総務省が「クラウドサービス事業者が医療情報を取り扱う際の安全管理に冠するガイドライン(第一版)」の案を公表し、意見募集をしている。いわゆるパブリックコメント(略してパブコメ)というもの。こういうドキュメントは、実際の筆は官僚が持つことが多く、有識者(大学教授、産業界代表、関連事業者代表等)が集まって意見をいい、練り上げたものをこうして公表し意見募集をするのが通例になってきた。
http://www.soumu.go.jp/menu_news/s-news/01ryutsu02_02000203.html
このガイドラインも「ASP・SaaS・クラウド事業者が医療情報を取り扱う際の安全管理に関する検討委員会」で議論されていて、財団法人医療情報システムセンター理事長を主査に、弁護士、医療政策の研究者、業界の情報管理者、クラウド業界の代表らが委員として名を連ねている。ガイドライン(案)そのものは付録も含めて200ページを越える大部なもの。10ページあまりのスライド資料もついているが、これでは目次だけと同じ。意を決して中味にざっと目を通してみた。
その理由は、医療情報は患者にとっては決して漏れたり悪用されたりされたくない機微情報なのだが、医療機関は大病院からワンマン診療所にいたるまで規模に差があって、全部が十分な情報化とセキュリティ対策がなされていないと思うからだ。サイバーセキュリティの要件が厳しいからといって、全部紙のカルテ等に戻しなさいというわけにはもちろん行かない。中小病院/診療所・関連事業者まで含めて、デジタルデータ活用で高度化、効率化を図ると共にサイバーセキュリティ性を確保するにはクラウド利用しか解はない。
これは他の業種でも同じで、大手ほどICT部門にリソースをかける事の出来ない中小事業者はある程度の単位にまとめて、全体を面倒見てもらうのが望ましい。この規定は、なかなかに細かい規定を一杯書き連ねているなというのが第一印象。通信は暗号化するとか、非常時の体制を整備しろとか、安全性を考えれば当たり前かもしれないが、本当にできるのかどうかは気になる。もうひとつ、気づいたことがあった。すでに亡くなった人の情報も生存している人のものと同じ様に守れと書いてある。米国の団体HIPPAでは、死後70年は死者のデータを保持するということも聞いたことがある。死因について後に別の見解が出てくることもあるのだろうか?
そうでなくてもDNA情報などは生きている子孫にも影響するわけだし、守る意味はよく分かる。個人情報保護法は「生存している個人」についての情報を守るものだということには以前から違和感を覚えていた。少なくとも、医療情報に関してだけは「故人情報保護」がされるということだ。他の情報(不動産の所有など)もひょっとしたら保護すべきかもしれませんけどね。
そうでなくてもDNA情報などは生きている子孫にも影響するわけだし、守る意味はよく分かる。個人情報保護法は「生存している個人」についての情報を守るものだということには以前から違和感を覚えていた。少なくとも、医療情報に関してだけは「故人情報保護」がされるということだ。他の情報(不動産の所有など)もひょっとしたら保護すべきかもしれませんけどね。
<初出:2018.6>
