No.117/令和3年改正個人情報保護法と 「医療機器メーカーへの手術動画の提供」事案の問題点について(その2)
Table of Contents
No.117/2023.2.1発行
弁護士 福﨑 龍馬
令和3年改正個人情報保護法と
「医療機器メーカーへの手術動画の提供」事案の問題点について(その2)
3.本件事案について
(1)個人情報とは
ア 個人情報保護法の規定の内容
個人情報とは、簡単に述べると、「①生存する(生存者性)、②個人に関する情報であって、③特定の個人を識別し得るもの(個人識別性)」という3要件全てを満たすもの(又は個人識別符号)をいいます。 例えば、死者の情報については、遺族への配慮等、取扱いに注意を要するのは当然ですが、個人情報保護法上の「個人情報」には該当せず、個人情報保護法上のルールは適用されません。また、メールアドレス等は、「個人識別性」がないため個人情報には当たらないとされています(ただし、「fukuzaki-ryoma@example.com」等、メールアドレスの記述自体から、特定の個人を識別できる場合は「個人情報」に該当する可能性があります。)。 また、この個人識別性については、「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」(照合容易性)であれば良いとされています。すなわち、問題となっている情報が単体では、誰の情報か分からなくても、容易に他の情報と照合でき、それにより誰のものか分かるのであれば、個人識別性は認められます(例えば、大学が保有する、「受験生の受験番号一覧表」は、それだけでは誰の情報か分かりませんが、学校内部では当然、照合し特定の個人を識別できるでしょうから、個人情報に該当します。)。
イ 本件事案について
令和4年11月2日付注意喚起書面では、「本件事案において、医療機関が医療機器メーカーに提供した手術動画は、診療録や手術記録等(以下「診療記録等」という。)と容易に照合することができ、それにより特定の個人(患者)を識別できるものであった。このため、医療機関において、手術動画は、『個人情報』に該当する。」と述べられています。本件の白内障手術の動画は、おそらく、その動画を見ただけでは、誰か良く分からないものだったのではないかと思います。しかし、そうであったとしても、他の診療記録等と一緒に保管されていて、容易に照合のうえ、どの患者の情報か分かるでしょうから、個人情報に該当する、という判断を示しているものと思います。 また、一部の医療機関は、手術動画を提供する前に事前に、個人を特定できる情報を削除していたようです。しかし、(個人情報保護法上の匿名加工のルールを履践せずに、)個人を特定できる情報を削除したとしても、照合容易性は失われず、個人情報のままである、と考えられています。この点は、後記(3)で述べますが、個人情報保護法上の匿名加工情報の手続きを履践しなければ、個人を特定できる情報を削除したとしても、個人情報保護法上のルールを免れることはできませんので、注意が必要です。
(2)第三者提供の例外規定(学術研究機関等)
ア 学術研究に係る第三者提供の例外規定の3類型
手術動画は個人情報(厳密には「個人データ」)に当たる以上、患者本人の同意なしで第三者提供が許容されるには、個人情報保護法27条の例外規定の要件を満たす必要があります。令和3年改正により、下記例外規定(ア)から(ウ)の3類型の学術研究に係る例外規定が設けられました(以下「例外規定(ア)~(ウ)」といいます。)。簡単に述べると、例外規定(ア)は学術研究機関等が、個人情報を第三者提供する場合、例外規定(イ)は学術研究機関等が、共同研究を行う第三者に個人情報を提供する場合、例外規定(ウ)は個人情報を取り扱う事業者が、学術研究機関等に個人情報を提供する場合、を定めています。旧個人情報保護法では、学術機関であれば、一律に適用除外でしたが、令和3年改正により、個別に精密な例外規定の検討が必要となりました。 本件事案においては、医療機器メーカーが「学術研究機関等」であるのであれば、下記例外規定(ウ)により、手術動画の提供が適法となり得ます。そこで、そもそも「学術研究機関等」とは何かが問題となります。
【例外規定(ア)】当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)。(個人情報保護法27条1項5号)
【例外規定(イ)】当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データを学術研究目的で提供する必要があるとき(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該第三者が共同して学術研究を行う場合に限る。)。(個人情報保護法27条1項6号)
【例外規定(ウ)】当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。(個人情報保護法27条1項7号)
イ 「学術研究機関等」の定義
個人情報保護法16条8項において「「学術研究機関等」とは、大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者をいう。」と定められています。文言だけでは、判断が難しいところです。医療機器メーカーも、新しい医療機器の開発のために日夜、研究を重ねているでしょうから、素朴な疑問として、研究をする機関ではないか?と思われるかもしれません。しかし、個人情報保護法上の学術研究機関等は、かなり制限的に解釈されています。すなわち、「国立・私立大学、公益法人等の研究所など学術研究を主たる目的として活動する機関」や「学会」をいい、民間団体付属の研究機関等における研究活動も、当該機関が学術研究を主たる目的としていれば「学術研究機関等」に該当する一方、当該機関が単に製品開発を目的としていれば該当せず、製品開発と学術研究の目的が併存している場合には、主たる目的により判断する(通則GL2-18)。このような基準に照らすと、「民間企業の一部門として存在する研究機関」は、「学術研究機関等」には通常は該当し難い。」(岡村久道著『個人情報保護法〔第4版〕』204頁)とされています。民間企業においては、やはり主たる目的は製品開発となってしまうでしょうから(製品開発のための研究)、民間の営利企業等が個人情報保護法上の「学術研究機関等」とされるのはかなりハードルが高そうです。
ウ 本件事案における例外規定(ウ)の適用の可否
注意喚起書面においても「なお、一般的に医療機器メーカーは、学術研究を主たる目的とするものではないことから、「学術研究機関等」には該当せず、本件事案について、法第27条第1項第7号(※例外規定(ウ))の例外には該当しないため、留意が必要である。」と述べて、例外規定(ウ)が適用されないとしています。
エ 本件事案における例外規定(ア)の適用の可否
本件事案においては、全国60の医療機関の所属する医師が医療機器メーカーに手術動画等を提供したものであり、その中には大学病院や学会に所属する医師も多数いたものと思われます。それにもかかわらず、例外規定(ア)により、手術動画の提供が適法とならなかったのは、「当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき」という要件を満たさなかったからではないかと思われます。すなわち、本件事案においても、大学病院や学会に所属する医師等であれば、例外規定(ア)により手術動画の提供が適法となり得たはずだったのですが、報道によると「この問題で医療機器メーカーの業界で作る「医療機器業公正取引協議会」は13日会見を開き、調査の結果、会社が現金を提供した医師は4年前からこれまでに75人で総額は2145万円に上ることを明らかにしました。医師から提供を受けた手術の動画は117本に上りますが、相当数が一度も利用されず、会社としての管理も行われていなかったということです。動画の提供を受ける目的について、契約書類には学術資料などと記載されていますが、これらの契約は社内では「ビデオキャンペーン」と呼ばれ、内部資料にはレンズの売上げ確保を目的としていることが明記されているということです。」(令和4年7月13日NHKニュース記事)とされています。このような事情があったため、「学術研究の成果の公表又は教授のためやむを得ないとき」という要件を満たすとは認めがたい事案であったことが推測されます。
(3)匿名加工情報
また、本件事案では、動画の中では患者を特定できないよう削除しているため、個人情報の漏洩には当たらない、という回答をした病院もあったそうです(このように認識されている事業者さんは多いように思います。)。しかし、前述の通り、照合容易性がある以上(カルテ等と照合したら個人を特定できる。)、個人情報に該当し得ますので注意が必要です。仮に、個人を識別できないよう加工して、第三者提供を比較的自由に行いたい場合は、個人情報保護法上制度化されている匿名加工情報を利用する必要があります。個人情報保護法上の匿名加工情報は、一回、個人情報を削除して匿名化した情報を、再度、他の情報と照合して個人を識別することが法的に禁止されており(個人情報保護法43条5項)、そのため、‶照合容易性も失われて、個人情報ではなくなる”という理屈により、本人の事前同意なく第三者提供・目的外利用等が個人情報保護法上許容されています。 個人情報保護法上の匿名加工情報については「個人情報保護法や施行規則が定める基準に従っての適切な加工、安全管理措置、匿名加工情報を作成したことの公表・明示、識別行為の禁止、安全管理措置等の公表」等、多数のルールが定められているため、当該ルールを履践したうえで、匿名加工を行わなければなりません。