このレビューのポイント
AI技術の進展に伴い、データ利活用とプライバシー保護のバランスが重要な課題となっている。医療分野においても国内外で全体的なルールの変更が進みつつある。
医学研究に関するルールの基礎である、世界医師会ヘルシンキ宣言は2024年10月に10年ぶりに改正された。今後、データベースに関する世界医師会台北宣言も更に改正が予定されている。日本と欧米の臨床試験(治験)の基準であるICH-GCPのガイドラインも2025年1月6日に新たなものが示された。また、一般的な医学研究に関する日本の研究倫理指針も改正の検討が始まった。
医療データに対する法律レベルでのルールに関しても大きな動きがある。EUでは2025年1月21日に欧州理事会採択となったEHDS法により医療データの一次利用・二次利用が進みつつある。日本では、内閣官房デジタル行財政改革会議「データ利活用制度・システム検討会」において、医療データの活用も含めた議論がなされているが、並行して個人情報保護委員会がいわゆる3年ごと見直しの方向性として「個人情報保護法の制度的課題に対する考え方(案)」を示した。同内容は、同意の位置づけの見直しも含めており、AIも含めた適切な医療データ利活用とプライバシー保護のバランスを実現する観点から歓迎すべきである。
今後は、データ法制、AI規制、医学独自のルールの3者の調和した仕組みが求められる。
|
1.はじめに |
1.はじめに
2024年10月のヘルシンキ宣言改正[1]および2025年1月21日のEuropean Health Data Space(EHDS)法の採択[2]をはじめ、国際的な医学・医療関連ルールの変革が進む中、日本国内でも個人情報保護法の改正や医療データの利活用に向けた制度改革の議論が活発化している。AI技術の進展により、膨大な医療データの二次利用が可能となる一方で、データガバナンスの重要性がますます高まっている。
2025年には日本の「個人情報保護法 いわゆる3年ごと見直し」がなされる予定であり、2024年6月27日に出された中間整理に対して、著者からも意見を出したところである[3]。2025年1月22日、個人情報保護委員会は「個人情報保護法 いわゆる3年ごと見直しに係る検討」の今後の進め方に関する文書を公表し、改正に向けた追加的論点を提示した[4]。さらに、2025年2月5日には「個人情報保護法の制度的課題に対する考え方(案)」が示され、医療データの利活用と個人情報保護の調和を図る方向性が明確にされた[5]。
また、政府の動きとして、研究倫理指針の改正の検討が始まり、医療データの適正な取り扱いに関するガイドラインの見直しが進められている。さらに、内閣官房デジタル行財政改革会議「データ利活用制度・システム検討会」[6]においても、医療データの活用に関する具体的な検討が行われている。このように、日本国内では、国際的な医療データガバナンスの潮流を踏まえ、データ活用の枠組みの整備に向けた動きが加速している。
本稿では、こうした国内外な医療データ規制の動向を踏まえつつ、同意規制の見直しの方向性について論じる。
2.国内外における医学研究関連ルールの改正
2.1 ヘルシンキ宣言の改正
ヘルシンキ宣言の最初の制定から60周年にあたる2024年10月、ヘルシンキで開催された第75回世界医師会総会において、前回の改定から11年ぶりにヘルシンキ宣言が改正された1。ヘルシンキ宣言は、医学研究に際しての研究参加者の保護のための倫理的な原則を示すものであり、プライバシーの保護やインフォームド・コンセントに関する規定も含まれている。2016年には、ヘルシンキ宣言を補完する形で、ヘルスデータベース、ビッグデータ、バイオバンクを用いた研究に関する台北宣言[7]が出されていたが、今回改正では、パラグラフ32において、台北宣言のルールと相互参照しながら、特定または再特定可能なデータの収集、処理、保存、予見可能な二次利用についての自由意志に基づくインフォームド・コンセント、およびそのようなデータベースやバイオバンクの倫理委員会による承認と監視をすることを求めている。ただし、常にインフォームド・コンセントが求められるわけではなく、「同意を得ることが不可能又は現実的でない場合には、保存されたデータ又は生物学的材料に関する二次研究は、研究倫理委員会の検討及び承認の後にのみ行うことができる」とされている。これは、同意無しでの出口規制での活用を許容するものと理解できる。今回のヘルシンキ宣言の改正に関して、AI活用を念頭に置くならば、より透明性の担保やデータガバナンス等を求める見解も示されている[8]。
なお、台北宣言に関しては、AIの利用も念頭において、改正に向けた議論がなされており、今後の議論が期待される。
2.2 ICH-GCPの改正
医薬品の開発におけるルールを定めている、ICH-GOOD CLINICAL PRACTICE(GCP)に関しても、2025年E6(R3)ガイドラインの改正がなされた[9]。ICHは日本、EU、米国の三極で協調するための組織であり、ICH-GCPは、医薬品の臨床試験(治験)に関するルールであり、日本では薬機法の下の省令となっている。同ガイドラインの改正点は多岐にわたるが、研究目的とリスクに比例したアプローチをとっていること、インフォームド・コンセントのプロセスを強化するための追加文言があること、データのライフサイクルに即したデータガバナンスに関する記載があること等が改正のポイントとして挙げられる。臨床試験においてインフォームド・コンセントは不可欠であるが、倫理審査に際してはその上で、リスクが研究目的に見合っているかを考慮して審査することとなっている。
2.3 日本の研究倫理指針の改正と個人情報保護
個人情報保護法の改正と並行して、「人を対象とする生命科学・医学系研究に関する倫理指針」の改正も進められる予定である[10]。これは、医療データの活用を進める上で、倫理的な観点からのガバナンスを確立し、透明性を確保することが求められるためである。
同指針は、個人情報保護法の例外に当たる研究領域に関して「上乗せ」でルールを定めているものであるが、個人情報保護法制定以前の医学研究においては、必ずしも個人情報保護法と同様のルールで扱ってはいなかった(「連結可能匿名化」「連結不可能匿名化」でのデータ利用等)。医学に関するデータは一方では機微性が高く要保護性が高いが、一方で公益性が高く人類共通の財産として共有すべきという側面もある。後述する個人情報保護法の改正に合わせた研究倫理指針の改正の議論が求められる。
3.EHDS法における同意規制の論点
EHDS法の採択に際して、医療データの二次利用に関する同意規制は大きな議論を呼んだ。欧州委員会の原案では、匿名化・仮名化されたデータに関しては個人の同意なしに研究や政策立案に活用できる仕組みが提案された。医療界・患者団体等32団体からは同意なしでの制度に賛同する意見も出された[11]。2023年6月の同声明では、データ二次利用の社会的価値に鑑み、EHDSの当初提案に賛同しつつ、オプトアウト制度を効果的に機能させるための具体的な提言がなされている。一方で、欧州議会ではデータ主体の自己決定権をより重視すべきだとする意見も根強く、同意なしにデータが利用されることの適法性や倫理的側面についての懸念もいくつか示された[12]。特に、電子健康記録の二次利用が、データ提供者の明確な意思表示なく行われる点に対して、慎重な議論が求められ、最終的な法案においてもオプトアウトが原則となった。
このように、EHDS法の成立過程では、データ共有のメリット(研究・イノベーションの促進、医療の向上)とプライバシー保護のバランスをどのように取るかが焦点となり、日本の個人情報保護法改正においても同様の課題が存在している。
4.日本におけるデータ関連法制と同意規制の見直し
4.1データ利活用制度・システム検討会
2024年12月26日に第1回の会合が開かれた内閣官房のデジタル行財政改革会議「データ利活用制度・システム検討会」6でも、EHDS法も参考に、医療データ活用のための制度整備が進められている。この検討会では、2025年の夏を目処に、社会起点のデータ共有、個人起点のデータ共有、分野別のデータ利活用、官民でのデータ利活用、アーキテクチャ・システム等の論点について議論をし、 解決すべき課題や必要な取組、担当する行政機関、民間の役割等を整理し、各取組の工程表の策定するものとされている。医療データに関しても、下記の点に議論するものとされている。
- 医療データの利活用により、医療の質の向上(例:診断や治療の迅速化、医療事故の防止、個別化医療の推進)、疾患研究や医薬品開発の加速、ひいては社会全体の健康水準の向上を推進することはできないか。
- そのほか、医療データの利活用として具体的にどのようなユースケースがあるか。
- ヘルスケアデータの特殊性(高いプライバシー性と個別性、社会全体の利益や公共の福祉に資する潜在価値)についてどう考えるか。
- 諸外国におけるヘルスケアデータの利活用の状況と法的な位置付け(例:EUにおけるEHDS 等)はどのような状況か。次世代医療基盤法等、国内における検討状況と検討中の制度の整理、目指す姿の実現に向けた検討課題は何か。
4.2 個人情報保護法の改正と同意規制の見直し
データ利活用制度・システム検討会においては、EHDSも参考にして、データ活用のための特別ルールを定められないかという検討が進められているが、一方で、一般的なルールである個人情報保護法に関しても、いわゆる3年ごとの見直しの一環として、同意規制に関する重要な変更が検討されている。2025年1月22日に公表された「個人情報保護法 いわゆる3年ごと見直しに係る検討の今後の検討の進め方について」では、統計作成や公衆衛生、学術研究を目的とする場合等、一定の条件下で個人の同意なしにデータを利用できる制度の導入が提案された。
この背景には、医療データの高度な活用が求められる中で、従来の「本人同意原則」を適用し続けると、研究や公衆衛生目的でのデータ利用が著しく制限されるという問題がある。例えば、COVID-19のパンデミック時には、医療データの迅速な共有と解析が求められたが、同意取得の手続きが障壁となり、研究や政策決定が遅れる事態が発生した[13]。
こうした課題を踏まえ、一定の条件下で本人関与に即して、同意規制の在り方に関する論点を法改正の論点として示した(下図)。
出典:個人情報保護委員会「個人情報保護法の制度的課題の再整理」https://www.ppc.go.jp/files/pdf/seidotekikadainosaiseiri_r6.pdf
2025年2月5日には、「個人情報保護法の制度的課題に対する考え方(案)」として、1月22日に示された「個人の権利利益への影響という観点も考慮した同意規制の在り方」の論点に関するさらに具体的な内容として、
(1) 統計作成等、特定の個人との対応関係が排斥された一般的・汎用的な分析結果の獲得と利用のみを目的とした取扱いを実施する場合の本人の同意の在り方
(2) 取得の状況からみて本人の意思に反しない取扱いを実施する場合の本人の同意の在り方
(3) 生命等の保護又は公衆衛生の向上等のために個人情報を取り扱う場合の同意取得困難要件
(4) 病院等による学術研究目的での個人情報の取扱いに関する規律の在り方
について示されている[5]。これらはいずれも医療データの利活用に関連する重要な課題と関連している。
(1)について、「統計作成等であると整理できるAI開発等を含む」とされているが、AI学習に関しては、AI規制の動向も踏まえてより詳細なガバナンスのあり方も検討すべきである。ガバナンスに関係しては、「個人データ等が統計情報等の作成にのみ利用されることを担保する観点等から、個人データ等の提供元・提供先及び公開されている要配慮個人情報の取得者における一定の事項(提供元・提供先、取得者の氏名・名称、行おうとする統計作成等の内容等)の公表、統計作成等のみを目的とした提供である旨の書面による提供元・提供先間の合意、提供先及び取得者における目的外利用及び第三者提供の禁止を義務付けることを想定」とされているが、次世代医療基盤法の規律も踏まえ、適切な設定が求められよう。AI学習ではない統計的な情報の利用に関しては、医学教育、医療政策、医学研究等といった様々な局面での活用に関連して重要な検討点である。また、外科学会データベース(NCD)[14]のような民間の準公的なデータベースの適法な運用に向けても重要なポイントとなる。NCDの場合は、「特定の個人との対応関係が排斥された一般的・汎用的な分析結果の獲得と利用」に当たるかは問題となり、後述のように(3)(4)も関連し、統計化はしておらず特定の個人との対応関係も完全に排除されてはいないため本来(1)のスコープにはないものと思われるが、そうした個人単位での分析ではなく、特定個人に影響を与えるのではなく、専門医認定等に用いる場合には、同様の考え方で適法化できる余地があってもよいのではないだろうか。
(2)については、従来の医療介護ガイダンス[15]における「黙示の同意」や「本人に代わって」提供するとされていたものを明確したものと理解できる。ホテルの予約や金融機関の海外送金等の医学関係以外の事例も示されているが、本人の意思に反しないだろうという類型がガイドライン等で明確に示される必要がある。例えば、地域医療連携ネットワークでの情報共有に関しても多くの場合同意が求められることが大きな障害となっていたところ、本改正で同意不要となるのであれば歓迎すべきと考える。
(3)に関しては、個人情報保護法の従来の条文では、生命・身体の保護に関して、および公衆衛生の向上の目的に関して、後者に関しては「特に必要」という要件を加えたうえで、同意取得困難な場合に例外的に同意無しでの利活用が認められている。この条文に関して、さらに同意取得困難要件を緩和するものであって歓迎すべきであるが、追加を検討している「その他の本人の同意を得ないことについて相当の理由があるとき」に関しても、例外規定を用いることに慎重になっている現場において、運用がなされるようなガイドラインの設定と周知等が求められる。一つの理想論としては、EU一般データ保護規則/General Data Protection Regulation(以下GDPR)同様に同意を必ずしも求めないようなルールもあり得ると思われるが、日本版EHDS法のような医療分野の特別法によってさらに手当するということも考えられよう。
(4)に関しては、令和3年改正時に問題となり、個人情報保護委員会のFAQ2-15にて、学術研究機関ではない医療機関での観察研究で、同意取得が困難な場合も、公衆衛生の向上の例外の規定により、同意なしでも実施可能との回答がなされていた[16]。この、病院等も学術研究機関に含めるということで望ましい方向性である。ただし、FAQ2-15で示されていた「一般に、医療機関等における臨床症例を、当該医療機関等における観察研究や診断・治療等の医療技術の向上のために利用することは、当該研究の成果が広く共有・活用されていくことや当該医療機関等を受診する不特定多数の患者に対してより優れた医療サービスを提供できるようになること等により、公衆衛生の向上に特に資するものであると考えられます。また、医療機関等が、本人の転居等により有効な連絡先を保有していない場合や、同意を取得するための時間的余裕や費用等に照らし、本人の同意を得ることにより当該研究の遂行に支障を及ぼすおそれがある場合等には、「本人の同意を得ることが困難であるとき」に該当するものと考えられます」(太字は筆者による)という基準は、学術研究機関での学術研究の場合と合わせるべきという配慮もあってか、かなり緩い基準が示されていたものと思われるが、(3)の「相当な理由」はこれと同じくらいでよいのかに関しては検討が必要である。本項目の対象となる「学術研究」とは何か、ということに関しては、学問の自由との関係でも今後重要な問いとなるかもしれない。ヘルシンキ宣言等にもみられるように「学術研究」に該当しさえすれば緩い基準で取り扱ってもよいというものでも本来はないはずである。上述したNCD等の学会データベースは従来「学術研究目的」ということで例外的にオプトアウトでの運用が通常なされているが[17]、それら学会データベースは、専門医認定等の公益性の高い目的でも使われており、(1)(3)の整備に際しても、こうしたデータベースが適切に位置づけられるよう、期待する。
全体としては、GDPRのlegitimate interest(正当な利益)や、EHDS法における適法な利用目的なども参考にし、適切なガバナンスルールや違反時の罰則規定(課徴金がよいのかはさておき)が求められるものと考えるが、歓迎すべき方向性が示されている。なお、「医学教育」目的のように従来の例外規定に当たらないものの位置づけや、本人の認知機能が低下し同意能力を有さない高齢者のような場合の取り扱いに関してはさらなる検討を進めるべきである。
5.まとめ
日本では、個人情報保護法の改正を通じ、医療データの活用を促進しつつプライバシー保護を強化する枠組みが整備されつつある。この改正は、EHDS法の議論と並行して進められ、同意規制の見直しや研究・公衆衛生目的でのデータ活用を促進する方向が示されている。
EHDS法の当初案は、同意なしの医療データ活用を前提に、出口規制で適正管理する、一つの理想的な仕組みを示していた。しかし、最終的には政治的妥協によりオプトアウト制度が導入され、各国の裁量が拡大した。日本では、EHDS法の初期提案を参考に、単純なオプトアウト制度ではなく、適切なリスク評価に基づいた利用がなされるような出口規制を前提とした同意なしのデータ活用拡大を目指すべきである。
個人情報保護委員会が示した方向性は、統計作成、AI開発、公衆衛生向上、学術研究目的での医療データの同意によらない利用が明確化し、同時に(AI活用に向けた)透明性確保や監査体制の強化も盛り込まれる適切なものである。
医療におけるAI活用を見据えるならば、単に同意に関する入口の規制を緩和するのではなく、診断結果の透明性向上、誤診リスクの監査、バイアス排除、不正利用防止も可能な、出口規制が重要となる。今後は、個人情報保護委員会の改正方針をもとに、適切な出口規制の導入と運用の透明性確保がなされることが鍵となる。
参考文献
[1] 世界医師会「ヘルシンキ宣言」https://www.wma.net/policies-post/wma-declaration-of-helsinki/
[2] 欧州理事会「European Health Data Space: Council adopts new regulation improving cross-border access to EU health data」(2025年1月21日)
[3] 東京財団政策研究所レビュー「European Health Data Space(EHDS)法を踏まえた 個人情報保護法次回改正点への意見」2024年8月
https://www.tkfd.or.jp/research/detail.php?id=4544
[4] 個人情報保護委員会「個人情報保護法 いわゆる3年ごと見直しに係る検討の今後の検討の進め方について」(2025/1/22)https://www.ppc.go.jp/personalinfo/3nengotominaoshi/
[5] 個人情報保護委員会「個人情報保護法の制度的課題に対する考え方(案)について」(2025/2/5) https://www.ppc.go.jp/aboutus/minutes/2024/20250205/
[6] 内閣官房デジタル行財政改革会議 データ利活用制度・システム検討会
https://www.cas.go.jp/jp/seisaku/digital_gyozaikaikaku/index.html
[7] 世界医師会「台北宣言」https://www.wma.net/what-we-do/medical-ethics/declaration-of-taipei/
[8] Shaw, J. A. (2024). The Revised Declaration of Helsinki—Considerations for the Future of Artificial Intelligence in Health and Medical Research. JAMA, 333(1), 26-30.
[9] INTERNATIONAL COUNCIL FOR HARMONISATION OF TECHNICAL REQUIREMENTS FOR PHARMACEUTICALS FOR HUMAN USE(ICH) 「INTERNATIONAL COUNCIL FOR HARMONISATION OF TECHNICAL REQUIREMENTS FOR PHARMACEUTICALS FOR HUMAN USE ICH HARMONISED GUIDELINE FOR GOOD CLINICAL PRACTICE E6(R3)」 (2025/1/6)
https://database.ich.org/sites/default/files/ICH_E6%28R3%29_Step4_FinalGuideline_2025_0106.pdf
[10] 厚生労働省「第1回 生命科学・医学系研究等における個人情報の取扱い等に関する合同会議(厚生科学審議会 医学研究における個人情報の取扱いの在り方に関する専門委員会(第9回))」(2025/2/5) https://www.mhlw.go.jp/stf/newpage_50410.html
[11] Multistakeholder Group. (2023). Enabling effective secondary use of health data in Europe: specific recommendations for a potential opt-out mechanism for the EHDS.
https://cdn.digitaleurope.org/uploads/2023/06/EHDS-statement-multistakeholder-group-6-June-2023.pdf
[12] Staunton, C., et al. (2024). Ethical and social reflections on the proposed European Health Data Space. European Journal of Human Genetics, 32, 498–505.
https://www.nature.com/articles/s41431-024-01543-9
[13] 藤田卓仙「携帯電話関連技術の感染症対策としての今後の活用に向けて」『デジタル技術と感染症対策の未来像』日本評論社、2024
[14] 外科学会データベース(NCD)https://www.ncd.or.jp/
[15] 個人情報保護委員会・厚生労働省「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」(平成29年4月14日(令和6年 12 月一部改正))
[16] 個人情報保護委員会「『個人情報の保護に関する法律についてのガイドライン』 に関するQ&A」https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q2-15
[17] 日本医学会連合『各学会活動における個人情報保護法の取り扱いと配慮について』(2017/10/25)https://www.jmsf.or.jp/uploads/media/2020/02/20200212145757.pdf
-
-
- 主席研究員
- 藤田 卓仙
- 藤田 卓仙
- 研究分野・主な関心領域
-
- 医事法
- 医療政策
- 医療情報
- 医療AI
- 医療データ
- 遠隔医療
-
注目コンテンツ
-
れいわ新選組「消費税ゼロ」の実現可能性を探る- 連載コラム「税の交差点」第71回
れいわ新選組「消費税ゼロ」の実現可能性を探る- 連載コラム「税の交差点」第71回
-
2025年の年金改正のポイント
2025年の年金改正のポイント
-
2025年の日本で気にすべきは、インフレか、それともデフレか -政府はデフレを気にし、日本銀行はインフレを気にしている?-
2025年の日本で気にすべきは、インフレか、それともデフレか -政府はデフレを気にし、日本銀行はインフレを気にしている?-
-
世界インフレ後の経済政策を考える(1)―マクロ経済政策の実践と経済政策思想の現在地―
世界インフレ後の経済政策を考える(1)―マクロ経済政策の実践と経済政策思想の現在地―
-
日本銀行はどのくらい利上げすると債務超過になるのか
日本銀行はどのくらい利上げすると債務超過になるのか
.jpg)
