2022年9月20日、内閣府より次世代医療基盤法の認定事業者により医療情報が不適正に取得されていたことが公表された。

次世代医療基盤法とは

次世代医療基盤法とは、医療情報の利活用の増進・医療研究開発の促進を目的に定められた法律である。

個人情報保護法においては、本人の同意を得て取得し（医療機関が患者から取得する情報は通常要配慮個人情報であるため）、第三者に提供するためにはさらに本人の同意を要するため、医療情報の利活用にハードルがある。

そこで、次世代医療基盤法においては、①本人への事前の通知、②オプトアウト権（利用停止・削除の求め）の本人保護の手続を設けた上で、国が認定した事業者（認定事業者・認定受託事業者）が、医療情報の匿名加工化を行い、匿名加工後の医療情報を研究機関等に提供することが認められている。
以下のような構造により、次世代医療基盤法は、個人情報保護を確保しつつ、医療情報の利活用を図っている。

今回の医療情報の不適正取得事案

今回内閣府から公表された速報資料によると、認定事業者（一般社団法人ライフデータイニシアティブ（LDI））と認定受託事業者（NTTデータ）の保有するデータベースに本人への通知を行わずに提供された医療情報（約9万5000人分）が含まれていたとのことである。

不適正取得の原因について、「NTTデータが作成したプログラムの誤りにより本人への通知を行っていない医療情報が誤ってLDIに提供されたことが原因と考えられる」と報告されている。
医療機関とNTTデータの医療情報データベースが連携されており、NTTデータのプログラムにより本人通知を行ったデータのみフラグを立て、データ移行するような仕組みになっていたのではないかと推測される。

10月4日までに、LDIとNTTデータに対し追加報告が求められているため、続報をウォッチしていきたい。