European Health Data Space(EHDS)法を踏まえた 個人情報保護法次回改正点への意見 | 研究プログラム | 東京財団政策研究所

東京財団政策研究所

詳細検索

東京財団政策研究所

European Health Data Space(EHDS)法を踏まえた 個人情報保護法次回改正点への意見
画像提供:Getty images

European Health Data Space(EHDS)法を踏まえた 個人情報保護法次回改正点への意見

August 9, 2024

R-2024-023

はじめに

個人情報保護委員会から、個人情報保護法の次回改正に向けて、2024627日に「個人情報保護法いわゆる3年ごと見直しに係る検討の中間整理」[1]が示され、729日まで意見募集が行われた。また、731日からは「個人情報保護法のいわゆる3年ごと見直しに関する検討会」が開催され、2024年中に法改正に向けた検討・整理がなされることとなっている。

本プログラムでは、地域における医療DXの推進のための前提として、医療データの取扱いに関する検討を行っている。その一環として、次世代基盤政策研究所代表理事・東京大学名誉教授の森田朗先生との対談を行い[2]EUにおける新しい立法(European Health Data Space法(以下「EHDS法」)[3])から日本の医療DXに対して何が必要であるかの検討も進めている。

本稿では、これまでの検討の結果に基づき、「中間整理」を踏まえた個人情報保護法制に対する意見を述べる。

「中間整理」の概要と、ステークホルダーからの意見

個人情報保護委員会の「中間整理」では、個別検討事項として4つの大項目、1.個人の権利利益のより実質的な保護の在り方、2.実効性のある監視・監督の在り方、3.データ利活用に向けた取組に対する支援等の在り方、4.その他 とし、1では、(1)個人情報等の適正な取扱いに関する規律の在り方、(2)第三者提供規制の在り方(オプトアウト等)、(3)こどもの個人情報等に関する規律の在り方、(4)個人の権利救済手段の在り方、2では、(1)課徴金、勧告・命令等の行政上の監視・監督手段の在り方、(2)刑事罰の在り方 、(3)漏えい等報告・本人通知の在り方、3では(1)本人同意を要しないデータ利活用等の在り方 、(2)民間における自主的な取組の促進 に関して整理を行っている。これらのうち、特に1(4)において示されている「適格消費者団体を念頭に置いた、団体による差止請求制度や被害回復制度」と2(1)の課徴金に関する内容を中心に「個人情報保護法のいわゆる3年ごと見直しに関する検討会」において検討がなされるものとされている。

この整理に先立って、個人情報保護委員会は20231129日から関係団体・有識者へのヒアリングを重ねている。特に医療データとの関連では、森田朗氏と横野恵氏(早稲田大学社会科学総合学術院社会科学部准教授)が特に意見を述べている[4]他、経団連[5]等の団体がヘルスケア分野におけるデータ利活用に関して言及をしている。一方で、日本医師会、日本医学会連合、日本製薬工業協会といったヘルスケアの関連団体からは特に意見は出されていない。

 

「中間整理」への意見

本プログラムでの検討を踏まえ、中間整理に対して以下のように意見する。

全体として、医療データの適切な保護と活用の両立に向けて、EHDS法も参考にし、次世代医療基盤法を含めた個人情報保護法の医療分野に関する特別法の策定を求めるとともに、個人情報保護法改正においては以下の点に関して検討を求める。なお、一部団体から3年ごと見直しに対して消極的な意見[6]も出されているが、下記対応は次回改正のみですべて解決されるとは限らず、技術の動向や国際潮流も踏まえて個人の保護を適正に行いつつデータの利活用をアジャイルに進めるためには、3年ごと見直し(による毎回の検討)は不可欠である。

 

1.保護の強化に向けて

「個人情報保護法のいわゆる3年ごと見直しに関する検討会」における主たる検討事項とされている、団体による差止請求制度や被害回復制度、課徴金に関してはそれぞれ十分な議論はされておらず、時期尚早には感じるが、将来的な導入の検討は継続的に行ってもらいたい。医療データとの関連では、患者会のような団体がこうした制度に参加できるようにすることは歓迎すべきと考える。また、課徴金に関しては、現状では有効性が期待される領域が限られそうであるが、要配慮個人情報ないし生体データを用いた悪質な事業者に対して薬事法・景品表示法での規制外で有効な規制を行える可能性があるものと思われる。

こどもの個人情報等に関する規律に関しては、こどもの脆弱性・敏感性及びこれらに基づく要保護性を踏まえた保護の強化に関しては基本的に賛同する。こどもに関しては、虐待のケース等親権者との利害が一致しない場合があることを踏まえて法定代理人の関与の規定などを考慮すべきである。また、認知機能が低下した高齢者や、精神疾患を有する者などに関しても、現行法では十分な対応ができておらず、同様の保護を行うことを検討してもらいたい。こどもやこれら対象者の境界に関しては議論が必要であるものと考える。 

PIA(Privacy Impact Assessment)の位置づけや個人データの取扱いに関する責任者としてのDPO(Data Protection Officer)等の責任者の選任もぜひ導入検討してもらいたい[7]。あらゆる場合にPIAを実施するのは現実的ではないが、本人同意を得ない公益目的でのデータ活用のような一定の場合にはPIAを求めてリスク評価をすることが適切であると考える。また、DPOの選任等ガバナンス体制整備を求めることは、AIの適切な活用の観点からも重要である。

 

2.利活用推進に向けて

公益目的による個人情報の取扱いに係る例外規定の運用の明確化に関しては、前回の改正以降取り組み事項とされており[8]2023年の規制改革推進会議の答申[9]においても必ずしも患者等本人の同意がなくとも医療等データの二次利用ができるような法整備が求められていた。中間整理においても、本人同意を要しないデータ利活用等の在り方、本人同意を要しない公益に資するデータ利活用に関係するガイドライン等の見直しに関して触れられており、ぜひ、EHDSを参考に本人同意を必ずしも要さない出口規制を中心とした医療データの利活用の制度検討を進めてもらいたい。すでに、いくつかの団体からも指摘があるように[10]、災害やパンデミック時のような他の法令に基づいた利活用が可能な場合ですら、現場では本人同意を過剰に求める場合があり、地域医療連携ネットワークのようなデータベース登録における同意取得等のコストが現場を圧迫している等、入口規制が弊害を生んでいるケースが存在する。また、次世代医療基盤法の運用においては出口規制を行っていたため、不適切な情報取得がされていたものの個人へのプライバシー被害が生じなかったというケースもある[11]。一方で、EHDSやフィンランドの医療データ二次利用法においては、本人の同意は必ずしも求められておらず、出口規制の仕組みを整備している。日本における医療データの一次利用・二次利用の推進に際しては、EHDSを参考にした医療データの特別法の検討を行うとともに、整合性が取れた個人情報保護法の規定が必要だと考える。

 

3.位置づけ・用語の整理

個人情報保護法制関連の用語の複雑化は各方面から指摘があるところである。また、そもそもの保護対象である個人情報、個人データ、匿名加工情報、仮名加工情報といったものに関して欧州等との定義のずれが存在し[12]GDPRとの調整のために補完的ルールを用いた対応がなされている[13]。各種用語の整理と、GDPR等での扱いとの調和に関する検討を行うとともに、補完的ルールに関しても個人情報保護法内に条文として取り込むべきである。

医療データとの関係では、GDPRにおける特別カテゴリーのデータに含まれる「生体データ」を我が国の個人情報保護法内において諸外国との調和が取れるよう設定することには賛同する。生体データに対して本人がより関与するとのことであるが、本人による事後的な利用停止の他、データポータビリティの確保ということに関してはぜひ推進してもらいたい。一方で、現在の要配慮個人情報の規定との関係をどのようにするのかに関しての整理が必要であるものと考える。要配慮個人情報に該当しない生体データの保護が諸外国に比して不十分である一方で、現行の要配慮個人情報に対する本人同意の取得が原則となっているルールに関しては、公益的なデータ利用に向けて弊害となっている。生体データは医療等の公益性の高い領域での利用も想定されるため、本人の同意に関する例外規定に関する設計も現行法の見直しを含めて検討されたい。カテゴリーが増えることで煩雑になる危険もあるため、適切な整理に期待する。

ゲノムデータの取り扱いに関しても生体データのルールの検討と合わせて是非検討を行ってもらいたい。ゲノムデータに関しては、機微性が非常に高いが、利活用も進められつつある。研究目的の場合は研究倫理指針により一定の規律があり、事業者に向けても「経済産業分野のうち個人遺伝情報を用いた事業分野における 個人情報保護ガイドライン」[14]はあるが、容易には変更できない情報であることや、プロファイリングの具体的なケースであるという観点から、法律レベルでの規制の検討をすべきものと考える。プロファイリングに関しては、特に、生成AIの活用や、医療・公衆衛生目的での利用等、関連するユースケースが増加しつつあるため、各有識者委員指摘[15]の通りプロファイリングによる要配慮個人情報の推知もしくは取得に関する整理を進めてほしい。

最後に、プライバシー強化技術(「PETs」:Privacy Enhancing Technologies)に関しては、安全管理措置として期待されるものであるが、それにより取扱事業者の義務が免除されるようなものではないと考える。一方で、匿名加工や仮名加工の制度の妥当性の根拠とも関連しうるため、個人情報保護制度全体の整理としても位置づけの検討を進めてもらいたい。 

今後に向けて

本プログラムでは、今後も国内外の動向を注視し、政策提言を行う予定である。特に、今回の中間整理にあたって、自治体からはヘルスケア関連での十分な意見が出されていなかった。個人情報保護法の次回改正や生成AIの活用等も含めたヘルスケア領域での今後の立法に向けて、地域の意見も取り入れて発信を続けたい。


脚注一覧

[1]「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」の公表及び同整理に対する意見募集(個人情報保護委員会)

[2] 【動画公開】「EHDS(European Health Data Space)法と日本におけるデータ二次利用に向けた法制度について」 (東京財団政策研究所)

[3] European Health Data Space - European Commission (europa.eu)

[4] 第279回個人情報保護委員会 |個人情報保護委員会 (ppc.go.jp)

[5] 第270回個人情報保護委員会 |個人情報保護委員会 (ppc.go.jp)

[6] 第281回個人情報保護委員会

日本経済団体連合会、日本商工会議所、経済同友会、新経済連盟、日本IT団体連盟、Fintech協会、シェアリングエコノミー協会、プライバシーテック協会

個人情報保護法の3年ごと見直しに対する意見

[7] 第266回個人情報保護委員会

個人情報保護法の3年ごと見直しに関する意見(電子情報技術産業協会)

[8] 164回個人情報保護委員会 資料1 公益目的による個人情報の取扱いに係る例外規定の運用明確化に向けた取組について -個人情報保護委員会- (ppc.go.jp)

[9]規制改革推進に関する答申 ~転換期におけるイノベーション・成長の起点~(規制改革推進会議)

[10]270回個人情報保護委員会 個人情報保護法の3 年ごと見直しに対する意見(日本経済団体連合会)

【会議後提出資料】個人情報保護委員会ヒアリングにおける質問に対する回答(日本経済団体連合会)

[11] 次世代医療基盤法に基づく認定事業における不適切な情報の取得に関して | NTTデータ - NTT DATA | NTTデータグループ - NTT DATA GROUP

[12] 第263回個人情報保護委員会

個人情報保護法に関する欧州企業の代表的な課題(欧州ビジネス協会)

[13] 個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール-個人情報保護委員会- (ppc.go.jp)

[14] 「経済産業分野のうち個人遺伝情報を用いた事業分野における 個人情報保護ガイドライン」を一部改正しました (METI/経済産業省)

[15] 第279回個人情報保護委員会

AIと個人情報保護:欧州の状況を中心に(一橋大学 生貝教授)

第287回個人情報保護委員会

いわゆる3年ごと見直しに関する意見(慶應義塾大学 山本教授)

注目コンテンツ

BY THIS AUTHOR

この研究員のコンテンツ

0%

PROGRAM-RELATED CONTENT

この研究員が所属するプログラムのコンテンツ

VIEW MORE

DOMAIN-RELATED CONTENT

同じ研究領域のコンテンツ

VIEW MORE

INQUIRIES

お問合せ

取材のお申込みやお問合せは
こちらのフォームより送信してください。

お問合せフォーム