PHRサービスで必要な本人同意とは?府省による指針の内容を解説
2022/10/28
心身ともに健康に過ごすニーズと社会的意義の理解が進むなか、昨今ではヘルスケアサービスを利用する人が増えており、ヘルスケア事業への新規参入や高度化を進める企業が増えています。利便性の高いサービスが充実する事、PHR(Personal Health Record:パーソナルヘルスレコード)が普及し、健康管理の場での活用が進む事への期待値が高まっている状況と言えます。
安心・安全で利便性の高いヘルスケアサービスの要件として、情報セキュリティ・利用目的・相互運用性など、さまざまな基準をクリアしている必要があります。また、必要に応じて第三者への開示に関する同意を適切に取得できるかどうかも問われることとなります。
本記事では、PHRを取り扱う要件の中でも重要になる「本人同意」について解説します。府省による指針の内容にも触れるので、ぜひ参考にしてみてください。
1.PHR(パーソナルヘルスレコード)とは
PHRとは、その人の健康や医療、介護に関する情報を指します。また、病院や薬局ごとに保存・保管されている医療情報を個人の医療データとして統合的に管理できるものを、PHRサービスないしはPHRアプリと表現します。
テクノロジーの実用化が進む現在では、自宅で測定された体温・血圧・脈拍などのバイタルデータを登録できるPHRサービスも存在します。PHRは、一人ひとりの健康にまつわるデータであり、一人ひとりが生涯に渡って必要になったときに使用する、従来では医療機関から渡されていた各種手帳をひとまとめにしたようなもの、としてイメージするとわかりやすいでしょう。
正しく管理されたPHRが普及すれば、通常の診療の際に病院・薬局間での情報連携や、夜間および救急などといった急な診療の場合でも、PHRを閲覧する事で患者像や普段の健康状態が確認できるようになります。受診時に自分の健康状態を正しく説明する助けになり、病院側の負担軽減にもつながります。
PHRが活用できる場は医療現場のみに留まりません。個人が手軽に利用できるレコーディングサービスとして活用すれば、セルフメディケーションに役立つツールとしても活用可能です。服薬の管理に加えて食事に含まれる栄養素の情報や睡眠やストレスチェックの情報を記録・管理したり、そうした情報を家族に共有する事で、自分自身やお互いの健康を意識したりするきっかけにもなるのです。
このように、受診の利便性はもちろん、日頃の健康意識を高めるという効果に対しても、PHRサービスが普及する事が期待されています。
2.「民間PHR事業者による健診等情報の取扱いに関する基本的指針」とは
PHRを扱うためにはさまざまなガイドラインや指針を確認し、準拠する必要があります。確認すべき指針としては、総務省・厚生労働省・経済産業省による「民間PHR事業者による健診等情報の取扱いに関する基本的指針」が挙げられます。
こちらの指針では、特に厳重な管理が求められる個人情報であるPHRだからこそ遵守すべき項目がピックアップされています。「情報セキュリティ対策」「個人情報の適切な取扱い」「健診等情報の保存および管理ならびに相互運用性の確保」の3項目から構成されています。特に、下記の情報を扱うサービスは本指針の対象となるので、あらかじめチェックしておきましょう。
- 個人がマイナポータルAPI等を活用して入手可能な健康診断等の情報
- 医療機関等から個人に提供され、個人が自ら入力する検査結果等の医療情報
- 個人が自ら測定又は記録を行うものであって、医療機関等に提供する情報
下記の記事でも解説しています。
3.健診等情報を取得する場合に必要な「同意取得」等
「民間PHR事業者による健診等情報の取扱いに関する基本的指針」では、「個人情報の適切な取扱い」に関する項目において「同意取得」に言及しています。同意取得とは、その名のとおり健康に関する内容を含む「個人情報」を第三者に提供することに対し、同意を得ることを指します。
個人情報保護法への準拠という観点
例えばPHRの用途には、先述のとおり、かかりつけ医もしくは自身が登録した情報を他の病院・薬局と共有しながら活用する、というものがあります。その際には、健診等の情報が共有対象として考えられるのですが、これらのデータは個人情報保護法上の「要配慮個人情報」に該当するため、PHRサービスが取得をする際に(提供側としては第三者に提供する際に)、あらかじめ本人からの同意取得が必要となります。
この「あらかじめ」という点がポイントで、このような手続きを「オプトイン手続き」と表現します。オプトイン手続きとは、提示された条件内であれば私の個人情報を利用してよい旨の「明確な同意を事前に得る」手続きです。同意書にサインする、チェックボックスをタップして印をつけるなど、ユーザー本人の行動を得て事前に同意してもらうものはオプトイン手続きと理解できます。TISが提供する地域医療情報連携サービス「ヘルスケアパスポート 」でも、オプトイン手続きによる同意取得を実施するような仕様となっています。
対義語として、本人がその提供を拒否しない場合は「第三者提供に同意した」ものとみなす「オプトアウト手続き」もあるのですが、要配慮個人情報を第三者提供ではオプトアウト手続きは認められない ので注意が必要です。
なお同意取得にあたっては、以下のような「本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容」を明確に示さなければならないとされているので、併せて確認した上でサービスを設計する必要があります。
- 第三者提供する要配慮個人情報の範囲(どんな情報を提供するか)
- 要配慮個人情報を提供する対象(誰に情報を提供するか)
- 要配慮個人情報を第三者に提供する方法(どうやって情報を提供するか)
- 要配慮個人情報を第三者に提供することによる利益(情報提供のメリット)
指針への準拠という観点
「民間PHR事業者による健診等情報の取扱いに関する基本的指針」では、遵守項目として下記を定めています。
- 健診等情報取得にかかわる同意取得時の利用目的の通知
- 第三者提供にかかわる同意取得
- 利用者による同意状況の確認
- 同意の撤回
- 健診等情報の消去
- 長期間利用がない場合の措置
「1.健診等情報取得にかかわる同意取得時の利用目的の通知」および「2.第三者提供にかかわる同意取得」については、利用目的を通知したうえでオプトイン手続きによる同意を得ておくことで解決します。
「3.利用者による同意状況の確認」については、自分が同意している(もしくは過去に同意した)ことをユーザーが気軽に閲覧できるようにすべきと定めた項目です。そのうえで、「4.同意の撤回」できるよう配慮することが求められています。
併せて、サービスとして取得した情報が必要なくなった場合の「5.健診等情報の消去」や「6.長期間利用がない場合の措置」として情報消去する可能性があることにも触れ、正しい理解を訴求することが欠かせないとしています。
この辺りの詳細については、同指針の13頁〜14頁にかけて記載されているので、併せてのご確認が必要となります。
4.同意取得は安心・安全なPHRサービスに向けた一丁目一番地
PHRサービスは、設計の仕方によってはユーザーに周囲からの支えを得やすくする画期的なサービスとなります。一方、要配慮個人情報を扱うという性質があるため、適切な同意取得が欠かせないことも十分に理解しておくことが大切です。その上で、ユーザーが安全・安心にPHRサービスを利用できるよう、PHR事業者は様々な基準をクリアすることが求められます。
さらに、医療機関などへの開示のスキームを構築することも重要です。平時・緊急時を問わず医療者が適切な情報へアクセスできる環境の整備や社会への浸透を目指すべく、今後のヘルスケア産業の活性化が期待されています。
TISでは、このようなPHRデータ活用を促進するために「ヘルスケアプラットフォーム」の提供・開発に取り組んでいます。PHRデータの収集・蓄積・共有をご検討の際にはお気軽にご相談ください。
\
DXの推進に向けて ヘルスケアサービスのデータ基盤とは?/
↓こちらよりダウンロード【PDF】↓
その他ブログのご案内
「ヘルスケアサービス お役立ちブログ」では、その他下記のようなブログをご用意しております。
おすすめブログ
- ヘルスケア事業に関係するデータの種類(EMR/EHR/PHR)とその特徴とは?
- ヘルスケア事業の始め方とは?PHR活用にヒントがあった
- ヘルスケア事業 経済産業省・総務省・厚生労働省および民間PHR事業者による健康・医療情報活用に関するPHRの普及について
すべての記事
サービス立上げのリファレンスアーキテクチャーを公開中