらい気長な気持ちで考えています。