個人情報を利用する製品開発時の
留意すべき法規制

@K.Kamitani

サマリー

事業活動のフェーズごとに準拠すべき主要な法制度・指針と、求められるアクションは以下の通りです。

事業活動 主要な準拠法制度・指針 求められる主要なアクション
医療機器を用いた治療・データ収集 個人情報保護法 / 3省2ガイドライン 治療行為に対する明確な同意取得(インフォームド・コンセント)、安全管理措置の徹底
大学との共同研究(学術目的) 人を対象とする生命科学・医学系研究に関する倫理指針 倫理審査委員会の承認、情報公開と拒否機会の保障(オプトアウト)による既存情報の利用
商用RWDレジストリ構築 次世代医療基盤法 認定事業者との連携または自社の認定取得、医療機関による患者への事前通知とオプトアウトの実施
医療機器開発・薬事申請 医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律(薬機法) IEC 62304準拠のQMS構築、サイバーセキュリティ対策、PMDAへの承認申請
@K.Kamitani

個人情報保護法

概要

個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする法律。特に医療情報は「要配慮個人情報」として、より厳格な取り扱いが求められます。

参照: 医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス(令和4年4月版) →

留意点

  • 要配慮個人情報である医療情報を取得・利用するには、原則として本人の明確な同意が必要です。
  • 診療目的で得たデータを、医療機器開発等の営利目的で二次利用する場合、利用目的を具体的に特定した上で、改めて同意(オプトイン)を取得することが原則となります。
  • WEBサイト等で同意を取得する場合、本人が能動的に意思表示(チェックボックス等)でき、その記録が適切に保存される仕組みが必須です。
  • 収集した個人データの漏えい、滅失又は毀損の防止のため、必要かつ適切な安全管理措置を講じる義務があります。
@K.Kamitani

3省2ガイドライン(医療情報システムの安全管理に関するガイドライン)

概要

厚生労働省・経済産業省・総務省の3省が策定した、医療情報を取り扱う情報システム・サービスの提供事業者が遵守すべき安全管理基準を示したガイドライン群の通称です。医療情報の保護と適正な利用を目的としています。

参照: 医療情報システムの安全管理に関するガイドライン 第6.0版 (厚生労働省) →

留意点

  • 医療機関だけでなく、医療情報システムやサービスを開発・提供する事業者も対象となります。
  • 「組織的安全管理措置」「人的安全管理措置」「物理的安全管理措置」「技術的安全管理措置」の4つの観点から、網羅的な対策を講じることが求められます。
  • 契約に基づき医療情報を取り扱う場合、委託元である医療機関に対して遵守状況を説明する責任を負います。
  • 事実上の業界標準(デファクトスタンダード)であり、本ガイドラインへの準拠は、取引先からの信頼を得る上で不可欠です。
@K.Kamitani

人を対象とする生命科学・医学系研究に関する倫理指針

概要

医学系研究に携わる全ての関係者が遵守すべき事項を定め、人間の尊厳と人権を尊重しつつ、研究の適正な推進を図ることを目的とする指針です。

留意点

  • 本指針は、あくまで大学等との学術研究に適用され、営利目的の医療機器開発等に直接適用することはできません。
  • 研究を実施する前に、研究計画書について倫理審査委員会の承認を得る必要があります。
  • 既存の診療情報等を学術研究に利用する場合、研究内容を通知・公開し、被験者が拒否できる機会を保障(オプトアウト)することで、個別の同意取得を省略できる場合があります。
@K.Kamitani

次世代医療基盤法

概要

医療分野の研究開発に資するため、医療情報を安全かつ円滑に利活用するための仕組みを定めた、個人情報保護法の特別法です。

参照: 改正次世代医療基盤法について (厚生労働省) →

留意点

  • 要配慮個人情報である医療情報を、営利目的で医療機関から収集するための実質的な法的根拠となります。
  • 国の認定を受けた「認定匿名加工医療情報作成事業者」を介してデータを収集します。
  • 医療機関が患者に対し、データ提供について事前に通知し、拒否の機会(オプトアウト)を設けることで、患者個別の同意なしにデータを収集できます。
@K.Kamitani

薬機法(医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律)

概要

医薬品や医療機器等の品質・有効性・安全性を確保するための法律。個人情報を含むデータを利用する医療機器も、本法の規制対象となります。

留意点

  • 特に、ソフトウェアを搭載またはネットワークに接続する医療機器は、製品そのものにサイバーセキュリティ対策を講じることが、薬機法に基づく基本要件基準により義務付けられています。
  • 医薬品や再生医療等製品を含む全ての開発プロセスにおいて、臨床試験(治験)や製造販売後調査で扱う個人情報は、GCPやGVP等の各種基準に基づき保護し、データの信頼性を確保する責務があります。
  • 承認申請(薬事申請)時に提出する臨床データ等は、被験者のプライバシーが保護され、データが正確であることが大前提であり、不適切な情報管理は申請資料の信頼性を損なう可能性があります。
@K.Kamitani

弁護士に相談

ビジネスモデルが固まった段階で、
医療分野の個人情報利用に詳しい弁護士に相談しましょう。

TIPS

まずは厚労省MEDISOに相談し、概要や方向性を理解したうえで、弁護士に有償で詳細を相談、契約書の整備を行うのがよいでしょう。

@K.Kamitani
Home
About JPRO
Table of Contents

​オフィス概要
​コンテンツ一覧
Ⓒ2026 JPRO
We are the pro bono navigator for life science/healthcare startups & entrepreneurs. Our website provides a centralized repository of essential information required for market entry.
All content on this site is based on primary resources issued by government agencies and public organizations, with direct source URLs provided for every key point. ]
​JPRO and its representative have served as advisors, supporters, and mentors for years within the primary public institutions driving Japan’s healthcare startup ecosystem: funded by Ministry of Health, Labour and Welfare (MHLW), Ministry of Economy, Trade and Industry (METI), and major local governments like Tokyo.