マイナ保険証への“賛否にかかわらない”盲点…知られざる「情報プライバシー侵害のリスク」とは? 個人情報保護法制に詳しい弁護士らが「警鐘」

現行の保険証を廃止して保険証の機能をマイナンバーカードへ統合する「マイナ保険証への一本化」が12月2日に迫る中、14名の弁護士で組織する「地方自治と地域医療を守る会」が18日、都内でマイナ保険証の「法的問題点」を訴える会見を行った。

そのなかで、情報保護法制等に詳しい弁護士らから「個人情報保護」「情報プライバシー侵害」などの観点から強い懸念が示された。そこには、マイナ保険証ないしはマイナ保険証への一本化への賛否にかかわらず、すべての国民の利益にかかわる問題があるという。

患者の「情報プライバシー権」が侵害されるリスク

厚生労働省HPの「マイナンバーカードの健康保険証利用について」には、以下の記載がある。

「顔認証付きカードリーダーを利用することで、これまでよりも正確な本人確認や過去の医療情報の提供に関する同意取得等を行うことができ、より良い医療を受けることができます」

保険証で資格確認を行ったら、次いで、医療情報の提供についての「同意」を求められる。対象となる情報は「手術歴」「診療・薬」(または「薬」)「健診」である。

この同意は、包括的なものであり、特定の情報を選んで不同意にすることが認められていない。医療機関・薬局側は24時間以内であれば、その患者の過去の医療情報にアクセスできる。

もし、医療情報の提供に同意しなかった場合、医療費の自己負担額は、従来の保険証で受診した場合と同じ額となる(加算される)。

個人情報保護法制に詳しい赤石あゆ子弁護士は、「現行の仕組みでは、いったん同意すれば、自分のすべての医療情報が丸ごと見られることになる」と指摘する。いわゆる「自己情報コントロール権」「情報プライバシー権」(憲法13条参照)の問題である。

赤石あゆ子弁護士(10月18日 東京都千代田区/弁護士JP編集部)

赤石弁護士:「そもそも医療情報は誰にとってもセンシティブな情報だ。特に、外から見えない疾病や傷害、たとえば精神障害、発達障害、聴覚障害をもつ方にとって、自分の過去の受診歴や薬剤情報は基本的に秘密にしたいというニーズが非常に強い。また、それ以外にも、性病の検査歴などは秘密にしたい人もいる。

ところが、マイナ保険証では包括的な同意を求められる。これでは、自分の情報を秘密にしたい、人に知られたくないという方のニーズが守られないではないかという問題がある」

10月から「全情報の提供への同意を誘導する仕組み」に仕様変更

この問題は、10月7日から医療情報についての同意・不同意の方法が見直されたことにより、さらに深刻化しているという。

赤石弁護士:「これまでは『手術歴』『診療・薬』『健診』の3つの項目についてそれぞれ『同意・不同意』を選ぶ方式だったが、10月7日から、最初の画面に『全て同意する』『個別に同意する』の2つの選択肢しか表示されない画面になった(【図表】参照)。

実際には『個別に同意する』を選択すると、従来と同様、『手術歴』『診療・薬』『健診』のそれぞれについて『同意・不同意』を選べる形にはなっている。

しかし、普通の人がこれを見て、『同意しない』の選択肢があることに気付くことは難しい。『どちらかで同意しなければならない』と誤認する可能性がある。

『全て同意する』を押すと、過去のすべての『手術歴』『診療・薬』『健診』の情報を提供してもいいということになってしまう。

『個別に同意する』を選んだ場合も、自分のどの情報をどのように提供されるのかがわからないまま、『同意・不同意』の選択を迫られることになる」

【図表】医療情報についての同意・不同意の仕様変更(出典:厚生労働省「顔認証付きカードリーダーの同意画面の改善」)

第二東京弁護士会元会長の山岸良太弁護士は、この仕組みは一般企業であれば許されないことだと指摘する。

山岸良太弁護士(10月18日 東京都千代田区/弁護士JP編集部)

山岸弁護士:「もし、普通の一般企業が消費者向けに『同意しない』という項目を作らず、『同意する』と『個別に同意する』のみの画面を作ったら、それだけで『消費者保護に欠ける』と問題視されるだろう。

そのレベルのことをやっている」

「真意による同意」か疑わしいケースも

もちろん、最初の画面で「個別に同意する」を選んだうえで「手術歴」「診療・薬」「健診」のそれぞれについて「不同意」を選択することもできる。

しかし、「同意」を選ぶ場合、それが果たして真意に基づく同意といえるかという問題が発生する。

赤石弁護士:「たとえば、小さな個人経営の医院などで『マイナンバーカードをカードリーダーにかざしてください、医療情報の提供に同意してください』などと言われたら、『いえ、私は不同意です』とはなかなか言い出しにくいことも考えられる。

また、知的障害のある人、一部の精神障害を患っている人等については、そもそも同意すべきかどうかという判断ができないケースが想定される。家族や高齢者施設の職員が付き添う場合でも、本人に代わって家族や職員が同意していいのかという問題もある。

そうなると、仮に『同意』のボタンを押しても、本人の明確な意思に基づく同意とは言えないケースが多発しうるのではないかという問題がある。

しかも、いったん同意すると、『前の画面に戻る』という選択肢がない。誤って同意のボタンを押した場合や『やはり不同意にしたい』という場合に、同意を撤回する手段がない」

医療機関・薬局「内部」で情報を閲覧できる人は“事実上、無限定”

医療情報の提供に同意した場合に、その医療機関、薬局の内部で医療情報に接することができる人の範囲が事実上無限定であることも、懸念点として挙げられた。

赤石弁護士:「医療情報に接することができるのは主治医だけではない。看護師や作業療法士など様々な医療関係者がいる。受付の事務の方もいる。

特に小さな医院では、パソコンを複数人で共用していることがある。医療情報が表示されたパソコンを覗けば、過去の情報を全て見られてしまうおそれがある」

もちろん、医師や看護師には守秘義務が定められており、罰則をもって強制されている。しかし、山岸弁護士は、それでは制度設計として不十分だと指摘する。

山岸弁護士:「セキュリティを高めて『閲覧権限がある人の範囲』『閲覧できる情報の範囲』を制限するなどの仕組みが必要であるにもかかわらず、全く作られていない。

医師や看護師に守秘義務があるとはいっても、個人情報保護法制は、悪意を持って動く人がいることを前提に設計されなければならない。

今でも、センシティブな病気にかかると、近所で知られないように遠くの医療機関に通うことがよくあるが、現状ではいったん『同意』をすればその場合の医療情報も全て知られてしまうリスクがある仕組みになっており、重大な問題だ」

日本企業の「国際展開」にも“悪影響”を及ぼすおそれ?

さらに、赤石弁護士は、EU(ヨーロッパ連合)諸国と比較して日本の個人情報保護の制度が「極めて不十分」と指摘した。

赤石弁護士:「EUでは『GDPR』(一般データ保護規則)により極めて厳格な個人情報保護の制度が敷かれている。ところが、日本は個人情報の定義さえ緩やかだ。また、個人情報保護法に基づいて『個人情報保護委員会』が設置されているが、機能しているかどうかは疑問だ。日本の法制度は一応、GDPRにおいて『十分性の認定』を受けている。しかし、この医療情報の取り扱いの件にも表れているように、内実を見ると『十分性の認定』に値しない疑いがある。今後、私たちは欧州委員会などに情報提供していきたいと考えている」

行政法や国際人権問題を専門とする小島延夫弁護士は、日本企業が国際的に展開するうえでのGDPR遵守の重要性を指摘した。

小島延夫弁護士(10月18日 東京都千代田区/弁護士JP編集部)

小島弁護士:「GDPRはヨーロッパの法制度だが、日本の企業が国際展開する場合にはきわめて重要なものだ。

ヨーロッパでは非常に多くの日本の企業が活動している。日本が個人情報の扱いがずさんな国だと認定されると、ヨーロッパの企業は、日本を活動拠点としている企業と取引すべきでないということになるおそれがある」

今回、指摘された問題点は、マイナ保険証ないし、現行の健康保険証の廃止・マイナ保険証への一本化への賛否に関係なく、すべての国民の「自己情報コントロール権」「情報プライバシー権」に関わる問題と考えられる。また、日本企業の国際展開にも影響を及ぼす可能性がある問題との指摘もある。

11月に開かれる特別国会を受けて発足する新政権は、マイナ保険証への一本化を従来の政府方針通りに推進するにしても、従来の健康保険証を併存させるにしても、今回、弁護士らが指摘した問題への対処を迫られることになるだろう。