医療情報の法的取り扱い — 基礎知識
はじめに — 160万人の患者記録が無断で渡された日
2015年、英国の王立自由病院(Royal Free London NHS Foundation Trust)は、Google DeepMindと急性腎障害(AKI)の早期警告アプリ「Streams」を共同開発する契約を結びました。この契約のもと、160万人の患者記録がDeepMindに提供されました。
2017年、英国情報コミッショナー事務局(ICO)は調査の結果、このデータ共有がデータ保護法に違反していると裁定しました。患者は自分のデータがAI開発のために第三者に提供されることを知らされておらず、同意も得ていませんでした。
Google DeepMind × Royal Free Hospital — 160万人の患者データ無断共有
背景: 2015年、Royal Free病院がDeepMindに急性腎障害予測アプリ「Streams」開発のためにデータを提供。対象は直近5年間に入院した全患者160万人の記録(HIV状態、薬物過量摂取の記録などを含む)。
ICOの裁定(2017年7月): データ保護原則の4項目に違反。(1) 公正かつ適法な処理ではない、(2) データ量が過剰、(3) 患者への適切な告知がない、(4) プライバシー影響評価が未実施。
影響: 罰金は科されなかったが、DeepMindの医療データ事業は後にGoogle Healthに吸収。2024年には集団訴訟も提起された。
教訓: 「良い目的のAI開発」であっても、患者の同意なしにデータを共有することは法的に許されない。目的の正当性と手続きの適法性は別の問題。
この事件は、医療AI開発における個人情報保護の重要性を世界に知らしめました。日本でも、個人情報保護法・医療法・医師法の三層構造で医療情報は保護されています。
個人情報保護法 — 医療情報保護の基盤
個人情報の定義(法第2条)
個人情報保護法は、医療情報保護の最も基本的な法律です。
| 概念 | 定義 | 医療での例 |
|---|---|---|
| 個人情報 | 生存する個人に関する情報で、特定の個人を識別できるもの | 患者氏名、生年月日、患者ID |
| 個人識別符号 | 身体的特徴をデータ化したもの、公的番号 | ゲノムデータ、マイナンバー |
| 要配慮個人情報 | 不当な差別・偏見が生じないよう特に配慮を要する情報 | 病歴、診療情報、障害、遺伝情報 |
要配慮個人情報 — 医療情報のほぼ全てが該当
医療情報の大部分は要配慮個人情報(法第2条第3項)に該当します。病歴、診療記録、検査結果、処方歴、遺伝情報などは全て該当し、取得には原則として本人の同意が必要です。
一般の個人情報と異なり、要配慮個人情報はオプトアウト(事後拒否)による第三者提供が認められないなど、より厳格な規制が課されます。
個人情報取扱事業者の義務
医療機関は「個人情報取扱事業者」として、以下の義務を負います:
- 利用目的の特定・公表(法第17条・第21条): 取得時に利用目的を明示
- 目的外利用の禁止(法第18条): 利用目的の範囲を超えた利用は原則禁止
- 安全管理措置(法第23条): 組織的・人的・物理的・技術的な安全管理
- 第三者提供の制限(法第27条): 原則として本人の同意が必要
個人情報保護法の全文。2022年4月施行の改正法を含む最新版
医療法 — 診療記録の管理義務
診療録の保存義務
医療法は、診療記録の作成・保存を医療機関に義務付けています。
| 文書 | 保存期間 | 根拠法 |
|---|---|---|
| 診療録(カルテ) | 5年間 | 医師法第24条第2項 |
| 処方箋 | 3年間 | 薬剤師法第28条 |
| 手術記録 | 5年間 | 医療法施行規則第20条 |
| 看護記録 | 2年間 | 医療法施行規則第20条 |
| エックス線写真 | 3年間 | 医療法施行規則第30条の23の2 |
電子保存の三原則
2005年のe-文書法施行により、診療録の電子保存が法的に認められました。電子保存には三原則の充足が求められます:
- 真正性: 作成者の識別・認証ができること(改ざん防止を含む)
- 見読性: 必要に応じて内容を確認できること(画面表示・印刷)
- 保存性: 法定保存期間中、適切に保存されること(バックアップを含む)
医師法 — 守秘義務と記録義務
守秘義務(刑法第134条第1項)
医師の守秘義務は、個人情報保護法とは別に刑法で罰則付きで規定されています。
個人情報保護法の義務 vs 刑法の守秘義務
個人情報保護法: 個人情報取扱事業者(医療機関)の義務。違反は行政処分(命令違反に対して1年以下の懲役又は100万円以下の罰金)。
刑法第134条第1項: 医師・薬剤師等の個人の義務。「正当な理由がないのに、その業務上取り扱ったことについて知り得た人の秘密を漏らした」場合、6月以下の懲役又は10万円以下の罰金。
→ 両方が重畳的に適用される。つまり、医療情報の漏洩は「個人情報保護法違反 + 秘密漏示罪」の二重の責任を問われうる。
守秘義務の例外
守秘義務には法定の例外があります:
- 法令に基づく場合: 感染症法に基づく届出、児童虐待防止法に基づく通告
- 本人の同意: 患者本人が情報提供に同意した場合
- 正当事由: 他の患者や社会の生命・身体の保護のために必要な場合
診療録記載義務(医師法第24条)
医師は診療を行った場合、遅滞なく診療録に必要事項を記載しなければなりません。AI診断支援を使用した場合、AIの使用事実、AIの判定結果、医師の最終判断を記載することが推奨されます。
まとめ
医療情報は、個人情報保護法(要配慮個人情報としての保護)、医療法(診療記録の保存義務)、医師法・刑法(守秘義務)の三層構造で保護されています。DeepMind事件が示すように、「AIのための良い研究」であっても、これらの法的要件を無視することは許されません。
次のレッスンでは、個人情報保護法の2022年改正を含む詳細規定を学びます。
明日のアクション
DeepMind×Royal Free事件の概要を踏まえ、自施設のAI関連データ共有契約を確認しましょう。「データの範囲」「利用目的の明示」「患者への告知方法」「同意の取得手続き」の4点が契約に含まれているかチェックすることが第一歩です。