電子化された医療情報の利活用のためのルールの検討
匿名化について Pari PI 10 No.01
佐藤 智晶
政策ビジョン研究センター特任助教
サマリー
電子化された医療情報の利活用によって不利益を被りたくない、という患者の当然の期待に応える一方、新たな治療法の発見、医療の質の向上、医療の効率化、エビデンスに基づいた研究開発、そして医療政策決定への応用という大きな利益を国民が享受できるようにするためには、少なくとも個人情報の保護に関する法律等の関係する法律に基づいて、必要十分な匿名化の方法と同意取得の手続きを早急に確立する必要がある。
1.はじめに
2.原則としての利用目的と第三者提供の制限
3.匿名化(De-identification, or at least pseudonymisation for anonymisation)
(1)匿名化とは
(2)コンテクストに依存する匿名化
(3)匿名化とコンテクスト
(4)匿名化と同意の組み合わせ
4.結論
1.はじめに
医療情報の利活用は、世界的に注目を集めている課題である。例えば、米国では患者本人の利益のために医療IT化戦略と電子診療情報(クリニカルデータ)の利活用が進められている。最近、米国では医療保険制度改革の法案が連邦議会で可決成立し、より多くの国民に医療へのアクセスが拡大されることになった。そして、関連法案である米国再生・再投資法(American Recovery and Reinvestment Act, ARRA)には、医療安全、医師患者関係の向上、そして医療の効率化のための電子カルテの導入とクリニカルデータの利活用を支援する予算が盛り込まれている(see, e.g., The White House, Vice President Biden Announces Availability of Nearly $1.2 Billion in Grants to Help Hospitals and Doctors Use Electronic Health , August 20, 2009)。要するに、米国では電子化された医療情報を上手に利活用することによって、医療の質、医療へのアクセス、そして医療のコストの間のバランスをとる試みがはじまっているのである。
英国やドイツなどの欧州諸国でも、クリニカルデータの利活用に対する関心は高い。英国では、NHSという公的医療システムによってプライマリー・ケアーの段階からほぼ全人口をカバーする質の高いデータが集積され、各医療機関での利活用が進みつつある(see, e.g., NHS Information Center, Our Role)。また、欧州では、古いEC指令の影響で容易ではないものの、契約に基づいて第三者機関にクリニカルデータの処理と管理を委託し、不正アクセスとデータの不適切な利用を制限することによって、複数の医療機関の間で、とりわけ国家の垣根を越えてデータの利活用が進められている(See, e.g., Advancing Clinico Genomic Trials on Cancer, ACGT)。
わが国も、諸外国の例外ではない。クリニカルデータなどの電子化された医療情報を利活用することは、少子高齢化とともに医療費が今後さらに増大すると予想されているわが国にとって、国民により安全で効果的な医療を持続的に提供するために、極めて重要な課題の1つである。平成13年12月26日に「保健医療分野の情報化にむけてのグランドデザイン」が策定されてから、医療機関における情報化は進んだ。そして、すでに蓄積されているクリニカルデータを活用することで、医療の質の向上、医療の効率化、エビデンスに基づいた研究開発、そして医療政策決定への応用などが期待されている。しかしながら、診療以外の目的で医療情報を利活用することは、 患者にとっては懸念材料の1つとも言える。医療情報の電子化は、不正利用などによって万が一データが暴露された場合には、甚大な被害を発生させる可能性がある(例えば、中安一幸「ユビキタス社会と医療」ジュリスト1361号(2008)88、95−96頁を参照)。すなわち、本来診療のために利用されるはずの情報、とりわけ病名等のセンスティヴな情報が担当医療チーム以外の者によって不適切に扱われるのではないか、場合によっては病名等のセンスティヴな情報が医療機関の外に漏洩して重大な不利益をこうむるのではないか、という懸念が患者にはある。極端ではあるが、自分の既往歴に関連する情報が何らかの理由で漏洩し、誰かに売買されるような事例(「「病人リスト」で名誉棄損容疑、販売業者を書類送検へ−−埼玉県警」毎日新聞東京朝刊2000年5月20日社会面29頁);「病歴つき名簿の購入自粛を指示 厚生省、薬局などに」朝日新聞朝刊1999年12月02日社会面2頁; 「「病名付き病人リスト 関東の280人分を販売−−厚生省が調査へ」毎日新聞東京夕刊1999年11月30日社会面8頁)を想像すれば、このような懸念はより身近なものとなるだろう。
問題は、このような懸念を解消、少なくとも緩和して国民の信頼を生み出すことができるかどうかである。これは、電子化された医療情報の保護と利活用のバランスのとり方の問題、と言い換えることができる。すなわち、電子化された医療情報の適切な利活用に加えて、個人情報が漏洩した場合の対応策が透明性のある制度によって担保されないならば、患者はもちろんのこと、利活用について国民全体から十分な理解を得ることができず、結局のところ利活用は進まない。また、医療従事者をはじめとする利活用する側としても、不測の事態が生じた場合の対応や責任が不明確では、利活用に踏み出すことはできない。
本稿では、医療情報の利活用によって不利益を被りたくない、という患者の当然の期待に応えることが必要不可欠であるという前提に立って、電子化された医療情報の保護と利活用のバランスをとるために検討すべき最も基礎的な事項の1つとして、「匿名化」に関するルールについて検討する。
2.原則としての利用目的と第三者提供の制限
個人識別可能な医療情報は、その漏洩によって不名誉、うしろめたさ、場合によっては差別まで生む可能性がある点で(Institute of Medicine, Beyond HIPAA Privacy Rule 18 (2009))、氏名、生年月日、性別、そして住所のような他の一般的な情報とは一線を画する(いわゆる住基ネット訴訟、最高裁判決最高裁第1小法廷平成20年3月6日判決・裁時1455号2頁で争いになった情報は、上記4情報に住民票コードと変更情報を加えたものに過ぎず、人の名誉や信用にもかかわる個人識別可能な医療情報とは秘匿性を異にする)。そのため、EC指令によれば、個人情報のなかでも医療に関する情報(data concerning health)は原則として利用禁止とされている。すなわち、医療に関する情報は、患者本人に重大な利益(vital interest of the data subject)がある場合には同意を得て利用することができ、そうでない場合には重大な公共の利益を理由とするのでなければ利用できない(同意を獲得すればそれだけで利用可能、というわけではない点に注意されたい)(以上、ARTICLE 29 Data Protection Working Party, Working Document 131 on the processing of personal data relating to health in electronic health records (EHR) (Feb. 15, 2007) at p. 9-13)。
個人識別可能な医療情報は、わが国でもそのままでは利活用が制限される。個人情報の保護に関する法律と医療分野におけるガイドラインによれば(厚生労働省「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」(平成16年12月24日、平成18年4月21日改正)6−7頁)(以下、「医療情報ガイドライン」と記載する)、個人識別可能な情報の目的外利用や個人データの第三者提供の場合には、原則として本人の同意を得なければならない(患者自身に対する医療サーヴィスの提供、医療保健事務、そして入退院等の病棟管理のための個人情報の利用を除く)。また、情報の機微性に応じた個人情報の管理の明確化については、経済産業省・パーソナル情報研究会「個人と連結可能な情報の保護と利用のために」(2008)21?23頁ですでに指摘されている。
ちなみに、個人情報とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう(個人情報の保護に関する法律(平成15年5月30日法律第57号、最終改正平成21年6月5日法律第49号)2条1項)。
3.匿名化(De-identification, or at least pseudonymisation for anonymisation)
先に説明したとおり、個人情報の保護に関する法律によれば、個人識別可能な医療情報は利用目的と第三者提供の制限を受ける。逆に言えば、個人識別可能なデータを含まない医療情報であれば、患者に不利益を被らせることなく利活用することができる、ということである。例えば、2011年度までにナショナル・データベースとして構築される予定の電子レセプトデータは、個人情報を含まないものとされる(厚生労働省医薬食品局安全対策課「第4回医薬品の安全対策等における医療関係データベースの活用方策に関する懇談会」(2010年2月15日)資料2の提言案2頁を参照)。
しかしながら、一般的な電子カルテのように個人識別可能なデータを含む医療情報の場合には、そのままでは利活用することができない。そのため、個人識別可能な医療情報の利活用のためには、個人特定を不可能にするための措置、いわゆる「匿名化」を施すことになる。では、匿名化とは何を意味するのか。以下で詳しく検討する。
(1)匿名化とは
匿名化とは、一般的には個人情報から当該情報に含まれる氏名、生年月日、住所等、個人を識別する情報を取り除くことで、特定の個人を識別できないようにすることをいう。ただし、匿名化という意味は、実のところ難しい。誰が匿名化し、個人情報の保護に関する法律に基づいて匿名化が施されていることを誰がどのようにして確認、保証すれば必要十分なのか。このような問題は、すでに厚生労働省の医療情報ネットワーク基盤検討作業班によって指摘されている(医政局研究開発振興課医療機器・情報室「第21回医療情報ネットワーク基盤検討会」(2009年2月13日)資料4の「個人に医療情報を提供する際の医療機関等においてなされるべき配慮及び医療情報を公益のために利用する際に検討すべき事項」を参照)。
(2)コンテクストに依存する匿名化
「匿名化」で重要なのは、適切な方法がさまざまなコンテクストに依存し、個人が特定されるリスクを完全に除去することは極めて難しい、という点である。医療情報ガイドラインによれば、匿名化にあたっては、当該情報の利用目的や利用者等を勘案した処理を行う必要があり、あわせて、患者の同意を得るなどの対応も考慮する必要があるという。次に、情報の利用目的や利用者等について具体的に検討する。
(3)匿名化とコンテクスト
匿名化の方法には、氏名、住所、郵便番号、そして誕生日などの情報の除去、属性をあいまいにする情報の付加、または乱数表などによって作成された対応コードの利用など、さまざまなものが考えられるが、医療情報の利用目的、利用主体、利用の方法などによって採用すべき方法は異なってくる。以下は利用目的リストであるが、当然ながら利用される医療情報の個人識別性の度合いは、それぞれに異なる。利用目的になかには、経済性評価のように個人識別性を必要としない利用目的がある一方、副作用監視のように個人識別性を帯びやすいものもある。
Source: European Federation of Pharmaceutical Industries & Associations, Primary & Secondary Use of EHR Systems (2007)(3.臨床試験の遂行と10.市販後調査のための利用が高度な利用とされる).
また、個人が特定されるリスクは、データを利用する人が患者の特別な属性を知っているかに依存し、他の人はそうでなくてもデータを作成した医療機関の者ならば、容易に個人識別できる可能性がある。また、1度きりのデータ利用であるか、それともデータ利用が繰り返されるかによっても、個人が特定されるリスクは違ってくる場合がある。逆に、仮に対応コードによって個人情報と連結可能なデータであっても、乱数表などによって作成された対応コードへのアクセスが適切に制限されていれば、その対応コードにアクセスできない者にとっては、そのデータについて個人識別することは不可能に等しい。わが国でも、個人IDや乱数表などによって作成された対応コードへのアクセスを制限するという方法で、匿名化が施された例はある。例えば、独立行政法人・医薬品医療機器総合機構・安全部調査分析課「電子保存された診療録等を用いた医薬品の安全性に関する調査報告書」(2009年3月)8頁; 内閣府情報公開・個人情報保護審査会平成18年9月1日答申(平成18年度[独個]答申第3号); 宇賀克也「個人情報保護の理論と実務」(有斐閣・2009)156−157頁を参照されたい。
要するに、匿名化と一口にいっても、個人が特定されるリスクは、データの利用目的、データを利用する者、データの利用方法によっても異なるため、誰によって匿名化されたデータを、誰が何のためにどのように利用する場合の個人識別可能性なのかが問題になる、ということである(See, e.g., NHS Connecting for Health, Guidance on De-identification (Final version 1.0, Nov. 20, 2009))。
このように、「匿名化」といっても医療情報の利用目的、利用主体(医療機関内部のみの利用、複数の医療機関、その他の機関または個人)、利用の方法(1度きりの利用、複数回の利用、外部保存の有無、第三者提供の有無)などに照らして講ずるべき措置が異なる。もし、コンテクストごとに匿名化の方法、または、匿名化されていることを確認するための手続きがより具体化されれば、個人情報を保護しながらデータを利活用する可能性が開かれる。
(4)匿名化と同意の組み合わせ
匿名化だけに頼るのではなく、コンテクストによっては匿名化と患者本人の同意を組み合わせて利用する方法や、統計学に基づいて個人識別される可能性が極めて低いことを確認する、という方法も検討に値する。同意については、患者が将来の利活用について事前に同意する可能性と、利用目的を変更した場合の事後な同意取得ルールが極めて重要になる。このように、匿名化と患者本人の同意を組み合わせて利用する場合には、患者の同意を促すために一部の個人情報だけを特別に隠したい旨の希望に応えるような、より柔軟なルールが必要になるだろう(see, e.g., Melissa M. Goldstein, Alison L. Rein, Penelope P. Hughes, Consumer Consent Options For Electronic Health Information Exchange: Policy Considerations and Analysis, (Department of Health Policy, George Washington University, Mar. 23, 2010)。
もちろん、患者の懸念を払拭するためには、個人識別可能な医療情報を匿名化できず、患者本人から利活用について同意を得ることが困難な場合についても問題となる。例えば、個人情報の保護に関する法律(16条3項3号・23条1項3号)によれば、少なくとも「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき」には、利用目的の制限と第三者提供の制限の例外とされているからである(他の例外としては、法令に基づく場合、人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき、国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき、の3つの場合が認められている)。
しかしながら、コンテクストごとに匿名化の方法、または、匿名化されていることを確認するための手続きを具体化しなければ、個人情報の保護に関する法律上の例外規定が適用される場合を議論すること自体、本当は難しい。個人情報の保護に関する法律を参照しても、利用目的の制限と第三者提供の制限の例外の要件を満たす場合は、必ずしも明らかではない(樋口範雄「医療と法を考える−救急車と正義」(有斐閣・2007年)192−93頁)。そうすると、まずは匿名化、匿名化と患者本人の同意を組み合わせて利用する方法、そして統計学に基づいて個人識別される可能性が極めて低いことを確認する、という方法を模索しないことには、本来例外規定に頼る必要がない場合にまで議論が拡散してしまうおそれがある。より喫緊の課題は、コンテクストごとに匿名化の方法、または、匿名化されていることを確認するための手続きを、より具体化することと思われる。
4.結論
個人識別可能な医療情報は、その漏洩によって不名誉、うしろめたさ、場合によっては差別まで生む可能性があることから、電子化された医療情報の利活用によって不利益を被りたくない、という期待は、患者にとって当然のものである。そこで、新たな治療法の発見、医療の質の向上、医療の効率化、エビデンスに基づいた研究開発、そして医療政策決定への応用という大きな利益を国民が享受できるようにするためには、少なくとも個人情報の保護に関する法律等の関係する法律に基づいて、必要十分な匿名化の方法と同意取得の手続きを早急に確立する必要がある。
なお、本ペーパーは、政策ビジョン研究センターの組織的な見解ではなく、著者の責任によるものである。