日本の次世代医療基盤法：大規模医療データ研究を実現する匿名化の枠組み

匿名化・仮名加工された医療データは、ヘルスケア分野における最先端の研究とイノベーションの核心にあります。個人識別子を取り除き、さらなるプライバシー保護措置を施すことで、個人のプライバシーを侵害することなく高度な研究が可能になります。しかし日本でも他の多くの国と同様、この医療データリソースを活用するための道筋は複雑でした。医療機関はデータの大規模活用の必要性と、強固なプライバシー保護義務のバランスを取ることを迫られてきましたが、従来のプライバシー法はこの緊張関係を常にきれいに解決してきたわけではありません。

本記事では、次世代医療基盤法がこれらの課題にどのように対応しているか、2024年改正で何が変わったか、そして研究・イノベーションのための安全な医療データ利用を実現しながらコンプライアンスを維持する方法を解説します。

日本はどのように医療データの共有を規制しているか

日本の個人データ保護の基盤は個人情報保護法（APPI）です。APPIのもとでは、医療データを第三者と共有するには原則として各患者本人のオプトイン同意が必要です。研究目的には限定的な例外がありますが、医療製品やサービスの商業的開発はその例外の対象外となっています。

実際、これにより有意義な医療革新に必要な大規模医療データベースを構築することが非常に困難になっていました。複数機関にまたがる患者データのリンク・広範な縦断的研究の実施・創薬パイプラインへのリッチなデータセット提供は、すべて大規模な個別同意取得の必要性によって妨げられてきました。

一つの解決策は、データを共有前に匿名化することです。匿名化されたデータは定義上個人を識別するものではないため、コンプライアンス負担が大幅に軽減されます。しかし匿名化自体にも課題があります。大規模データベース構築のために機関間でデータをリンクする場合、識別子を削除した後に記録を意味のある形で照合することが難しくなります。また匿名化前の段階では、そのデータの共有は依然として制限されます。これが次世代医療基盤法の導入以前、日本の医療データエコシステムが直面していた問題でした。

次世代医療基盤法とは何か

これらの課題に対応しながら強固なプライバシー保護を維持するために、日本は「医療分野の研究開発に資するための匿名加工医療情報に関する法律」（一般に次世代医療基盤法と呼ばれる）を制定しました。この法律は、医療研究の必要性と個人のプライバシー権のバランスを図る構造的な枠組みを構築しています。

この枠組みの中心にあるのが「認定匿名加工医療情報作成事業者」という概念です。医療データエコシステムにおける信頼できる仲介者として機能するこれらの認定事業者は、医療機関から識別可能な医療データを受け取り、機関間でデータ形式を標準化し、必要に応じて患者記録をリンクし、最終的に研究利用に適した匿名加工データセットを作成します。

この仲介者モデルには重要な意義があります。各医療機関が複雑かつ資源を要する匿名化プロセスを独自に実施する代わりに、専門的に認定・監督された機関にその責任を委ねることで、大規模な多機関医療データプロジェクトを運用上現実のものとする分業体制が実現します。

次世代医療基盤法における同意の仕組みはどうなっているか

次世代医療基盤法の最も重要なイノベーションの一つは、その同意の仕組みです。APPIが医療データの共有にオプトイン同意を求めるのに対し、次世代医療基盤法は慎重に設計されたオプトアウトの枠組みを設けています。医療機関は患者に通知し、意味のあるオプトアウトの機会を提供した後、認定事業者に識別可能な医療データを提供することができます。

オプトインからオプトアウトへの移行は微妙な変化に見えますが、その実務的な意味合いは大きいものです。オプトイン型では、データが利用されるすべての患者から肯定的な同意が必要であり、潜在的なデータセットの大部分を事実上除外するという物流的な障壁となります。オプトアウト型では、患者が積極的に異議を唱えない限りデータを活用できるため、統計的に意味のある洞察をもたらす大規模データセットの組み立てが現実的になります。製薬・ライフサイエンス、またはより広いヘルスケアセクターで事業を展開する組織にとって、これは実際に達成可能なことにおける意味ある変化です。

2024年改正は何を変えたか

次世代医療基盤法は2023年5月に改正され、変更は2024年に発効しました。最も重要な追加事項は、新たなカテゴリのデータ「仮名加工医療情報」の導入です。

完全に匿名化されたデータが再識別を不可能にするよう不可逆的に処理されるのとは異なり、仮名加工医療情報は他の情報と照合すれば再識別の可能性が残っています。これは製薬・医療機器業界を悩ませてきた限界に対処するための意図的な設計上の選択です。

匿名加工情報は元に戻すことができないがゆえに、規制当局への申請での有用性を妨げる厳しい制限を持ちます。例えば、まれな疾患の識別子や統計的外れ値は匿名加工データセットから除外されなければなりませんが、そうした例外的なデータポイントこそが創薬において最も重要な意味を持つ場合があります。

改正された枠組みのもとでは、仮名加工医療情報の認定利用者は、まれなデータポイントや例外的なデータポイントを除去することなく、規制承認を求める際に独立行政法人医薬品医療機器総合機構（PMDA）に当該情報を提出できるようになりました。PMDAも認定事業者から元データへのアクセスを求めることができ、研究開発のワークフローにおける医療データの信頼性と活用可能性が向上します。

製薬研究や規制当局への申請のために医療データを取り扱う組織には、LiminaのデータPII非識別化プラットフォームが大規模な匿名化と仮名化の両方を、複雑な臨床記録の処理に必要な言語的精度をもって支援します。ぜひご相談ください。

次世代医療基盤法は実際にどれほど機能しているか

進展は確実に生まれていますが、測定可能な進捗は限定的です。次世代医療基盤法は、認定データセットを使用した20件以上の研究の立ち上げを可能にし、認定作成事業者と認定利用事業者が研究目的のデータ収集・匿名化を支援するようになっています。ただし、参加医療機関の数は研究者が必要とする豊かさと幅を持つデータセットを生み出すにはまだ不十分な状況です。

構造的な課題も依然として残っています。日本には複数の医療情報データベースが独立して存在し、医療保険者や政府が保有する診療情報が互いにサイロ化されています。国民皆保険制度は理論的には全国規模のデータ収集を可能にしますが、保険者が独立したデータベースを維持しているため、包括的な縦断的データへのアクセスが困難です。統合されたリンケージシステムが構築されれば、研究能力が大幅に向上するでしょう。

仮名加工医療情報の導入は、特に製薬分野での法律の実用性を高めることを目的としています。しかし仮名加工医療情報の作成と取り扱いはいずれも認定が必要なため、参入障壁は完全にはなくなっていません。

次世代医療基盤法がその目標を十全に実現するためには、医療機関・規制当局・業界関係者間のさらなる連携が不可欠です。規制の整備を待つのではなく、日本の進化する医療データエコシステムに積極的に参加したい組織は、今すぐデータ非識別化インフラの構築に取り掛かるべきです。Liminaの医療データコンプライアンス支援についてお問い合わせください。

匿名加工された医療データに残るコンプライアンス義務とは何か

日本の規制構造における重要なニュアンスを明確にしておきます。APPIも次世代医療基盤法も、匿名加工情報が個人情報の定義外であると明示的に規定しているわけではありませんが、法的定義がその意味を示唆しています。実務上、個人データに適用される義務の多くは、適切に匿名加工された医療データには適用されません。

次世代医療基盤法は、匿名加工医療情報には適用されなくなるAPPIの特定の条項を明示しています。例えば、個人からの開示・訂正・削除・第三者提供停止の請求に対応する手続きを設ける義務は、匿名加工医療情報を取り扱う組織には求められません。APPIの第36条に定める請求を拒否する場合の理由説明義務も除外されます。

ただし、いくつかの義務は依然として残ります。匿名化によってコンプライアンス要件が完全になくなると思い込んではいけません。残る義務には、PPCの匿名化基準を満たすこと・削除した識別子と処理方法の漏えいを防ぐセキュリティ対策の実施・処理後の匿名加工データのカテゴリの公表・共有前に受領者へ匿名加工済みであることの通知・他のソースとの照合による再識別の試みを禁止することなどが含まれます。

APPIと次世代医療基盤法の双方においてコンプライアンスにどう取り組むか

医療データを匿名化する必要がある日本の企業には、2つの異なる経路があります。第一は、組織が独自に対応するAPPIのもとでの直接匿名化。第二は、認定事業者に匿名化を委ねる次世代医療基盤法の枠組みへの参加です。

それぞれに異なる考慮事項があります。APPIのもとでの独自匿名化は柔軟性をもたらしますが、相当な技術的能力が求められ、コンプライアンス責任を全面的に負います。次世代医療基盤法の経路では追加の認定要件とコストが発生しますが、より高い正当性を提供し、多機関データセットへのアクセスが可能になります。

いずれのケースにおいても、匿名化プロセスの品質が決定的に重要です。ここに目的特化型のプライバシー技術が具体的な差異をもたらします。

Liminaのデータ非識別化プラットフォームは言語学者によって設計されており、人間と同様に言語を理解します。文書内の文脈・エンティティの関係性・識別情報が実際のドキュメントでどのように現れるか（構造化フィールドだけでなく）というニュアンスを把握します。日本語を含む53言語で50種類以上の個人情報を検出するよう訓練された機械学習モデルを使用し、これまで多大な手作業を要していたプロセスを数行のコードで実現します。

これは特に非構造化データ（臨床ノート・退院サマリー・文書・研究記録）において重要です。これらは最もリッチな医療情報を含む一方、パターンマッチングツールだけでは確実に非識別化することが最も難しいデータ形式です。Liminaは幅広いファイル形式に対応し、オンプレミス展開が可能なため、日本のデータ主権規範に基づくコンプライアンスを複雑にする国際データ移転の懸念を解消します。

次世代医療基盤法への参加を目指している、またはAPPIのもとで準拠した内部匿名化パイプラインを構築したいヘルスケア・ライフサイエンス分野の組織は、Liminaがその技術的基盤を大規模に提供します。コンプライアンス要件についてチームにご相談ください。

‍