レセプトデータとは、医療機関が発行するいわゆる「診療報酬明細書」のことを指し、主に入院、外来、歯科、調剤の４つに分けられます。
通院したことがある人ならば、誰もが一度はその書類を目にしたことがあるでしょう。
 
レセプトデータの中には、たくさんの保有個人情報が入っています。
例えば、診療開始日、病名、投薬内容、検査、手術内容といったものから、請求点数（１点は１０円に換算）、医師の指導料、管理料等が記載されています。
ちなみに、検査結果の内容や手術をする前の患者の状態や背景等は記載されていません。
そもそもレセプトデータを作成する目的は、保険診療をした医療機関が、患者が加入している保険機関（健康保険組合、共済組合、市区町村等）に対して、患者が支払った額（基本的に３割負担）の残り（７割）を毎月請求するためです。これをレセプト業務といいます。
 
このようにレセプトデータは保有個人情報がたくさん入ったデータのため、ときに取扱いを誤れば、個人情報保護違反となる可能性があります。
では具体的に不適切な例をみていきましょう。
※以下、個人情報保護委員会「レセプトデータ等の保有個人情報の利活用に関する注意喚起（個人情報取扱事業者向け）」参照
 
　1.　レセプトデータ利用の不適切な例
とある地方公共団体Aが、個人情報取扱事業者Xと重複服薬指導の業務を委託する契約を締結しました。この委託契約に基づき、地方公共団体Aは住民のレセプトデータを個人情報取扱事業者Xに提供しました。
その後、地方公共団体Aは個人情報取扱事業者Xとこの委託契約とは別に新たな覚書を締結し、個人情報取扱事業者Xに対してレセプトデータを委託業務以外でも利用できる権限を付与しました。
 
そして、個人情報取扱事業者Xは、覚書に基づき住民のレセプトデータを以下のように利用しました。
・レセプトデータから匿名加工情報を作成し、全国比較等のベンチマーク分析を行った
・当該匿名加工情報を製薬企業や学術研究機関に有償又は無償で提供した
 
その際、以下の点は覚書に明記されていませんでした。

・個人情報取扱事業者Xが製薬企業に対し匿名加工情報を提供すること
・製薬企業における研究成果を地方公共団体Aにフィードバックすること

さらには、地方公共団体Aが、個人情報取扱事業者Xからこれらの点について十分な説明を受けていませんでした。
 
2.　１の具体例における問題点
１でみてきた具体例について、次の４つの問題点が挙げられます。
 
(1) 地方公共団体が特定した利用目的のために、レセプトデータが利用または提供されているか？
個人情報取扱事業者Xが地方公共団体Aからレセプトデータ内の保有個人情報の取扱いを委託され、当該保有個人情報を取得する場合には、地方公共団体Aが特定した利用目的のために利用または提供されなければなりません。したがって、個人情報取扱事業者Xは地方公共団体Aに対し、自らが予定している利用または提供の内容を適切に提供しなければなりませんし、地方公共団体Aもその該当性を適切に検討しなければなりません。
レセプトデータの利用目的については、一般的に「保健事業のため」、「国民健康保険事業運営のため」等と特定している例が多く見受けられます。その利用目的に従うならば、個人情報取扱事業者Xにおける課題分析だけにとどまらず、分析結果が地方公共団体Aに還元され、保健事業の着実な実施や健康課題の解決につなげられるように取り組まなければいけないはずです。
しかし、上記の例においては、重要な点が覚書に明記されておらず、研究成果が地方公共団体Aにフィードバックもされていませんでした。
地方公共団体Aが個人情報取扱事業者Xにレセプトデータを提供するだけ、また、個人情報取扱事業者Xが分析するだけで地方公共団体Aに結果を還元しないといった行為は、地方公共団体Aが特定した利用目的から大いに外れているといえるでしょう。
 
(2) 地方公共団体Aと個人情報取扱事業者X間で、契約内容の十分な協議を行なっていたか？
レセプトデータから作成した匿名加工情報の製薬企業への提供、また、製薬企業での研究成果のフィードバックの在り方が、覚書に明記されておらず、地方公共団体Aと個人情報取扱事業者Xの認識に大きな齟齬があったといえます。
当該齟齬を避けるためにも、契約前に十分な協議を行い、共通の認識を得た上で契約を締結することが重要です。
特に、保有個人情報の本人が住民の権利利益に関わるような重要な事項については、個人情報取扱事業者Xから地方公共団体Aに対し、できるだけ書面による明確な説明を行うこと、さらには、協議内容を書面に取りまとめ双方が確認することが望ましいといえます。
 
(3) 契約内容に適法性があったかどうか？
そもそも契約内容に適法性があったかどうかも問題となります。
個人情報の保護に関する法律第 20 条第1項において、「個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。」とされています。
※参照「個人情報の保護に関する法律」
当初の委託契約はもちろんのこと、後から締結した覚書の内容についても、第 20 条第1項における「個人情報の取得」にあたります。
しかし、個人情報取扱事業者Xは、「個人情報の取得」における的確な措置を行なっておりませんでした。
まさに「偽りその他不正の手段」による取得に該当し、契約内容にそもそも適法性がなかったと考えられます。
 
(4) 地方公共団体Aに対して成果物をフィードバックしていたか？
最後に、地方公共団体における保険事業への取組という特性からの問題点です。
レセプトデータの分析結果や研究成果は、本来、地方公共団体に全て還元された上で保健事業やデータヘルス計画の策定等に活用されなければならないはずです。
個人情報取扱事業者Xのように、地方公共団体Aに研究成果をフィードバックしなかったことなど問題外です。
個人情報取扱事業者がレセプトデータを利用または提供する際には、住民の健康づくりや疾病予防の取組につなげられるよう、地方公共団体に対し、分析結果や研究成果に関する成果物のフィードバックを必ず行うようにしなければなりません。
 
以上、不適切な例から４つの問題点を参照しました。
個人情報取扱事業者は、この事例をもとに４つの点に注意しながら、レセプトデータにおける保有個人情報を適切に取り扱う必要があるといえるでしょう。