「民間 PHR 事業者による健診等情報の取扱いに関する基本的指針」がパブコメにかかっていました。
基本的には個人情報保護法に基づく義務と、ガイドライン通則編の安全管理措置が書かれていて、少し、「中小企業における組織的な情報セキュリティ対策ガイドライン」が入っているかなという感じ。末尾のチェックシートは良いと思うけど、指針自体には新しい内容はほとんどない。これまでの個人情報保護法とガイドライン通則編通りという感じ。
論点出しされていた、以下の点、
①記録管理・閲覧機能 … 情報の相互運用性と情報セキュリティ
②リコメンド機能 … 生活習慣改善等に向けたリコメンド機能の安全性・有効性などの質の担保
③第三者提供機能 … プライバシー、個人情報の適切な取扱い
①相互運用性は、指針「4.2.相互運用性の確保 」のところで、マイナポータルでエクスポート&インポートできるようにっていうこと、サービス終了時にはエクスポートできる時間的余裕を持つこと、データ連携の際は指針適合性を確認することっていうところに表れているのだとは思うけれども、ちょっと弱いというか、まあエクスポート&インポートできればいいのか??
②リコメンド機能の質の担保はどこに表れているのか???
③プライバシー、個人情報は、個人情報保護法とガイドライン通則編通りだし。
あまり、何が論点でどういう対応をしますよ、っていうのが明確でない気が。
あとは、
1.1.本指針の対象とする情報の定義
本指針が対象として想定する PHR サービスにおいて活用される情報としては、個人が自らの健康管理に利用可能な「個人情報の保護に関する法律」(平成 15 年法律第 57 号。以下「個人情報保護法」という。)上の要配慮個人情報で、次に掲げるもの(以下「健診等情報」という。)とする。
・個人がマイナポータル API 等を活用して入手可能な健康診断等の情報
・医療機関等から個人に提供され、個人が自ら入力する情報
・個人が自ら測定又は記録を行うものであって、医療機関等に提供する情報
※健診等情報の具体例として、予防接種歴、乳幼児健診、特定健診、薬剤情報等が挙げられる。
※上記情報を健康保険組合等から入手する場合又は個人が自らアプリ等に入力する場合も含む
要配慮個人情報に該当しない健康情報も存在すると思うが、それらは基本的指針の対象外で良いのか。例えば病歴そのものには該当しないが病歴を推知させる情報などは、対象外と整理するのか。
要配慮個人情報+それ以外の個人情報を複合的に対象にするサービスってあると思うのだが。まあ、そもそも指針の内容が緩めなので、対象外にしても、そこまで問題はないとは思うが。あれか、マイポのPHRで、要配慮個人情報に該当しない健康情報が取り扱えるかどうか不明問題が発生するっていう問題はあるか。
これ、わざわざパブコメで意見しなくてもいいかなっていう気がしてきた。まあ、一応ブログに書いたから、時間があれば、eGovから投稿しておこうかなあ。。。
