第1回から第4回までの連載で、海外や日本での導入事例から、ICTをうまく活用することができれば、高齢者の自立を促し、介護者の負担を軽減できそうだと感じていただけたのではないかと思っています。しかし、ICT化を進める際には、個人情報保護に関して、また製品・サービスの安全性の確保などにも不安も感じる方も多いでしょう。第5回は、このようなICT化の不安を解消する方策に関して少し詳しくご説明します。
改正個人情報保護法の施行
2017年5月30日、「改正個人情報保護法」が全面施行されました。個人情報保護法は、個人の権利利益保護と個人情報の有用性のバランスを図るため、個人情報を取扱う事業者が遵守すべき義務を定め、個人情報の適正な取り扱いを確保するための法律です。しかし、2003年の成立から10年以上が経ち、情報通信技術が発展したことで、制定当時には想定されなかった問題が懸念されるようになりました。
例えば、2013年にJR東日本が、ICカード「Suica」の情報を日立製作所に販売し、エリアマーケティングに利用することが発表されると、氏名や住所といった個人が特定される情報を含まないデータであるにも関わらず、大きな話題となり、販売が一時中止となる事態に発展しました。その後、JR東日本は、除外申請があった利用者のデータを除き社外提供を再開していますが、@個人情報に該当するかどうかの判断が困難ないわゆる「グレーゾーン」の拡大、Aパーソナルデータを含むビッグデータの適正な利活用ができる環境整備の必要性、B事業活動がグローバル化し、国境を越えたデータ流通が増加、といった背景から、現行の個人情報保護法を見直し、プライバシー保護への配慮とパーソナルデータ利活用が両立できる形に改正しようという動きへとつながりました。
すべての事業者が個人情報取扱事業者に
改正ポイントは大きく2つあります。
第1のポイントは、「個人情報」の定義変更です。新しく「個人識別符号」が規定され、DNA、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋といった個人の身体の特徴を示す電子データや、公的な番号(旅券番号、基礎年金番号、免許証番号、住民票コード、マイナンバー、各種保険証の被保険者番号等)が個人情報に含まれることになりました。また、「要配慮個人情報」の規定が新たに設けられ、心身の障害、健診・検査の結果(遺伝子検査を含む)、保健指導、診療・調剤情報といった情報が「要配慮個人情報」となり、これらの取得の際には、原則として本人の同意を得ることが義務化されました。これにより、介護の現場でも取り扱うデータの多くで慎重な取り扱いが求められるようになります。
第2のポイントは、個人情報保護法上の義務を負う「個人情報取扱事業者」の定義の改正です。改正前では、保有する個人情報が5,000人分以下の場合には、適用が除外されていましたが、今後は、個人情報を取り扱うすべての事業者が個人情報取扱事業者となります。小規模な介護事業者であっても、個人情報に対する安全管理措置を講じることが必要になりました。
医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス
「個人情報保護」に関する不安を解消するために、具体的にどのようにすべきかを詳細に記載した「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」が2017年4月に公表されています。ここには、一般的な内容だけでなく、医療・介護事業者にとっての個人情報はどれが該当するのか、要配慮個人情報とはどのような情報なのかといったことが具体的に記載されており、本人同意の取り方、家族等への病状説明の方法等も示されています。このようなガイダンスを有効活用することが、個人情報の取り扱いに関する不安解消の一助になるでしょう。
医療情報システムの安全管理に関するガイドライン 第5版
改正個人情報保護法の全面施行に伴い、厚生労働省は2017年5月に「医療情報システムの安全管理に関するガイドライン」も改訂し、第5版を発表しています。2017年5月の改訂では、医療情報システムの対象範囲が明確化され、介護事業者も対象となることが明記されています。地域包括ケアが普及し、医療と介護の連携が進む中で、介護事業者も、主治医意見書や訪問看護指示書などいった文書を電子データで保管するケースが増えていることが、その背景にあります。このガイドラインも、具体例を交えた記載となっています。
信頼できる事業者、製品・サービスの選択
システム構築を依頼するICTベンダーや利用するICT製品やサービスが、個人情報を適切に保護し、安全性や信頼性が担保されているかを判断するのに有効なのが、認定制度です。
一般財団法人日本情報経済社会推進協会(JIPDEC)の「プライバシーマーク」は、個人情報について適切な保護措置を講ずる体制が整備されていると認定された事業者に付与されるマークです。1万5,344社(2017年6月15日現在)に付与されており、自社のサイト等にプライバシーマークを表示することに加え、JIPDECサイトで認定事業者が公開されています。
一般財団法人マルチメディア振興センターの「クラウドサービスの安全・信頼性に係る情報開示認定制度」は、クラウドサービスの利用を考えている企業や地方公共団体などが、事業者・サービスを比較、評価、選択する際に必要な「安全・信頼性の情報開示基準を満たしているサービス」を認定するものです。「ASP・SaaSの安全・信頼性に係る情報開示認定制度」、「データセンターの安全・信頼性に係る情報開示認定制度」および「IaaS・PaaSの安全・信頼性に係る情報開示認定制度」の3つの制度があり、認定したサービスに対しては、「認定証」および「認定マーク」が発行され、事業者はウェブページ、広告、取引書類等に表示することができます。
介護ロボットに関しては、「ISO13482:生活支援ロボットの安全性に関する国際規格」が2014年2月1日に発行されています。この国際規格は、生活を支援するロボットという新しい製品分野の市場拡大や、品質・安全性の保証という課題を解決するため、日本が中心となり作成したもので、この規格に適合したロボットは、安全に利用できるものとなっています。
このような制度で認定された信頼できる事業者、製品・サービスを選択することも、ICT活用の際の不安を解消してくれるでしょう。
※ この記事は月刊誌「WAM」平成29年8月号に掲載された記事を一部編集したものです。
月刊誌「WAM」最新号の購読をご希望の方は次のいずれかのリンクからお申込みください。