No.116/令和3年改正個人情報保護法と 「医療機器メーカーへの手術動画の提供」事案の問題点について(その1)
Table of Contents
No.116/2023.2.1発行
弁護士 福﨑 龍馬
令和3年改正個人情報保護法と
「医療機器メーカーへの手術動画の提供」事案の問題点について(その1)
1.はじめに
2022年(令和4年)5月頃、複数の報道により、全国の総合病院などに勤務する多数の眼科医が、白内障手術を施す様子を撮影した動画を、患者や勤務先に無断で医療機器メーカー「スター・ジャパン」に繰り返し提供し、当該医師が報酬を得ていたことが明らかとなりました。その後の報道では、「医療機器メーカーが、全国の複数の眼科医から自社のレンズを使った手術の動画の提供を受け、現金を支払っていた問題で、会社が現金を提供した医師は合わせて75人に上り、総額は2000万円を超えることが分か」ったとのことです。また、業界団体の医療機器業公正取引協議会は、動画は医師に現金を提供するための名目で、実際には、販売促進が目的だったと認定し、当該医療機器メーカーに対して、最も重い「厳重警告」処分を行ったようです(令和4年7月13日NHKニュース記事。以下「本件事案」といいます。)。 医療機器業の業界団体の規約にも反する不正取引行為と認定されていますが、本件事案では、個人情報保護法の問題も指摘されていました。そして、個人情報保護委員会は、令和4年11月2日、(当該眼科医が所属する)複数の医療機関に対し、個人情報保護法に基づく行政指導を行い、当該行政指導の内容につき、「手術動画提供事案に対する個人情報の保護に関する法律に基づく行政上の対応について」というタイトルで、行政指導の内容を公表しました(「以下「行政指導公表書面」といいます。」)。さらに、本事案に関連して、全国の医療機関に向けて、医療機関における個人情報取扱い上の注意点を取りまとめた「『医療機関における個人情報の取り扱い』に関する注意喚起」と題する書面(以下「注意喚起書面」といいます。)も公表しました。この行政指導公表書面と注意喚起書面の内容は、医療機関における今後の個人情報管理にあたり大変重要かつ有益なものと思われますので、この内容について検討・解説したいと思います。 また、個人情報保護法は、令和3年に大規模な改正が行われており(令和4年4月施行)、この令和3年改正も、本件事案を検討するうえで重要であり、かつ、今後の医療機関の個人情報の管理にも大きな影響を与えるものと思われます。そこで、本稿では、令和3年改正の内容を踏まえながら、3回に分けて、本件事案の個人情報保護法上の問題点を検討していきたいと思います。
2.令和3年改正個人情報保護法について
(1)個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法の3本の法律を1本に統合(下記①)
令和3年改正の概要は、下記の図の通りであり、①~④の4点の改正がなされています。医療機関への影響という観点で、各改正項目を説明すると、まず①については、同じ病院の業務であるにもかかわらず、これまでは、国立大学病院(長崎で言えば、長崎大学病院)、独立行政法人(長崎で言えば、長崎医療センター・長崎労災病院等)の場合は‶独立行政法人等個人情報保護法”が適用され、また、私立大学附属病院・民間の病院等では‶旧個人情報保護法”が適用されて、地方独立行政法人(長崎で言えば、長崎みなとメディカルセンター・佐世保市総合医療センター等)はそれぞれ定める‶個人情報保護条例”によって規制されることになっていました。 すなわちこれまで、日本の個人情報保護法制は、同じような事業を行っている主体であるにもかかわらず、法人の種類の違いによって法令の適用が異なり、かなり複雑な制度となっていました。このような規制の不均衡・不整合がデータ利活用の支障となる事例が顕在化したことから、公的部門・民間部門の別を問わない新たな制度として、下記①のように改正されました。
(2)国公立の病院、大学等には原則、民間の病院、大学等と同等の規律適用(下記②)
上記①の改正に関連していますが、国公立の病院、大学等には、原則として、民間の病院、大学等と同等の規律が適用されることとなりました。長崎でいえば、長崎大学病院と、民間の病院が、医療目的で患者情報を共有するに際しては、個人情報の扱いに関する規律が異なっており、ルールが複雑になっていました。そのため、医療・学術分野については、国立の病院・大学等については、民間の病院・大学等と同等の規律を適用するようになりました。
(3)学術研究分野における一律の適用除外廃止及び、義務ごとの例外規定として精緻化(下記③)
旧個人情報保護法では、学術研究機関等に対して、憲法上の学問の自由への配慮として、規制のほとんどが免除されていました(行政機関・独立行政法人等個人情報保護法では、もともと一律の適用除外はなかったため、規制のほとんどが免除されていたのは、民間の学術研究機関等のみとなります。また、医学系研究に関しては、厳格な医学系研究に関する倫理指針等が制定されているため、医療関係者の方には、学術研究だからといって規制が免除されているという認識はないかもしれません。)。しかし、EUのデータ保護法であるGDPRの要請を満たす必要等もあり、学術研究機関等だからといって一律に規制を適用除外とするのは廃止され、学術研究目的での個人情報の利用が許容される場合(例外規定)のルールが詳細に規定されました。例外規定のうち、特に第三者提供が許容される場合に関するルールが本件事案との関係で重要です。これについては本稿(その2)の3(2)で解説します。
(4)個人情報の定義等を国・民間・地方で統一、行政機関等匿名加工情報の取扱いの明確化(下記④)
④は、民間部門と公的部門で異なっていた個人情報・匿名加工情報の定義を統一した改正です。
(個人情報保護委員会「令和3年改正個人情報保護法について(令和4年1月26日)」より)