「民間PHR事業者による健診等情報の取扱いに関する基本的指針」の概要
健診等情報利活用WG 民間利活用作業班
民間利活用作業班報告書(令和3年4月23日)
別紙2 参考資料集より抜粋、一部改変
- 本指針は、国民・患者本人が取得した健診等情報を、自身のニーズから民間PHR(Personal Health Record)サービスを用いて、予防・健康づくりに活用すること等を想定して、PHRサービスを行う民間PHR事業者における当該情報の取り扱いについて整理したもの。
- 健診等情報の機微性等を鑑み、個人情報保護法等に定められた対応(法規制に基づく遵守すべき事項)に加え、丁寧な同意、情報セキュリティ対策、申出に応じた消去、自己点検と結果の公表等の必要な対応を民間PHR事業者に求めるものである。
- これにより、業界の健全な発展や、個人による安全・安心なPHRサービスの利活用の促進を目指す。
目次
指針の位置づけ
基本的考え
- 健診等情報を取り扱うサービスを提供する民間PHR事業者が法規制に加えて、適正なPHRの利活用を促進するために遵守することが必要と考えられる事項を含めて提示
指針の対象
- 対象情報:個人が自らの健康管理に利用可能な要配慮個人情報を「健診等情報」と定義(健診等情報の具体例として、予防接種歴、乳幼児健診、特定健診、薬剤情報等を列挙)
- 対象事業者:健診等情報を取り扱うPHRサービスを提供する民間事業者
民間PHR事業者による健診等情報の取扱いに関する要件(法規制に基づく遵守すべき事項に上乗せする主な事項)
情報セキュリティ対策
- リスクマネジメントシステムを構築する上で第三者認証(ISMS又はプライバシーマーク等)を取得することに努める。ただし、マイナポータルAPI経由で健診等情報を入手する事業者においては、第三者認証を取得すべき 等
個人情報の適切な取扱い
- プライバシーポリシーやサービス利用規約を分かりやすく作成し、ホームページに掲載するなどを義務化
- 利用目的に第三者提供を含む場合は、利用目的、提供される個人情報の内容や提供先等を特定し、分かりやすく通知した上での同意の徹底
- 本人同意があった場合でも、本人の不利益が生じないように配慮
- 同意撤回が容易に行える環境の整備
- 健診等情報の利用が必要なくなった場合又は本人の求めがあった場合、健診等情報を消去又は本人の権利利益を保護するため必要な代替措置を行う 等
健診等情報の保存・管理、相互運用性の確保
- 健診等情報について、民間PHR事業者から利用者へのエクスポート機能及び利用者から民間PHR事業者へのインポート機能について備えるべき 等
その他(要件遵守の担保方法など)
- 対象事業者は、自己チェックシートに沿って本指針の各要件を満たしているかどうかを確認し、点検後のチェックシートを自社のホームページ等で公表すべき 等
