昨今のウェルビーイングへの意識の高まりや、高齢化社会に伴う健康意識の向上などを背景に、ヘルスケアデータをビジネスで利活用する「ヘルスケアビジネス」が活発化しています。国や自治体のヘルスケア産業振興の取り組みも背景に、ヘルスケアビジネスは少子高齢化が進行する日本において、数少ない成長産業として、今後も多様な企業の参入が見込まれます。
デロイト トーマツ ファイナンシャルアドバイザリー合同会社(以下、DTFA)ではこれまで、医療、製薬、保険、ウェアラブル機器、クラウドサービスなど多岐にわたる企業・団体向けにヘルスケアデータ利活用支援を行ってまいりました。ヘルスケアビジネスの参入および事業展開にあたり、押さえておかなければならないのが“ヘルスケアデータの取り扱い”です。特に健康に関わる情報を含むヘルスケアデータは、十分な配慮が必要になります。では、具体的にどのような点に留意する必要があるのでしょうか。
今回はヘルスケアIoTコンソーシアムの法制度・標準化部会座長を務め、個人情報保護法にも詳しい、TMI総合法律事務所の柴野相雄弁護士に、DTFAの石川(ストラテジー部門法務戦略チーム)が“ヘルスケアデータの勘所”についてお話を伺いました。
目次
柴野 相雄氏
TMI総合法律事務所
パートナー弁護士
2002年TMI総合法律事務所入所。2010年ワシントン大学ロースクール卒業(LL.M., Intellectual Property Law and Policy コース)。一般社団法人日本マーケティング・リサーチ協会プライバシーマーク審査会委員、ISO/PC 317 (Consumer protection: Privacy by design for consumer goods and services)国内審議委員会 委員、デジタル庁技術検討会議ガバメントソリューションサービスタスクフォース専門委員などを務める。知的財産、情報保護、電子商取引に関する法分野を専門としており、ヘルスケアのほか、IT、Eコマース、エンタテインメント、AIビジネスなどに関する業務を取り扱う。近著に『ヘルスケアビジネスの法律相談』(青林書院)。
石川 仁史
デロイト トーマツ ファイナンシャルアドバイザリー合同会社
ディレクター
大手ゲームプラットフォーマー・総合電機メーカーの法務部門において、ネットワーク・エンターテイメントビジネス全般にわたる法務業務に従事した後、2017年デロイト トーマツ ファイナンシャルアドバイザリー合同会社に入社。電子署名・電子契約管理などのDX化推進、AIを活用した契約審査の効率化実現を支援しつつ、2021年デロイト トーマツ グループ法務横断組織の戦略法務室を立ち上げその統括を担う。現在、ヘルスケアデータ利活用支援、他業種・多業種連携に係るストラクチャー構築・リスクマネジメント支援、インオーガニックグロースに係る法務デューデリジェンス・SPA交渉支援・PMI実行支援などに従事。
対外的にも対内的にも健康に関する関心が高まってきている
石川
最初に柴野先生がヘルスケアビジネスに携わるようになったきっかけをお聞かせください。
元々ヘルスケアには興味があったところ、2015年頃より、クライアントからヘルスケアビジネスに関するご相談を受けるようになったことがきっかけです。当時はAIの第三次ブームの興り始めであり、「AIを利用して、パーソナルヘルスケアサービスを提供したい」などのご相談をよく受けていました。
2015年といえば初代Apple Watchが発売された年でもありますね。それ以降、様々なウェアラブルデバイスが開発され、心拍数や歩数、消費カロリーなどが手軽に確認できるようになり、一気に健康志向が高まったと思います。そしてこれらのヘルスケアデータに着目し、個人的にも2015年前後よりヘルスケアビジネスに関心を持つ企業が増えてきた感触があります。最近のヘルスケアビジネス関連のご相談について、どのような傾向があるでしょうか。
柴野
ヘルスケアビジネスを一般ユーザーへ展開する「対外的なサービス」に関するものと、自社にヘルスケアサービスを提供する「対内的なサービス」に関するものに大別されます。前者はヘルスケアデータの取り扱いとヘルスケアアプリに関する相談が、後者については従業員のデータを活用した健康増進の取り組みに関する相談が多く寄せられますね。
石川
対外的にヘルスケアビジネスを展開する企業だけでなく、ヘルスケアデータを従業員に還元する、いわゆる「健康経営」に注力し始めた企業が増えてきたのかもしれませんね。
ヘルスケアデータは法的にも倫理的にも高い配慮が必要
石川
多業種によるヘルスケア連携の支援を行う当社においても、最近ではジョイントベンチャーやコンソーシアム組成など、ストラクチャー検討に関するご相談が増えています。ただ、いずれの形態にせよ、ヘルスケアデータを取得し、それを利活用するためには、情報の取り扱いに十分な注意が必要です。個人情報保護法の観点からどのような点に留意しなければならないでしょうか。
柴野
個人情報保護法上、情報の種類によって、取り扱いルールが異なります。したがって、多業種連携の場合、「どのような種類のヘルスケアデータを誰が取得するのか」「取得したデータをどのように使うのか」など、情報の取得から利用に至る一連の流れを明確にすることが重要です。
石川
“情報の種類によって、取り扱いルールが異なる”とのことですが、ヘルスケアデータはどのような種類の情報に分類されるのでしょうか。
柴野
まず個人情報保護法上、大きく3つに分類できます。
柴野
また個人情報保護法の範疇外、つまりは同法の制約を受けないものとして、統計情報というカテゴリーもあります。
柴野
ヘルスケアデータを取り扱う際には、法令上、どのような規制がかかるのかを把握しなければなりません。そのため、当該ヘルスケアデータが上記4つの何に分類されるかを把握することは必須の作業です。
ちなみに、よく匿名加工情報と統計情報の違いについて相談を受けますが、一言でいうと「個人に関する情報かどうか(特定の個人との対応関係が排斥されているかどうか)」になります。前者は個人に関する情報に該当しますが、後者は該当しません。
石川
分類後のステップとして重要なのは、ヘルスケアデータ取得などに関して本人同意を得ることです。ただ、ヘルスケアデータの場合、先ほども触れましたが日常生活の行動や健康に関わる情報が詰まっていますので、一般的な個人情報と同程度の利用規約やプライバシーポリシーの記載内容では不十分だと考えます。
柴野
仰る通りですね。一概に個人情報といっても、プライバシー性の高低には差があります。例えば、私が使用している睡眠アプリの睡眠データは個人情報に分類されますが、寝言もデータとして蓄積されます。寝言は内容次第ではありますが、収集される情報の中でも秘匿性の高い情報のような気もします。
このような秘匿性の高い情報を取得する際には、たとえ当該データが個人情報に分類されるとしても、その利用態様にもよりますが、プライバシー権侵害とならないように配慮し、利用規約やプライバシーポリシーで、取得する情報の種類・内容、利用目的、利用態様をしっかりと説明し、本人からの同意を取得しておくことが望ましいと考えます。
利用者の立場に立った明解・簡潔なデータフローの説明と同意取得の方法を考える
石川
同意取得の話が出ましたが、ほかに気をつけるべきポイントはありますでしょうか。
柴野
企業側の立場に立って考えると、自分の個人情報を取得されるユーザー本人が“利用規約を読んで承諾した”という証拠を残すことが大切です。そのため例えば、利用規約を最後まで読まないと同意のチェックボックスが出てこない仕様にしたり、初めは「不承諾」にチェックが入っており自らの意思で「承諾」ボタンを押してもらうシステムにしたりといった、様々な工夫が必要ですね。
石川
一方、同意をするユーザー側としては、“利用規約は長すぎて読み切れない”と感じるケースが大半かと思います。利用規約をしっかり読んでもらいたい企業側としてできる対応は何でしょうか。
柴野
例えば、サービス提供の一連の流れの中で大事な情報を取得するという場面では、“どの情報をどのような利用目的で使うのか”をポップアップで表示する、という工夫が考えられます。
いずれにせよ、ユーザーに“自分のそのような情報が勝手に取られて、そのような使い方をされるなんて知らなかった”と思われない仕組みを構築すること。そして、その仕組みを考えるうえで、“どのような同意取得の方法が当該サービスにとってユーザーフレンドリーであるか”を考えることが大切ではないでしょうか。
バリエーション豊富な企業間連携でのデータ共有方法については、利用目的・用途に応じて最適なものを選択する
石川
多業種によるヘルスケア連携では、参画企業間におけるヘルスケアデータのやりとりも発生します。企業間における情報共有の方法としては次の3つが挙げられます。
柴野
そのほか、ユーザーに「個人情報が渡る企業」および「各企業には異なる利用目的があること」を理解してもらったうえで、各社がそれぞれ情報を取得するパターンもあります。上記3つの方法と比べて、負担なく情報の共有ができる可能性がありますね。
石川
個人情報の同時取得ですよね、利便性が高いと思います。どのような利用目的・用途でヘルスケアデータを利活用したいかを議論したうえで、それに適した共有方法を選択することが重要ですね。
ヘルスケアビジネス成功の秘訣は、ユーザーニーズに目を向けること
石川
今回お話を伺って改めてわかったことは、ヘルスケアデータを利活用するにあたっては検討すべき事項が沢山あるということです。個人情報保護法だけとっても、情報の分類、適用される要件(制約)を正確に理解し事案に則して丁寧にあてはめをする必要があります。また、プライバシー意識の高まりに合わせた検討も必要となります。多業種連携となると参加者数に応じて検討事項が増えますし、第三者提供の論点も出てきます。スムーズなビジネス展開を成し遂げるためには迅速な判断も必要となります。
柴野
確かに、多角的、俯瞰的、迅速に検討する必要がありますし、また、この分野では特に個人情報保護法や次世代医療基盤法といった法律の改正を含む最新情報をウォッチする必要があります。ただ、忘れがちですが、ユーザーのニーズを正しく汲み上げ、ニーズを満たすサービスを提供すること、そのために、技術上あるいは制度の運用上のネックがないか、現状を正しく分析・改善することが大切です。
また国民・ユーザー側の意識改革をするのであれば、政府や企業の現状の広報・広告体制はまだまだ十分でないところも多く、強化が必要であるとも考えます。ヘルスケアサービスを使うことで国民・ユーザーにどのようなメリットがあるのか、より力を入れて周知することが重要だと思います。
石川
今後の市場の動きとして、注目されていることはありますか。
柴野
2023年中に経済産業省が「PHRサービス事業協会(仮称)」を立ち上げる予定です。同協会は、健康アプリや保険などのPHR(Personal Health Record)サービス事業を展開する15社が集まり、設立されるとのことですが、今後は同協会が業界のルールメイキングを担っていくと考えられますので、どのようなルールが作られるのか注目しています。また、5年ごとに見直しが行われる、ヘルスケアデータの利活用を促進する「次世代医療基盤法」の改正とその運用にも注目しています。
石川
DTFAとしては、多業種によるヘルスケア連携のご相談が多くなっている実感があります。持続可能なビジネスの枠組みと法的課題の解消は同時に、しかも初期段階から検討しなければなりません。とりわけ、法的知識に基づく的確なマネジメント能力を有する者による社内外の迅速な調整が不可欠です。複数社の各ビジネス部門が検討する際の論点洗い出しや利害調整のサポート、ビジネス部門と法務間での検討時における会話サポートなどが挙げられます。
最後に、ヘルスケアビジネス参入企業が成功するための秘訣について、柴野先生のお考えを聞かせてください。
柴野
ヘルスケアサービスを提供するにあたって、“ルール(法律)に抵触していないこと”はもちろん大事ですが、ヘルスケアサービスをユーザーに普及させるためには、ルールの遵守ばかりに目を向けるのではなく、ユーザーがどのようなものを求めているのか、ユーザーニーズを正しく分析・把握し、そのメリットも伝えていくことが重要ではないでしょうか。
石川
ユーザーのニーズを把握し、メリットを周知することで、ユーザーからの協力も得られるようになるかもしれませんね。今後ヘルスケアビジネスを進展させていく上で、プロジェクトを推し進める当社のような“攻め”の存在と、柴野先生のような“守り”の存在、両者が協働することで、バランスの取れたヘルスケアサービスを展開できるのではないかと推察しました。本日はありがとうございました。