トピックス

2017.09.04
NEWS

医療ビックデータ法の概要

【執筆者:渡邉雅之
今回は、2017年5月12日に公布された『医療分野の研究開発に資するための匿名加工医療情報に関する法律』(平成29年5月12日法律第28号、以下「医療ビックデータ法」といいます。通称「次世代医療基盤法」といわれることも多いですが、分かり難いので「医療ビックデータ法」とします。)について解説いたします。ニュースレター形式のPDF(『医療ビックデータ法の概要』)も作成いたしましたのでこちらもご覧ください(図入り)。
なお、ご相談については下記にご連絡ください。
弁護士法人三宅法律事務所 パートナー
弁護士 渡邉 雅之
TEL: 03-5288-1021
Email: m-watanabe@miyake.gr.jp

【参考文献】
個人情報保護法・マイナンバー法対応規程集
匿名加工情報への対応(第1回):匿名化された個人情報の取扱いについて
匿名加工情報への対応(第2回):匿名加工情報について
匿名加工情報への対応(第3回):匿名加工情報取扱規程・匿名加工情報取扱方針(規程付)
 
1 医療情報は要配慮個人情報に該当する
2017年5月30日の個人情報保護法の改正で定められた「要配慮個人情報」に該当し得る医療情報としては、「病歴」、「医師等により行われた健康診断等の結果」及び「健康診断等の結果に基づき医師等により行われた指導・診療・調剤」は、「要配慮個人情報」があります(法2条3項、施行令2条2号及び3号)。
 「医師等により行われた健康診断等の結果」及び「健康診断等の結果に基づき医師等により行われた指導・診療・調剤」には、具体的には、病院、診療所、その他の医療を提供する施設における診療や調剤の過程において、患者の身体の状況、病状、治療状況等について、医師、歯科医師、薬剤師、看護師その他の医療従事者が知り得た情報全てを指し、診療記録や調剤録、薬剤服用歴、お薬手帳に記載された情報等が該当します。病院等を受診したという事実及び薬局等で調剤を受けたという事実も該当します。
また、遺伝子検査により判明する情報の中には、差別、偏見につながり得るもの(例:将来発症し得る可能性のある病気、治療薬の選択に関する情報等)が含まれ得ますが、当該情報は、「医師等により行われた健康診断等の結果」又は「健康診断等の結果に基づき医師等により行われた指導・診療・調剤」に該当し得ます。
 
2 医療情報が要配慮個人情報に該当することによるビックデータ利用時の問題
 要配慮個人情報に該当する場合は、これを取得するにあたって本人の同意が必要となります(個人情報保護法17条2項)。
 もっとも、個人情報取扱事業者は、他の個人情報と同様に、利用目的の範囲で利用が可能です。
 また、個人情報取扱事業者は、個人データである要配慮個人情報を第三者に提供する場合、原則として、本人の事前の同意が必要となります(改正法23条1項本文)。
さらに、要配慮個人情報以外の個人データ同様に、要配慮個人情報であっても、法令に基づく場合等の第三者提供の例外(保護法23条1項各号)や委託、事業承継、共同利用による個人データの提供(同条5項各号)の場合には、本人の同意は必要となりません。
加えて、要配慮個人情報を含む個人情報を加工して匿名加工情報を作成することも可能です(「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A[1]11-7)。
 そういう意味で、要配慮個人情報に該当するからといって、それ以外の個人情報(個人データ)と比べて制限はあまりないとも言えます。
しかしながら、要配慮個人情報に該当する個人データについては、要配慮個人情報以外の個人データでは認められるオプトアウトの手続の適用は認められません(法23条2項)。これは、オプトアウト手続については、法に定める一定の手続をとったとしても、実際には本人が明確に認識できないうちに個人データが第三者に提供されるおそれがあるため、情報の性質上慎重な取扱いが求められる要配慮個人情報にはかかる取扱意を認めないものとしたのです。
これが、要配慮個人情報に該当する医療情報をビックデータ(匿名加工情報)として利用する際の支障となります。すなわち、医療機関が、匿名加工情報に該当する患者の医療情報を、ビックデータとして利用したい製薬会社や研究機関(大学等)に提供したい場合に、医療機関は患者の同意を個別に取得するのは困難なので、本人が利用停止を求めるまで第三者提供が可能なオプトアウトの手続を利用したいところですが、これが認められないのです。
 
3 倫理指針と医療ビックデータ法の関係
 「人を対象とする医学系研究に関する倫理指針」[2](文部科学省・厚生労働省、以下「倫理指針」といいます。)では、研究対象者のインフォームド・コンセントが必要となりますが、これと、オプトアウトにより情報の提供を認める医療ビックデータ新法の関係が問題となります。
 この点について、政府からは以下の答弁がなされています(平成29年4月25日参議院内閣委員会・大森一博政府参考人発言)。
『倫理指針と対象となるいわゆる学術研究は、例えば、本人の同意を得て患者さんを集めまして、既存の医療にはない新しい手術方法ですとか新薬等の投薬を行いまして、その結果を分析するものと認識しております。
 他方、今回の法案は、個人が識別できないように匿名加工された医療情報の適正な利活用を通じて医療分野の研究開発を促進するものでありまして、言わば既に行われている医療におけるデータを事後的に解析しようとするものです。患者に最適な医療の提供、あるいはより確実な医薬品等の副作用の発見などのためには、こうした患者等の個人から提供された事後的な、統計的な分析を通じた利活用も不可欠と考えています。
 今回の法案は、こうした取組の促進に向けまして、情報セキュリティーや匿名加工技術などについて厳格に審査を受けた認定事業者を認定するという仕組みを新たに創設した上で、認定した後も安全管理措置を義務付けておりまして、例えば、法令違反の疑いがある場合には立入検査や是正命令、それに従わない場合には認定の取消しや、あるいは罰則の規定があります。この罰則の規定は個人情報保護法よりも重い量刑を設定しておりまして、そういったことを通じまして信頼できる匿名加工情報の利活用の枠組みをつくろうとするものであります。
 このように、国の監督、規制を受ける事業者による匿名加工ということを前提とした利活用に限った仕組みでございますので、あらかじめ本人に通知し、本人が拒否しない場合には医療機関は認定事業者に医療情報を提供できるという形にしたものでございます。』
 
4 医療ビックデータ法の概要
(1)医療ビックデータ法が可能とすること
 医療ビックデータ法は、医療機関(「医療情報取扱事業者」)が高い情報セキュリティの認定等で担保された「認定匿名加工医療情報作成事業者」に「要配慮個人情報」に該当する患者の医療情報を提供する場合に限り、オプトアウトの手続の利用を認めるもので、上記2の医療情報が要配慮個人情報に該当することの問題を解決するものです。
 そして、「認定匿名加工作成事業者」は、ビックデータ(「匿名加工医療情報」)を作成して、製薬会社、研究機関(大学等)、行政に提供することが可能となります。
(2)認定匿名加工医療情報作成事業者の認定(8条)
主務大臣は、高い情報セキュリティを確保し、十分な匿名加工技術を有するなどの一定の基準を満たし、医療情報等の管理や利活用のための匿名化を適正かつ確実に行うことができる者を「認定匿名加工医療情報作成事業者」として認定することとされています。
認定の基準は以下のとおりです。
①法令違反や破産等していない者であること
②医療情報を取得・整理・加工して匿名加工医療情報を適確に作成・提供するに足りる能力を有するものとして主務省令で定める基準を充たすこと
③医療情報等(医療情報、匿名加工医療情報の作成に用いた医療情報から削除した記述等、個人識別符号、加工方法に関する情報、匿名加工医療情報の管理の方法)・匿名加工医療情報の漏えい・滅失・毀損の防止その他の当該医療情報等・匿名加工医療情報の安全管理のために必要かつ適切なものとして主務省令で定める基準に適合すること
④医療情報等・匿名加工医療情報の安全管理のための措置を適確に実施するに足りる能力を有すること
(3)認定匿名加工医療情報作成事業者の利用目的による制限(17条)
認定匿名加工医療情報作成事業者は、医療機関から医療情報の提供を受けた場合は、当該医療情報が医療分野の研究開発に資するために提供されたものであるという趣旨に反することのないよう、認定事業の目的の達成に必要な範囲を超えて、当該医療情報を取り扱ってはならないこととされています。
ただし、①法令に基づく場合、および、②人命の救助、災害の救援その他非常の事態への対応のため緊急の必要がある場合は利用制限がありません。
(4)匿名加工情報の作成等にあたっての義務(18条)
ア 適正加工義務(同条1項)
 認定匿名加工医療情報作成事業者は、特定の個人を識別すること及びその作成に用いる医療情報を復元することができないようにするために必要なものとして主務省令で定める基準に従い、当該医療情報を加工する義務を負います。
 個人情報取扱事業者が匿名加工情報を作成する際の個人情報保護法36条1項の適正加工義務に相当するものです。
イ 照合禁止義務(自ら作成した匿名加工医療情報)(同条2項)
認定匿名加工医療情報作成事業者は、匿名加工医療情報を作成して自ら当該匿名加工医療情報を取り扱うにあたっては、当該匿名加工医療情報の作成に用いられた医療情報に係る本人を識別するために、当該匿名加工医療情報を他の情報と照合してはなりません。
個人情報取扱事業者が、匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならないとする個人情報保護法36条5項に相当する規定です。
ウ 照合禁止義務(第三者が作成した匿名加工医療情報)(同条3項)
匿名加工医療情報取扱事業者(匿名加工医療情報データベース等を事業の用に供している者)は、他の認定匿名加工医療情報作成事業者が作成した匿名加工医療情報を取り扱うにあたっては、匿名加工医療情報の作成に用いられた医療情報に係る本人を識別するために、当該医療情報から削除された記述等若しくは個人識別符号・加工の方法に関する情報を取得、または、他の情報と照合してはなりません。
匿名加工情報取扱事業者(匿名加工情報データベース等を事業の用に供する者)が、他の個人情報取扱事業者が作成した匿名加工情報を取り扱うにあたって、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等・個人識別符号、加工の方法に関する情報を取得し、または当該匿名加工情報を他の情報と照合してはならないとする個人情報保護法38条に相当する規定です。
エ 匿名加工情報に関する規定の不適用(同条4項)
 個人情報取扱事業者が匿名加工情報を作成する際の義務について規定した個人情報保護法36条は、上記アにより、認定匿名加工医療情報作成事業者または認定医療情報等取扱受託事業者(法28条の認可を受けた者)が匿名加工医療情報を作成する場合には適用がありません。
 また、匿名加工情報取扱事業者が、他の個人情報取扱事業者が作成した匿名加工情報を取り扱う場合の義務について定めた個人情報保護法37条から39条までの規定は、匿名加工医療情報取扱事業者が、他の認定匿名加工医療情報作成事業者が作成した匿名加工医療情報を取り扱う場合については適用がありません。
 なお、不適用となっていない、匿名加工情報の第三者提供時の相手方への明示・公表義務(同法36条4項、37条)は個人情報保護法の規定が適用されるものと考えられます。
(5)消去義務(19条)
 認定匿名加工医療情報作成事業者は、認定事業に関し管理する医療情報等(医療情報、匿名加工医療情報の作成に用いた医療情報から削除した記述等、個人識別符号、加工方法に関する情報、匿名加工医療情報の管理の方法)または匿名加工医療情報を利用する必要がなくなったときは、遅滞なく、当該医療情報等または匿名加工医療情報を消去しなければなりません。これは法的義務です。
 個人情報保護法では、個人情報取扱事業者は、個人データを利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならないとして、努力義務について定めています(同法19条)。また、利用する必要なくなった匿名加工情報を消去しなければならない旨の規定は定められていません。
 これらの点については、個人情報取扱事業者が負う消去義務より認定匿名加工医療情報作成事業者の負う消去義務の方が重いといえます。
(6)医療情報等・匿名加工医療情報の安全管理措置(20条)
認定匿名加工医療情報作成事業者は、認定事業に関し管理する医療情報等(医療情報、匿名加工医療情報の作成に用いた医療情報から削除した記述等、個人識別符号、加工方法に関する情報、匿名加工医療情報の管理の方法)または匿名加工医療情報の漏えい・滅失・毀損の防止その他の当該医療情報等または匿名加工医療情報の安全管理のために必要かつ適切なものとして主務省令で定める措置を講じなければなりません。
個人情報保護法では、加工方法等の情報に関する安全管理措置法的義務です(保護法36条2項)ですが、匿名加工情報の安全管理措置努力義務です(同条6項)。
医療ビックデータ新法では、「医療情報等」の安全管理措置だけでなく、「匿名加工医療情報」の安全管理措置についても法的義務とされている点が厳しくなっております。
(7)従業者の監督(21条)
認定匿名加工医療情報作成事業者は、従業者に認定事業に関し管理する医療情報等又は匿名加工医療情報を取り扱わせるに当たっては、当該医療情報等または匿名加工医療情報の安全管理が図られるよう、主務省令で定めるところにより、当該従業者に対する必要かつ適切な監督を行わなければなりません。
個人情報保護法では、同法21条で「従業者の監督」に関する規定が設けられていますが、その詳細は「ガイドライン」(「個人情報の保護に関する法律についてのガイドライン(通則編)」)で定められているのに対して、医療ビックデータ新法では「主務省令」で定めることとされている点が厳しいといえます。
(8)従業者等の義務(22条)
 認定匿名加工医療情報作成事業者の役員・従業者またはこれらであった者は、認定事業に関して知り得た医療情報等または匿名加工医療情報の内容をみだりに他人に知らせ、または不当な目的に利用してはなりません。
 これに相当する義務は、個人情報保護法には置かれていません。
(9)委託(23条)
認定匿名加工医療情報作成事業者は、認定医療情報等取扱受託事業者に対してする場合に限り、認定事業に関し管理する医療情報等または匿名加工医療情報の取扱いの全部・一部を委託することができます。個人情報保護法においては、委託先について特に限定はありませんが、医療ビックデータ新法では、認定医療情報等取扱事業者に委託をする場合だけ委託をすることができます(23条1項)。
「認定医療情報等取扱事業者」とは認定匿名加工医療情報作成事業者の委託(2以上の段階にわたる委託を含む。)を受けて医療情報等または匿名加工医療情報を取り扱う事業を行おうとする者(法人に限る。)で、主務大臣の認定を受けた者です(法18条4項、法28条)。
認定医療情報等取扱受託事業者は、当該医療情報等または匿名加工医療情報の取扱いの委託をした認定匿名加工医療情報作成事業者の許諾を得た場合であって、かつ、認定医療情報等取扱受託事業者に対してするときに限り、その全部または一部の再委託をすることができます(23条2項)。
医療情報等または匿名加工医療情報の取扱いの全部・一部の再委託を受けた認定医療情報等取扱受託事業者は、当該医療情報等または匿名加工医療情報の取扱いの全部・一部の委託を受けた認定医療情報等取扱受託事業者とみなして、再委託の規定が適用されます(同条3項)。
このように委託先・再委託先を限定する規定は個人情報保護法にはありません。
(10)委託先の監督(24条)
 認定事業に関し管理する医療情報等・匿名加工医療情報の取扱いの全部・一部を委託する場合は、その取扱いを委託した医療情報等・匿名加工医療情報の安全管理が図られるよう、主務省令で定めるところにより、委託を受けた者に対する必要かつ適切な監督を行わなければなりません。
 個人情報保護法では、同法22条で「委託先の監督」に関する規定が設けられていますが、その詳細は「ガイドライン」(「個人情報の保護に関する法律についてのガイドライン(通則編)」)で定められているのに対して、医療ビックデータ新法では「主務省令」で定めることとされている点が厳しいといえます。
(12)他の認定匿名加工医療情報作成事業者に対する医療情報の提供(25条)
医療情報の提供を受けた認定匿名加工医療情報作成事業者は、主務省令で定めるところにより、他の認定匿名加工医療情報作成事業者からの求めに応じ、匿名加工医療情報の作成のために必要な限度において、当該他の認定匿名加工医療情報作成事業者に対し、提供された医療情報を提供することができます(同条1項)。
当該提供を受けた認定匿名加工医療情報作成事業者は、患者本人からオプトアウトの手続により(30条1項)により医療情報の提供を受けた認定匿名加工情報作成事業者とみなして、他の認定匿名加工医療情報作成事業者からの求めに応じ、匿名加工医療情報の作成のために必要な限度において、当該他の認定匿名加工医療情報作成事業者に対し、提供された医療情報を提供することができます(同条2項)。
(13)認定匿名加工医療情報作成事業者による医療情報の第三者提供の制限(26条)
認定匿名加工医療情報作成事業者は、①「25条の規定により提供する場合」(上記(12))、②「法令に基づく場合」、③「人命の救助、災害の救援その他非常の事態への対応のため緊急の必要がある場合」を除くほか、25条の規定およびオプトアウトの手続(30条1項)により提供を受けた医療情報を第三者に提供してはなりません(26条1項)。
ただし、当該医療情報の提供を受ける者が、①事業の承継に伴って医療情報が提供される場合または、②医療情報の取扱いの全部・一部を委託することに伴って当該医療情報が提供される場合は、認定匿名加工医療情報作成事業者からみて第三者に該当しないので、提供が可能です(26条2項)。個人情報保護法23条5項各号に相当する規定ですが、共同利用(同項3号)による第三者の例外の規定は設けられていません。
(14)苦情の処理(27条)
認定匿名加工医療情報作成事業者は、主務省令で定めるところにより、認定事業に関し管理する医療情報等または匿名加工医療情報の取扱いに関する苦情を適切かつ迅速に処理しなければなりません。
認定匿名加工医療情報作成事業者は、主務省令で定めるところにより、前項の目的を達成するために必要な体制を整備しなければなりません。
個人情報取扱事業者の苦情の処理は努力義務(保護法35条)であるのに対して、認定匿名加工医療情報作成事業者は法的義務で厳しくなっております。
(15)医療情報取扱事業者による医療情報の提供(30条)
ア 趣旨
 上記(1)で説明したとおり、本条が、医療ビックデータ法の要となる規定です。個人情報保護法では認められない要配慮個人情報に該当する医療情報のオプトアウト手続について、医療情報取扱事業者が認定匿名加工医療情報作成事業者に提供する場合に限ってオプトアウトの手続を認めるものです。
 高い情報セキュリティを確保し、十分な匿名加工技術を有するなどの一定の基準を満たし、医療情報等の管理や利活用のための匿名化を適正かつ確実に行うことができる者(認定匿名加工医療情報作成事業者)を認定することにより、オプトアウト手続の利用を可能としたものです。
イ 規定内容
規定の立て付けは、個人情報保護法23条2項から4項までの個人データのオプトアウトの手続と同じです。ただし、個人情報保護法のオプトアウトの場合は、「通知」のほか「本人の知り得る状態」に置くことも認められていますが(同法23条2項)、医療ビックデータ法においては「通知」のみが認められています。
医療情報取扱事業者は、認定匿名加工医療情報作成事業者に提供される医療情報について、主務省令で定めるところにより本人又はその遺族(死亡した本人の子、孫その他の政令で定める者)からの求めがあるときは、当該本人が識別される医療情報の認定匿名加工医療情報作成事業者への提供を停止することとしている場合であって、次に掲げる事項について、主務省令で定めるところにより、あらかじめ、本人に通知するとともに、主務大臣に届け出たときは、当該医療情報を認定匿名加工医療情報作成事業者に提供することができます(30条1項)。
①医療分野の研究開発に資するための匿名加工医療情報の作成の用に供するものとして、認定匿名加工医療情報作成事業者に提供すること。
②認定匿名加工医療情報作成事業者に提供される医療情報の項目
③認定匿名加工医療情報作成事業者への提供の方法
④本人又はその遺族の求めに応じて当該本人が識別される医療情報の認定匿名加工医療情報作成事業者への提供を停止すること。
⑤本人又はその遺族の求めを受け付ける方法
上記の②・③・⑤の事項を変更する場合もオプトアウト手続による必要があります(同条2項)。
主務大臣は届出があった場合は、公表する義務があります(同条3項)。
ウ 提供される医療情報
 「医療情報」として想定されているのは、医療情報の利活用の中心となって使われているいわゆる「レセプト情報」ですが、これに加えて、診療行為の結果に関する情報である「問診内容」、「検査結果」、「治療予後」といった情報も想定しています(平成29年4月25日参議院内閣委員会・大森一博政府参考人発言)。
エ 相当の期間
 オプトアウトに基づく医療情報の提供はすぐに認められるのではなく、本人が提供の停止を求めるのに必要な期間を置く旨を定めることが検討されています。
 この期間に関しまして、具体的な必要な期間という言葉でいくのか、具体的な期間を示すかどうかについては、個人情報保護法令では具体的な期間を示されていないということも参考にしつつ、施行までに検討することとされています(平成29年4月25日参議院内閣委員会・大森一博政府参考人発言)。
オ オプトアウトの適用される年齢
 オプトアウト手続については、患者が子供である場合、通知は保護者に対して行うということが基本とされます。個人情報保護法制あるいは研究倫理指針における取扱いを参考に、具体的には患者が中学の課程を修了している場合、または十六歳以上である場合には子供本人に対して通知をすることが予定されています(平成29年4月25日参議院内閣委員会・大森一博政府参考人発言)。
(16)オプトアウトの停止の求めに対する書面等の交付・保存(31条)
 医療情報取扱事業者(医療機関)は、オプトアウトの通知を受けた本人又はその遺族から当該本人が識別される医療情報の認定匿名加工医療情報作成事業者への提供を停止するように求めがあったときは、遅滞なく、主務省令で定めるところにより、当該求めがあった旨その他の主務省令で定める事項を記載した書面を当該求めを行った者に交付しなければなりません(同条1項)。
 医療情報取扱事業者は、あらかじめ、認定匿名加工医療情報作成事業者への提供を停止するように求めを行った者の承諾を得て、書面の交付に代えて、当該書面に記載すべき事項を記録した電磁的記録を提供することができます。この場合において、当該医療情報取扱事業者は、上記の書面の交付を行ったものとみなされます。(同条2項)
 上記の書面を交付し、または上記の電磁的記録を提供した医療情報取扱事業者は、主務省令で定めるところにより、当該書面の写しまたは当該電磁的記録を保存しなければなりません。(3項)
 当該義務に相当する義務は、個人情報保護法上のオプトアウトの手続にはありません。
(17)医療情報の提供に係る確認・記録義務(32条・33条)
ア 医療情報の提供に係る記録の作成等(32条)
医療情報取扱事業者は、医療情報を認定匿名加工医療情報作成事業者に提供したときは、主務省令で定めるところにより、当該医療情報を提供した年月日、当該認定匿名加工医療情報作成事業者の名称及び住所その他の主務省令で定める事項に関する記録を作成し、主務省令で定める期間保存しなければなりません。(同条1項、2項)
これは、個人情報保護法上の個人データの提供者の記録義務(同法25条)に相当するものです。
イ 医療情報の提供を受ける際の確認(33条)
認定匿名加工医療情報作成事業者は、医療情報取扱事業者から医療情報の提供を受けるに際しては、主務省令で定めるところにより、次に掲げる事項の確認を行わなければなりません。(同条1項)
①当該医療情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
②当該医療情報取扱事業者による当該医療情報の取得の経緯
医療情報取扱事業者は、認定匿名加工医療情報作成事業者が同項の規定による確認を行う場合において、当該認定匿名加工医療情報作成事業者に対して、当該確認に係る事項を偽ってはなりません(同条2項)。
認定匿名加工医療情報作成事業者は、確認を行ったときは、主務省令で定めるところにより、当該医療情報の提供を受けた年月日、当該確認に係る事項その他の主務省令で定める事項に関する記録を作成し、主務省令で定める期間保存なければなりません。(同条3項、4項)
これらの義務は、個人情報保護法における個人データの受領者である個人情報取扱事業者の確認・記録義務(同法26条)に相当するものです。
 
(18)医療ビックデータ法と個人情報保護法の比較
 以下、医療ビックデータ法と個人情報保護法上の義務規定を比較してみました。
  医療ビックデータ法 個人情報保護法
適正加工義務 あり(18条1項) あり(36条1項)
照合禁止義務(自ら作成した匿名加工医療情報) あり(18条2項) あり(36条5項)
照合禁止義務(第三者が作成した匿名加工医療情報) あり(18条3項) あり(38条)
匿名加工した情報の第三者提供 規定なし。匿名加工情報の第三者提供時の明示・公表義務適用(36条4項、37条) 第三者提供時の明示・公表義務(36条4項、37条)
消去義務 法的義務(19条) 努力義務(19条)
安全管理措置 以下のいずれについても法的義務(20条)
・医療情報等(医療情報、匿名加工医療情報の作成に用いた医療情報から削除した記述等、個人識別符号、加工方法に関する情報、匿名加工医療情報の管理の方法)
・匿名加工医療情報
加工方法等情報の安全管理措置は法的義務(36条2項)
匿名加工情報の安全管理措置は努力義務(36条6項)
従業者の監督 主務省令で従業者の監督の内容が定められる。 ガイドラインに従業者の監督の内容が定められる。
従業者等の義務 認定匿名加工医療情報作成事業者の役員・従業者またはこれらであった者は、認定事業に関して知り得た医療情報等または匿名加工医療情報の内容をみだりに他人に知らせ、または不当な目的に利用してはならない。 なし
委託先の限定 ・委託先は認定医療情報等取扱事業者に限定される。
・再委託は、認定匿名加工医療情報作成者の許諾を得た場合であって、認定医療情報等取扱受託事業者に対してする場合に限られる。
なし
委託先の監督 主務省令で委託先の監督の内容が定められる。(24条) ガイドラインで委託先の監督の内容が定められる。(22条)
第三者提供の制限 ・認定匿名加工医療情報作成者は、医療情報について、①他の認定匿名加工医療情報作成者への提供(25条)、②法令に基づく場合、③人命の救助、災害の救援その他非常の事態への対応のため緊急の必要がある場合を除いて、第三者提供ができない。(26条1項)
・①事業の承継に伴って医療情報が提供される場合、②医療情報の取扱いを委託することに伴って当該医療情報が提供される場合には、第三者提供とは見られない。(26条2項)
個人データの第三者提供については以下の場合に認められる。
①本人の同意がある場合(23条1項)
②法令に基づく場合等の例外(23条1項各号)
③オプトアウト手続(23条2項)
④第三者に該当しない場合(23条5項各号)
 ・事業承継(1号)
 ・委託(2号)
 ・共同利用(3号)
苦情処理 法的義務(27条) 努力義務(35条)
オプトアウト手続 認定匿名加工医療情報作成事業者への提供に限り要配慮個人情報に該当する医療情報についてオプトアウトの方法による提供を認める(30条)
・本人に対しては通知の方法のみ
・主務大臣への届出
要配慮個人情報を含む個人データについてはオプトアウトの方法認められていない(23条2項)
・本人には通知のほか、本人の知り得る状態も認められている。
・個人情報保護委員会への届出
利用停止を求めた者への書面交付義務 利用停止を求めた本人に対して書面交付義務あり(31条) 利用停止を求めた本人に対して書面交付義務なし
第三者提供の提供者の記録義務 医療情報を提供した医療情報取扱事業者に記録の作成・保存義務あり(32条) 個人データを提供した個人情報取扱事業者に記録の作成・保存義務あり(25条)
第三者提供の受領者の確認・記録義務 医療情報の提供を受けた認定匿名加工医療情報作成事業者に確認、記録の作成・保存義務あり(33条) 個人データの提供を受けた個人情報取扱事業者に確認、記録の作成・保存義務あり(26条)

[1]https://www.ppc.go.jp/files/pdf/kojouhouQA.pdf
[2]http://www.mhlw.go.jp/file/06-Seisakujouhou-10600000-Daijinkanboukouseikagakuka/0000153339.pdf
添付ファイル: