第664号コラム:江原 悠介 理事(PwCあらた有限責任監査法人 システム・プロセス・アシュアランス部 シニアマネージャー)
題:「民間PHR事業者による健診等情報の取扱いに関する基本的指針の公表について」

既にご存知のかたもいらっしゃるかもしれませんが、2021年4月下旬に、厚生労働省・経済産業省・総務省の3省共同名義で「民間PHR事業者による健診等情報の取扱いに関する基本的指針」というガイドラインが公表されています。

このガイドラインは厚生労働省の健診等情報利活用ワーキンググループの協議結果に基づき策定されたもので、「個人がマイナポータル API 等を活用して入手可能な健康診断等の情報」、「医療機関等から個人に提供され、個人が自ら入力する情報」、「個人が自ら測定又は記録を行うものであって、医療機関等に提供する情報」を民間事業者が取り扱う場合に準拠すべき指針とされています。

内容としては個人情報保護法をベースにしたもののため、比較的理解しやすいものとなっています。また、当今のデータコンプライアンスの動向も勘案され、事業者はガイドラインに基づく取組内容を別添のチェックシート等に基づき対外的に公開することが求められています。

これは、2020年8月に改定された、経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」で求められるリスクコミュニケーション、つまり医療機関等/情報処理事業者間の合意形成に向けた対外的な情報発信の重要性がフォーカスされたことと同じ文脈にあります。

経済産業省・総務省安全管理ガイドラインは、医療等の従事者が患者診療やケアの方針を決定するために確認等するデータ、つまりEHRがターゲットになります。それと同等のステークホルダーコミュニケーション(透明性の確保)が、個人が主に管理するPHRを取り扱う事業者にも求められるようになっています。

また、医療機関等の主管・責任から離れたEHR(例えば個人が開示申請を行い、医療機関等から個人の手に渡された医療データ等)は現行の経済産業省・総務省安全管理ガイドラインの適用対象外となっており、今回の基本的な指針はこうした範囲をカバーするものとしても策定されているものでもあります。

但し、いわゆる<PHR>全般をカバーするものではない点には留意が必要です。医療等従事者が患者診療の方針決定等に利用せず、純粋に個人が健康管理目的で保有するPHRはこの基本的指針の対象外です。個人の健康管理目的で提供されているサービスにもかかわらず、患者が勝手に利用用途を誤り、医療従事者に見せた場合のPHRも同様です。こうしたPHRは従前同様、個人情報保護法の範疇で管理される必要があります。一方、医療情報システムとデータインターフェイスを持ち、医療従事者が患者診療に際して参考にすることを前提としたPHRサービスは3省2ガイドラインの適用範囲に含まれることになります。

つまり、PHRと一口にいっても、そのサービス設計や運用状況によって、準拠すべきガイドライン・指針等が異なってくるのです。非常に分かりづらいですが、ポイントとしては、医療等従事者が患者に対して医学的な診断・判断等を行う際に参考とする情報(医療等行為の信頼性を保証する根拠データ)なのか否かが見極めに際した着眼点です。

現在、国内のヘルスケア・メディカル分野ではデジタルトランスフォーメーションの号令のもと、今までデッドデータ化していた個人の医療・介護データ、健康データ等を利活用したデータプラットフォーム、あるいはそれに類するサービスが様々に検討・展開されている状況です。こうしたサービス類はスケールアウトに際して様々な機能やオプションを含み、ターゲットにするデータやユーザを拡大していくものです。ただし、ヘルスケア・メディカル分野のデータを取り扱う場合は、サービスの設計・運用状況(どんなサービスとして設計しているのか、及びどのようなデータをどのような目的で取り扱うのか)によって、充足すべきデータコンプライアンスが異なってくるため、過剰/過小な対応に陥る可能性も否めません。今後(だけではないと思いますが)、ヘルスケア・メディカル分野のデータビジネスを検討する事業者においては、サービスの設計・企画時点である程度のスケールアウトを意識したうえで、事前に取り込むべきデータコンプライアンスの見極めを行うことが重要になっていくでしょう。

【著作権は、江原氏に属します】