SH4208 近時の医療関係個人情報事案に対する個人情報保護委員会の対応 井上乾介/大石裕太/原口夕梨花(2022/11/22)

取引法務個人情報保護法
重要ニュース速報(アンダーソン・毛利・友常法律事務所外国法共同事業)

近時の医療関係個人情報事案に対する個人情報保護委員会の対応

アンダーソン・毛利・友常法律事務所 外国法共同事業

弁護士 井 上 乾 介

弁護士 大 石 裕 太

弁護士 原 口 夕梨花

 

1 はじめに

 個人情報保護委員会は、2022年11月2日、以下で紹介する2つの事案において、個人情報を適切に取り扱っていなかった医療機関、医療機器メーカー等の事業者に対し、「個人情報の保護に関する法律」(以下「個人情報保護法」または「法」という。)144条の規定に基づく指導を行った。

 本稿では、それぞれの事案に関係する個人情報関係の規律、事案概要および指導の内容を概観し、その実務上の示唆について検討する。

 

2 手術動画提供事案

 ⑴ 医療関係情報の個人情報保護法上の規律

 医療機関や医療機器メーカーなどが取り扱う医療関係の個人に関する情報は、特定の個人(たとえば、患者)を識別できるか、診療記録や手術記録等と容易に照合することにより特定の個人を識別できる場合には、「個人情報」として個人情報保護法の規律を受ける[1]

 さらに、医療関係の情報は、診療記録など、個人情報保護法上の特別の取扱いを要する「要配慮個人情報」に該当する場合が多い。このため、個人情報を取り扱う医療・介護関係事業者向けのガイドラインとして「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」を始めとする医療関連分野ガイダンスを策定し、公表している[2]

 

 ⑵ 本件事案および問題点

 本件は、医療機器メーカーであるスタージャパン合同会社(以下、「医療機器メーカー」という。)が、複数の医療機関の従業者等から手術動画を取得していた事案である。医療機器メーカーは、受領する手術動画については個人を特定できる情報を含まない状態での取扱いを想定していたが、実際には、一部の医療機関から取得した手術動画に、患者本人の氏名等が記録されていた。そのため、当該手術動画は、それのみで特定の個人(患者)を識別できるか、診療記録や手術記録等と容易に照合することにより特定の個人(患者)を識別できるものであった。したがって、手術動画は「個人情報」に該当していた。

この記事はプレミアム向けの有料記事です
ログインしてご覧ください


 また、一部の医療機関では、手術動画について、診療記録等と同様に、特定の個人情報を検索できるように体系的に管理していたため、「個人データ」[3]に該当していた。

 今般、手術動画の提供に以下の個人情報保護法上の問題点があることが判明した。

 

関係者 問題点
医療機器メーカー 「個人情報」である手術動画の取得に当たって必要な利用目的の特定、本人への通知公表[4]を行っていなかった。
医療機関
  1. ① 手術動画の利用に当たっては、利用目的を特定し、本人に通知または公表することおよび特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱わないこと[5]が必要であった。しかし、多くの医療機関では、利用目的の通知または公表は行っておらず、また本人の同意を得ずに、特定された利用目的の達成に必要な範囲を超えて、手術動画を第三者に提供していた。
  2. ② 各医療機関の従業者である医師が、個人データの保有主体である医療機関に無断で医療機器メーカーに対して手術動画を提供していた。
  3. ③ 手術動画が「個人データ」に該当し、第三者に提供する際には原則として、あらかじめ本人の同意を得ることが必要である[6]。しかし、手術動画を第三者提供する際に、患者本人の同意を取得していなかった。個人情報保護委員会への報告[7]を求められた医療機関の一部が報告期限を超過した。

 

 ⑶ 指導内容

 判明した問題点を踏まえ、個人情報保護委員会は、医療機器メーカーおよび医療機関に以下の指導を行った[8]

 

関係者 指導内容
医療機器メーカー
  1. ① 今後、個人情報を取得する場合には、適切に利用目的を特定し、併せて本人への通知または公表を行うこと
  2. ② 他者とデータのやり取りを行う場合には、データ内の個人情報の有無なども含めてしかるべく検討の上、法および個人情報の保護に関する法律についてのガイドライン(通則編)等の規律を遵守した適切な制度設計を行うとともに、確実に運用すること
医療機関 (手術動画を個人データとして管理していた医療機関)

  1. ① 今後、個人データを第三者に提供する際には、適切に本人の同意を取得すること
  2. ② ①の同意が適切に取得できるよう、規律および体制の整備を行うこと
  3. ③ 今後、保有する個人データについて、従業者が無断で第三者提供を行わないよう、適切な安全管理措置を講ずるとともに、従業者の監督を行う体制の整備および従業者教育を行うこと
  4.  

(報告期限を超過した医療機関)

  1. ① 今後、報告等の求めについて、期日までに必要な調査、資料の収集などを行い、適切に報告すること
  2. ② 上記①の報告が適切に実施できるよう体制を整えること

 

3 医療情報漏えい事案

 ⑴ 次世代医療基盤法

 「医療分野の研究開発に資するための匿名加工医療情報に関する法律」(以下「次世代医療基盤法」という。)[9]は、医療分野の研究開発を促進するために個人情報保護法の特別法として、本人に対して一定の事項を通知する等の同法に定める手続を履践することにより、提供停止の求めを行っていない本人にかかる医療情報について、①医療機関等から認定事業者へ要配慮個人情報である医療情報を提供することができることおよび②認定事業者から利活用者へ匿名加工医療情報を提供することができることを下図のとおり認めている。

 

 

 

 

 

(出典:内閣府健康・医療戦略推進事務局「『次世代医療基盤法』とは」6、9、18頁[10]

 

 ⑵ 本件事案および問題点

 次世代医療基盤法の医療情報取扱事業者である医療機関(以下「医療機関」という。)は、医療情報の管理等の業務を、一般社団法人ライフデータイニシアティブ(以下「委託先」という。)に委託し、委託先は、当該業務を株式会社エヌ・ティ・ティ・データ(以下「再委託先」という。)に再委託していた。

 しかし、プログラムの設定ミス等により、医療情報取扱事業の運用を開始した2020年9月から2022年7月15日までの間、通知が行われていない患者(以下「未通知患者」という。)の医療情報をさらに外部委託先に提供しており、意図せずに漏えいしていたこと、および次世代医療基盤法上の問題点があることが判明した。

 

関係者 問題点
医療機関  個人情報保護法が適用される9医療機関では、委託先との間において、医療情報の提供に関する契約を締結し、委託先による医療情報等の取扱状況の報告を求めることができる旨を定めていた。しかし、委託先における医療情報の取扱状況の報告を適切に求めず、委託先および再委託先における医療情報の取扱状況を十分に把握していなかった。
委託先  再委託先に個人データの取扱いに関するシステム開発を全面的に委託していた。しかし、漏えい等防止措置の妥当性に関する検討を自ら行わず、再委託先が提示した方策の確認や事後検証を行っていなかった。
再委託先  外部事業者に医療情報を提供するに当たり、医療情報の提供停止の求めがあった患者にかかるすべての医療情報を確実に除外するために、同一人のデータと疑われるデータが幅広く紐付く設計としていた。
 しかし、当該設計を他の患者にかかる医療情報の処理にも使用した結果、通知済みの患者の医療情報に未通知患者の医療情報が紐付けられ、未通知患者の医療情報が含まれていないことを確認する仕組みも構築していなかった。
 また、再委託先では、次世代医療基盤法認定事業領域内に未通知患者が提供されるなど法令に違反するおそれのあるデータを検知した場合の報告連絡体制や報告の目標時間にかかる規定の運用が十分に機能していなかった。

 

 ⑶ 指導内容

 以上の問題点を踏まえ、個人情報保護委員会は、医療機関、委託先、再委託先に対して、以下の指導を行った[11]

 

関係者 指導内容
医療機関
  1. ① 委託先において当該個人データについて安全管理措置が適切に講じられるよう、委託先に対し必要かつ適切な監督(委託先における個人データの取扱状況の把握を含む。)を行うこと。
  2. ② 委託先が再委託を行おうとする場合には、再委託先における個人データの取扱状況を把握するために、委託先を通じてまたは必要に応じて自らが、定期的に監査を実施すること
委託先
  1. ① 再委託先に個人データに関するシステム開発(修正を含む。)を委託する場合には、その漏えい等防止措置の妥当性に関する検討を自ら行うとともに、再委託先再委託先が提示した方策の確認や、事後(システム稼働後)の検証を継続的に行うこと
  2. ② 情報管理責任者による再委託先の月次の管理・監督の対象について、情報セキュリティに加えて、再委託先において、未通知患者の医療情報が適切に削除されているかなど、個人データの取扱状況の把握を行うこと
再委託先
  1. ① 組織的安全管理措置(取扱状況の把握および安全管理措置の見直し)、技術的安全管理措置(情報システムの使用に伴う漏えい等の防止)
  • システム開発(プログラムの修正を含む。)に当たっては、開発開始からリリースまでの各プロセスにおいて、システム開発(プログラム設定)の妥当性(漏えい等防止措置の妥当性)を確認するプロセスを改善すること
  • 本件を踏まえた着眼点の1つとして、自社の責任者による確認だけではなく、委託先や外部の有識者による妥当性の確認を経ること
  • 未通知患者の医療情報が削除されていることを確認する仕組みを構築すること
  1. ② 組織的安全管理措置(漏えい等事案に対応する体制の整備)、人的安全管理措置
  • 漏えい等事案の発生または兆候を把握した場合その他個人情報保護法違反の事実を把握した場合の責任者への報告連絡体制や報告の目標時間を整備すること
  • 当該連絡体制等の整備に関して、医療情報取扱事業および次世代医療基盤法認定事業に従事する責任者を含む従業者に定期的な教育を実施すること
  • すべての従業者に対して年1回実施しているセキュリティインシデントに対する訓練において、本件と同様の漏えい等事案の発生または兆候を把握した場合その他個人情報保護法違反のインシデントの訓練内容を改善すること

 

4 実務への示唆

 医療機関は、多数の患者の要配慮個人情報を含む医療情報を日常的に取り扱っている。医療情報の性質およびその量からすると、漏えい等が発生した場合のリスクは特に高く、十分な水準の安全管理措置等を講じることが求められる。

 手術動画提供事案においては、各医療機関の従業者である医師が、個人データの保有主体である医療機関に無断で医療機器メーカーに対して手術動画を提供していたというものであり、医療機関において、組織体制の整備や従業員に対する監督等が不十分であったことの証左といえる。医療機関においては、改めて、個人情報等の取扱いにかかる規律の整備や従業員に対する適切な教育を含めた、安全管理のための体制整備を行っていくことが実務上重要であろう。また、医療機関は、あらかじめ医療情報を第三者に提供することを想定している場合には、個人情報の利用目的においてその旨を特定して示す必要があることにも留意する必要がある[12]

 また、医療情報漏えい事案においては、医療機関の再委託先における医療情報の漏えいが問題となった。個人情報を取り扱う事業者は、直接の委託先のみならず、再委託先についても監督義務があるところ[13]、近年、委託先への監督不十分に基づく個人情報漏えい事案が多発している[14]。本事案においては医療機関から認定事業者および認定受託事業者への漏えいであったが、そのような場合であっても、委託元としてはなれ合いを防止する観点から、委託先を通じてまたは必要に応じて自らが定期的に監査を実施したりすること等により、実効的な監督を行っていくことが実務上重要である。

以 上


[1] 法2条

[2]「医療関連分野ガイダンス等」(https://www.ppc.go.jp/personalinfo/legal/guidelines/#iryokanren

[3] 法16条3項

[4] 法17条1項、法21条1項

[5] 法18条

[6] 法27条

[7] 法143条1項

[8] 「手術動画提供事案に対する個人情報の保護に関する法律に基づく行政上の対応について」(https://www.ppc.go.jp/files/pdf/221102_houdou_2_1.pdf

[11] 「医療分野の研究開発に資するための匿名加工医療情報に関する法律の医療情報取扱事業者等である個人情報取扱事業者に対する個人情報の保護に関する法律に基づく行政上の対応について」(https://www.ppc.go.jp/files/pdf/221102_houdou_3.pdf

[12] 「個人情報の保護に関する法律についてのガイドライン(通則編)」(https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/)3-1-1、3-6-1

[13] 法25条

[14] 2022年6月に生じた尼崎USBメモリ紛失事案では、尼崎市の再々委託先、ビプロジー社の再委託先での、USBメモリの紛失が問題となった(https://www.amt-law.com/publications/detail/publication_0025359_ja_001)。

この記事はプレミアム向けの有料記事です
ログインしてご覧ください


(いのうえ・けんすけ)

アンダーソン・毛利・友常法律事務所外国法共同事業 スペシャル・カウンセル。2004年一橋大学法学部卒業。2007年慶応義塾大学法科大学院卒業。2008年弁護士登録(東京弁護士会)。2016年カリフォルニア大学バークレー校・ロースクール(LLM)修了。2017年カリフォルニア州弁護士登録。著作権法をはじめとする知的財産法、個人情報保護法をはじめとする各国データ保護法を専門とする。

(おおいし・ゆうた)

アンダーソン・毛利・友常法律事務所外国法共同事業アソシエイト。2008年東京大学薬学部卒業。2011年東京大学法科大学院卒業。2012年弁護士登録(第二東京弁護士会)。2019年University of California, Berkeley, School of Law(LLM)修了。2020年ニューヨーク州弁護士登録。国内外の知的財産案件や個人情報案件を主な業務分野としている。

(はらぐち・ゆりか)

アンダーソン・毛利・友常法律事務所外国法共同事業アソシエイト。2015年東京大学文学部卒業。2018年東京大学法科大学院卒業。2020年弁護士登録(第二東京弁護士会)。

アンダーソン・毛利・友常法律事務所外国法共同事業 https://www.amt-law.com/

<事務所概要>
アンダーソン・毛利・友常法律事務所外国法共同事業は、日本における本格的国際法律事務所の草分け的存在からスタートして現在に至る、総合法律事務所である。コーポレート・M&A、ファイナンス、キャピタル・マーケッツ、知的財産、労働、紛争解決、事業再生等、企業活動に関連するあらゆる分野に関して、豊富な実績を有する数多くの専門家を擁している。国内では東京、大阪、名古屋に拠点を有し、海外では北京、上海、香港、シンガポール、ホーチミン、バンコク、ジャカルタ等のアジア諸国に拠点を有する。

<連絡先>
〒100-8136 東京都千代田区大手町1-1-1 大手町パークビルディング

 

 

タイトルとURLをコピーしました