パーソナルデータの利活用に関する
制度改正大綱への日医の意見

事業者がパーソナルデータの利活用に躊躇（ちゅうちょ）するという「利活用の壁」を取り払うために，国民のプライバシー保護，不安の払拭（ふっしょく）を軽視した利活用ありきの施策について

• 初めにパーソナルデータの「保護」があるべき．EU個人データ保護規則案では，主題と目的に「個人データ保護の権利を保護する」記載がある．国民のプライバシー保護，不安の払拭がなされるべき．
• 「保護すべき情報」の区分が曖昧（あいまい）で，保護対象のうち身体的特性に関するもの等には，個人の病歴，検査結果等も含めるべき．これらのような機微性の高い情報は「一度漏洩（ろうえい）すると取り返しのつかない」ものであることから相応の保護が必要であり，機微情報には医療情報も含めるべき．
• 利用目的の変更時に，本人が申し出ないとプライバシーが守られない仕組みでは安心出来ない．また，意図しない目的で情報が利用されないためにも，知られたくない情報を削除出来る権利を保障すべき．
• 生存する個人のみならず，死者のプライバシーも考慮すべき．また，親族，子孫に影響を及ぼす遺伝情報については，個別法など別扱いで考えるべき．

本人の同意なしにデータの利活用を可能とする枠組み，民間任せの自主規制ルールについて

• 事業者が自ら個人情報の範囲を決める点に問題があるのではないか．被害への対応も民間任せか．被害者をどのように救済するのか．警察との関連はどうか不明瞭な点が多い．
• 個人が特定される可能性を低減したデータの加工に当たり，民間団体が自主規制ルールを策定，第三者機関は当該ルール，民間団体の認定等を行うことが出来るとしているが，事業者は第三者機関の認定を受けなくてはならないとすべき．認定も受けない自主規制ルールでは，消費者から見た効力が分からない．全ての事業者は自主規制を行う専門分野の民間団体に属することが可能か，悪意ある事業者に対する抑止力が必要である．
• データ加工ミスによる被害者救済を考慮し，加工ミスの責任について示すべき．加工の結果の検証が出来る仕組み，加工履歴などを電子署名付きで残す仕組みをつくるべき．

第三者機関の設置，権限・機能，主務大臣との関係，罰則について

• 第三者機関の設置に言及したことは評価出来るが，消費者が自身の権利利益侵害にかかる個人情報を，しっかりした枠組みの中で運用する保証がなければ安心して情報提供出来ない．制度設計次第では，制度そのものが機能しなくなり，誰の利益にもならない恐れがある．
• 現場とプライバシーを理解している医療関係者を第三者機関に配備すべき．
• 第三者機関は国境を越えない情報流通の場合でも，認定のみならず監督も行うべき．民間団体の監督等を行うに当たり，事業者が業務委託した委託先についても，不適切な情報の取り扱いをしないよう監督を行うべき．
• 第三者機関を中心とした実効性ある執行・監督が出来るよう第三者機関の独立性が担保されるべき．主務大臣制との関連において，役割分担の明確化の作業も可視化すべき．
• 医療情報のように機微性の高い情報は，漏洩時の罰則規定を他の個人情報よりも厳しくすべき．拡散すれば回収不可能であり，抑止力となる罰則が必要である．
• 身分を問わず，漏洩した者，仲介した者，取得した者を規律する法制度が必要．また，善意・悪意・過失の有無にかかわらず，データを削除させる権限を法定化すべき．

行政機関，独立行政法人，地方公共団体及び事業者間のルール未整備の問題について

• 制度差（行政機関，独立行政法人，自治体）の解消を図るだけでなく，運用の複雑さも解消を図るべき．

開示等の在り方について

• 民事上の請求権を整備する一方で，濫訴防止を前提にするなど，事業者に有利なスタンスでは国民が安心出来ない．

学術研究目的の個人情報等の取り扱いについて

• 各学会や研究機関の倫理指針のあり方について言及すべき．

いわゆる名簿屋について

• 名簿と同じことが，医療情報や遺伝情報で行われることを懸念する．早急に検討すべき．既に処方やレセプトで患者や医療機関のプライバシーが侵害されている恐れがある．
• 今般の民間企業による個人情報漏洩事件（ベネッセ事件）で明らかになったとおり，中間業者（同事件では名簿屋）を介して情報を取得した，いわゆる善意の第三者に情報を消去させるのは現行法の体系では極めて困難である．

今後のスケジュールについて

• 十分な議論がなされないまま，2015年の通常国会に法案提出というスケジュールは拙速である．必要となる政省令，規則，ガイドラインの整備にも国民的合意が必要である．