ページの本文へ

Hitachi

株式会社 日立コンサルティング

次世代医療基盤法の成立とそのポイント

舘 浩貴
株式会社 日立コンサルティング シニアコンサルタント

2018年1月25日

1. はじめに

2017年5月、医療分野におけるデータ利活用に向けた国の施策として、「医療分野の研究開発に資するための匿名加工医療情報に関する法律(平成29年法律第28号)」が公布された。同法は、医療機関等が取り扱うデータを特定の個人が識別できないよう匿名加工し、個人の権利利益の保護に配慮しつつ、円滑に利活用することができる仕組みを整備するものである。
本稿では、健康・医療に関する先端的研究開発及び新産業創出に資するものとして期待が寄せられている同法について、その制定経緯や法律の概要、ポイント等を紹介する。なお同法は、法案審議等の過程において「次世代医療基盤法」と呼称され、当該名称が普及していることから、以降、次世代医療基盤法と表記する。

2. 制定の背景

2.1. 関連法令の動向

次世代医療基盤法に関連する主要な法律に、個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」という)、官民データ活用推進基本法(平成28年法律第103号)及び健康・医療戦略推進法(平成26年法律第48号)がある。
個人情報保護法は、個人情報保護の取扱いに関する基本法として広く浸透しており、2015年に個人情報に関連する環境変化への対応等のため、大幅な改正が行われた(後述)。
官民データ活用推進基本法は、官民データ*の適正かつ効果的な活用の推進に関し、国、地方公共団体及び事業者の責務を明らかにして、関連する施策の総合的かつ効果的な推進を図ること等を目的としている。同法の第8条に基づき策定されている「世界最先端IT国家創造宣言・官民データ活用推進基本計画」(平成29年5月30日閣議決定)では、施策の推進に係る重点分野の一つに健康・医療・介護が挙げられており、その重点施策として、次世代医療基盤法に基づく匿名加工医療情報の作成に関する認定制度の整備が掲げられている。
健康・医療戦略推進法は、健康・医療に関する先端的研究開発及び新産業創出に関する取組みを通じ、国民が健康な生活及び長寿を享受することのできる社会(以下「健康長寿社会」という)の形成に資することを目的としている。同法に基づき、政府が取りまとめている「健康・医療戦略」(平成26年7月22日閣議決定)では、世界最先端の医療の実現のための医療・介護・健康に関するデジタル化・ICT化に関する施策を進めることが提起されており、当該分野におけるデータ利活用に向けた取組みを推進するとしている。

*
電磁的記録に記録された情報であって、国若しくは地方公共団体又は独立行政法人若しくはその他の事業者により、その事務又は事業の遂行に当たり管理され、利用され、又は提供されるものをいう

2.2. 個人情報保護法の改正と医療分野における特別法の要請

2015年9月、個人情報の定義の明確化、個人情報の適正な活用・流通の確保等を目的に、改正個人情報保護法が成立した。
改正後の法律では、取扱いに特に配慮を要する個人情報として要配慮個人情報が定められ、個人の病歴等が含まれることになった。個人情報の保護に関する法律施行令(平成15年政令第507号)では、障害に関する情報、健康診断の結果、医師等の指導や診療に関する情報等が該当すると定めている。
従来、本人の求めに応じて個人データ(電子ファイル上で検索可能である個人情報)の第三者への提供を停止することとし、かつ、このことを事前に本人に通知し、又は本人が容易に知り得る状態に置いているときは、本人の同意なしに個人データを第三者へ提供すること(以下「個人情報保護法に基づくオプトアウト手続」という)が認められていた。しかし、このたびの改正により、要配慮個人情報を第三者へ提供する場合、上記のオプトアウト手続に関する規定は適用されず、事前に本人の同意を取得することが義務付けられた。

この改正は、個人の権利利益の保護につながる一方、病歴が要配慮個人情報に指定されたことにより、医療分野におけるデータの活用に歯止めがかかることが懸念された。前述のように、日本では、ビッグデータの活用や医療分野におけるICT化が重要な政策課題として受け止められており、医療分野におけるデータを活用した研究開発等に対する需要が大きくなっている。
このような経緯から、医療分野におけるデータの取扱いについて、特別法を設置することへの要請が高まり、次世代医療基盤法の制定につながったものである。

3. 次世代医療基盤法について

3.1. 概要

3.1.1. 趣旨

次世代医療基盤法の目的は、医療分野の研究開発に資するための匿名加工医療情報に関し、国の責務、基本方針の策定、匿名加工医療情報作成事業を行う者の認定、医療情報等及び匿名加工医療情報の取扱いに関する規制等を定めることにより、健康・医療に関する先端的研究開発及び新産業創出を促進し、健康長寿社会の形成に資することである。
政府は、次世代医療基盤法により収集されるデータを活用し、医療分野の研究開発等が進むことで、データを提供した患者や国民全体にメリットが還元されるとしている。次世代医療基盤法により収集されるデータの活用を通じて実現できることとして、表1の例が挙げられる。

表1. 次世代医療基盤法によって実現できること(例)

表1. 次世代医療基盤法によって実現できること(例)
実現できること(例) 説明
治療効果や評価等に関する大規模な研究の実現 最適医療の提供:
大量の実診療データにより治療選択肢の評価等に関する大規模な研究の実施が可能になる。
異なる医療機関や領域の情報を統合した治療成績の評価:
糖尿病と歯周病のように、異なる診療科の関連が明らかになり、糖尿病患者に対する歯周病治療が行われることで、健康状態が向上する可能性がある。
最先端の診療支援ソフトの開発:
人工知能(AI)も活用して画像データを分析し、医師の診断から治療までを包括的に支援するソフトウェアの開発が可能になる。
医薬品市販後調査等の高度化、効率化 医薬品等の安全対策の向上:
副作用の発生頻度の把握や比較が可能になり、医薬品等の使用における更なる安全性の向上が可能になる。

内閣官房健康・医療戦略室「医療分野の研究開発に資するための匿名加工医療情報に関する法律について」より該当部分を表にしたもの

3.1.2. 医療情報及び匿名加工医療情報

次世代医療基盤法では、同法により収集、活用される医療情報及び匿名加工医療情報を、以下のように定義している。

表2. 医療情報及び匿名加工医療情報の定義

表2. 医療情報及び匿名加工医療情報の定義
用語 定義
医療情報

特定の個人の病歴その他の当該個人の心身の状態に関する情報であって、当該心身の状態を理由とする当該個人又はその子孫に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要する記述等が含まれる個人に関する情報のうち、次の各号のいずれかに該当するもの

  • 一 当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの
  • 二 個人識別符号が含まれるもの
匿名加工医療情報 特定の個人を識別することができないように医療情報を加工して得られる個人に関する情報であって、当該医療情報を復元することができないようにしたもの

「次世代医療基盤法」より該当部分を表にしたもの

医療情報は、個人情報保護法における個人情報の定義を参照しつつ、医療分野の研究開発等に関する性質に照らし合わせ、独自の定義が設けられている。
個人識別符号は、改正後の個人情報保護法等において、特定の個人の身体の一部の特徴を変換した符号や各健康保険の被保険者証等の公的証明書に記載される番号等、マイナンバー等を含むものとして規定されていることから、個人識別符号を含む情報は、個人情報に該当する。次世代医療基盤法における医療情報についても、この定義が踏襲されている。
匿名加工医療情報においても、個人情報保護法における匿名加工情報の定義を参照しており、匿名加工医療情報の作成に当たり、氏名、生年月日、その他の記述等、又は個人識別符号を削除することを要求している。
個人情報保護法との相違点を挙げると、個人情報保護法において、個人情報は「生存する個人に関する情報」であると規定されている一方、次世代医療基盤法では当該記述が削除されている。このことから、医療情報には、故人に関する情報が含まれる。
また、「病歴その他の心身の状態に関する情報」という記述から、医療情報には、医療機関における診療又は薬局の調剤履歴等に関する情報に加え、健康診断の結果や介護に関する情報等も含まれ得る。

3.1.3. 医療データ活用の枠組み

表3及び図1に示すように、次世代医療基盤法では、医療分野におけるデータ活用のため、(1)から(3)の枠組みを規定している。その規定の中に登場する当事者の役割と関連性を図1に示す。

(1)
医療情報を取り扱う事業者(①医療情報取扱事業者)は、個人が拒否しない限り、匿名加工医療情報の作成に関して国の認定を受けた事業者(②認定匿名加工医療情報作成事業者)へ医療情報を提供する。
(2)
認定匿名加工医療情報作成事業者は、医療分野の研究開発に資するよう医療情報を整理、加工して匿名加工医療情報を作成する。認定匿名加工医療情報作成事業者は、医療情報及び匿名加工医療情報の取扱いの受託に関して国の認定を受けた事業者(③認定医療情報等取扱受託事業者)のみに対し、データの取扱いを委託することができる。
(3)
認定匿名加工医療情報作成事業者は、当該データを利用する事業者(④匿名加工医療情報取扱事業者)に対して、作成した匿名加工医療情報を提供する(又は認定匿名加工医療情報作成事業者が自ら利用する)。

表3. 次世代医療基盤法における当事者の役割(定義)

表3. 次世代医療基盤法における当事者の役割(定義)
用語 役割(定義)
① 医療情報取扱事業者 データベース化された医療情報を事業の用に供している者
② 認定匿名加工医療情報作成事業者 医療分野の研究開発に資するよう、医療情報を整理し、及び加工して匿名加工医療情報を作成する事業(以下「匿名加工医療情報作成事業」という。)を行う者であって、国の認定を受けた者
③ 匿名加工医療情報取扱事業者 データベース化された匿名加工医療情報等を事業の用に供している者
④ 認定医療情報等取扱受託事業者 認定匿名加工医療情報作成事業者から委託を受けて、医療情報等又は匿名加工医療情報を取り扱う事業を行う者であって、国の認定を受けた者

「次世代医療基盤法」より該当部分を表にしたもの

次世代医療基盤法における医療データ活用の枠組み

図1. 次世代医療基盤法における医療データ活用の枠組み

医療情報取扱事業者は、事業において医療情報を取り扱っている者で、病院や診療所、薬局等に加え、介護事業者、健診データを取り扱う自治体等も含まれる。認定匿名加工医療情報作成事業者から匿名加工医療情報の提供を受け、利用することが想定される匿名加工医療情報取扱事業者としては、大学やその他の研究機関、保険者、国及び自治体等の行政機関、医薬品・医療機器企業等が該当する。
このように、次世代医療基盤法の下で、多くの事業者が匿名加工医療情報作成事業に関与することで、医療分野におけるデータ活用が進むものと期待される。

表4. 医療情報取扱事業者又は匿名加工医療情報取扱事業者として想定される事業者(例)

表4. 医療情報取扱事業者又は匿名加工医療情報取扱事業者として想定される事業者(例)
医療情報取扱事業者として想定される事業者(例) 匿名加工医療情報取扱事業者として想定される事業者(例)
  • 病院、診療所
  • 薬局
  • 介護事業者
  • 健診データを取り扱う自治体 等
  • 大学
  • 研究機関
  • 保険者
  • 国及び自治体等の行政機関
  • 医薬品、医療機器企業 等

3.2. 認定事業者

3.2.1. 認定匿名加工医療情報作成事業者

認定匿名加工医療情報作成事業者は、法人に限られる。認定に当たり、表5の要件が第8条第3項に定められている。

表5. 匿名加工医療情報作成事業の認定要件

表5. 匿名加工医療情報作成事業の認定要件
要件
(1) 欠格事由に該当しないこと
(2) 医療分野の研究開発に資するよう、医療情報を整理し、及び加工して匿名加工医療情報を適確に作成するに足りる能力を有するものとして主務省令で定める基準に適合していること
(3) 医療情報等及び匿名加工医療情報の漏えい、滅失又は毀損の防止その他の当該医療情報等及び匿名加工医療情報の安全管理のために必要かつ適切なものとして主務省令で定める措置が講じられていること
(4) (3)に規定する医療情報等及び匿名加工医療情報の安全管理のための措置を適確に実施するに足りる能力を有すること

「次世代医療基盤法」より該当部分を表にしたもの

(1)は、認定を受けようとする事業者及びその役員が、法律に定める欠格事由に該当しないことを規定している。(2)は、匿名加工医療情報を適確に作成するための能力を要求しており、(3)及び(4)において、適確な安全管理措置を通じて情報セキュリティを確保することが求められている。
認定匿名加工医療情報作成事業者は、事業の変更、承継、廃止は法人の解散等を行う場合、適切な手続き等を実施することが義務付けられる。さらに、政令で定める内容に従い、帳簿を作成、保存する必要がある。

また、認定匿名加工医療情報作成事業者は、原則として、医療情報を匿名加工せずに第三者へ提供することが認められていない。ただし、例外として、他の認定匿名加工医療情報作成事業者からの求めがあった場合、匿名加工医療情報の作成のために必要な限度において、当該認定匿名加工医療情報作成事業者に対して、医療情報を提供することができる(図2参照)。
例えば、特定の個人に関する医療情報が複数の認定匿名加工医療情報作成事業者において管理されている場合、認定匿名加工医療情報作成事業者間で医療情報を取り交わすことにより、これら個人に関する医療情報をひも付けて取り扱うことができる。認定匿名加工医療情報作成事業者間に限り、本人の同意や本人への通知なしに医療情報を提供することができるため、医療情報の集約化が進むと考えられる。

認定匿名加工医療情報作成事業者間における医療情報の提供

図2. 認定匿名加工医療情報作成事業者間における医療情報の提供

3.2.2. 認定医療情報等取扱受託事業者

認定の要件を含め、匿名加工医療情報作成事業者に関する規定の多くが、認定医療情報等取扱受託事業者に準用される。
前述のとおり、認定匿名加工医療情報作成事業者は、認定医療情報等取扱受託事業者に対してのみ、医療情報等又は匿名加工医療情報の取扱いの全部又は一部を委託することができる。認定医療情報等取扱受託事業者は、委託をした認定匿名加工医療情報作成事業者の許諾を得た場合、同じく認定医療情報等取扱受託事業者に対してのみ、取扱いの全部又は一部の再委託をすることが認められる。

3.3. データの取扱い

3.3.1. 医療情報及び匿名加工医療情報の取扱いに関する規制

認定匿名加工医療情報作成事業者及び認定医療情報等取扱受託事業者は、医療情報及び匿名加工医療情報の取扱いに当たり、表6の義務が定められている(医療情報の提供を受ける際の確認に関する規定(第33条)は、認定医療情報等取扱受託事業者には適用されない)。

表6. 認定匿名加工医療情報作成事業者等の義務

表6. 認定匿名加工医療情報作成事業者等の義務
項目 義務
利用目的による制限(第17条)
  • 認定事業の目的の達成に必要な範囲を超えて、医療情報を取り扱ってはならない。
匿名加工医療情報の作成等(第18条第1項、第2項)
  • 特定の個人を識別すること及びその作成に用いる医療情報を復元することができないようにするために必要なものとして主務省令で定める基準に従い、匿名加工医療情報を作成しなければならない。
  • 自ら匿名加工医療情報を取り扱うに当たって、匿名加工医療情報の作成に用いられた医療情報に係る本人を識別するために、匿名加工医療情報を他の情報と照合してはならない。
消去(第19条)
  • 認定事業に関し管理する医療情報等又は匿名加工医療情報を利用する必要がなくなったときは、遅滞なく、これらの情報を消去しなければならない。
安全管理措置(第20条)
  • 主務省令に従い、医療情報等又は匿名加工医療情報の安全管理措置を講じなければならない。
従業者の監督(第21条)
  • 従業者に医療情報等又は匿名加工医療情報を取り扱わせるに当たって、必要かつ適切な監督を行わなければならない。
委託先の監督(第24条)
  • 医療情報等又は匿名加工医療情報の取扱いの全部又は一部を委託する場合、これらの情報の安全管理が図られるよう、必要かつ適切な監督を行わなければならない。
第三者提供の制限(第26条)
  • 法律で定める場合を除き、医療情報を第三者へ提供してはならない。
苦情の処理(第27条)
  • 必要な体制を整備し、医療情報等又は匿名加工医療情報の取扱いに関する苦情を適切かつ迅速に処理しなければならない。
医療情報の提供を受ける際の確認(第33条)
(認定匿名加工医療情報作成事業者のみ適用)
  • 医療情報取扱事業者から医療情報の提供を受ける際、当該事業者に関する情報及び医療情報の取得の経緯を確認しなければならない。
  • 上記の確認に係る事項その他の主務省令で定める事項に関する記録を作成し、主務省令で定める期間、保存しなければならない。

「次世代医療基盤法」より該当部分を表にしたもの

表6内の「匿名加工医療情報の作成等」にあるように、認定匿名加工医療情報作成事業者が自ら匿名加工医療情報の利用することも認められる。ただし、当該匿名加工医療情報の作成に用いられた医療情報に係る本人を識別するために、匿名加工医療情報と他の情報と照合してはならないとされる。
このことは、匿名加工医療情報取扱事業者が匿名加工医療情報を利用する場合においても、同様である。

3.3.2. オプトアウト手続(認定匿名加工医療情報作成事業者への医療情報の提供)

次世代医療基盤法が成立した背景として、病歴が要配慮個人情報に指定されたため、個人情報保護法に基づくオプトアウト手続による第三者提供が認められなくなった旨を述べた。このことを踏まえ、次世代医療基盤法では、認定匿名加工医療情報作成事業者に対する医療情報の提供に関して、個人情報保護法とは異なる取扱いを規定している。
医療情報取扱事業者は、本人又はその遺族の求めに応じて医療情報の提供を停止することとし、このことについて事前に本人へ通知するとともに、主務大臣に届け出たときは、認定匿名加工医療情報作成事業者へ医療情報を提供すること(以下「次世代医療基盤法に基づくオプトアウト手続」という)ができる。このように、次世代医療基盤法では、要配慮個人情報に該当する病歴等についても、認定匿名加工医療情報作成事業者に対して提供する場合に限り、本人又はその遺族の同意なしに第三者提供することを認めている。
ただし、次世代医療基盤法に基づくオプトアウト手続の方法が、個人情報保護法に定める内容と異なることに、留意が必要である。個人情報保護法に基づくオプトアウト手続では、事前に「本人へ通知」又は「公表」し、かつ個人情報保護委員会に届け出ることが求められる。一方、次世代医療基盤法では、認定匿名加工医療情報作成事業者へ医療情報を提供するに当たり、事前に「本人(遺族は含まれない。)へ通知」し、かつ主務大臣へ届け出る必要がある。つまり、次世代医療基盤法に基づくオプトアウト手続を実施する場合、個人情報保護法の定めに従い、事業者のホームページや施設内で掲示等を行うだけでは不十分であり、医療情報を提供する個人に対して、一人一人、書面等により通知しなければならない。

表7. 個人情報保護法及び次世代医療基盤法に基づくオプトアウト手続の方法

表7. 個人情報保護法及び次世代医療基盤法に基づくオプトアウト手続の方法
個人情報保護法に基づくオプトアウト手続の方法 次世代医療基盤法に基づくオプトアウト手続の方法
  • 本人の求めに応じて個人データの第三者への提供を停止すること
  • 上記について、法律で定める事項を事前に本人に通知又は公表するとともに、個人情報保護委員会に届け出ること
  • 本人又はその遺族の求めに応じて、医療情報の認定匿名加工医療情報作成事業者への提供を停止すること
  • 上記について、法律で定める事項を事前に本人に通知するとともに、主務大臣に届け出ること

医療情報取扱事業者は、次世代医療基盤法に基づくオプトアウト手続により、本人又はその遺族から医療情報の提供を停止するように求めがあったとき、遅滞なく、当該個人に書面を交付しなければならない。また、認定匿名加工医療情報作成事業者へ医療情報を提供したときは、当該提供に関する記録を作成し、一定期間、保存する義務がある。
認定匿名加工医療情報作成事業者においても、上記のオプトアウト手続が適切に実施されていない医療情報や、同手続により本人又はその遺族から提供を停止するように求めがあった医療情報については、提供を受けてはならないと規定されている。

4. まとめ

次世代医療基盤法は、2018年5月12日までに施行する予定であり、現在、政令並びに主務省令に関する検討が進められている。認定匿名加工医療情報作成事業者等の認定の要件、匿名加工医療情報の作成基準、医療情報等又は匿名加工医療情報の安全管理措置の内容等は、主務省令で定めるとされており、現時点で、認定匿名加工医療情報作成事業の詳細は判明していない。
政令及び主務省令に加え、政府が定める基本方針も法律の施行前に公表されることが考えられる。弊社は、これら関連法令の内容等も含めて、引き続き政府並びに法制度等の動向を注視していく。

以上

本コラム執筆コンサルタント本コラムへの感想などはこちらから

舘 浩貴
株式会社 日立コンサルティング シニアコンサルタント

2017年5月、医療分野におけるデータ利活用に向けた国の施策として、「医療分野の研究開発に資するための匿名加工医療情報に関する法律」(以下「次世代医療基盤法」という)が公布されました。同法は、医療機関等が取り扱うデータを特定の個人を識別できないよう匿名加工し、個人の権利利益の保護に配慮しつつ、その利活用を促すものです。
本コラムでは、この法律の内容と関連する政策やビジネスの動向等について紹介していきます。