北亚各国/地区医疗科技行业监管现状之日本

医疗科技在日本备受关注，预计日本医疗健康行业的市场规模将延续增长态势。日本经济产业省发布的一份报告显示，到2025年，医疗健康行业的价值预计将达到33万亿日元(折合2,300亿美元)。此外，医疗科技领域的专利申请数目也正在稳步上升；日本专利局的数据显示，2013年至2019年，全球范围的医疗技术专利申请数翻了一番。日本政府一直在大力推动医疗科技的发展及医疗数字化转型。2022年，日本于内阁府下设立了医疗数字化转型推进本部，旨在共享并验证数字化转型的进展。其主要任务是促进个人健康记录(PHR)的使用，预计日本将推出国民身份证作为个人健康记录的门户。无论未来发展方向如何，个人信息保护问题都是医疗科技领域(包括医疗数字化转型)无法绕开的一项重要法律问题。

信息共享问题

在医疗数字化转型过程中，海量医疗信息的分享是必然，但同时个人信息也要得到适当保护，两者间的平衡是一大难题。

医疗信息属“个人信息”，理所当然受日本《个人信息保护法》(APPI)的保护。同时，医疗信息作为“敏感个人信息”还受到更大力度的保护。

原则上，APPI要求在将敏感个人信息提供给第三方时必须获得数据主体的同意。但是，对于需要收集和分析海量医疗信息用作研究等用途的医疗机构而言，让每个数据主体都勾选同意在实践层面颇有难度。

为此，APPI提供了一种替代方案：对敏感个人信息（包括医疗信息）作匿名处理、隐去个人身份的，可以在未经数据主体同意的情况下提供给第三方。但在此方案下，由各家医疗机构负责数据匿名处理。这个方案还有一个弊端，由于匿名医疗数据缺乏交叉参考信息，接收匿名医疗数据的研究机构无法进行跨机构分析。

次世代法律

为解决上述问题，日本于2018年5月11日颁布《次世代医疗基本法》（简称NGMIL，正式名为《关于为推动医疗领域的研究开发而匿名加工医疗信息的法律》)。

该法律旨在推动匿名个人医疗信息（如体检结果和医疗记录）在医疗领域研发用途的使用。该法还规定了一个认证程序，由政府审核匿名加工信息制作申请人是否符合技术标准(例如，审核制作申请人是否能够确保高度的信息安全并拥有充分有效的匿名技术)，以及制作申请人是否有适当可靠的手段对医疗信息实施匿名化管理和使用。

医疗机构可以向经认证的信息制作者提供医疗信息，直到数据主体拒绝(选择退出)提供此类信息。经过认证的制作者可以匿名处理信息，并将匿名处理后的医疗数据提供给研究机构用作医疗研发。

简而言之，《次世代医疗基本法》的宗旨是推动医疗信息的使用，它规定，医疗信息只能提供给经过认证的信息制作者，除非数据主体明确拒绝提供此类信息，同时确保个人权益得到保障。

《次世代医疗基本法》修订

但问题仍没有得到全面解决。经认证的信息制作者只能以匿名医疗数据的形式向研究机构提供数据。这意味着：

(1)即使研究机构希望数据中包含少量医疗病例和独特数据，这部分数据实际上并不可用，因为当这些数据与其他数据相结合时，可能会识别出特定的个人。

(2) 根据预先修订的《次世代医疗基本法》的相关规定，几乎不可能持续提供患者的医疗数据来跟踪其病情的演变过程。

(3) 即使研究机构在分析了匿名医疗数据后，认为应开展进一步的研究，他们也几乎不可能以匿名医疗数据的形式从数据主体的病例中获得其他医疗信息。

(4)无法通过参考原始医疗信息(如病历)来验证特定匿名医疗数据的可靠性，即便相关机构有此需求。

为了解决这些问题，《次世代医疗基本法》于2023年5月进行了修订，纳入了一个新的数据类别，其后被命名为“化名医疗数据”。修订后的法律将自2024年5月起，也就是颁布后一年内生效。

化名医疗数据是经过特殊处理的数据，除非它与其他信息匹配，否则无法识别个人。要归入这一新数据类别，无需从个人医疗信息中删除独特性数据。然而，仍然有必要删除姓名和其他身份信息。

主要修订内容如下：

有资格创建和提供化名医疗数据的制作者须经过认证；经认证的制作者只能将化名医疗数据提供给政府认证的、符合相关标准（如安全管理标准）的使用者。

第一个认证程序，即政府对有资格创建和提供化名医疗数据的制作者的认证与匿名医疗数据信息制作者的认证程序大致相同。但第二个认证程序是化名医疗数据独有的。

与匿名医疗数据相比，化名医疗数据更易泄露个人身份，因此其使用者也必须经过政府认证。此外，为申请药品上市审批之目的，认证使用者可以在化名医疗数据机制下向药品和医疗器械管理局(PMDA)和包括外国监管机构在内的其他监管机构提供化名医疗数据，认证制作者可以向当局提交原始数据。

与欧洲法律的相似之处

修订后的《次世代医疗基本法》似乎与欧盟委员会的《欧洲健康数据空间》(EHDS)提案有一些共同之处，该提案旨在规范医疗数据的初次使用和二次使用。指出：

初次使用指数据主体的使用，提案允许患者以各欧盟成员国通用的电子数据形式保留病例、处方和检测结果。二次使用是指在研发、政策制定等方面的使用。

根据《欧洲健康数据空间》立法提案，成员国必须指定一家或多家健康数据访问机构(HDAB)，负责授予电子健康数据的二次使用访问权限。数据使用者可以向HDAB申请数据访问，并在获得许可后可以使用健康数据。

在拟议的框架下，数据使用者只能使用HDAB处理过的匿名或化名健康数据。可以说，修订后的NGMIL与EHDS提案的二次使用机制有一些共同之处，两者都以扩大医疗信息的使用范围为宗旨，规定由政府指定的机构担任数据提供方和数据处理方，让匿名或化名医疗信息可获得、可利用。

日本的个人信息保护体系在很大程度上依赖于数据主体的同意。但各司法管辖区相继提出建立不经数据主体同意的情况下使用个人信息的制度，修订后的NGMIL和EHDS立法提案都是这种理念的体现。日本应重新审视其过于倚重数据主体同意的个人信息保护方法。

未来展望

《次世代医疗基本法》及其修正案旨在促进医疗信息的使用，这无疑解决了一些实际问题。然而，由于种种原因，包括公众缺乏对制度本身的认识，法案还未能充分发挥效力。

但这并不意味着法案在未来的使用也会受限。作者认为，医疗数字化转型的势头不会减弱。随着数据库和其他平台建立，加之医疗信息的使用越发活跃，未来市场对熟悉医疗领域个人信息保护法的专业人才会有更大需求。