個人情報保護法では、本人の病歴等が含まれる個人情報は「要配慮個人情報」として規定されました。
「要配慮個人情報」については、オプトアウトによる個人情報の提供が禁止されており、第三者に提供するためには、原則として本人の同意を取得しなければなりません。
しかし、「匿名加工情報」という個人を特定できない情報については、本人の同意を得ないでも、第三者に提供OKとされています。
医療分野の情報は、センシティブな情報も多いので、きちんとしたルールを作ろうということで定められたのが、「医療分野の研究開発に資するための匿名加工医療情報に関する法律」(「次世代医療基盤法」)です。
次世代医療基盤法は、「医療分野の研究開発に資するための匿名加工医療情報に関する法律施行令」(以下「令」という)および「医療分野の研究開発に資するための匿名加工医療情報に関する法律施行規則」(以下「規則」という)とともに、2018年5月11日に施行されました。
医療情報を取得して匿名加工医療情報の適確な作成ができ、必要かつ適切な安全管理措置を講じて、当該措置を適確に実施できるといった基準を満たした者を、匿名加工医療情報作成者として認定する仕組みが設けられています。
次世代医療基盤法では、法律の対象となる情報として「医療情報」の定義が定められています。
医療情報とは、特定の個人の病歴その他の当該個人の心身の状態に関する情報であって、当該心身の状態を理由とする当該個人、またはその子孫に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等であるものが含まれる個人に関する情報のうち、以下のいずれかに該当するものであるとされています。
特定の個人の病歴とは、以下のような情報をいうとされています。
「匿名加工医療情報」は、個人情報保護法の匿名加工情報と同様に、特定の個人を識別することができないように医療情報を加工し、かつ、医療情報を復元できないものと定義されています。
個人情報と医療情報の関係と同様に、匿名加工医療情報の多くは、個人情報保護法上の「匿名加工情報」にも含まれると考えられる一方で、個人情報保護法上の「匿名加工情報」とは異なり、「匿名加工医療情報」は、死者の個人に関する情報も含まれると考えられます。
規制の対象となるのは、病院、診療所といった医療機関等、医療分野の研究開発に資するよう、医療情報を整理し、および加工して匿名加工医療情報を作成する事業者、匿名加工医療情報データベース等を事業の用に供している事業者です。
要するに、何かしら、医療情報を扱っている事業者ということになります。
匿名加工医療情報作成事業者の認定を受けようとする者は、以下の基準に適合しなければなりません。
医療関係のビッグデータの利用例として、厚生労働省と独立行政法人医薬品医療機器総合機構(PMDA)が構築を進めている医療情報データペース「MID-NET」があります。
協力医療機関と連携して医療情報(電子カルテ、検査値データ、レセプト等)を収集・解析するものであり、医薬品の製造販売業者による製造販売後調査に利活用することが想定されています。
これまでの副作用報告制度では把握できなかった副作用の発現頻度を評価できるようになることや、リアルワールドを反映した副作用・投与実態等を迅速・低コスト・能動的に収集できるようになることを目的としています。
また、次世代医療基盤法を利活用するデータペースとして、「千年カルテプロジェクト」があります。
当該プロジェクトは、全国で患者が自己のカルテ情報にアクセス可能にすることをめざしています。
プロジェクトに参加した医療機関の情報はデータベース化され、患者に対して過去の診療状況、検査値等の情報を閲覧することができるサービス(EHRサービス)が提供されています。
千年カルテのデータ活用として、次世代医療基盤法に基づいてビッグデータを用いた研究機関や製薬企業の医療情報分析を支援することが企画・検討されており、たとえば、がん化学療法開始時のB型肝炎対策の実態調査や高リン血症患者の治療実態と薬剤別コントロール効果の検証という研究準備が進められています。