2023年7月14日に開催されたMyDataJapan Conference 2023での、スナックまさこ~今後のデータ関連法制に対する提言~に関するセッションレポートです。レポートは、このセッションのモデレータを務めていただいた若江雅子さん(読売新聞 編集委員)に執筆いただきました。

モデレータ
若江 雅子読売新聞東京本社編集委員
パネリスト(発言順)
加藤 尚徳KDDI総合研究所コアリサーチャー
森 亮二英知法律事務所 弁護士
玉蟲 由樹日本大学法学部 教授
生貝 直人一橋大学大学院法学研究科 教授

セッションレポート(若江雅子)

 このパネルでは、欧州委員会が2022年に提案した欧州ヘルスデータスペース(EHDS=European Health Data Space)規則案と、この規則案を強く意識しながら検討が進められている日本の医療データ利活用方針を紹介し、その可能性と課題について議論しました。中心になったのは、日本の利活用方針のポイントである「医療データを患者本人の同意なく、企業や行政が利用できるようにする」という考え方への評価です。議論の中では、こうした考え方を許容する「ロジックの立て方」によっては、医療のような公益性の高い分野だけでなく、幅広い分野で同意によらないデータ利用が進んでいくのではないか、という懸念も出されました。また、近年、憲法学の世界で注目されている自己情報コントロール権説VS適正な取り扱いを受ける権利説の対立にまで議論が及び、白熱した展開に。さらには、「実は欧州では、一律に本人同意を不要とするわけではないらしい」という話も飛び出して、非常に情報量の多いセッションになりました。

 まずトップバッターとして、KDDI総合研究所の研究員で、一般社団法人次世代基盤政策研究所(NFI)事務局長でもある加藤尚徳氏が、ご自身が欧州で行った調査の結果も踏まえてEHDS規則案の概要を説明してくれました。

加藤 尚徳 氏

講演資料「EHDSの概要とデータ保護への影響

 EHDSは、欧州が目指す域内データ流通のための「データスペース構想」第1弾で、電子カルテ、ゲノム、バイオバンク、研究コホートなど様々なデータの収集・活用を目指すものです。加藤氏によると、目的は大きく三点。一点目が一次利用、つまり、個人や担当の医師が、本人の治療目的で健康データにアクセスできるようにすること。実現すれば、スマホなどで自分の健康データにいつでもアクセスでき、域内の別の国に滞在中もスムーズに治療が受けられるようになりそうです。二つ目が二次利用。研究機関や企業、行政などが研究や創薬、政策立案などに使えるようにすることで、患者本人のためではなく、社会全体のためにデータを使うことを目指します。そして三点目が産業育成で、欧州域内にデジタルヘルスサービスの単一市場を作り上げることを目指すそうです。

 収集されたデータは、一次利用の場合、個人を特定する情報のまま活用されますが、二次利用の場合は、個人が特定できないようにデータを加工します。匿名化した状態では利用目的を達成できない場合には、加工の程度を緩めた仮名化情報として提供するかどうかが検討されます。そうした審査は各国のヘルスデータアクセス機関が担う予定です。

 ちなみに、欧州委員会が最初に提案した規則案は、事前の患者本人の同意もオプトアウトも認めない内容だったと伝えられていますが、その後、マイデータ・グローバルをはじめとする市民団体の意見を受けて、オプトアウトを認めるなどの修正案が検討されているようです。規則案は現在も審議が続いています。

 さて、EHDS規則案が日本でも大きな注目を集めているのは、これを模した医療データ利活用の法制度整備が日本でも検討されているからです。規制改革推進会議が方針をまとめ、6月に閣議決定された規制改革実施計画の中にも取り入れられました。パネルでは、規制改革推進会議のワーキンググループで検討に加わった弁護士の森亮二氏が議論のポイントを説明してくれました。

森 亮二 氏

講演資料「規制改革推進会議:「医療等データの利活用法制等の整備について

 最大のポイントは「同意に依存しない医療データの利活用のあり方」です。医療データの多くは個人情報保護法の「要配慮個人情報」に当たるため、第三者提供はもちろん、取得にあたっても本人の同意が必要になるなど、特に慎重な取り扱いが必要です。本人の同意に基づいて活用することは、医療情報のようなプライバシー性の高い情報を扱う際に個人の権利利益を守る上では特に大切なことですが、一方で、同意を取得するには人手も時間もかかり、大量のデータを集めにくくなるという弊害もあります。医療の発展や社会保障費の削減など、社会全体の利益につながるような公益性の高い目的であっても、達成が難しくなってしまうのです。

 こうした問題を解決しようと、ワーキンググループでは、同意に依存しない形で個人の権利利益を保護することができないか検討してきたそうです。具体的には、仮名化して特定の個人が識別されるリスクを低減したり、安全管理措置や利用目的の公益性などの審査を強化したりすることで、本人同意のないデータ利用を許容することを考えています。

 森氏を含め、ワーキンググループの構成員の多くが、こうした方向性に賛同しているそうです。ただ、森氏は、「同意に依存しない利用を許容するロジック」には注意が必要だと警鐘をならしました。ロジックの立て方によっては、同意なしのデータ利用が、公益性の有無に関係なくあらゆる分野で広がっていく恐れがあるからだといいます。

 例に挙げたのが、ワーキンググループの中で意見が対立したとされるオプトアウトについての考え方でした。森氏は、ガンに罹患すると無条件で情報が登録される「がん登録推進法」を例に、「公益性、あるいは疾病の重症度や患者数などの個別の事情に応じて、同意もオプトアウトも不要となる場面は十分考えられる」としつつも、疾病の内容や重症度、緊急性などの要素を考慮せず、一足飛びに、全ての疾病で一切の本人の選択を認めないとすることに疑問を感じたといいます。そして、「公共の利益と個人の権利を比較衡量すべきで、結果として本人の選択に制約を加えるべき場面と、そうでない場面がでてくるはずだ」と主張しました。

 しかし、ワーキンググループでは一部の構成員から「本人にとって『措置又は決定』に利用されない仕組みとなっていれば、本人の同意を必須とする理由はなく、オプトアウトも要しない」との意見も出たそうです。つまり、保険の加入や料率、就職、結婚の判断など、本人に対する何らかの措置や決定にデータが使われるなら問題だが、そういう使い方をしないのであれば本人に不利益は生じないのだから、そもそも同意もオプトアウトも不要だ――という主張です。

 しかし、そのようなロジックを使えば、公益性の有無は関係なく、その情報を「措置又は決定」に利用しないのであれば、あらゆる分野で本人の選択を無視した情報流通が可能になってしまうでしょう。

 実は、この議論の中には、最近、顕著になっているプライバシー権の本質を巡る意見の対立が包含されています。森氏の提起した問題を引き取る形で、最近の憲法学の動きを紹介してくれたのが日大教授の玉蟲由樹氏です。

玉蟲由樹 氏

講演資料「最近の憲法上のプライバシー保障をめぐる議論について

 憲法学の世界では長年、プライバシー権の本質は本人の自己決定にあると考え、同意のない情報の取扱いを原則として不当とする「自己情報コントロール権」説が通説とされてきました。しかし、デジタルサービスが多様化、複雑化する中で「同意」がうまく機能しない場面が増え、それにつれて最近では「同意それ自体が重要なわけではない。自分の情報が国家や企業から適正に取り扱われることが重要だ」と考える「適正な取り扱いを受ける権利」説が台頭してきたのです。

 玉蟲氏は、自己情報コントロール権説を「権利中心思考」、適正な取り扱いを受ける権利説を「ルール中心思考」と分類して、その考え方を詳しく解説してくれました。

 前者を代表する研究者は慶応大教授の山本龍彦氏で、プライバシー保障の核心を「情報主体のコントローラビリティ」に置きます。ただ、コントローラビリティを実質的に確保するための方策として、適正な情報の取扱いルールやそれを支えるアーキテクチャも重視しています。

 一方、後者の立場をとる京都大教授の曽我部真裕氏や同大准教授の音無知展氏らは、「情報の不当な取扱いによる不利益を防止するための、適正な取り扱いルールや構造が形成されること」をプライバシー保障の中核と考え、「本人のコントローラビリティ」は重要ではないと考えているというのです。

 前者の場合、本人同意などの自己決定にもとづく情報流通や取り扱いが「原則」で、自己決定がない状態が「例外」です。「例外」、つまり自己決定を制約する場合には、その代わりに適正なルールやアーキテクチャを法制度の中に組み込むことで対応することになります。これに対し、後者の場合、この「原則」と「例外」が逆転して、原則が、適正なルールにもとづく自由な情報流通や自由な取り扱いで、本人同意は不要になります。

 玉蟲氏は、後者の考え方に懐疑的な目を向けました。「『適正な自己情報の取扱いを受ける権利』は本当に権利としての内実をもつのか?この考えを突きつめると、プライバシーの問題に憲法のコントロールが及ばなくなるのではないか?」というのです。

 まず、情報の取扱いの「適正さ」の具体的内容が明確でないと指摘し、「これでは単に制度を作ればよくなり、内容については不問になる恐れがある」と批判しました。さらに、どのような場合に「適正な自己情報の取り扱いを受ける権利」が侵害されたと考えられるのか考察すると、「目的が不当」か「目的外利用」の場合ぐらいしか想定できず、「正当な目的があり、目的と関連性のある使い方をしている限り、『権利侵害はない』と判断され、情報の内容や重要性、萎縮効果などは考慮されない恐れが高い」といいます。玉蟲氏は、「(もし、ルール中心思考が通説になったら)自分が裁判官なら、プライバシー侵害の事案では大抵のケースで侵害に当たらないという判決文を書くことになってしまう」と懸念しました。

討論

 続いて討論に入りました。まずEUの法制度に詳しい一橋大教授の生貝直人氏が「EUは『自己決定』と『適正な取り扱い』のどちらに比重を置いているだろうか」として、GDPR(一般データ保護規則)の6条と9条を参考に挙げました。6条は個人データ取り扱いの適法化根拠を、同意、契約の履行、生命に関する利益の保護、正当な利益など六つ挙げています。「同意が一番目に書いてあるから一番重視していると言えるのか、それとも六つの適法化根拠に優劣はないのか。これは欧州の研究者でもいろいろな意見がありよくわからない」と話しつつも、9条では医療データなど機微な情報についての取り扱いには「明確な同意」が原則として必要になることを指摘しました。

 さらに、玉蟲氏が「適正な取り扱い」説ではプライバシー保障に憲法的なコントロールが及ばなくなるのではないかと指摘した点について、生貝氏はEU基本権憲章8条が個人データの保護を基本的権利として明文で保障している一方、わざわざ「この規定の実施については独立した機関により監督される」と書いてあることに触れ、「EUは(個人データ保護の権利保障を)憲法経由で監督機関による積極的なルール形成に委ねようとしているのではないか」と指摘しました。

 一方、加藤氏からは驚きの「秘話」も披露されました。EHDSに対する日本での一般的な理解には誤解があるというのです。日本では、EHDSが①医療機関からPFへのデータ提供、②PF上の管理、③二次利用者のアクセス――までが一体的にEHDSで規定されていて、そのすべてについて患者本人の同意なしに実施されるとの理解に基づいて議論されています。ところが、加藤氏が欧州視察の際、欧州データ保護会議(EDPB)のメンバーから直接聞き取りをしたところによれば、EHDSは、①と②までは本人の同意なく実施することを義務づけているものの、③の二次利用については、GDPRの6条と9条が適用されると説明されたそうです。そして、両条で記されている適法化根拠のうち、どれが選択されるかは、「二次利用者の利用の内容による」と言われたというのです。つまり、利用するデータの性質や目的の公益性、その使い方などによっては、本人の同意やオプトアウトが必要になることもあれば、他の適法化根拠で済む場合もあり、ケース・バイ・ケースということです。

 加藤氏は「EUは、すべての二次利用について一律、同意もオプトアウトもいらないと考えているわけではない。我々NFIとしても同様に考えていたが、いろいろな経緯で十分に伝わらなかった。規制改革推進会議の議論で肝心な点が抜け落ちてしまったのは残念」と語りました。

 続く森氏は、「適正な取り扱い」説への違和感を口にしました。「プライバシー保障が『ルールベース』に変わるというが、ルールベースの場合、焦点はルールを守る企業や行政に当たっていて、データ主体である本人には反射的利益がもたらされるだけ。それは『権利』と呼べるものではないのではないか」と疑問を呈し、さらに、「適正な取り扱いの内容が判然としない状態では、保護のレベルは下がるだけではないか」と指摘。「適正な取り扱いは、国と民間で異なるだろうし、民間でも日本の企業と米国のビックテックでは違うだろう。その違いをどう考えるのか。結局、法令の範囲内、個人情報保護法さえ守っていればそれでいい、ということになってしまうのではないか」と3点の疑問を挙げました。

 「同意が有効に機能しない場面が増えていることは、誰もが感じていること」という森氏は、約款やプライバシーポリシーのように、読んでも理解できず、機械的に同意ボタンを押すだけの、まさに「同意疲れ」を引き起こしている例を挙げつつも、一方で、顔認証で搭乗手続きを済ませる空港の「顔パス」のように、オプトインが有効に機能している分野もあることを紹介し、十把一絡げに同意の機能不全を論じることに警告を発しました。

 さらに「仮に、同意が機能不全に陥っているとしても、だからといって本人の選択を大切にしなくていい、ということにはならないのではないか」とも指摘します。そもそも、本人のコントリーラビリティ確保には多様な手段があり、同意はその一部に過ぎないのです。「私のデータは自分で管理したい、私のデータをあなたが持っているなら見せてほしい、私のデータを何に使っているのかを知りたい、私のデータがまちがっているなら修正してほしい、あなたのところから他のベンダーに移したい……」。できる形で自分のデータの使い方を自分で決める。それを原理として大事にしていくことこそが「マイデータ」の発想だと訴えたのです。

 こうした各氏の意見を受け、玉蟲氏は、「自己決定を重視する考え方は『同意至上主義』や『同意絶対主義』とは異なる。オプトインやオプトアウト、開示や訂正、あるいは適正なルールなども組み合わせて、それぞれの分野で個別具体的に個人の権利を守る方法を考えていくべきだと思う。『ルール中心主義』が最初から『同意は機能しないから要らないよ』とあきらめてしまっているのは気になる」と、まとめました。

 最後に、今年、「3年ごと見直し」をひかえる個人情報保護法の改正方針や、同法を所管する個人情報保護委員会に対する「注文」をそれぞれが掲げました。

 加藤氏は、①法目的の明確化、②GDPRと同様の「Processing(処理)」の概念の導入、③同意以外の適法化根拠の整理、④GDPRとEHDSの関係のような他の法令との関係の整理、④共同利用を使いやすくしてデータ利用を促進――の5点を要望しました。

 生貝氏は①全体設計とコーディネーション、②活用法制の2点を挙げ、「EUはGDPRだけでなく、他の法令とあわせてデジタル時代の全体像をデザインしようとしている。日本もデータ保護、利活用の双方について、個人情報保護とその外側の法制度とのコーディネーションを考えていくべき」と提言しました。

 森氏は①個人情報の定義を拡大し端末等IDを入れる、②法目的にプライバシーを明記する、③課徴金制度の導入、④政府機関への積極的な法執行について注文をつけました。

 玉蟲氏は個人情報保護委員会の組織的な拡大と制度的強化を要望。特に、欧州のデータ保護機関が行っているように、各種法案が提出された段階で、個人情報・プライバシー保護の観点からの意見書を出すなど、独立性と専門性を生かして政府のデータ政策への目配りをしてほしいと要請しました。この点は生貝氏からも同様の提言がありました。

盛りだくさんの提言からは、個人情報保護法や個人情報保護委員会に寄せる期待の大きさが伝わってきました。今年の3年ごと見直しの行方が楽しみです。(文責・若江雅子)