今、医療データの提供・解析時の個人情報保護の留意点という講演資料を作成していますが、検討過程で、医療データの提供に伴う、個人情報保護法制上の問題点に出くわしましたので、ブログに備忘的に書いておきたいと思います。
- 1.大学と企業が共同研究する際に、私立大と共同研究した方が企業にとっては、コンプライアンス上有利な場合がある
- 2.共同研究をしないものの、民間企業が大学にデータを提供する場合、私立大学相手の方がコンプライアンス上ハードルが低いこともある
- 3.公立大学の場合、利用目的が漏れていたりした場合にも変更が難しい場合もある
- 4.個人情報保護法制全体を所管する組織が必要
1.大学と企業が共同研究する際に、私立大と共同研究した方が企業にとっては、コンプライアンス上有利な場合がある
〇個人情報保護法制が適用除外となるか
私立大と共同で学術研究する企業は、個人情報保護法の義務の適用除外となります(委員愛Q&A Q8-4)。
一方で、国立大や公立大と共同で学術研究する企業は、個人情報保護法の義務の適用除外となるかは定かではありません。
というのも、個人情報保護法は、大学その他が学術研究をする際は、学問の自由に配慮し、同法の適用除外とすることを定めています。これに伴い、私立大学と共同研究する民間企業も同様に、学術研究の範囲内ならば、個人情報保護法の適用除外となれるのです。もっとも、人を対象とする医学系研究に関する倫理指針等に従う必要があります。
これに対し、国立大学は、そもそも個人情報保護法の適用ではなく、独立行政法人等個人情報保護法の適用です。独立行政法人等個人情報保護法では、学術研究であっても、一切の義務が適用除外となるようにはなっていません。
また、公立大学も個人情報保護法の適用ではなく、各個人情報保護条例の適用です。個人情報保護条例も、学術研究であっても、一切の義務が適用除外となるようにはなっていません。
なお、独立行政法人等個人情報保護法では、学問の自由との調整規定自体はありますが、非識別加工情報に関してとなっています(同48条の8)。
そして、国立大学や公立大学とともに共同研究する民間企業、これに対しては、原則個人情報保護法の適用です(委託等の場合、独立行政法人等個人情報保護法や個人情報保護条例の適用となる)。
民間企業側は、私立大学との共同研究であれば、個人情報保護法の適用除外であるため、要配慮個人情報であってもオプトアウトによる大学への提供等が可能です(個人情報保護法では要配慮はオプトアウトによる第三者提供不可だが、個人情報保護法が適用されず、また倫理指針上はオプトアウトが可能)。
これに対して、国立や公立との共同研究であると、その民間企業自体が個人情報保護法の適用除外であるかは判然としません。共同研究が個人情報保護法の適用除外である旨を解説している個人情報保護委員会のQ&Aでも、これらの問題については特に触れていません。
法解釈としては、国立や公立との共同研究をする民間企業についても、個人情報保護法の適用除外とした方が望ましいでしょう(なぜならば、私立大と差を設ける必要性がないので)。しかし、政府の公的見解として、このような法解釈はとられていないとも言えます。
〇課題・問題
そうすると、もし国立大学や公立大学との共同研究者である民間企業側に個人情報保護法が適用されるとすると、民間企業にしてみると、医療情報を提供するに際し、個人情報保護法の手続に従う必要があり、医療情報は要配慮個人情報であるためオプトアウトが付加となり、匿名加工か、共同利用か、同意取得などの手続を行う必要があります。
私立大学との共同研究なら、倫理指針に沿っておけば、匿名加工や共同利用や同意取得しなくても良いのに、均衡がとれていないのではないでしょうか。
また、なぜ私立大学なら個人情報保護法の適用除外なのに、国立や公立は、個人情報保護法制の適用除外とならないのかも、若干疑問が残ります。この点は、国立や公立には、民間よりも高い意識が求められるなどの理由付けは可能ではあるものの、国立大学なんてそれこそ国をリードする研究や世界をリードする研究を頑張ってほしいと思いますが、独立行政法人等個人情報保護法の適用のまま、と。私立よりも、コンプライアンスの観点が厳しい、と。適用除外となっても、倫理指針によって、個人情報のルールが厳格化されているのに、さらにそれに加えて、個人情報保護法制を、私立と違って適用させる意味があるのかどうか。
委員会Q&A Q8-4
(適用除外)
Q8-4 大学等の学術研究機関と民間企業や私立病院等が、学術研究目的の研究を共同で行う場合における個人情報の取扱いに関して留意すべき点を教えてください。
A8-4 法第76条第1項第3号により、大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者による個人情報等の取扱いの目的の全部又は一部が学術研究の用に供する目的であるときは、当該者に法第4章の規定は適用されないため、例えば、私立大学、研究所、学会(学会に所属する医師等も含む。)等に限らず、1つの主体とみなすことができる共同研究が学術研究の用に供する目的で個人情報等を取り扱う場合には、法第4章の規定は適用されません。
したがって、民間企業や私立病院等であっても、上記の1つの主体とみなすことができる共同研究に属する者と認められる場合には、学術研究の目的に個人情報等を利用する限りにおいて、法第4章の規定は適用されません。ただし、当該共同研究の目的が営利事業への転用に置かれているなど、必ずしも学術研究の用に供する目的で取り扱っているとはみなされない場合には、法第76条第1項第3号の適用除外には当たらず、法第4章の規定が適用されることに留意が必要です。
また、法第4章の規定が適用される場合であっても、例えば、公衆衛生の向上に特に必要がある場合で本人の同意を得ることが困難であるときは、あらかじめ本人の同意を得ることなく個人データを第三者に提供することができるほか(法第23条第1項第3号)、学術研究機関が学術研究の目的で個人情報等を取り扱う場合に、その者に対して個人情報等を提供する行為については、個人情報保護委員会は権限を行使しないものとされています(法第43条第2項)。
なお、医学系研究等に関する指針としては、例えば以下が定められています。
○「人を対象とする医学系研究に関する倫理指針」(文部科学省、厚生労働省)
○「ヒトゲノム・遺伝子解析研究に関する倫理指針」(文部科学省、厚生労働省、経済産業省)
○遺伝子治療等臨床研究に関する指針(厚生労働省)
2.共同研究をしないものの、民間企業が大学にデータを提供する場合、私立大学相手の方がコンプライアンス上ハードルが低いこともある
民間企業が共同研究をしていない場合は、民間企業には、依然として個人情報保護法が適用されます。
したがって、医療情報をもらう私立大学は個人情報保護法の適用除外ですが、医療情報を提供する企業は個人情報保護法の適用という問題が起こります。
したがって、民間企業が大学相手とはいえ医療情報を提供する際は、個人情報保護法23条(同意取得、共同利用等)に従うか匿名加工情報にして手続を取るかが必要となります。医療情報は要配慮個人情報のため、オプトアウトによる提供はできません。
しかしですね、学問の自由への尊重から、民間企業は私立大学に医療情報を提供する際は、特に個人情報保護法上の対応(23条対応又は匿名加工情報)をしなくとも、行政制裁を受けることはありません。個人情報保護委員会から勧告や命令、立入検査が行われる等の委員会権限は発動されません(個人情報保護法43条2項)。
これに対して、提供先が国立大学や公立大学の場合、 個人情報保護法上の対応(23条対応又は匿名加工情報)をしなくとも、行政制裁を受けることはないかは、不明ではあります。
これも、1と同様、不均衡であり、行政制裁を受けることはない旨、政府解釈として確立する必要があると思います。
3.公立大学の場合、利用目的が漏れていたりした場合にも変更が難しい場合もある
無事、医療情報を取得したとして、大学が研究のために医療情報をつかえるかどうかは、大学がそもそも公表している個人情報の「利用目的」によります。
ほとんどすべての大学において、「研究」を利用目的にしていると思いますが、万一それを失念して書き忘れてしまっている大学がいた場合、公立大学だと、利用目的を変更するのが難しい場合があります。
個人情報保護法でも、独立行政法人等個人情報保護法でも、利用目的は、一定の範囲内で変更を認めています。
個人情報保護条例でも、通常は同様ですが、条例によっては、利用目的の変更の規定を置いていないことがあります。おいていなくても、密接関連する範囲であれば変更できると解釈するのが普通だと思いますが、そうじゃないと、利用目的のただの記載ミスとかすら直せなくなってしまう恐れもありますので。
でも、自治体では、利用目的の変更の規定がない場合、利用目的は変更できないと、地方公務員側で判断してしまう可能性もあります。
そうすると、公立大学で「研究」を利用目的に書き忘れてしまっていた場合に、利用目的の変更ができず、目的外利用の手続を経る必要も考えられます。
とはいえ、まあこれはほぼ発生しない事態かなあとは思います。だってさすがに「研究」を書き忘れている人はいないような気がするからです。
4.個人情報保護法制全体を所管する組織が必要
上に記載したように、国立大学でも公立大学でも私立大学でも、法令を当てはめた結果は同じようになるべきだと考えます。
しかし、これを政府解釈として確立するのには現状では困難があります。
というのも、私立大学に適用される個人情報保護法については内閣府の外局である個人情報保護委員会が所管しています。民間企業も個人情報保護法適用なので、個人情報保護委員会の所管ではありますが、国立大学と民間企業の共同研究になってくると、まあ個人情報保護委員会側も本当なら解釈を出せる範囲だとは思いますが、独立行政法人等個人情報保護法は総務省(行政管理局)所管なので、個人情報保護委員会では判断できないと述べる可能性がそれなりに高いです。公立大学に適用される個人情報保護条例にいたっては、総務省(自治部局)所管とはいえ、個々の条例解釈は総務省の権限ではなく、個々の自治体の権限ですので、政府で統一した解釈を出すことは困難です。とはいえ、法令担当がしっかりした自治体であればいざしらず、全国2000の普通地方公共団体と特別地方公共団体で個別に解釈してねと言われても、自治体側も困ってしまうというのが現実だと思います。
昔は、民間向けの個人情報保護法が存在していなくて、自治体の個人情報保護条例や行政機関個人情報保護法(の前身)が先んじて存在していましたが、もはや今の時代、個人情報保護法もあり、主体ごとに適用法令を分けて、こうやっていくと、法適用と法解釈が複雑になりすぎて法の適用の結果の結論も不自然になりがちです。
さらに政府統一見解を出すというのも難しい状況にあります。
やはりここは行政機関であっても自治体でもあっても独立行政法人等であっても民間であっても等しく同じ法令が適用されるようにして、その所管は個人情報保護委員会に一元化するのが良いのではないかと思います。
個人情報保護委員会のマンパワーなどの問題があるにしても、民間企業や国民にとっては、主体ごとに法令適用がちがって、政府の統一解釈が出せないとなると、私立大学と共同研究すればいいのに、国立・公立だとこんなわけわからない状況に陥りかねないって、本当に、企業や国民目線で見れば意味不明な状況で、本来、国とか行政機関というのは、民(たみ)のためにあるわけであって、国のために民が存在するわけではないので、行政機関側のマンパワー、省庁間調整などの都合で、企業や国民目線で困った状況に陥るというのは、改善すべき事態だと思います。
消費者問題は消費者庁と消費者委員会に一元化できているのですよね。なぜ個人情報だけせっかく三条委員会作ったのに難しいのでしょうか。
行政の肥大化の懸念という問題も確かにありますが、行政が取り組むべき課題として、やはり優先付けが必要で、今の時代、ITとか個人情報とかって、かなり大きなテーマであると思うのです。そういったものに対して、切れ目のないサポートを提供できるような弾力的な行政機関であってほしいなと思います。