厚労省などが「民間PHR事業者による健診等情報の取扱いに関する基本的指針」を公表
要配慮個人情報として健診等情報を扱うため「指針」策定
2021.06.01
厚生労働省(厚労省)、総務省、経済産業省(経産省)は令和3年4月23日、「民間PHR事業者による健診等情報の取扱いに関する基本的指針」を公表した。これは、政府のマイナポータルなどを活用して民間事業者がPHR(Personal
Health
Record:パーソナル・ヘルス・レコード)を展開する場合の基本的ルールを示したものである。まず、同年10月から、公的情報としての特定健診のデータがPHRとして、マイナポータルにおいて閲覧できるようになる。その後、今回策定された指針に基づき、民間事業者によるPHRの情報のやり取りも始まる見込みである。
ポイント
-
PHRとは、生涯にわたる個人の保健医療情報で、電子記録として本人等が正確に把握し、自身の健康増進等に活用することが期待される情報
-
PHRサービスとは、利用者の疾患予防または健康づくり、ならびに医療および介護現場での利用等を目的として、PHRを保存および管理し、リコメンド等を行うサービス
- 基本的指針は、情報セキュリティ対策、個人情報の適切な取扱いが中心に
- 健診等情報の利用目的に第三者提供を含む場合は本人の同意が必要
- PHRで使う健診等情報のフォーマットは互換性の高い汎用的なデータファイルとする
Webシステムのマイナポータルを活用
厚労省のデータヘルス改革推進本部(本部長=厚生労働大臣)は令和2年7月30日、新型コロナウイルス感染症の流行を踏まえて、「新たな日常にも対応したデータヘルスの集中改革プラン」を決定した。これは、ACTION
1「全国で医療情報を確認できる仕組みの拡大」、ACTION 2「電子処方箋の仕組みの構築」、ACTION
3「自身の保健医療情報を活用できる仕組みの拡大」の3つのACTIONからなり、このACTION
3の具体的な形としてPHRが想定されている。
今回策定された「民間PHR事業者による健診等情報の取扱いに関する基本的指針」(以下、基本的指針)では、PHRについて「一般的には、生涯にわたる個人の保健医療情報[健診(検診)情報、予防接種歴、薬剤情報、検査結果等診療関連情報および個人が自ら日々測定するバイタル等]である。電子記録として本人等が正確に把握し、自身の健康増進等に活用することが期待される」と説明。また、PHRサービスについては「利用者が、予防または健康づくり等に活用すること、ならびに医療および介護現場で役立てること等を目的として、PHRを保存および管理ならびにリコメンド等を行うサービス」と定義している。
PHRを機能させるには、保健医療情報を閲覧するためのネットワーク基盤が必要となる。それについては、政府(内閣府大臣官房番号制度担当室)が運営するWebシステムのマイナポータルを予定している。パソコンやスマートフォン(スマホ)で閲覧するが、実際にアクセスするにはマイナンバーカードが必要となる。
すでに、マイナポータルでは、利用者側が選択する形で、自治体関係の情報が送られてくるシステムが出来上がっている。また政府は、遅くとも令和3年10月までに、自治体が実施している特定健診の情報をマイナポータルで閲覧できるようにする。この時点で、事実上、マイナポータルがPHRとしての機能を持つことになる。
「マイナポータルAPI」と呼ばれる方法で情報連携
マイナポータルにおけるPHRのコンテンツが充実し、実際に役に立つようにするには、民間PHR事業者が提供するPHRサービス(以下、民間PHRサービス)を活用することが望ましい。また、すでに民間PHRサービスが多数存在するが、そのサービスの内容について厚労省では次のように、目的/利用、情報/記録それぞれについて3つに分類している。
目的/利用としては、(1)個人が健康改善目的で利用、(2)保険者・自治体・企業が予防目的で個人に利用を促す、(3)疾患管理等の目的で患者が利用、の3つがある。
情報/記録としては、①健診等情報(健診・検査値等)、②生体情報(心拍・睡眠・血圧等)、③行動記録(食事・歩数等)、の3つがある。
したがって、それらのサービスの内容は、9つ(3×3)に分けることができる。うち、比較的早く実現しそうなのが上記の(2)かつ①に相当するもので、具体的には自治体による特定健診データ、予防接種データなどの提供である。
また、(1)かつ②に相当するものとして、個人が腕時計型のウエアラブルデバイスを使って記録した血圧・心拍・歩数などのデータに基づき、生活改善などを促すサービスもある。それらのPHRサービスを提供する主体は民間事業者だが、これまで民間事業者がマイナポータルを活用することについてはあまり検討されてこなかった。しかし、PHRの主要な閲覧窓口としてマイナポータルが想定されていて、ここではAPI(Application
Programming
Interface)連携あるいは「マイナポータルAPI」と呼ばれる方法がとられる。基本的指針では、「マイナポータルAPI」について、民間や行政機関等の組織が提供する外部サービスからの電子申請をマイナポータルで受け付けたり、システム利用者の同意のもと、行政機関から入手した自らの個人情報を外部サービスに提供することを可能にするもの、と説明している。
予防接種歴、乳幼児健診、特定健診、薬剤情報などがPHRに
健康診断の結果や保健指導の内容などは要配慮個人情報とされ、不当な差別や偏見その他不利益が生じないよう、取扱いに特に配慮を要する情報として個人情報保護法第2条第3項において規定されている。このような健康に関する情報を民間PHR事業者(以下、PHR事業者)がマイナポータルに接続・連携して扱うことになる。そのためのルールについて、主として厚労省の「健康・医療・介護情報利活用検討会」健診等情報利活用ワーキンググループの民間利活用作業班で検討し、厚生労働・総務・経済産業の3省が合同で令和3年4月23日、基本的指針を策定、公表した。併せて、同日、「民間PHR事業者による健診等情報の取扱いに関する基本的指針に関するQ&A」(以下、Q&A)、厚労省の民間利活用作業班による報告書も公表している。
基本的指針は、要配慮個人情報である健診等情報を取り扱う民間事業者が法規制により遵守を求められている事項、適正なPHRの利活用を促進するために遵守すべき事項などについて、指針として示したものである。
また、健診等情報については、要配慮個人情報であり、①個人がマイナポータルAPI
等を活用して入手可能な健康診断等の情報、②医療機関等から個人に提供され、個人が自ら入力する情報、③個人が自ら測定または記録を行うものであって、医療機関等に提供する情報、と定義している。具体的には、予防接種歴、乳幼児健診、特定健診、薬剤情報などが、それに相当する。PHR事業者が要配慮個人情報を取得する場合、原則としてあらかじめ本人の同意を得ておく必要がある(医療機関における通常の診療などは除外される)。
基本的指針の全体の構成は下表のとおりで、①本指針の基本的事項、②情報セキュリティ対策、③個人情報の適切な取扱い、④健診等情報の保存および管理ならびに相互運用性の確保、⑤要件遵守の担保、⑥本指針の見直し――の6章で構成している。
「民間PHR事業者による健診等情報の取扱いに関する基本的指針」構成(目次)
- はじめに
- 1.本指針の基本的事項
- 1.1. 本指針の対象とする情報の定義
- 1.2. 本指針の対象事業者
- 1.3. 本指針に記載のない事項の取扱い
- 2.情報セキュリティ対策
- 2.1. 安全管理措置
- 2.2. 第三者認証の取得
- 3.個人情報の適切な取扱い
- 3.1. 情報の公表
- 3.1.1. 利用目的の特定
- 3.1.2. 利用目的の明示等
- 3.2. 同意取得
- 3.3. 消去及び撤回
- 3.4. その他
- 3.4.1. 健診等情報に含まれる利用者以外の個人情報の取扱い
- 3.4.2. 匿名加工情報に関する留意事項
- 4.健診等情報の保存及び管理並びに相互運用性の確保
- 4.1. 健診等情報の保存及び管理
- 4.2. 相互運用性の確保
- 5.要件遵守の担保
- 5.1. 本指針の規定する要件を遵守していることの確認
- 6.本指針の見直し
- 用語集
- 別紙 本指針に係るチェックシート
|
自治体や健保組合などは指針の対象外に
基本的指針の第1章では、その対象などについて規定している。対象となるのは健診等情報を取り扱うPHR事業者だが、対象外となる事業者・団体も多い。例えば、個人が自らウエアラブルデバイスなどで日々計測するバイタル(バイタルサイン)または健康情報等のみを取り扱う事業者は、対象には含まれない。研究開発の推進等を目的として利用される健診等情報または匿名加工情報のみを取り扱う事業者も、含まれない。また、自治体では個人情報保護条例があり、健康保険組合は「健康保険組合等における個人情報の適切な取扱いのためのガイダンス」(個人情報保護委員会、厚労省策定)などがあるため、それぞれ対象外となっている。
第2章では、情報セキュリティ対策として、組織的な取り組み、物理的セキュリティ、情報システムと通信ネットワークの運用管理などについて、具体的な指針を示している。物理的セキュリティとして、例えば、許可なく私有のパソコン(PC)を会社に持ち込んだり、私有PCで業務を行ったりしないようにする。また、マイナポータルAPI(前述)経由で健診等情報を入手するPHR事業者については第三者認証(ISMS=情報セキュリティマネジメントシステム、プライバシーマークなど)を取得しなければならない、と義務づけている。
利用者からのインポート機能、利用者へのエクスポート機能を備えるようにする
基本的指針の第3章では、個人情報の適切な取扱いについて指針を示している。まず、PHR事業者は、プライバシーポリシーとサービス利用規約をホームページに掲載するなどの方法で、公表しなければならない。この場合、サービス利用規約の概要版を必要に応じて作成するなど、わかりやすく公表する必要がある。健診等情報の利用目的に第三者提供を含む場合は、その提供先、利用目的、提供される個人情報の内容などについて、わかりやすく通知し、本人の同意を得なければならない。その同意があった場合も、本人の不利益が生じないよう配慮しなければならない。また、同意の撤回についても容易に行えるよう、工夫しなければならない。
第4章では、相互運用性の確保などについて指針を示している。マイナポータルを介して利用者とPHR事業者が健診等情報のやり取り(インポート、エクスポート)をすることになるので、PHR事業者においては、利用者へのエクスポート機能、利用者からのインポート機能を備えなければならない。また、健診等情報のフォーマットに関しては、互換性の高い汎用的なデータファイル、例えばHL7
CDA(Clinical Document Architecture)とする。
第5章では、基本的指針で規定する要件を遵守していることの担保の方法として、付属の「本指針に係るチェックシート」の結果を自社のホームページ等で公表しなければならない、と義務づけている。
なお、Q&Aも各章に対応した内容になっているが、特に第3章(個人情報の適切な取扱い)に多くのページを使っている。