「韓国スマートヘルスケア最前線」患者データ25億件が漏洩か、製薬会社に販売の疑い [2015年04月17日]

.

ソウル放送(SBS)をはじめとする複数の韓国メディアは2015年4月8日、医療情報コンサルティングのグローバル企業である米IMS Health社の韓国法人IMS Health Koreaが、2008年以降に韓国人の診療記録と処方箋、計25億件を1件当たり1ウォン(約0.1円)で購入し、米国本社にわたす個人情報侵害を犯した疑いがあると報じた。韓国検察の個人情報犯罪政府合同捜査団が公表した捜査内容を基にした報道である。

 検察によれば、IMS Health Koreaの米国本社はこの情報を加工し、どの病院がどの疾患にどの薬をよく処方するのか、年齢別・地域別にどの薬がよく処方されたのか、といった統計資料にまとめて韓国の製薬会社に高い値段で販売していたという。

電算化代行業者などが横流し

 診療記録と処方箋は、重要な個人情報だ。ある患者がいつどのような疾患でどの薬を処方されたのかといった内容が、名前や国民ID(住民登録番号)とともに記載されている。日本のケースに置き換えれば、2015年秋に始まるマイナンバーと名前入りの電子カルテ、電子レセプトを多国籍企業が安く買い取り、米国にある本社がその情報を使って日本人の年代別・性別の病歴や主に使う薬などを分析。その情報を日本の製薬会社に高い値段で売っていたことに相当する。

 韓国メディアによれば、診療記録と処方箋をIMS Health Koreaに販売したのは、韓国5000カ所以上の病院の診療記録を電算化(電子医務記録)して健康保険審査評価院に送信する代行業者と、全国の薬局に電子処方箋関連プログラムを納品している大韓薬師会傘下の財団法人である薬学情報院だという。ここで健康保険審査評価院は、日本における診療報酬支払基金のような役割をする機関で、医療機関などから届いた医療費の請求が適正かどうかを審査し、医療費を支給する。

 この代行業者は2015年1月に、検察の取り調べを受けた。その結果、この代行業者は、患者の電子医務記録を健康保険審査評価院に送信する過程で、診療記録を外部サーバーにも同時に保存するようにしていたことが明らかになった。この手法で数億件に及ぶ電子医務記録を無断で手に入れ、IMS Health Koreaに販売していたという。

「個人は特定できないデータ」と反論

 病院側は、患者の電子医務記録が外部サーバーにも保存されていたことをまったく知らなかったとしている。薬学情報院も同じく、電子処方箋を無断収集した疑いで検察が2013年12月に取り調べを行い、2014年7月には役員らを起訴している。その際、薬学情報院が無断で収集した個人情報を購入したとしてIMS Health Koreaも捜査の対象になったが、当時は証拠不十分でIMS Health Koreaの関係者が起訴されることはなかった。

 韓国の医療法は「誰であろうと正当な事由なく電子医務記録に保存した個人情報を探知、漏えい、変造、棄損してはらない」、さらには「患者の診療記録と個人情報を他の医療機関と共有する必要がある場合は患者の同意を得ること」と規定している。個人情報保護法でも「健康などに関する情報、その他情報主体の私生活を顕著に侵害する恐れがある敏感情報に関しては、情報主体の同意なくこれを収集・利用・提供してはならない」と規定している。

 IMS Health Koreaは2015年4月13日、検察の捜査に反論する声明を出した。「ビジネス相手の国の法律は守っている。診療記録や処方箋などは暗号化して個人を特定できない状態で買い取り、製薬会社に販売したレポートも統計資料であり個人情報は含まれていない。60年以上、100カ国を超える国で保健医療の市場調査サービスを提供してきた。統計データには匿名を保証する情報を利用しており、患者個人を識別する情報はまったく使っていない」という立場を示した。

 「誰がいつどのような病気でどのような治療をしてどのような薬を飲んだのか、個人を識別できるデータを購入して米国本社にわたした」と主張する検察と、それを否定するIMS Health Koreaの攻防が続いている。

患者や医師が6億円超の損害賠償請求

 今回のケースでは、個人の医療情報が患者も病院も知らないうちに収集され、海外に売られていたことは確かだ。韓国内では、医療分野の個人情報管理に大きな欠陥があるのではないかと不安が広がっている。検察はIMS Health Koreaの代表に対し、違法に収集した個人情報を利用して得た不当利益の規模を調べる予定だと通達している。

 IMS Health Koreaと、同社に患者の診療記録を販売した薬学情報院は、既に患者と医師合わせて2193人から個人情報侵害で訴えられた。2014年の夏から現在に至るまで、約6億2000万円規模の賠償金をめぐる損害賠償訴訟が続いている。

 原告の患者と医師は、次のように主張している。「薬学情報院からIMS Health Koreaにわたったデータには、患者の住民登録番号から抽出した生年月日が記載してある。情報主体の同意なく無断で個人情報を収集したわけだ。さらに『住民登録番号や医師免許番号などは暗号化して販売した』との主張は、『1はA、2はB』といった具合に数字を特定の文字に入れ替えただけにすぎず、意味がない」。医療データの売買や暗号化をめぐって原告と被告の主張がぶつかり合う中、検察のIMS Health Koreaに対する捜査再開は、損害賠償訴訟に影響に与える可能性がある。


By 趙章恩の「韓国スマートヘルスケア最前線」
日経デジタルヘルス
 -Original column