インタビュー
稲葉 一人先生 (科学技術文明研究所 特別研究員)
- 元大阪地方裁判所判事
- /li>
- 東京大学大学院医学研究科客員研究員
- 大阪歯科大学非常勤講師(医事法制)
稲葉先生は、個人情報保護法を インフォメーション・マネージメントという解釈で捉え「医療情報-Medical Informationを管理-Management-すると いう観点から見なければならない」 「情報を巡る権利義務という関係に留ま らず、最後は医療の質向上に結びつけていくこと」と提案しておられます。 ここでは稲葉先生のご講演資料から、その一部を掲載し、先生が提唱されるインフォメーション・マネージメントの観点についてご紹介いたします。
皆さんは、Risk Managementという言葉はよくご存知と思います。同様に、Information Managementとして提案したいと思います。ここでのキーワードは、「持つことのリスク」です。昨今のIT化により、個人情報の漏えいは容易に、また、その漏えいの結果、情報流出量は多数にいたることから、「個人情報を大量に持つことのリスク」として関心を集めています。
これを一つの例で示しましょう。事案は、京都府宇治市の住民基本台帳データ約21万人分が不正流出した事実が判明。市がメンテナンスを委託していた電算業者(A社)の下請(B社)に児童検診用データを預けていたところ、B社のアルバイト大学院生Tが自分で持参した光磁気ディスク(MO)にコピーして持ち出し名簿業者に無断売却、インターネット上で販売されていた事案で、住民3名から市への損害賠償請求をしたものです、控訴審である大阪高等裁判所平成13年12月25日は、「控訴人は、A社がB社に再委託することを承認し… 、控訴人の担当職員は、乳幼児検診システムの開発業務について、現にC社の代表取締役であるAや従業員であるBと打ち合わせを行い、従業員Tも、この打ち合わせに参加し…
Bと従業員Tは、当初、控訴人の庁舎内で乳幼児検診システムの開発業務を行」い、「本件データを庁舎外に持ち出すことについても控訴人の承諾を求めました。これらの事実に照らすと、控訴人と従業員Tとの間には、実質的な指揮・監督関係があったと認め」られ、市は使用者責任を負う。」として、合計4万5000円の慰謝料と弁護士費用を認めました、上告審である最高裁判所平成14年7月11日はこれを支持しています。
この事案では、訴訟を起こした住民が3人でしたからいいですが、流出した約21万人から請求されると、数十億円の賠償額となるのです。つまり、持つことの危険なのです。現に、医療とは関係ありませんが、2004年では、ソフトバンクBBの約660万件、三洋信販の約116万件、コスモ石油の約92万件、阪急交通社の約62万件など大規模な漏えいが相次いでいます。
そこで、私たちは、とくに機微性が高い医療情報-Medical Informationを管理-Management-するという観点から、みなければならないと提案するのです。これまで、医療者は、情報は詳しければ詳しいほどいいという考えで、やみ雲に情報収集していましたし、必要な範囲を超えて共有したり、これをどう破棄したりするかには無頓着であったといえます。しかし、Information Managementと考えれば、何が本当に必要な情報かを考える(情報取得段階で「必要性」を考える-これは標準化の議論とも関連します)、誰と共有することが必要かを考える(情報共有段階で「範囲」を考える)、必要でなくなった情報をどのように破棄するのかを考える(情報破棄段階で「方法」を考える)等のルールが自ずと導かれるのです。
4月以降も現場は混乱し、場合によると、個人の情報が外部に出てしまうことがあるでよう。しかし、だからといって直ちに違法となり、民事的に損害賠償義務を負うかというとそうではありません。不法行為の違法性について、民法の有力な考え方である相関関係説(我妻栄、加藤一郎)によれば、被侵害利益と侵害行為を相関的に判断して決することになります。これは、侵害行為つまり、個人情報保護法に則していえば、法・ガイドラインに則り、どれだけ、情報への配慮をしているか、すなわち、配慮をしておれば、仮に情報が流出しても、場合によっては違法性がないと判断される場合や、損害額の認定で配慮されるかということです。つまり、法・ガイドラインに従い、人的・物的制約を踏まえ、どれだけ情報への配慮をしているかが問われるのです。
なにから始めるか。なにもかもすることは決してできませんし、コストが係り、本来の患者さんへのケアがおろそかになる、患者さんに危険を及ぼすなら、これは本末転倒です。そこで、それぞれの病院で、何から始めるかの、優先順位を考えることが必要となるのです。
配慮の仕方は、Rule of Whoから、Rule of Whatへ向かっています。つまり、人の能力(必要ですが)だけに頼るのではなく、行為準則を決めることが必要です。米国のHIPA法やプライバシールールでも、世界の潮流は、詳細な行為準則(Rule of What)を示すことが求められています。これは、プライバシーポリシー・プライバシーステートメントといった宣言的なものから、より明確で具体的な準則を示すことの必要性を示しています。