よむ、つかう、まなぶ。
参考資料3-2 事務局 提出資料 (17 ページ)
出典
| 公開元URL | https://www8.cao.go.jp/kisei-kaikaku/kisei/meeting/wg/2409_04medical/241125/medical03_agenda.html |
| 出典情報 | 規制改革推進会議 健康・医療・介護ワーキング・グループ(第3回 11/25)《内閣府》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
との主張もあった。
※33 GDPRにおいては、第 22 条で、データ主体(the data subject、データ対象者と訳すべきとの意
見もある。
)がもっぱら自動化された取扱い(automated processing)に基づいた決定の対象とされな
い権利を有すると規定されている。GDPR第22条がいう「自動決定」は、法的効果を発生させる
か、又は、当該データ主体に対して同様の重大な影響を及ぼすことが要件とされている。これに対
し、GDPRの第 22 条以外の部分で使用されている「措置又は決定」の概念(例えば前文 162)で
は、
「法的効果を発生させるか、又は、当該データ主体に対して同様の重大な影響を及ぼすこと」
に限定されない。なお、EHDS規則案においては、
「本人に不利益な決定」を禁止しており、こ
こにいう「決定」に当たるためには、法的効果を生み出すか、同様に自然人に重大な影響を与える
必要があるとされているが、今後の動向に注意が必要である。
※34 上記のみならず、必要な範囲を超えて情報を取得される(情報にアクセスされる)ことや、目的
外利用されることが回避すべきリスクとなるとの指摘があった。また、この指摘については、GD
PRにも規定されている通り、措置又は決定に用いないことが目的外利用に当たらないことを前提
とするべきであるとの意見があった。
※35 現行個人情報保護法においては不適正利用が禁止されているが(第 19 条)
、その射程は必ずしも
明確ではないとの指摘があった。
(3)一次利用
(目的、医療等データの範囲、共有先の限定)
○本人の同意がなくとも(※36)
、医療機関等における、本人の診療やケアのために医療等デー
タ(顕名情報)の円滑な取得及び共有を可能とする場合には、本人の権利利益を適切に保護す
るため、前述のような医療分野の特性等に鑑みて、当該医療等データの内容を合理的に必要な
範囲に限定し、また、共有先における適切な安全管理その他のガバナンスの整備等により本人
の権利利益の適切な保護を図る必要があると考えられる。なお、患者自身の意向について、我
が国では、医療機関が数多く、しかも機能分化・連携が進む中で、患者は医療サービスを受診
し、医師にインフォームドコンセントを与える際には、通常、特定の医師以外の医療関係職に
必要な情報が共有されることを当然の前提としているとも考えられるため、この意味でも、第
三者提供ごとに本人の同意を得る必要は必ずしも高くないとも考えられるとの指摘もあった。
なお、医療関係職には多くの場合、刑事罰で守秘義務が課されていることでプライバシー侵害
のリスクをある程度は減少させているとの指摘もあった。
※36 本人の同意取得については、同意によって、医療等データの利用範囲を画することで、本人の権
利保護に資する場合もあるが、一方で、医療分野のような本人と情報の利活用を行う主体との情報
格差又は専門的知見等の能力の格差が大きい場合には、同意のプロセスによっても、本人が十分に
理解して真に自己決定ができるとは限らないこと(特に子供や高齢者等)
、一度同意が行われても
必ずしも意に沿わないデータ利用がされる可能性があることについて指摘があった。
(利用停止請求)
○一方で、患者にとっては、一定の既往歴(※37)など特定された医療等データについて、特定
又は不特定の医師や医療機関等への第三者提供を希望しないことも考えられる。特に、当該患
者が特定の医師等を十分に信頼しておらず、又は特定の医師のみを信頼し、その範囲で医療サ
ービスを受けたいという希望を有する場合などが想定される。このため、例えば、第三者提供
を特定又は不特定の医療機関に対して希望しない患者の意思が示される場合には、原則として、
17
※33 GDPRにおいては、第 22 条で、データ主体(the data subject、データ対象者と訳すべきとの意
見もある。
)がもっぱら自動化された取扱い(automated processing)に基づいた決定の対象とされな
い権利を有すると規定されている。GDPR第22条がいう「自動決定」は、法的効果を発生させる
か、又は、当該データ主体に対して同様の重大な影響を及ぼすことが要件とされている。これに対
し、GDPRの第 22 条以外の部分で使用されている「措置又は決定」の概念(例えば前文 162)で
は、
「法的効果を発生させるか、又は、当該データ主体に対して同様の重大な影響を及ぼすこと」
に限定されない。なお、EHDS規則案においては、
「本人に不利益な決定」を禁止しており、こ
こにいう「決定」に当たるためには、法的効果を生み出すか、同様に自然人に重大な影響を与える
必要があるとされているが、今後の動向に注意が必要である。
※34 上記のみならず、必要な範囲を超えて情報を取得される(情報にアクセスされる)ことや、目的
外利用されることが回避すべきリスクとなるとの指摘があった。また、この指摘については、GD
PRにも規定されている通り、措置又は決定に用いないことが目的外利用に当たらないことを前提
とするべきであるとの意見があった。
※35 現行個人情報保護法においては不適正利用が禁止されているが(第 19 条)
、その射程は必ずしも
明確ではないとの指摘があった。
(3)一次利用
(目的、医療等データの範囲、共有先の限定)
○本人の同意がなくとも(※36)
、医療機関等における、本人の診療やケアのために医療等デー
タ(顕名情報)の円滑な取得及び共有を可能とする場合には、本人の権利利益を適切に保護す
るため、前述のような医療分野の特性等に鑑みて、当該医療等データの内容を合理的に必要な
範囲に限定し、また、共有先における適切な安全管理その他のガバナンスの整備等により本人
の権利利益の適切な保護を図る必要があると考えられる。なお、患者自身の意向について、我
が国では、医療機関が数多く、しかも機能分化・連携が進む中で、患者は医療サービスを受診
し、医師にインフォームドコンセントを与える際には、通常、特定の医師以外の医療関係職に
必要な情報が共有されることを当然の前提としているとも考えられるため、この意味でも、第
三者提供ごとに本人の同意を得る必要は必ずしも高くないとも考えられるとの指摘もあった。
なお、医療関係職には多くの場合、刑事罰で守秘義務が課されていることでプライバシー侵害
のリスクをある程度は減少させているとの指摘もあった。
※36 本人の同意取得については、同意によって、医療等データの利用範囲を画することで、本人の権
利保護に資する場合もあるが、一方で、医療分野のような本人と情報の利活用を行う主体との情報
格差又は専門的知見等の能力の格差が大きい場合には、同意のプロセスによっても、本人が十分に
理解して真に自己決定ができるとは限らないこと(特に子供や高齢者等)
、一度同意が行われても
必ずしも意に沿わないデータ利用がされる可能性があることについて指摘があった。
(利用停止請求)
○一方で、患者にとっては、一定の既往歴(※37)など特定された医療等データについて、特定
又は不特定の医師や医療機関等への第三者提供を希望しないことも考えられる。特に、当該患
者が特定の医師等を十分に信頼しておらず、又は特定の医師のみを信頼し、その範囲で医療サ
ービスを受けたいという希望を有する場合などが想定される。このため、例えば、第三者提供
を特定又は不特定の医療機関に対して希望しない患者の意思が示される場合には、原則として、
17