前回は,東京地方裁判所から1人当たり3万5000円の賠償命令が出された,東京ビューティーセンター(TBC)の顧客情報流出事件を取り上げた。過去最高の賠償金となった背景には,基本的な識別情報以外に含まれていた,私生活上の領域に属する情報の存在がある。

 今回は,TBC事件の判例でも比較の対象となった,保健医療に関する個人情報の流出事件について考えてみたい。

大学病院で相次ぐ患者情報の流出

 第60回で触れたように,医療分野の学術・研究では「個人情報保護法」や「独立行政法人等の保有する個人情報の保護に関する法律」の適用が除外されている。その代わり,以下のように,細かい倫理指針が所管省庁から示され,倫理審査委員会による承認,インフォームド・コンセントの取得など,厳格な手続きが要求されている。

 このように,患者の個人情報は,高いハードルを乗り越えてやっと利用可能になる貴重なものなのだが,学術・研究の中核を担う大学病院でいとも簡単に流出する事態が続出している。

 2007年1月18日,東京大学医学部附属病院は,同病院の医師が自宅で使っていたパソコンから,患者約150人分の個人情報が,ファイル交換ソフトを介してインターネット上に流出した可能性があると発表した(「患者様の個人情報の流出について」参照)。個人情報には,患者の氏名,生年月日,病状や治療の経過,検査所見などが含まれていたという。

 2月13日には東京医科歯科大学が,同学医学部学生のパソコンからファイル交換ソフトを介して,患者の個人情報69人分が外部へ流出した可能性があると,文部科学省から連絡があったことを発表した(「患者様の個人情報の流出について」参照)。個人情報には,患者の氏名,生年月日,病歴などが含まれていたという。

 2月21日には,東北大学医学部附属病院が,院内更衣室で患者の個人情報2024人分が記録されているUSBメモリーを紛失したことを発表した(「患者様個人情報の紛失(盗難)について」参照)。メモリーは,同病院の医師,看護師が学術研究用に抽出し記録していたもので,入院患者の氏名,年齢,病名などが含まれていたという。

 これら3つの大学病院のケースに共通するのは,臨床データの個人情報部分の匿名化など,基本的な対策が施された証跡が見当たらないことだ。今やファイル交換ソフトやUSBメモリーによる個人情報流出のリスクが高いことは,周知の事実である。その上,医療関係の資格者には,罰則付きの守秘義務が規定されており,患者の個人情報を取り扱う個人の責任も明確だ。

 プライバシー性の高い保健医療に関する個人情報が流出して二次被害が発生し,被害者から損害賠償訴訟が提起されたら,前回紹介したTBC事件を上回る損害賠償金の支払いを命じる判決が出ても不思議ではない。他業種と比べて,保健医療がハイリスク産業であることを再認識すべきだ。

個人情報保護対策は治験・臨床研究の共通基盤

 保健医療に関する個人情報流出事件がもたらす経済的損失は,病院や医療専門家個人にとどまらない。特に社会的影響が大きいのが,新薬開発のための治験・臨床研究の分野だ。

 新薬治験では,様々な疾病ごとにできるだけ多くの被験者を集める必要がある。だが,その一方で個人情報が流出したら,各病院の倫理審査委員会の基準が厳しくなって事務手続きが遅延しかねない。倫理審査委員会から承認されても,病院に対する患者や家族の信頼が失われたら,インフォームド・コンセントを得られず,被験者数の減少を招くことになる。治験の長期化に伴うコスト増は,将来提供される新薬の価格に反映され,国民医療費の増加という形で社会全体に跳ね返ってくることを忘れてはならない。

 2000年代に入ってから,国際的治験・臨床研究におけるアジア近隣諸国の取組みが加速する一方,日本の相対的地盤沈下が進んでいる。厚生労働省では,2007年4月から「新たな治験活性化5カ年計画」を開始させる予定だが,治験・臨床研究の共通基盤である個人情報保護対策との連動が必要不可欠である。患者の個人情報管理面で不備な点が発覚し,後から治験・臨床研究自体の有効性が否定されるような事態だけは避けてほしい。

 次回は,ジャックスの個人情報漏えい事件について考えてみたい。


→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原 英司 (ささはら えいじ)

【略歴】
IDC Japan ITスペンディンググループマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/