経団連が予て掲げるSociety 5.0 for SDGsを実現する観点からは、データ利活用・連携の促進が不可欠である。とりわけ健康・医療分野は、わが国に蓄積されたデータの連携・利活用により、国民のwell-being向上が大いに期待される分野であり、そのためにもパーソナルデータを含む多種多様かつ大量のデータの円滑な流通を可能とする環境の整備が急務である。この観点から、今般、健康・医療分野の要配慮個人情報の取扱いに関する検討がなされたことは評価する。

一方、健康・医療分野の要配慮個人情報を利用者個人以外のために利用する（二次利用）場合を議論の対象外としたことをはじめ、提示された指針案がデータ連携に過大な制約を課していることはきわめて遺憾である。このような制約の下ではデータの連携・利活用による新たな価値創造は到底期待できず、情報信託機能そのものの活用意欲を著しく減退させかねない。

そこで、個人情報の保護を十分に図りつつ、データの円滑な連携・利活用による国民のwell-being向上を目指す観点から、様々なビジネスモデルを有する民間事業者から寄せられた意見を整理し、以下のとおり提出する。

Ⅱ　適用範囲

３　本指針の対象とするサービス
(2) 事業で扱うデータの種類

該当箇所：

P.10の7行目「利用者個人に明示的に開示・説明され、利用者個人が十分に理解することができる健康・医療分野の要配慮個人情報に限り」

意見：

利用者の知識や情報漏洩リスクの認知度合いには個人差があることに鑑み、「利用者個人が十分に理解することができる」を削除するか、客観的かつ明確な基準を記載すべき。

(3) データの収集方法

該当箇所：

P.11の13行目「健康・医療分野の要配慮個人情報は、収集されることのメリットやリスクについて利用者個人が正しく理解した上で提供されるべきであることから」

意見：

想定するリスクの範囲には個人差があるため、利用者の理解度を指標化し、測定することを必要とする旨を追記するか、「提供されるべき」という規範性の強い義務的な表現を修正すべき。
（例）「提供されることが望ましい」、「収集する側が利用者個人の正しい理解を助けるために必要十分な努力を払うべき」等

(5) 健康・医療分野の要配慮個人情報を取り扱うサービスに係る要件

該当箇所：

P.12の11行目「（２）で述べた健康・医療分野の要配慮個人情報を取り扱う場合は、利用者個人にとって明確な便益があり、かつ、不利益が生じるおそれがないことを要する。明確な便益があることは、利用者個人に提供される便益について、その便益がもたらされると認めるに足る根拠が示されなければならない。」

意見：

情報銀行が収集した情報を利活用し、利用者個人に対する明確な便益を目的としたサービス開発を阻害するのではないか。「不利益が生じるおそれがない」という表現は、リスクゼロを要求する極めて厳格な表現と解釈され得るため、「要する」ではなく「充分に配慮する」等に変更すべき。また、利用者の「不利益」とは何か、どのようなリスクに配慮すべきか、具体例を示すべき。

該当箇所：

P.12の19行目「「その便益がもたらされると認めるに足る根拠」とは、医療専門職による診断・助言のほか、学会等におけるコンセンサスなど、データ提供時点において一定の合理性が認められる知見・見解のことを指す。その根拠の妥当性の判断に当たっては、医療専門職の参加するデータ倫理審査会への諮問を要する。」

意見：

学会には規模や内容に差異があるほか、データ倫理審査委員会では審査員の理解度の偏りも懸念されるところ。公平性を確保する観点から、別紙や付録等で、先行研究の論文にエビデンスを求める場合の基準や、自らの臨床試験結果に基づく場合の基準等について、可能な限り詳細な具体例を示すべき。

該当箇所：

P.13図表

意見：

「利用用途③　B.利用者個人以外のための利用（間接的便益）」すなわち二次利用を対象外としてしまうことで、要配慮個人情報の一つである「疾病の予防及び早期発見のための健康診断その他の検査の結果」を利活用することができないため、ビッグデータで蓄積した健康な生活者の検診データ等を用いたソリューション開発等を制限しかねない。「利用用途②」において、公益性を有することを条件に二次利用を認めるのであれば、「利用用途③」の二次利用を対象外とする理由はない。「利用用途③」も、「利用用途②」と同様、公益性の有無を要件として指針の対象に含めるべき。

Ⅲ　情報信託機能の認定基準

１　事業者の適格性
(1) 経営面の要件

該当箇所：

P.14の4行目「業務を健全に遂行し、情報セキュリティなど認定要件を担保するに足りる財産的基礎を有していること」

意見：

情報セキュリティの要件は情報利活用を安全に展開するうえで重要ではあるものの、法人の財産的基礎と必ずしも連関しないため、「情報セキュリティ」と「財務的基礎」が同じ文脈で一緒くたに扱われている理由が不明瞭。財政的基礎の有無は、適正な情報セキュリティの遂行を可能とする一要件ではあるが、当該箇所で「情報セキュリティ」を特記する意図が分かりにくいため、根拠を明確化するか、「業務を健全に遂行可能な財産的基礎を有していること」とシンプルに記載すべき。

(2) 業務能力など

該当箇所：

P.15の3行目「ⅲ　情報銀行の監督下で、提供先第三者から第三者認証等の取得等をしている者に個人情報の取扱いを全て委託させる」

意見：

委託先への具体的な関与方法やレベル感を明確にしない限り、ガバナンスの有効性が低下しかねず。また、各法人が適切な判断を下しづらく、活用を阻害したり、過剰な管理コストが発生する懸念あり。「監督下」の定義を明確にすべき。