DeNAが自治体から取得した医療データの目的外利用に違法性はあるのか――。特集『DeNA医療データ乱用』(全6回)の#3では、ダイヤモンド編集部が入手した契約書を基に、医療データの個人情報保護に詳しい水町雅子弁護士に見解を聞いた。水町弁護士は「委託先は委託業務を超えて匿名加工情報を独自利用できない」と述べ、個人情報保護法に違反する可能性を指摘した。(ダイヤモンド編集部 永吉泰貴)
個人情報は「委託目的でしか使えない」
DeNAの医療データ販売、専門家の見解は?
――ダイヤモンド編集部では、DeNA(ディー・エヌ・エー)が自治体から医療分析サービス業務を委託されて取得した医療データを、製薬会社への販売などで目的外に利用している疑惑について報じました。実際の契約書をご覧になって、適法かどうかについて教えてください。
この契約書は自治体から外部事業者への委託契約ですが、委託の場合、法律上は預かった個人情報を委託目的でしか使えません。
委託で預かった個人情報を委託目的外で適法に利用・提供するためには、委託とは別の適法化根拠が必要です。そして、委託外で個人情報を利用・提供するためには、契約書内で別の適法化根拠について規定されていることが重要です。
例えば、委託で個人情報を預かるけれども、委託とは別で学術研究目的でも個人情報の提供を受ける場合などであれば、適法となり得ます。
「学術研究機関等による学術研究」についてはこの契約書でも規定がありますが、一般論でいうと保険会社は学術研究機関等には該当しませんし、保険会社における個人情報の利用形態を「学術研究」に限定する必要があります。通常の研究よりも“学術”研究はハードルが高くなります。
または、公的機関の持つ個人情報を匿名加工して利活用する制度として「行政機関等匿名加工情報」があり、それを利用するという方法も考えられます。
ただし、「行政機関等匿名加工情報」の場合、誰の情報か分からない状態であることが重要なので、委託で生データを預かっていたり匿名加工処理を行っていたりすると、匿名加工されているといっても誰の情報かが分かってしまうことも考えられ、これに対する厳格な対処が必要です。
また適法化根拠としては、統計情報を利用するという方法もあります。
――そもそも、なぜ自治体は外部に医療分析サービスを委託しているのでしょうか。
法律上、医療情報を活用すべきとされているからです。ところが、自治体には医療データを分析するノウハウがない場合もある。ここに、分析業務を外部に委託したいという自治体側の動機があります。
それに対して民間企業側は、研究開発などのために医療データを取得したいというニーズがある。自治体から委託を受ければ、比較的容易に医療情報を取得できます。しかし委託されて預かった医療情報は、製薬会社や保険会社へ販売ができません。
つまり委託契約の場合、委託先は委託業務を超えて独自利用できないということです。外部の事業者に分析業務を委託する場合、独自利用の禁止について自治体は十分確認し、契約条件とすべきであると思います。
――委託の場合、個人情報を匿名加工情報にしても、製薬会社に販売すると違法になるのでしょうか。
次ページでは、ダイヤモンド編集部が入手した契約書を公開した上で、DeNAと自治体が違法になる条件を水町弁護士に聞いた。