個人情報保護委員会が個人情報保護法についての行政機関向けQ&A改正に踏み切った Photo:SOPA Images/gettyimages
個人情報保護委員会が3月26日、「個人情報の保護に関する法律についてのQ&A」(行政機関等編)を改正し、医療データ関係者の注目を集めている。改正の背景には、DeNAの医療データ問題もある。(ダイヤモンド編集部 永吉泰貴)
DeNAの医療データ問題を意識
個情委が該当箇所を大幅加筆
「問題意識を持っていた当局がようやく重い腰を上げた。今までとはフェーズが一つ変わった」
個人情報保護委員会(個情委)事務局が3月26日に改正した個人情報保護法のQ&Aについて、医療データ業界の関係者はそう話す。
Q&Aの改正自体は特段珍しいことではない。それでも注目の的となったのは、「安全管理措置」やその周辺が大幅に加筆されたからだ。委託で個人情報を提供する際、委託元の自治体には監督責任が生じる。この監督業務について、従来より踏み込んで記述したのだ。
その背景について、事務局の関係者は「DeNAの医療データ問題に関する報道も、その一つにあった」と話す。事務局に企業の捜査権はないものの、事態を重く受け止めていることを示唆している。
ここで、ダイヤモンド・オンラインが『DeNA 医療データ乱用』で特集したDeNAの医療データ問題を簡単に説明しよう。
DeNAは、自治体の医療データを製薬会社などに販売している。問題は、この医療データは自治体からの委託で預かったものであるということだ。自治体から委託されていない製薬会社への販売に、DeNAは独自利用した。これが目的外利用に当たるわけだ。
その後ダイヤモンド編集部は、医療データを提供した自治体の一つである愛知県に「契約時、住民の個人情報が、DeNAグループにより匿名加工情報として製薬会社または保険会社に販売される認識はありましたか」と質問した。これに対し愛知県は「覚書締結時、匿名加工情報として覚書の範囲内で提供されることは認識しておりますが、販売されるとの認識はありません」と回答している。
しかし、販売される認識がなかったからといって、自治体もひとごとではいられない。DeNAの目的外利用の責任は自治体にも及ぶからだ。繰り返すが、このような委託元の責任を改めて周知したのが今回の改正だ。
では、自治体はどのように委託先を監督すべきだったのか。次ページでは、Q&A改正で加筆された監督業務のポイントを、医療データの個人情報保護に詳しい水町雅子弁護士の助言を基に説明する。
