広範な医療情報が「要配慮個人情報」に
改正個人情報保護法における主な改正点は(1)「個人識別符号」制度の導入、(2)「要配慮個人情報」制度の導入と、オプトアウトによる取得・第三者提供の原則禁止、(3)従来の「主務大臣制」を廃止し規制権限を個人情報保護委員会に一元化、の3点。
(1)の個人識別符号制度は、氏名などがなくても情報単体で個人識別性を持つ情報について、政令で指定されることを条件に、当然に個人情報になるものとする制度。個人識別符号には年金番号や旅券番号などのほか、顔認証データなど「身体の特徴」を表すデジタルデータが含まれる。ゲノム情報も含まれるとされるが、塩基数などによって個人識別性が異なることから、ゲノム情報についてはどこまでの範囲を個人識別符号とするかが問題になるという。
(2)の要配慮個人情報制度は、これまで「機微情報(sensitive data)」と呼ばれてきた情報に対して、厳格な規制を行うもの。要配慮個人情報は、人種・信条・社会的身分・病歴など「不当な差別または偏見が生じないようにその取扱いについて特に配慮を要する記述等」を指し、「実際には広範な医療情報がこれに該当する」(米村氏)。要配慮個人情報の取得・第三者提供については、本人の同意(オプトイン)を得ることが原則になった。
ただし、同意取得が困難で、かつ公衆衛生の向上に必要な場合には同意は不要となる。既存の試料・情報を利用する研究などでは、この例外規定の「原則的」活用が期待されているという。
このほか「実質改正箇所以外にも変更点があり、ここが重要」(米村氏)。具体的にはまず、「個人情報」の定義が変更され、連結不可能匿名化や対応表を保有しない連結可能匿名化によって「非個人情報」とすることができるとは限らないことになった。さらには、第三者提供における「提供元基準」の採用により、第三者提供に当たって提供先が対応表を保有しない場合でも、提供元が保有している場合には「個人情報の提供」とみなされることになった。すなわち、本人の同意取得など第三者提供の許容要件を満たす必要があることになった。
