2023年2月1日発行の月間保団連に、依頼を受けて投稿しました。
(サマリー)
「医療情報は、プライバシー保護のため分散管理が原則である。医療情報の結合には、それを許容する個別の法律と、結合の必要性と相当性(プライバシー侵害の程度を超えないこと)を満たすという法律の合憲性が必要である。EUでも、患者の自己決定権を離れた、匿名化されない医療情報の結合・利活用が促進されているわけではない。日本でも、利活用を重視し過ぎることで患者との信頼関係を破壊しないよう、患者・現場からのボトムアップで、デジタル化を設計し直す必要がある。」
1.デジタル化の重点分野「PHR」
健康・医療・介護分野は、日本におけるデジタル化政策の重点分野の一つとされ、その中心施策がPHR(Personal Health Record)の実現である。「生まれてから学校、職場など生涯にわたる個人の健康等情報を、マイナポータル等を用いて電子記録として本人や家族が正確に把握するための仕組み」とされ、まずは、個人の日常生活習慣の改善等の健康的な行動の醸成のための利用を想定するとされた。厚生労働省から、「データヘルス改革に関する工程表」(2021年6月4日。以下、工程表)として、以下の情報のデータベース化が示された。
①自身の保健医療情報を閲覧できる仕組みの整備:健診・検診情報(乳幼児健診・妊婦健診、特定健診、事業主健診、自治体健診、学校検診、予防接種等)、レセプト・処方箋情報(薬剤情報、電子処方箋情報、医療機関名等、手術・透析情報等、医学管理等情報)、医療的ケア児等の医療情報、電子カルテ・介護情報等(検査結果情報・アレルギー情報、告知済傷病名、画像情報、介護情報)。
②医療・介護分野での情報利活用の推進:医療機関等で患者情報が閲覧できる仕組み、医療機関間における情報共有を可能にするための電子カルテ情報等の標準化、介護事業者間における介護情報の共有並びに介護・医療間の情報共有を可能にするための標準化、自立支援・重度化防止等につながる科学的介護の推進、公衆衛生と地域医療の有機的連携体制の構築等。
他に③ゲノム医療の推進、④基盤の整備が挙げられている。
また、地域医療情報連携基盤と呼ばれるEHR(Electronic Health Record)は、生涯にわたる個人の健康や医療情報等を電子的に記録した上で、ネットワークの活用によって管理する電子健康記録である。政府は、2022年6月に「デジタル社会の実現に向けた重点計画」で、この地域版を、全国版の医療情報プラットフォームとする方針を明らかにした。
医療情報の結合はよいことであり、技術的に可能な限りどんどん進めていった方がいい、という雰囲気の計画である。しかし、果たしてそうだろうか。
2.プライバシー保護を考えれば分散管理
日本では、情報の電子化においては、利便性と対比されるリスクについて「漏れる」ことだけを対置し、セキュリティだけを気にする報道や意見が多い。住民基本台帳ネットワークの際もこのような視点の報道が多かったが、市民が訴えていたのは別の問題である。当時の狂牛病騒動から、肉牛の生育歴において、原因となる羊骨粉で養育された過去がないか、追跡可能性を確保するための10桁の個体識別番号が付された。住民に11桁の住民基本台帳コードが通知されたのは、その直後のことだった。成績、非行歴、収入など行政機関が広く分散管理している個人情報がこれを用いて結合され、丸裸にされる恐れはないかが懸念されたのである。必要性のない名寄せ、プロファイリングこそが、プライバシー侵害の最大の問題である。
「一般人の感覚で、他人から知られたくないと思う情報」は、同意なく第三者提供・公表等を行ってはならないというプライバシー権は、1964(昭和39)年に「宴のあと」事件で裁判例が確立した。
医療情報は、単なるプライバシー情報を超えた「誰が考えてもプライバシーであると思われる」センシティブ情報(機微情報)であり、その要保護性は最も高い。明治時代から刑法で秘密漏示罪の対象として高く保護されているゆえんである。
民間PHRサービス利用者へのアンケート調査では、生活保護や各種障害者手帳などの給付状況の情報や、うつ・統合失調症等といったセンシティブ情報はもとより、自分で記録した運動・食事・睡眠等の生活習慣データでさえ50%前後のユーザーが「全て連携したくない」と回答した。
市区町村役場には、収入のほか、生活保護や介護福祉の利用に関連する障害や疾病情報などのセンシティブ情報があるが、通常、担当する課ごとに住民情報は区分して、所掌する行政事務の範囲で必要な最小限度のプライバシー情報しか取り扱っていないはずである。名寄せして丸裸にしたら多少は行政効率化に資するかもしれないし、技術的には容易だが、必要性・相当性に欠ける情報の結合はプライバシー侵害で違法だからである。そもそも、「他人に知られたくない」という市民の希望に沿うためには、情報を分散管理する方がよい。不便でも、プライバシー保護に資する。
また、私的情報は、一定の保存期間後は消去されていった方が安全である。これまで、レセプト情報は期間経過後消去され、カルテも保存期間経過後診療が途絶した適宜の時点で原則廃棄されてきたが、それは、プライバシーを保護する制度的保障の意味もあった。
医療情報、健康情報が出生時から全て名寄せされ、誰かが自由にアクセスできる仕組みは、それ自体がプライバシーに対する重大な侵害であり、市民の受診行為を萎縮させかねない。感染症、遺伝病、精神疾患その他社会で差別を受ける恐れの大きい分野であれば、さらにその悪影響は大きい。再就職時の履歴閲覧を恐れてうつ病の受診を控える可能性もあることを考えると、無邪気なプロファイリングは市民を死にも追い込みかねない。一体誰のための、何のためのデジタル化なのか。分散管理は、遅れた制度ではなく、人権尊重で、サステナブルであり、SDGsの理念にもかなっている。
プライバシー情報、センシティブ情報の結合には、それを正当化できる、必要性と相当性(達成目的の価値に、プライバシー侵害の不利益が上回っていないこと)が必要である。これが欠ければ民法709条の不法行為が成立し、損害賠償請求権が発生し得る。
2005年に施行された個人情報保護法では、一見すると、公衆衛生目的があれば医療情報も第三者提供してよいかのように見える。しかし、法の施行以前から、判例によるプライバシー侵害の判断基準は民法の解釈として確立されており、法の施行でこれが不要になったわけではない。個人情報保護法は、他人に知られたくないとまではいえないレベルの単純な識別情報まで保護範囲を拡大する代わりに、利用目的を通知・公表することを求めたものに過ぎない。
秘密漏示罪があるから、業務上収集した医療情報は、同意なく第三者提供ができない。例外としては、それを許容する個別法がなければならない(=法治国家)し、その法律は、プライバシー侵害の必要性・相当性を満たし、合憲でなければならない(=法の支配)。
3.医療情報の結合の必要性と相当性が欠如
PHRにおける医療情報の結合について、「更なる健康寿命の延伸に向けた取組を進めることが重要である」として、その必要性が示されている(2019年9月、厚労省「国民の健康づくりに向けたPHRの推進に関する検討会」)。
健康寿命の延伸自体は正当な目的だが、医療情報の結合がその目的を達成するために必要で、プライバシー制限の程度と比例性を満たしているかが問題となる。
自分の保健医療情報を閲覧できる制度について考えると、健康寿命の延伸のためには、例えば現在の高齢者に対しては、EBM(根拠に基づく医療)の下、薬剤の多剤併用に対して再評価の機会を促したり、フレイル予防のためのタンパク質の積極的な摂取や適度な運動の勧奨などの情報を積極的に普及する方が有効と考えられる。しかし、生涯にわたる過去の健診・検診情報を本人が見られるようにしたところで、どうやって健康寿命の延伸につなげられるのか不明であるので、情報を結合する必要性に欠ける。また、過度に広範なので相当性もない。従って、違法なプライバシー侵害であり同意なく結合すべきではない。
医療機関等での患者情報の閲覧について、工程表には、「全国的に電子カルテ情報を閲覧可能とするための基盤のあり方をIT室(デジタル庁)とともに調査検討し、結論を得る」「先を踏まえたシステムの課題整理・開発」という予定が書かれている。しかし、これも、なぜ全ての市民のカルテ情報を、全国の医療機関で閲覧可能にする必要性があるのか不明である。一人の国民当たり、一生の間に平均して数カ所程度の地域にしか居住しないのに、センシティブ情報を全国で閲覧できるのは、過剰なプライバシー侵害以外の何物でもない。
患者本人が、異なる医療機関を受診する際にその都度医療情報を結合する方が望ましい。EUでは、GDPR(一般データ保護規則)20条のデータポータビリティー権に基づき、患者が、データを保有している医療機関に、その電子データのコピーを別の医療機関に送付するよう無償で求めることができる(中央大学・宮下紘教授の解説による)。
介護施設についても同様であり、患者が現に診療を受けた医療機関と、介護サービスを受ける施設との間でだけデータを共有するという、必要最小限の情報の結合だけが許され、それを超えた結合をすることは、およそ正当性がないから許されない。
行政機関や公的機関が現在保有している医療情報を、「つなげられるから、つなげられるだけつなごう」という、目標の設定や有効性の検討が希薄な、情報の結合それ自体を自己目的化した仕組みとしてPHRが走り出していると懸念される。
市民が閲覧したい情報は何か、見たら有益な情報は何かという具体的ニーズを無視して制度を作っても無価値である。医療機関の現場で必要性があり、患者との信頼関係が維持可能な最小限度の情報の結合はどのようなものか。患者や診療現場の医師のニーズと、プライバシーに対する敬意から出発しないシステムが、成功することは考え難い。
市民の幸福のためにしか存在してはならない行政機関は、自己の存在意義を考え直し、ボトムアップでシステムの再構築を行うことが不可欠である。
4.高度化するデータベース
現在、高齢者の医療の確保に関する法律に基づき、全国医療費適正化計画等のために、レセプトと特定健診の各データが、仮名化がなされた状態でデータベース(通称、ナショナルデータベース、NDB)化され、2011年から研究目的での利用が認められている。
2016年には、日本でがんと診断された全ての人の顕名のデータベース(以下、DB)である全国がん登録DBの運用が開始された。
2018年に施行された次世代医療基盤法により、カルテ等の個々人の医療情報を匿名加工してDB化し、医療分野の研究開発で活用することが促進されている。
厚労省によると、2022年9月時点で、NDBは、介護DB,DPCDB(急性期入院医療情報DB)との連結解析が開始されている。今後、①他の保健医療分野の公的DB(障害福祉DB,予防接種DB,感染症DB、難病DB,小児慢性DB,全国がん登録DB)との連結、②民間の次世代医療基盤DBとの連結、③死亡情報との連結について検討するとされている(2022年9月8日「今後のNDBについて」厚労省保険局)。
これらのDBの連結は、復元不可能な匿名化が図られておらず、むしろ2020年社会福祉法等改正により、転職等で被保険者番号が変わっても正確な名寄せが可能(2022年3月以降)とされている以上、連結行為のそれぞれについて、プライバシー侵害の必要性・相当性が厳密に検討されなければならない。何の目的(正当性)に基づき、どの範囲の医療情報をどのように連結させるのか、それがプライバシー侵害(名寄せ)と釣り合っているか。プライバシーを侵害される全ての患者に対し、事前にこれらが説明されるべきである。
DBの結合に関しては、個別に必要性・相当性を国会で審議し、慎重に検討すべきである。むしろ法律なしに医療情報を結合することを禁止する法律が必要である。
5.海外の医療データベース事情
2022年5月には、EUで欧州ヘルスデータスペース(EHDS)法案が提案された。患者の診療に関連するデータの1次利用では、データは「通常の居住する加盟国だけではなく、そのようなデータは、患者が通常の加盟国の居住国以外の加盟国で治療を受けている場合には、EU域内で共有する必要がある」とされている。患者自身の治療という情報主体の選択と具体的な必要性から離れた文脈でのデータ利用が促進されているものではない。2次利用(再利用)では匿名化等が求められているから、プライバシー保護に手厚いGDPRによる個人データ保護の水準は維持されるものと思われる。
EUの法制度、ことにGDPRはドイツ法の影響が強いが、ドイツでは、がん登録法においても、患者は異議申立権があり、行使されたら登録は中止・抹消が義務となる(2013年時点)。統計上の誤差を少なくすることよりも、患者のプライバシー権、自己情報決定権を尊重している点で、日本の法制度と全く異なっている。
そもそも、GDPR5条1項c号は、データ最小限化を求め、欧州基本権憲章52条1項は個人データ保護の権利への制約は、必要性の比例性を考慮に入れる必要があるとする。データ管理者は、個人データを収集し保有する必要性について明確に説明し、証明できる必要がある。GDPR9条1項は、遺伝データ、健康に関するデータはいずれもセンシティブ情報であるとして、その処理を原則として禁止している。
従って、患者の自己決定権から離れた1次利用や、匿名化、患者の同意またはそれに変わるデータ保護機関の承認等の慎重な手続きなしに2次利用が容認されるとは考え難い。
現状でも、アメリカやスウェーデンは1次利用中心にとどまっており、2次利用を指向するシンガポールは大量情報漏洩事故が生じて停滞している。イギリスでは幅広い情報の連携・集約が目指されたがコンセンサスが得られず、項目を絞り、オプトアウト(本人が求めたときは個人データの第三者提供をやめる)も導入して慎重に運用されている。
翻ってみると、日本のがん登録も、2015年までは医療機関や都道府県から中央へのデータ提供においては匿名化されており、プライバシーへの配慮が行き届いていた。都道府県を越えた移動等の統計上の誤差を生み出さないことに、全てのがん患者の顕名化を要求しても釣り合うほどの医療上の有益性が存在するのか疑問である。必要があるというのなら、それを市民に説明すべきであろう。
6.市民の幸福に資するデジタル化のために
2018年の時点で、アメリカでは特定の分野に関する医療画像の読影について、AIの診断が、読影する医師の上位2%の成績を収めたと報道されていた。もちろん、膨大な画像データの集積・解析が前提となるが、画像診断の正確性の向上が、患者の利益であることに異論はない。
画像データも、匿名化された形で、画像診断の正確性の向上の研究などの正当な目的のために集約され、分析されることは促進されるべきだと考える。
ところが、日本では、匿名化なしで利活用できないかという、人権を尊重する民主主義国家ではご法度レベルの主張が堂々と出され始めている。
EUが厳格なデータ保護を行うのは、効率的なユダヤ人のあぶり出しを図ったナチズムへの徹底的な反省のためであり、差別の対象となり得る特性を持ったDBの作成は忌避するのが出発点である。ボタン操作ひとつで、感染症や遺伝病、精神疾患等の患者名が一覧できるようなDB、あるいは特定の患者名を基に、人生の全ての疾病歴が一覧できるようなDBは作成されるべきではない。中国や北朝鮮のような権威主義国家でも、公然と主張するのははばかられるのではないだろうか。
誰もが他人に知られたくない、明治時代から守秘義務が刑法で課されている医療情報について、同意なく、匿名化も図らず、人権を無視した名寄せが許されてはならない。
このような危険なデジタル化がなされないためには、医療情報に関するプライバシー保護のためのデータ結合禁止法や、差別禁止等の法整備こそがまず必要である。
健康・医療等情報の結合についての国民的議論が全く不十分なまま、PHRをはじめとした医療のデジタル化が拙速に進められるべきではない。
