ITをめぐる法律問題について考える このページをアンテナに追加 RSSフィード

2018-09-07

安全管理措置(匿名加工医療情報を追記)

安全管理措置の比較表を以前作成していましたが、匿名加工医療情報を追記したバージョンにアップデートしましたので、ブログでお知らせします。右から3列目です。

コチラ

次世代医療基盤法ガイドラインの要修正事項

次世代医療基盤法の解説パワポアップデートするために、次世代医療基盤法ガイドラインをよみこんでいますが、ガイドライン上で修正した方がよい記述を見つけたので、備忘としてブログに書いておきます。

特に「やーい、間違ってるぞー」とかいう意図はないですし、「私はこんなにわかってる」アピールをするつもりは毛頭ありません。気づいたことを書きとめておかないと、すぐ忘れてしまい、また性格上資料がどこかに行ってしまうので、ブログに書いておくのが一番備忘としてよいため、日々もそうやってブログを備忘録に使っているためですので、変な意図は一切ありません。

前置きが長くなりましたが(汗)、ガイドライン16ページ(通算ページだと37ページ)


規則第6条(第4号)ニ(1) 送受信の用に供する回線部分

電気通信による送受信により医療機関等から医療情報の提供を受ける際には電気通信回線について十分な安全性が確保されていることが求められる。具体的には、専用線又は専用線と同等の安全性が確保される仮想専用線(以下略)

ガイドライン本文で、「医療機関等から医療情報の提供を受ける際には」専用線等が必要と書いてありますが、ここの説明は施行規則6条4号二(1)部分の説明です。そして施行規則6条4号二では「認定事業医療情報等を電気通信により送受信するとき、又は移送し、若しくは移送を受けるときは、次に掲げる措置を講じていること」とあり、(1)では「外部の者との送受信の用に供する電気通信回線として」とありますので、特に医療情報の提供を受ける場合に限っていません。

医療機関等から医療情報をもらう際のみ専用線にすればよいのではなく、受託者との間でやりとりする場合、法令で認められた範囲で他の者に医療情報等を提供する場合、利活用者に匿名加工医療情報を送受信する場合も、専用線が必要ですね。その点、誤解を生みそうな記述なので、いつかガイドラインを修正することがあれば、そのタイミングでここも記述を直した方が良いと思います。

パブコメ時にはここまでは細かく読んでいなかったため、意見を出せませんでした。

まあそうはいっても、あちらこちらに専用線を用いよという記述がみられますので、この点を誤解する認定医業者はいなそうですけどね。だから実害がないとはいえますね。でも、一般の方(非法曹という趣旨)は、四角でくくってある条文は読み飛ばし、ガイドライン本文を読むイメージなので、できるだけガイドライン本文の記述は、条文を読まなくても正しく理解できるように書いた方が良いかなと思いました。


ガイドライン17ページ(通算ページだと38ページ)

医療情報及び匿名加工医療情報等を管理するサーバ(以下「認定事業医療情報等管理サーバ」という。)

これは、医療情報等及び匿名加工医療情報を管理するサーバ、又は認定事業医療情報等を管理するサーバの間違いですかね。


あと、技術的安全管理措置の記載は、どの条文に該当するのかよくわからない部分もありましたので、わかりやすく整理できると良いかなと思いました(認定事業医療情報等の管理の際の暗号化(18ページ)は該当条文なし?)


ガイドライン16ページ


匿名加工医療情報作成事業を行う役員又は使用人の氏名及び住所

ガイドラインというか、主務省令を修正した方が良いように思います。

法8境イ鮗けた主務省令がないものの、ガイドライン上記のように記載しているのではないでしょうか。様式第一(法8機Φ則3機砲竜載事項だからということでしょうけれども、法8境イ鮗けた主務省令という形にしないといけないのではないでしょうか?私の読み間違えかな??

規則3兇蓮嵋‖菷条第二項の主務省令で定める書類」なので、これを法8境イ鮗けたものとは言えないのではないでしょうか。また

規則8境 匿名加工医療情報作成事業を行う役員又は使用人の氏名の変更であって、役員又は使用人の変更を伴わないもの」は、法8境イ鮗けた主務省令がないのに、なぜここにこれだけ出てくるのでしょうか。私の勘違いなのか・・・ 主務省令を修正した方が良いように感じます。



蛇足ですが、「次世代医療基盤法」でぐぐると、官邸のサイトが2個ぐらいでて、その次に私の解説パワポが出ていたのです。SEO対策を一切やっていないのに、なんと官邸につぐ表示順、Google検索3位(笑)ということで、実は喜んでいたのですが、最近日経メディカルさんの記事が私のブログより上位に表示されます。残念です(笑)

2018-09-05

EU十分性認定に伴う規制

日本とEU個人情報保護として十分な国ですね、とお互い認定したことを受けて、

個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」が8月24日に個人情報保護委員会より公表されています。

今後の講演資料には、これを足しこまなくては。

あと過去の講演資料をWeb上にUPしているものをかなりの数ご参照いただいているようですので、それ自体を直した方がいいかもしれません。

概要は以下の通りです。匿名加工情報以外、そんなに大変な話ではないかと思います。

匿名加工情報は、EEAのものは実際上不可能ということになりましたね。

しかし、この程度の実務にあまり影響のない範囲での補完ルールでEUとの協議がおさまったとのことは、大変評価できるかと思います。ご関係者のご努力に敬意を表したいと思います。

2018-08-08

マイナンバーの課題を更新しました

「マイナンバー制度の改善のために必要なことは何か」をまとめた水町資料を更新しました。

更新点は次の通りです。

さまざまな方とお話しし、本当に皆様いろいろなことをお話ししてくださいます。

自治体職員の方にお聞きすると、すごく良いアイディアがいっぱいおありで、お聞きしたこと匿名の形で本提言に記載させていただきました。ご意見をいただきまして、本当にありがとうございます。

また、経済同友会の提言書も公表されていますので、これに対するコメントも追ってブログでしようと思っています。

2018-07-13

データ利活用と保護の両立のために〜地方公共団体におけるデータ利活用ガイドブック等〜

以前、PIAに関するブログ記事で少しお話ししましたが、

地方公共団体個人情報を保護しつつデータ利活用できるよう、総務省から地方公共団体におけるデータ利活用ガイドブックが公表されました。

実証事業の支援という立場から、個人情報部分とPIA部分は、水町にて執筆させていただきました。

主なポイントは次の通りです。

  • 目的意識をしっかり持つ
    • 何が課題であり、それを解決するためにどのような方向を目指すのかを明確にする
    • 常に目的に立ち戻り、サービス全体の在り方を見直す
  • 個人情報保護とデータ利活用の両立を実現する

ガイドブックは長文ですので、個人情報を含むデータ利活用に当たってのエッセンスを、水町にてパワポ作成しましたので、水町作成パワポもぜひご覧ください。→自治体向けデータ利活用手引き

民間向けのパワポも時間のある時に作成予定ですが、既存作成資料としては匿名加工情報がありますので、改めてリンクを貼っておきます。→パーソナルデータのビジネス利活用


個人情報というと、これまでは大事に守っておきましょう、みだりに使わないようにしましょう、外部提供しないようにしましょうという方向に流れがちでした。

しかし企業や自治体・国が個人情報を持っているのは、その個人情報が必要だからです。当然ながら、一切の活用が禁止されているわけではありません。

法律ガイドラインは、「個人情報を持っていることをいいことに、好きなように使ってはいけないよ」ということを強調します。

それはまったくその通りであり、好きなように使う権利は企業や自治体・国にはないのです。なぜなら個人情報というのは本来はその本人のもの*1であり、その人のプライバシー権を侵害したら不法行為に該当して賠償責任などが生じるわけです。

というように、個人情報というと、これまでは「保護保護保護!!」という説明が非常に多かったように思います。

しかし、個人情報保護が強調されるあまり、必要な利活用すら控えめになるという現状も一方で見受けられます。

しかし、保護と利活用は両立していくべきものです。

例えば、駅の混雑状況や店舗レジの混雑状況などを可視化・データ化して、混雑理由・状況を分析して改善していくことなどは、消費者にとっても事業者にとってもメリットがあり、進めていくべきだと思います。もちろん、混雑改善のために持っている個人情報を好き放題事業者が使っていいというわけではありません。ですが、混雑していて改善が必要だとわかっているのに、「利用状況データは個人情報だから絶対に見ません!」という方たちも、ご相談を受けているといらっしゃるのです。そうではなくて、個人情報保護をしながら必要な利活用を行うことはできるよ、というのがガイドブックや水町作成資料の趣旨です。

また、保護と利活用の両立といえば、やはりPIAがとっても重要なツールとなってくると思います。

PIAについての資料もぜひご覧ください。

*1:情報に所有権は観念できないので、法的にはこの表現は不正確というか誤りですが、理念としてはこうあるべきかと思います

2018-05-14

次世代医療基盤法(医療ビッグデータ法)のパブコメ結果

次世代医療基盤法(医療ビッグデータ法)のパブコメ結果が公表されていますね。

私も日弁連とは別に個別で意見を出しましたが、すごく丁寧にご回答いただいています。ありがとうございます。

具体的には、以下の意見を出して、回答をいただいています。

ガイドラインへの意見

(該当箇所)

2-2-2(7)

(水町意見)

「(i)匿名加工医療情報の利用目的が、基本方針に照らして適切な医療分野の研究開発に該当するものであるか」とある。法では、匿名加工医療情報の提供に関しては、特段の制限を置いていないように見受けられる。法1条では、「健康・医療に関する先端的研究開発及び新産業創出を促進し、もって健康長寿社会の形成に資することを目的とする」とある。そうすると、研究開発そのものに該当せずとも、健康関連の新産業創出につながるような目的であれば、匿名加工医療情報の提供を受けてもよいのではないか。例えば、化粧品やダイエット方法の研究開発は、「医療分野の研究開発」とは厳密には言えない場合でも、匿名加工医療情報の提供を受けて研究したり商品開発してもよいのではないか(非科学的なものは排除した方がよいが、それは(ii)で排除できるのではないか)。(i)〜(iv)は法律上はそのような限定はないと見受けられるが、何を根拠とするのか。医療情報を大臣認定を受けて大量に取り扱う事業者として高い判断能力が求められること、匿名加工された医療情報であってもそれが悪用されては本法やひいては医療制度への不信につながるため厳格な提供先の検討が求められることが、その根拠なのか。もしそうであるなら、(i)は限定しすぎではないか。

(内閣官房回答)

御指摘を踏まえ、法の規定に沿って該当部分の記述を修正します。


(該当箇所)

2-2-2(9)

(水町意見)

「実人数」とは何を指すのか。延べ人数ではないということか。

(内閣官房回答)

御理解のとおり、「実人数」とは延べ人数ではないとの意味です。


(該当箇所)

2-2-2(11)

(水町意見)

「不当な差別的取扱い」の具体例があると理解が進むと思われる。

(内閣官房回答)

ガイドラインにおいて一定の具体的な基準をお示していると考えておりますが、御指摘の点については基本方針全体の趣旨を踏まえつつ、適切に運用してまいります


(該当箇所)

5-1

(水町意見)

医療情報等の保有匿名加工医療情報の提供は委託することができないとある。現実には、医療情報等をデータセンタ等に保管し、かかるセンタ内のサーバ匿名加工処理を行い、媒体などに移して、匿名加工医療情報を外部提供する場合もあると考えられる。

ここにいう医療情報等の「保有」とは、個人情報保護法や行政機関個人情報保護法、情報公開法の「保有」と同じ概念で、当該情報について事実上支配している(利用、提供、廃棄等の取扱いについて判断する権限を有している)ことをいうのか。つまり、情報の所在は他の業者の運営するデータセンタでもいいということか(仮にそうでないとすると、自社内にデータセンタ設備が必要となる)。

また、匿名加工医療情報の提供は委託することができないとあるが、これは、委託先に指示を出して、「A社に提供せよ」ということができないということを意味しているのか。認定匿名加工医療情報作成事業者の従業者が、実際に提供行為をしなければいけないという趣旨か。その場合であっても、認定匿名加工医療情報作成事業者の従業者がDVDなどに焼く作業をしたうえで、セキュリティ便・宅配便等で他社に提供することはできると思われるので、その旨明記してはどうか。

(内閣官房回答)

御指摘を踏まえ、趣旨を明確化します。


(該当箇所)

2-1 規則6条第1号へ

(水町意見)

PIAを記載していて、大変評価できる。「プライバシー事前評価」ではなく「プライバシー影響評価」の方が用語としては適切であろう。また「システムのプライバシー事前評価」とする必要はない。PIAは必ずしもシステムに対して実施するものではないので、以下のように改めるべきである。

(現)システムのプライバシー事前評価(PIA)

(新)プライバシー影響評価(PIA)の実施

(内閣官房回答)

御指摘を踏まえ、該当部分の記述を修正します。


(該当箇所)

2-2 規則第6条第2号ハ

(水町意見)

「法第17条第1項の趣旨を踏まえ、認定事業医療情報等を認定事業の目的(医療分野の研究開発に資すること)の達成に必要な範囲を超えて取り扱ってはいけないことの認識を確実に共有することが求められる。」とある。法17条1項にいう認定事業のため以外の目的外取扱いの禁止は、「匿名加工医療情報作成事業」の目的に必要な範囲を超えて取り扱ってはいけないということではないのか。「(医療分野の研究開発に資すること)」とあると、認定事業者は、研究開発のためなら、自分の研究用にも利用してよいと読めるが、それでよいのか。

(内閣官房回答)

御指摘を踏まえ、該当部分の記述を修正します。


(該当箇所)

4-1-5

(水町意見)

4-1-5(規則第18条第5号)について、もう少し例示や解説があるとありがたい。

(内閣官房回答)

今後の施行の状況を踏まえて検討・対応してまいります。


★基本方針への意見

(水町意見)

認定匿名加工医療情報作成事業者は、匿名加工医療情報のみならず、生の個人情報を大量に取り扱うこととなる。基本方針、ガイドライン等では、審査基準等に重きを置いた記述となっており、それは理解できるが、認定匿名加工医療情報作成事業者では、個人情報の適切な取扱いを行わなければならない。その点をもっと強調すべきではないか。個人情報の安全管理については記述が多いが、求められるのはそれだけではないはずである。例えば、匿名加工医療情報作成事業者は、個人情報保護法上の個人情報取扱事業者である場合も多いと思われ、個人情報保護法上の義務も果たす必要があるのではないか。個人情報保護法上の義務は、本法で特則が定められている部分も多いものの、たとえば、取得した医療情報等(生の個人情報)は、利用目的を特定する必要があるのではないか。正確性の確保の努力義務も生じるのではないか。開示請求等は認定匿名加工医療情報作成事業者にとっての保有個人データに当たるとも解され、対応が必要なのか。

(内閣官房回答)

認定匿名加工医療情報作成事業者は、個人情報保護法に規定する個人情報取扱事業者でありますので、同法における個人情報取扱事業者としての義務を負っています。


(水町意見)

規則5条で、「相当の経験及び識見を有する者」が必要である旨が規定されていて、これは賛同できるが、ここに例えば、個人情報の保護に相当の経験及び識見を有する者も加えた方が適切であると考える。もっとも、匿名加工医療情報の提供の是非の判断に際し、委員会諮問を必須としており、当該委員会に倫理・法律学の専門家を要求しているため、ここで、提供先の個人情報保護に対する判断はある程度できるかと思うが、提供先ではなく、認定事業者自体の個人情報保護に責任を持てる者を要求すべきではないか。

(内閣官房回答)

認定匿名加工医療情報作成事業者の認定の基準として、日本の医療分野の研究開発に資する匿名加工医療情報を作成するための大規模な医療情報の加工に関する相当の経験及び識見を有する者を確保していること(規則第5条第2号イ)や、認定事業に関し管理する医療情報等及び匿名加工医療情報の安全管理に関する相当の経験及び識見を有する責任者を配置していること(規則第6条第1号ロ)を求めており、個人の権利利益の保護に配慮しつつ、匿名加工された医療情報を安心して適正に利活用することができる仕組みとすることとしています。




ちなみに、特に回答がなかったものの、私の出した他のコメントは次の通りです。

(該当箇所)

ガイドライン3に対する意見

(水町意見)

例示や解説が詳しくて、大変参考になる。とても良いと思う。


(該当箇所)

基本方針P12の3(1)

(水町意見)

見出しに「医」が重複


(該当箇所)

全般

(水町意見)

ローマ数字や丸囲み数字が、機種依存文字となり、eGovからは入力できない。そのため、意見に対する該当箇所を正確に引用することができない。



最後のは、イーガブの問題ですよね。どうにかしてほしいです、行政管理局様?、ご検討願います。


パブコメといえば、昔、私はパブコメ意見を読んで修正案を作ったり回答を作ったりする側でもありました。

最後の追い込みの時期で、施行時期が決まっている中、早期の確定・公表が求められているので、そういう中でパブコメ対応するというのは、時間的にかなり制約があり、結構追い詰められたようなスケジュール感になることも多々あるかと思います。

担当としては結構つらい。でも、パブコメへの回答をしないと、何のためにパブコメ手続をやっているかもわからないので、できる限り丁寧な対応をしようと思いますが、これ担当者と担当幹部等の性格によっては、「ご意見うけたまわりました」ですべて回答を済ませるといった場合もあります。今回は国民社会に大きな影響を与える重要法ということもあってか、大変丁寧なご対応をいただきまして、私がお礼をいう立場ではないかもしれませんが、感謝申し上げます。

前に、国の会議で、宇賀克也先生がパブコメの意義についてお話ししてらっしゃいました。有識者会議の意見を聴いていればパブコメの意見はいらないというような意見を述べる方もいるが、実際にパブコメ一般から非常に的確な意見が出てきている例もある。また行政透明化のためにも大変重要だということをおっしゃってました。宇賀先生は授業でも会議でも、すごく情熱をこめてコメントされることがあって、聞いているとすごく伝わってきます。授業では、国家賠償法の講義がすごく情熱的だなと思いました。

私としては、パブコメがあると、意見を言いやすいし、あとは疑問・質問に対しパブコメで回答が出ている事例も結構多いので(金融庁など)、弁護士としては法律を検討する際にパブコメ回答をチェックしたりすることもあります。

パブコメは基本的には、その法律の対象となる仕事をしている会社さんや業界団体さんが意見を出す場合が多いような気もしますが、稀に私のような仕事なのか趣味なのか不明な立場からも意見が出てくる感じですかね。法制技術に詳しい方がパブコメ意見で、法制上の誤りを指摘することもあったりして、パブコメって結構、振れ幅が広いというか、うまく表現できませんが、いろいろな活用のされ方があるような気もします。ただ、国の担当者的にはスケジュールのひっ迫感がもっと解消されるとうれしいという感じでしょうかね。

私もこういう活動を仕事でやっているのか趣味でやっているのかがかなり不明というか。趣味で調べて執筆して、で、仕事のご相談が来るという感じですかね。好きなジャンルのお仕事をさせていただいているのは大変ありがたく、仕事と趣味が混然一体となっていて、ありがたいことです。