改正個人情報保護法対応について
1.改正個人情報保護法における変更点 改正法において規定された従来になかった概念として、「要配慮個人情報」、「個人識別符号」 および「「匿名加工情報」の3つが、また新たに要請される手続きとして「「確認「 記録義務」が挙 げられる。 以下各々について現時点でとるべき対応 考え方について整理したので公開する。 1).「要配慮個人情報」 「要配慮個人情報」は、万が一漏洩した場合に個人に対して回復困難な重大な損害をもたらす 可能性がある個人情報であり、国籍、人種、宗教、犯罪歴、病歴などが該当する。 医療分野においてはがんや精神病等の特定の病名のみではなく全ての病名が対象となり、また 受診したという事実自体が要配慮個人情報とみなされる。さらに健診情報や健診を受診した事 実自体が要配慮個人情報とみなされる点にも留意が必要である。 要配慮個人情報の取得「 第三者提供については、原則オプトイン「(個別同意)が要求され、オ プトインは認められない。 各々の医療系事業者が取り扱う個人情報が要配慮個人情報に該当するかの基本的な考え方は、 筆者らが個人情報保護委員会に問い合わせた質問に対する回答(表1)が参考になる。 すなわち病名は“がん”や“統合失調症”等の特定の病名のみが該当するのではなく、)医師によ り診断された病名は全て該当すること、調剤薬局で主に取り扱う対象者の処方薬剤名、服薬状況 等を含む個人情報は、要配慮個人情報に該当すると考えられること、助産施設で主に取り扱う対 象者の妊娠 出産状況を含む個人情報は、要配慮個人情報に該当すると考えられること。 などが留意点となろう。 表:要配慮個人情報に関する個人情報保護委員会からの Q&A Q1 個人情報の保護に関する法律についてのガイドライン(通則編) (2016/11/30)の 2-3(法第 2 条第 3 項関係)関連 1-1 同ガイドラインに示される「要配慮個人情報」である「病歴」には、例示されている “がん”、“統合失調症”「以外にどのような疾患が該当する か。 (回答)医師により診断された病名は全て該当することとなります。1-2「病歴」に全ての疾患が含まれるわけでは無い場合、「病歴」 に 含まれるかどうかの具体的判断基準。 (回答)医師により診断された病名は全て該当することとなります。1-3-a 同条のガイドラインにおいて、以下①~⑤は「要配慮個人情 報」に該当するか。 1-3-b 該当する場合、しない場合があるとき、該当するかどうかの以下①~⑤各々についての具体的な判断基準①「 介護 福祉施設で主に取り扱う対象者の病名や障害を含む身体状況、家族構成、資産状況(銀行預金残高を含む)、緊急連絡先等 の個人情報 (回答)要配慮個人情報であるか否かの判断は、その情報の内容や性質など、個別具体的な判断が必要となります。一般論として、 対象者の病名や障害を含む身体状況は、医師により診断された病名や障害であると考えられるため、改正個人情報保護法第 2 条第 3 項に定 める「病歴」、政令第 2 条第 1 号、第 2 条第 3 号に該当し、要配慮個人情報に該当すると考えられます。一方、対象者の家族構 成、資産状況、緊急連絡先の個人情報は、要配慮個人情報に該当しないと考えられます。 ②「 柔整 鍼灸施設で主に取り扱う対象者の病名や障害を含む身体状況、施術内容等の個人情報 (回答)要配慮個人情報であるか否かの判断は、その情報の内容や性質など、個別具体的な判断が必要となります。 一般論として、対象者の病名や障害を含む身体状況は、医師により診断された病名や障害であると考えられるため、改正個人情報保 護法第 2 条第 3 項に定める「病歴」、政令第 2 条第 1 号、第 2 条第 3 号に該当し、要配慮個人情報に該当すると考えられます。 柔整 鍼灸施設における施術内容は、医師に診断されたものでないと考えられるため、要配慮個人情報に該当しないと考えられます。 2 ③「 調剤薬局で主に取り扱う対象者の処方薬剤名、服薬状況等を含む個人情報 (回答)要配慮個人情報であるか否かの判断は、その情報の内容や性質など、個別具体的な判断が必要となります。 一般論として、対象者の処方薬剤名、服薬状況等を含む個人情報は、政令第 2 条第 3 号に該当し、要配慮個人情報に該当すると 考えられます。 ④助産施設で主に取り扱う対象者の妊娠 出産状況を含む個人情報 (回答)要配慮個人情報であるか否かの判断は、その情報の内容や性質など、個別具体的な判断が必要となります。 一般論として、対象者の妊娠 出産状況を含む個人情報は、政令第 2 条第 3 号に該当し、要配慮個人情報に該当すると考えられま す。 ⑤健康増進施設(フィットネス、サプリメント販売、健康情報提供、ウェアラブルデバイス販売 レンタル等を実施する施設)で主 に取り扱う対象者の身体状況を含む個人情報 (回答)要配慮個人情報であるか否かの判断は、その情報の内容や性質など、個別具体的な判断が必要となります。 一般論として、いずれの情報も要配慮個人情報に該当しないと考えられます。
2).
「個人識別符号」 「個人識別符号」は、データ自体に特定の個人を識別できるような情報を有するものを指し、 医療分野で関連する例として具体的には遺伝子情報、指紋、掌紋、声紋、顔面の造作、特徴的な 歩き方などの情報から抽出した特徴情報を、“本人を認証することを目的とした装置やソフ トウェアにより、本人を認証することができるようにしたもの”が挙げられている。 ここで留意すべきは、個人識別符号たる要件として“本人を認証することを目的とした装置 やソフトウェアにより、本人を認証することができるようにしたもの”とされている点であ り、医療機関で患者の指紋等が視認可能な写真を撮影した場合や、頭部 CT の 3D 画像で顔貌が形状的に再現できる場合等は、本人が認証できるようにしたものとはみなされず、個人 識別符号とはならない点である。 医療機関において個人識別符号が実際上問題となるのは遺伝子情報の場合が大半と思われる が、これらについても、ゲノムデータ)のうち、全核ゲノムシークエンスデータ、全エクソ ームシークエンスデータ、全ゲノム SNP データ、互いに独立な 40 箇所以上の SNP から構 成されるシークエンスデータ、9 座位以上の 4 塩基 STR 等の遺伝型情報により本人を認証 することができるようにしたものが、個人識別符号に該当するとされており、断片的なシー クエンスデータは該当しない。当然ではあるが、患者の髪の毛自体も個人識別できるように データ化されていないため、個人識別符号ではない。 但し上記に該当する個人識別可能なデータを保有する場合には、氏名等の直接個人を識別で きる情報を削除しても、個人情報として取り扱う必要があることになる。従来氏名等を削除「 符 号化することにより匿名化「(非個人情報化)が可能であったが、個人識別符号を含む場合は、匿 名化ができない場合があり、注意を要することになる。
3).「匿名加工情報」
「匿名加工情報」とは、個人情報を個人情報の区分に応じて定められた措置を講じて特定 の個人を識別することができないように加工して得られる個人に関する情報であって、当 該個人情報を復元して特定の個人を再識別することができないようにしたものをいう、と 定義されている。具体的な加工方法の基準については、個人情報保護委員会規則19条で定められており、 (1) 個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を 削除すること(当該全部又は一部の記述等を復元することのできる規則性を有しな い方法により他の記述等に置き換えることを含む。)。 (2) 個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元 することのできる規則性を有しない方法により他の記述等に置き換えることを含 む。)。 (3) 個人情報と当該個人情報に措置を講じて得られる情報とを連結する符号(現に個人 情報取扱事業者において取り扱う情報を相互に連結する符号に限る。)を削除する こと(当該符号を復元することのできる規則性を有しない方法により当該個人情報 と当該個人情報に措置を講じて得られる情報を連結することができない符号に置 き換えることを含む。)。 (4) 特異な記述等を削除すること(当該特異な記述等を復元することのできる規則性を 有しない方法により他の記述等に置き換えることを含む。)。 (5) 前各号に掲げる措置のほか、個人情報に含まれる記述等と当該個人情報を含む個人 情報データベース等を構成する他の個人情報に含まれる記述等との差異その他の 当該個人情報データベース等の性質を勘案し、その結果を踏まえて適切な措置を講 ずること。 すなわち「匿名加工情報」は、個人情報から個人識別情報(氏名等)と個人識別符号を除 き、さらに対応表と特異な記述を削除し、最後にデータベースによる照合を禁止する、とい う非常に厳密な措置を講じることを要件とする匿名化の手法の一種と位置づけられる。実 際には「匿名加工情報」を作成する以外にも匿名化の方法は数多く存在する。 上記基準内の(4)の特異な記述の削除については、事例 1)症例数の極めて少ない病歴 を削除する。 事例 2)年齢が「116 歳」という情報を「90 歳以上」に置き換える。 が例示されており、この処理に関してはデータ毎の個別性が大きいため、一括でシステム的 な対応を行うには相応の開発が必要となろう。 一方で「匿名加工情報」は医学 医療分野においては、研究 教育等の目的でも利用しづ らいケースが多いと考えられ、実際上利活用されるユースケースは多くないことが想定さ れる。
4).「
確認・記録義務」 「確認 記録義務」は、個人情報を第三者提供ないし、第三者から取得する場合に、「いつ、 誰から、誰の、何の個人情報を取得したか」を記録することと、第三者から取得した場合には上 記に加え「個人の有効な同意が存在すること」を確認する義務を課すものである。 この法的要請は、ベネッセコーポレーションの事件で、複数の名簿業者を介して情報が転売さ れることにより不正な情報拡散が起こったことを踏まえ、第三者提供に関与する事業者にトレ ーサビリティを確保する義務を課す事を目的としている。個人情報保護委員会もこの規定の主 目的が「名簿屋対策」であることを認めている。 この要請を満たし漏洩事案が発生した際にトレーサビリティを保証するためには、システム 面でも運用面でも相当の対応が必要となると思われる。*参照すべきガイドライン、指針等一覧 個人情報保護法ガイドライン(通則編): https://www.ppc.go.jp/files/pdf/guidelines01.pdf 個人情報保護法ガイドライン(匿名加工情報編): https://www.ppc.go.jp/files/pdf/guidelines03.pdf 個人情報保護法ガイドライン(確認記録義務編): https://www.ppc.go.jp/files/pdf/guidelines04.pdf 医療 介護関係事業者における個人情報の適切な取扱いのためのガイダンス https://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=240000032&Mode=0 人を対象とする医学系研究に関する倫理指針(平成29年2月28日一部改訂) https://www.icrweb.jp/mod/resource/view.php?id=120 人を対象とする医学系研究に関する倫理指針ガイダンス(平成29年3月8日一部改訂) https://www.icrweb.jp/mod/resource/view.php?id=120 個人データの漏えい等の事案が発生した場合等の対応について (平成 29 年個人情報保護委員会告示第1号) https://www.ppc.go.jp/files/pdf/iinkaikokuzi01.pdf 以上。 医事業務 NO.517 2017.5.15(産労総合研究所 附属 医療経営情報研究所発行)より転載 *上記記載内容については 2017 年 4 月時点で把握できている法令、ガイドライン、ガイダンス等を元に、 メディカル IT セキュリティフォーラムとして整理したものであり、その内容については正確かつ公平であ るように努めていますが、実際の個々の対応が適切かどうかは、各々の医療機関等で検討していただくこ とを原則としています。従って、本まとめの内容に従って行った対応等の結果について、メディカル IT セ キュリティフォーラムは一切の責任を負えないことをご了承ください。
