2021-06-03 第204回国会 参議院 厚生労働委員会 第22号
なお、医療機関等における医療情報の取扱いにつきましては、個情法に基づく医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンスにおきまして、個人情報保護に関する規定を整備して、苦情への対応を行う体制も含めて院内等への掲示を行うなど、患者等に対して周知を図る等の組織的安全管理措置、それから個人データに対するアクセス記録の保存等、技術的安全管理措置等を講ずることを求めております。
なお、医療機関等における医療情報の取扱いにつきましては、個情法に基づく医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンスにおきまして、個人情報保護に関する規定を整備して、苦情への対応を行う体制も含めて院内等への掲示を行うなど、患者等に対して周知を図る等の組織的安全管理措置、それから個人データに対するアクセス記録の保存等、技術的安全管理措置等を講ずることを求めております。
その上で、個人情報保護委員会と厚労省との連名のガイダンスにおきまして、入退室管理、あるいは記録機能を持つ媒体の持込みの禁止等の物理的安全管理措置、それから、基幹システムに接続されたネットワークとインターネットに接続されたネットワークの物理的又は論理的分離等の技術的安全管理措置等をお示しいたしまして、個人情報保護のための具体的な対応を求めているところでございます。
その上で、個人情報保護委員会と厚労省との連名のガイダンスにおきまして、入退室管理、記録機能を持つ媒体の持込みの禁止等の物理的安全確保措置、あるいはその基幹システムに接続されましたネットワークとインターネットに接続されましたネットワークの物理的又は論理的分離等の技術的安全管理措置等をお示しして、個人情報保護のための具体的な対応を求めております。
そこで、改正法案は、学問の自由を妨げてはならないとの規定を存置し、要配慮個人情報の取得、共同研究や研究成果の発表等について例外規定を定め、安全管理措置等の規定は通常の事業者と同じく及ぶようにしております。このような規律の精緻化の結果として、EU十分性認定の効力が学術分野にも及び、データ流通による医療や研究の発展が期待されるところであります。
改正後の個人情報保護法第五十九条では、学術研究機関がこれまで研究倫理指針に基づき実施してきました個人情報保護のための取組が後退することのないよう、現行の個人情報保護法に引き続き学術研究機関に対する努力義務を明記し、安全管理措置等の法律上の義務を遵守するだけでなくて、個人情報の取扱いの適正を確保するために必要な措置を自ら講じ、公表することを求めているものでございます。
第二に、医療及び介護給付の費用の状況等に関する情報について、連結して解析するとともに、幅広い主体による利活用を促進するため、安全管理措置等の義務を課した上で、地方公共団体、研究機関、民間事業者等に提供するための枠組みを設けます。
第二に、医療及び介護給付の費用の状況等に関する情報について、連結して解析するとともに、幅広い主体による利活用を促進するため、安全管理措置等の義務を課した上で、地方公共団体、研究機関、民間事業者等に提供するための枠組みを設けます。
第三十九条の安全管理措置等においては、匿名加工情報の安全管理のために必要かつ適切な措置、取扱いに関する苦情の処理その他適正な取扱いを確保するための必要な措置について自ら講じ、かつ内容の公表をするよう努めなければならないとしており、今回の改正ではそれがそのまま非識別加工情報の提供を受けた民間事業者に適用されることとなっております。
まず、後者の方からでございますけれども、匿名加工になって、民間に、つまり、非識別個人情報が民間部門に提供されまして匿名加工ということになりますと、もちろんそれについて安全管理措置等の義務はかかりますけれども、先生の御質問の後段の方ですけれども、犯罪捜査にかかわる情報とか極めて機微な情報は、個人情報ファイル簿への登載の段階で恐らく落ちる。
実効性確保のために、事業実態や技術レベルを踏まえて事業分野に対応した加工基準を定めることが想定されますけれども、その際、どのように事業者の予見可能性を十分として識別行為の禁止ですとか安全管理措置等について実効性確保のための措置を講ずるのか、お伺いしたいと思います。
具体的には、よくありますのは、外国にデータセンターがあって、それにデータを委託するというふうなことがよく起こっておりますけれども、これらの場合にもちゃんと国内と同様の安全管理措置等を契約で定めておればそれはオーケーであるというふうなことだろうというふうに考えられます。これ、こういうふうな基準を個人情報保護委員会で作っていくというふうになろうかと思っております。
○山口国務大臣 ただいま御指摘の、金融機関ということでありますが、金融機関が特定個人情報の漏えい等を防ぐために講ずべき安全管理措置、これにつきましては、もう既に金融庁作成の金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針、これがありまして、これを遵守しながら、特定個人情報保護委員会作成の特定個人情報についてのガイドラインに沿った対応をするというふうなことが必要であると
具体的には、外国の事業者に対して、個人情報を取得した後の取り扱いにつきまして、利用目的の特定とか安全管理措置等を義務づけるというふうなことにしております。
このため、利用範囲の特定、明示、そして秘密の保護、目的外使用、第三者への提供禁止、情報漏えい等の防止、委託先における取扱いのための安全管理措置等について、特に厳格な管理が必要であるというふうに考えるところであります。