全国医療情報プラットフォームと医療情報セキュリティ問題
現政府が閣議決定した「骨太方針2022」では、「オンライン資格確認等システムのネットワークを拡充し、標準化電子カルテ等の医療・介護全般にわたる情報について共有・交換できる全国的なプラットフォームを創設し、行政と医療界だけでなく産業界にも利活用させる」とされています。つまり、利潤目的の民間企業にも患者の診療情報を開示することになります。
患者情報は匿名加工する前提になっています。しかし、匿名化と非識別化は異なり、極めて厳正に非識別化しない限り再識別化が容易にされます。
厚生労働省は、2022年8月5日に指定難病患者5640名分の氏名・生年月日・住所等の個人情報を誤提供したことを公表し謝罪しました。翌9月、今度はオンライン資格確認システムのネットワーク回線を独占的に受注しているNTTのNTTデータが、約9万5000人分の患者医療情報を利活用するにあたって事前に本人通知せずにデータベースに混入したと発表しました。プログラムの不具合が原因です。
2022年に報道されただけでも、情報漏洩、ランサムウエア等のウイルス感染、不正アクセス、システム障害などの医療情報セキュリティ事件は全国39施設で発生し、国立研究センター、大学附属病院や県立病院、日本赤十字などの基幹病院から小規模施設までが確認されました。
このように、信頼性、安全性が高いとは言えない、現時点の日本の医療情報セキュリティレベルでは、機微性が高く医師が倫理的にも法律的にも守秘義務を課せられている患者の診療情報を守れるはずがありません。
本年4月1日から改正施行される療養担当規則(厚生労働省令)は憲法違反、法律違反
厚生労働省の漏洩事件が報道された直後の8月24日、保険局医療介護連携政策課長は、保険医療機関及び保険医療養担当規則(療担規則)を改正して本年4月からNTT光回線(フレッツ光のIP−VPN)を独占的に指定した「オンライン資格確認義務化」を施行する省令を発表し、「療担規則に違反をすることは、保険医療機関薬局の指定の取消事由となりうる」と発言しました。
しかし、課長発言の取消事由の根拠となる省令は違憲・違法です。
なぜなら、健康保険法の委任がないのに省令(療担規則)で国民である保険医に義務を課しているからです。国家行政組織法12条3項の条文は「省令には、法律の委任がなければ、罰則を設け、又は義務を課し、若しくは国民の権利を制限する規定を設けることができない」であり、法律の委任がない省令で国民に義務を課し、権利を制限する規定を設けることを禁じています。
また、国会以外の機関が、直接または間接に国民を拘束し、あるいは国民に負担を課するあらたな法規範の定立をすることは、憲法41条(国会は、国権の最高機関であって、国の唯一の立法機関である。)違反であるからです。
健康保険法70条1項が療担規則に委任している内容は、診察等の医療サービス提供の細目に限られるのであり、患者の資格確認方法については委任の内容に含まれていません。
資格確認については、健康保険法63条3項に基づく健康保険法施行規則53条が規定しています。これは、被保険者側が資格確認のために提出する資料について規定するものであり、保険医療機関に対して資格確認を行うことを義務付けるものではありません。医療サービス提供の法律と資格確認の法律は峻別されているのです。
マイナポータル利用規約における利用者の責任とデジタル庁の免責事項
医療機関が、オンライン資格確認システムを利用する場合、ほぼ強制的にNTT光回線を使用させられることになります。この利用に際し、マイナポータル利用規約(3条、24条)では、サービスやそれに関連した利用者が閲覧、取得する医療情報の管理責任は医療側にあり、損害を被った場合でもデジタル庁は免責され責任は全て保険医療施設側にあるとされます。もちろん厚生労働省やNTTも関係ないとされます。
このままでは、違法・違憲の厚生労働省令に利用を強要されたシステムを使用して、患者医療情報の漏洩、不正アクセスがあった場合は保険医療機関の責任にされ、ランサムウエア等のウイルス感染による損害を受けた場合であっても国は一切責任を取らず、自己責任ということになってしまいます。
「オンライン資格確認」が、マイナンバーカードの利用を必須とせず、国民が任意に参加できて、信頼性、安全性が高い十分なシステムであれば、反対はしません。他方そのようなシステムの構築をしないまま、違法な省令によって強権的に保険医に対して「義務づけ」をしたことに反対し、提訴したのです。
プロフェッションとしての医師の倫理規範
ヒポクラテスの時代から現代まで、医師はプロフェッションとして、営利ではなく、人の病や悩みという公益に奉仕し、それを天地神明に誓って尽力してきました。また、どの時代でも倫理上も法律上も、医師は患者の個人情報について守秘義務を負っていることは変わりありません。
患者や関係者の利益保護や危険防止等のために、一定の情報開示を行うことが正当と考えられる場合がないとはいえません。しかし、無条件で、どのように利活用されるのかもわからない民間企業に、医療・介護全般にわたる情報を共有・交換させる方向に国全体が向かってよいはずがありません。
国会議員にも当然理解されており、2005年4月施行の個人情報保護法では、衆議院からは「医療、金融・信用、情報通信等、国民から高いレベルでの個人情報の保護が求められている分野について、特に適正な取り扱いの厳格な実施を確保する必要がある個人情報を保護するための個別法を早急に検討すること」、参議院では、「医療」の定義に「遺伝子治療等先端的医療技術の確立のための国民の協力が不可欠な分野についての研究・開発・利用を含む」という詳細な附帯決議もついていました。しかし、これまで個別法は何も検討されていません。
「骨太方針2022」の第一歩であるオンライン資格確認システムの義務化は、医師の規範に反するということも本件訴訟を通じて明らかにしていきたいと思います。
