エストニアでは、新型コロナに関するPCR検査の結果やワクチン接種の実施を証明できるデジタル証明書が発行されています。

新型コロナのデジタル証明書には、次の3種類があります。

1 EUデジタルCOVIDテスト証明書
2 EUデジタルCOVID感染証明書
3 EUデジタルCOVID免疫証明書

「EUデジタルCOVIDテスト証明書」は、Sars-Cov-2のPCR検査の陰性結果を証明し、「EUデジタルCOVID感染証明書」は、同PCR検査結果が陽性であったことを証明します。「EUデジタルCOVID免疫証明書」は、COVID-19の予防接種を受けていることを証明します。

デジタル証明書は、エストニアの全国医療データベースである「健康情報システム」に記録される医療データに基づいて発行されます。

デジタル証明書が欲しい人は、健康情報システムと連携する患者ポータルにログインして、デジタル証明書の作成を指示すると、EUの要件に準拠した証明書が作成されます。3つの言語（エストニア語、英語、ロシア語）に対応したデジタルドキュメント（PDFドキュメント）としてダウンロードでき、スマートフォン等の画面で提示したり、印刷して利用することができます。親が子供の証明書を必要とする場合など、法定代理人も作成できます。

EU共通のデジタル証明書には、改ざんから保護するためのデジタル署名付きのQRコードが含まれています。証明書をチェックする際に、QRコードがスキャンされ、署名が検証されます。

デジタル証明書は、EU全域で有効ですが、特定の国への入国等を許可するものではありません。入国等の条件は国によって異なりますが、デジタル証明書を使用することで、自己隔離などの特定の制限が免除されることがあります。

デジタルCOVID免疫証明書（予防接種証明書）には、個人データに加えて、証明書番号があり、予防接種を受けた病気（COVID-19）、有効成分、免疫準備、ワクチンの販売承認保有者、投与回数、免疫化の日付と国、証明書発行者の詳細などが記載されます。

エストニアでは現在、欧州医薬品庁によって承認された4つのワクチン（AZ、ファイザー、モダーナ、J＆J）が接種されています。

2021年2月6日現在、日本の厚生労働省の「新型コロナウイルス接触確認アプリ（COCOA：COVID-19 Contact-Confirming Application)」 のページに次のような告知があります。

"このたび、Androidをお使いの方について、９月末より、アプリ利用者との接触通知が到達していないことが判明いたしました。このアプリを御利用いただいている多くの国民の皆様の信頼を損ねることになり深くお詫び申しあげます。厚生労働省としては、２月中旬までに障害を解消すべく取り組むとともに、品質管理を徹底いたします。引き続き国民の皆様に広く安心して本アプリを御利用いただけるよう、しっかり取り組んでまいります。"

詳細については、Android版接触確認アプリの障害について（令和3年2月03日：厚生労働省健康局 結核感染症課）が出ています。

※2月18日に、接触確認アプリ「COCOA」の修正版（「1.2.2」）の配布を開始しました。

民間企業のAPIに依存する公的なアプリケーションは、利用者の利便性や普及促進といったメリットがある一方で、品質管理が難しい面があると思います。エストニアでも、新型コロナウイルス接触確認アプリがリリースされていますので、その概要を整理しておきます。日本におけるデジタル庁の役割を考える上で、参考になれば幸いです。

はじめに伝えておきたいのは、エストニアでは情報システムの開発や公的データベースの確立について、法令でかなり詳細かつ厳格に規定されているということです。つまり、大統領や首相、IT大臣と言えども、法令で定められた手順を省略するような命令を下すことはできず、情報システムを実際に開発・管理する組織や人が、明らかに無理なスケジュールを課されたりしないことが、制度として保証されているのです。

エストニアの国民は、「政府や政治家は信頼しないけど、デジタル国家は信頼している」と言われます。政権や政治家は変わっても、「デジタル国家を通じて国民が政府の仕事を監視できる」という基本は変わらないことへの信頼と言えます。

（１）エストニアの新型コロナウイルス接触確認アプリ：HOIA（ホイア）
（２）アプリの特徴
（３）アプリの利用状況
（４）アプリの更新
（５）アプリの開発とセキュリティ対策
（６）アプリの保守管理
（７）プライバシーへの対応と根拠法
（８）健康委員会とTEHIKについて
（９）コミュニティの運営と組織文化


（１）エストニアの新型コロナウイルス接触確認アプリ：HOIA（ホイア）

エストニアの新型コロナウイルス接触確認アプリ「HOIA（ホイア）」が公開されたのは、2020年8月です。日本のCOCOAのリリース（6月19日）と比べて、ちょうど2か月遅れのスタートです。​HOIAの企画・開発にあたっては、個人データの保護を所管するデータ保護調査局などによるチェックがあり、必要な法令の改正を実施したことで、8月のリリースになったと考えられます。

新型コロナに関する詳細については、エストニアにおける新型コロナへの対応についてをご覧ください。

（２）アプリの特徴

HOIAの主な特徴は次の通りです。

• 感染した人と密接に接触しているかどうかを通知
• 感染した場合は他の人に知らせることができる
• アプリケーションは一意の匿名コードを生成
• 感染を確認したら、匿名コードが中央サーバーにアップロード
• 感染した人々から匿名のコードを定期的にダウンロード
• モバイルIDとSmartIDに対応し、患者ポータルと連携して感染情報を確認
• ソースコードと技術情報を公開
• DP-3Tライブラリを使用して構築（アプリのサイズは約4MB）

日本のCOCOAは「１メートル以内15分以上」が接触通知の条件（密接な接触と見なすことができる暴露）ですが、HOIAは「2メートル以内15分以上」となっています。この条件は国によって微妙に異なるようで、例えばスイスのSwissCovidは「1.5メートル以内15分以上」となっています。

アプリへの陽性登録の時に、日本では保健所から発行された「処理番号」が必要になりますが、エストニアでは陽性登録に必要となる「自分が感染したという情報（匿名コード）」を、患者ポータルを経由して健康情報システム（全国規模の医療データベース）から取得します。これは、HOIAアプリ用に新しいデータベースが作成されないことを意味します。なお、13歳未満の子供は、保護者の患者ポータルで確認します。

技術的な説明を含むアプリの詳細については、SARS-CoV-2コロナウイルス近接接触検出アプリケーションHOIAで確認できます

（３）アプリの利用状況

2021年2月6日までに、エストニアの人口約130万人に対して、HOIAのダウンロード数は262,334です。確定した感染者数約4.7万人に対して、HOIAへの陽性登録件数は3,133となっています。これらのデータは、コロナウイルスデータセットで確認できます。

エストニアと日本のアプリ普及率はどちらも約2割ほどですが、アプリに陽性登録する人の割合はエストニアの方が少し高くなっています。いずれにせよ、期待されたほど活発に利用されているとは言えず、利用者の増加と積極的な陽性登録の促進が課題と言えます。

HOIAは、自分の感染情報を確認するために患者ポータルへのログインが必要なのですが、モバイルIDとSmartIDだけが対応しており、最も利用者が多いIDカードは使えないことが、陽性登録件数の少なさと関係しているのかもしれません。

（４）アプリの更新

HOIAのiOS版は、2021年2月6日現在までに5回の更新があります。Android版の最終更新は2021年1月15日で、現在のバージョンが1.0.8になっています。更新の頻度は、日本のCOCOAとあまり変わらないと言えます。

（５）アプリの開発とセキュリティ対策

※ 2月22日 ソースコードの説明を追記

HOIAの開発（設計、ソフトウェア開発、セキュリティ対策）は、日本の厚生労働省のような役割を担う社会問題省と有志企業12社が参加するコンソーシアムによって行われました。コンソーシアムは、社会問題省の配下にある健康委員会とTEHIKだけでなく、データ保護調査局、国家情報システム局など様々な政府機関とも連携・協力しています。

コンソーシアムには、日本でも知られているサイバーネティカ社やガードタイム社の他に、日本の富士通（富士通エストニアAS）も参加しています。

HOIAアプリの最初のバージョンは、コンソーシアムによって無料で開発され、EUPLライセンスの下で配布するためにエストニア政府に引き渡されました。日本のCOCOAと同様にソースコードと技術文書が公開されています（contact-tracing（dp3t-sdk-ios）も参照）。なお、エストニアではデジタル国家のソースコードを原則公開しており、国家情報システム局（RIA）がGitLabを使用して電子政府コードリポジトリを管理・運営しています。

HOIAは、DP-3Tライブラリを使用して構築されています。ソースコードの構成は次の通りです。

1. エストニアの要件を満たすエストニア語のiOSおよびAndroidアプリケーションのソースコード
2. エストニアの感染確認サービスのソースコード
3. エストニアの感染鍵配布サービスのソースコード
   
4. モバイルアプリケーションおよびサービス用のDP-3Tライブラリ

コンソーシアムは、社会問題省が主導し、TEHIKおよび健康委員会のデータ保護スペシャリストと協力して法的な分析も実施しています。アプリケーションの技術プロジェクト管理、設計、ユーザーエクスペリエンス分析は、Iglu社が担当し、バックグラウンドシステムのプログラミングはIcefire社とTEHIKが共同で行いました。

モバイルアプリの開発はMobiLab社が主導し、FOBSolutions社とMooncascade社の協力により実施されました。アプリのセキュリティ分析はGuardtime社とCybernetica社が実施し、アプリの侵入テストはClarifiedSecurity社が実施しました。Cybernetica社は、セキュリティドキュメントの作成も主導し、国際協力に大きく貢献しています。

Velvet社は、社会問題省と協力してHOIAのWebサイトと通信を処理し、ASA Quality Solutions社はアプリのテストに貢献しています。患者ポータルとアプリの連携に関する開発は、Heisi社が行いました。

HOIAアプリのセキュリティの維持と開発プロセスの流れは、次の通りです。エストニア電子政府のセキュリティ標準およびENISA文書に基づいています。詳細は、セキュリティレビューで確認できます。

セキュリティ要件と攻撃者のモデル＞セキュリティ対策＞アプリケーション開発＞出荷前テスト＞アプリ配布

なお、感染者の匿名コードを受信するHOIAアプリケーションのサーバーは、攻撃から保護されている政府クラウド（State Cloud）にあります。

​（６）アプリの保守管理

HOIAは、新型コロナへの対応を所管する健康委員会が所有者となり、健康福祉情報システムセンター（TEHIK テヒック）が保守管理を行っています。Android版のコメント欄を見ると、TEHIKがこまめに回答していることがわかります。

TEHIKは、数多くの医療関連情報システムを保守管理しており、HOIAアプリの保守管理についても、組織やチームとして対応しています。TEHIKに確認していませんが、HOIAアプリの更新を含むメンテナンスは、eサービス管理部門が行っていると考えられます。

（７）プライバシーへの対応と根拠法

HOIAのプライバシーへの対応については、プライバシーポリシーで確認することができます。HOIAのデータ保護やプライバシーについては、健康委員会かTEHIKにメールで直接連絡することができます。

プライバシーの観点から見た場合、エストニアと日本の接触確認アプリの一番の違いは、「処理番号」の有無と言えるでしょう。

GDPRやエストニアのデータ保護法によると、厚生労働省がCOCOAで利用する「処理番号」は、個人データに該当すると思われるので、「処理番号」と「日次鍵」がリンクされた時点で、「日次鍵」も個人データとなってしまいます。

エストニアでは、当局が「処理番号」を発行することなく、患者ポータル経由で、感染情報をパーソナライズされていない形で取得することにより、正確な感染情報の登録を実現しています。こうした違いは、プライバシーの考え方というよりも、法令における個人情報・個人データの定義、オンライン上の本人確認手段の普及状況、医療データのガバナンスなどの違いによるものと考えます。

エストニアでは、接触確認アプリの開始にあたって、2020年7月に「健康情報システムに関する法令」を改正しています。具体的には、データ処理者の機能を一部修正し、6条の(9)のデータ提供で「感染者との接触を警告することを目的として、感染症の診断を確認するための識別コードを送信すること」を追加しています。

HOIAアプリ自体は、個人データを処理しないので、直接的な根拠法は無く、国家情報システム管理RIHAカタログにも登録されていません。しかし、アプリのライフサイクル中に、患者ポータルの同意を得て、個人情報が健康情報システムで処理される場合があります。個人データが患者ポータルで処理される場合、データ主体の権利は、GDPRの条項15、16、17、18、20、および21が適用されます。個人データの処理に違反した場合、エストニアのデータ保護調査官に苦情を提出する権利があります。


（８）健康委員会とTEHIKについて

健康委員会は、社会問題省（社会省）の組織として、健康管理、環境衛生、感染症、化学薬品、医療機器規制などを担当しています。今回の新型コロナへ対応についても、WHOや欧州疾病予防管理センターと連携しながら、中心的な役割を担ってきました。新型コロナの感染者データについては、データコントローラーとして、データの管理・分析やオープンデータ化などを実施しています。

​​健康委員会が所有する国家情報システム（根拠法に基づく公的データベース）として、医療専門家の全国登録DB、ヘルスケアサービスの提供のためのライセンスの全国登録DB、伝染病登録DB、医療機器DBなどがあります。

エストニアには、新型コロナが流行する前から、健康情報システム、患者ポータル、感染症登録データベースなどが整備されており、10年以上の運用実績がありました。これらのシステムやサービスが、日常的に医療関係者や市民に広く利用されていたことで、新たなデータベースや情報システムを構築することなく、新型コロナに対応することができたと言えます。
​

​​エストニアでは、ほとんどの省庁がTEHIKのようなIT実働部隊を抱えており、各省庁の業務に必要なITシステム調達をそのライフサイクルを通じて支援しています。相互運用性フレームワークという決められた枠組みの中で、各組織は自主的に競争・開発できる一方で、組織や分野を超えた共同開発・共同調達が行えるようになっています。

（９）コミュニティの運営と組織文化

エストニアでは、Xロードの例を見るように、オープンな開発環境とコミュニティを大切にしてきました。X-Roadなど電子政府基盤の国際連携を目指してフィンランドを共同で設立した相互運用性ソリューション北欧研究所（NIIS）には、アイスランドが新たに参加し、Xロードを採用する国が今後ますます増えていきそうです。

エストニア政府は、オープンソースの活用について、すでに多くの実績と経験があり、そのノウハウは文書化され共有されています。次世代の公共サービスのデジタル化を目指して、ハッカソンも定期的に開催しています。新型コロナへの対応でも、官民学の有志によるcovid-19危機対策ツールが数多く生まれました。

​
​エストニアには、各省庁に様々なIT組織がありますが、共通するのは、透明性や公平性、オープンなコミュニケーションを重視していることです。人口が少なく常に人材不足に悩むデジタル国家は、他者の貢献を尊重し、相互に思いやり、人を大事にしているのです。エストニアの政府CTOは、「公共部門における技術者の原動力は情熱である」と言っています。

最後に、エストニア財務省のIT組織である情報技術開発センターが掲げる価値観（抜粋）を紹介しておきます。

• 私はイノベーションを受け入れています。イノベーションは私と組織を豊かにすることができます。
• 目標への道のりと結果を分析し、間違いから学びます。
• 私はさまざまなパートナーを巻き込み、期待を説明し、彼らの意見に耳を傾け、妥協する準備をしています。
• 私はすべての人を思いやり、平等、そして敬意を持って扱います。

エストニアの新型コロナの感染状況等について、政府の公式データを見ながら解説しています。エストニアにも、日本の新型コロナウイルス接触確認アプリ（COCOA) と同じようなアプリ（HOIA）があり、日本と同じぐらいの割合（人口の2割ぐらい）でダウンロードされています。陽性登録率は約7％で、日本の登録率2％よりは少し高くなっています。

参考サイトは、下記の通りです。

コロナ統計データ
https://www.koroonakaart.ee/en

コロナウイルスデータ 健康委員会
https://www.terviseamet.ee/et/koroonaviirus/koroonakaart

エストニア コロナ危機公式情報ポータル
https://www.kriis.ee/

HOIAモバイルアプリ
https://hoia.me/

電子政府コードリポジトリ HOIA
https://koodivaramu.eesti.ee/tehik/hoia

9月に開催した、ジェアディス会員限定の勉強会用として作成・使用した資料に、最近のデータ等を少し追加した上で、ウェブ公開しました。

日本でも、デジタル庁の発足準備が始まり、医療データの利活用や、オンライン行政サービスの改善が進められています。エストニアの取組みが、関係者の皆さまにとって何かの参考になれば幸いです。

エストニアの新型コロナへの対応について、「iRONNA（いろんな）」（ironna.jp）へ寄稿させていただきました。日本とエストニア、どちらが優れているということではなく、「平時に、できるだけの準備をしておく」ことの大切さを伝えられたらと思います。

アナログ国家の日本、ヒントにすべきエストニアの「デジタル理想郷」

原稿執筆にあたっての参考情報は、下記の通りです。内容について、ご質問等ございましたら、お問合せフォームからお願いいたします。

参考情報

Freedom on the Net
https://freedomhouse.org/report/freedom-net

2020 United Nations E-Government Survey
https://www.un.org/development/desa/publications/publication/2020-united-nations-e-government-survey

National Cyber Security Index
https://ncsi.ega.ee/

Digital Economy and Society Index Report 2020 -  Digital Public Services
https://ec.europa.eu/digital-single-market/en/digital-public-services-scoreboard

OECD Government at a Glance 2017
https://www.oecd-ilibrary.org/governance/government-at-a-glance-2017_gov_glance-2017-en

Valiskaubandus- ja IT-minister: varske audit on selge kinnitus e-residentsuse programmi kasumlikkusele（エストニアのIT大臣によるコメント）
https://www.mkm.ee/et/uudised/valiskaubandus-ja-it-minister-varske-audit-selge-kinnitus-e-residentsuse-programmi

Koroonakaart（エストニア政府の公式コロナ統計データ） 
https://www.koroonakaart.ee/en

e-Estonia：e-Health Records
https://e-estonia.com/solutions/healthcare/e-health-record/

NAKKUSHAIGUSTE REGISTER（Estonian Communicable Diseases Register）
https://www.riha.ee/Infos%C3%BCsteemid/Vaata/nhr

The Social Insurance Board’s e-service
https://iseteenindus.sotsiaalkindlustusamet.ee/

The Government of Estonia: due to the risk of infection, schools will be moved to distance learning
https://www.hm.ee/en/news/government-estonia-due-risk-infection-schools-will-be-moved-distance-learning

Estonia: Coping with COVID-19 and setting up remote education. The Digest

​天皇陛下の「即位の礼」に合わせて、エストニアの国家元首であるケルスティ・カリユライド大統領が来日されました。

残念ながら、ジェアディスとして来日記念イベントは開催できなかったのですが、「エストニア大統領が語るデジタル国家」などのイベントで、カリユライド大統領のお話を聞く機会を提供してくれました。

カリユライド大統領は、エストニアの独立後、初の女性大統領であり、就任当時46歳という史上最年少の大統領でもあります。エストニアでは、大統領に限らず、多くの女性が家庭と両立しながら重要なポストで活躍しています。

例えば、検察庁のトップであるペーリング検事総長や、憲法審査や人権保護を担う独立機関であるウルマディゼ司法長官の活躍などがあります。

また、女性医師の割合が高いことも有名です。OECDの最近の調査でも、女性医師の割合は73.3%と、ラトビア（74.3%）に次いで第2位となっています。これには、歴史的な経緯もあるようです。

写真出典：toolbox.estonia.ee

​その一方で、女性の国会議員の割合（世界銀行データ）は、2018年時点で約27%と、日本（10%）よりは高いですが、まだまだ改善の余地があると言えます。

エストニアの人に、女性の活躍について尋ねると、よく返ってくるのが「女性は真面目でコツコツ勉強するので、専門知識や技術を学び資格を取得するような職業に向いているのではないか」というものです。そう言えば、インド人の友人からも同じようなことを聞いた記憶があります。日本からも、より多くの女性が、エストニアに留学して学ぶ機会が増えることを願います。

エストニアのeヘルスと医療データの活用に関するスライド資料を公開しました。

​技術の祭典「テクノロジーNEXT 2019」での講演を記事にしてもらいました。

エストニアで進む医療情報の利活用、それを支えるX-ROAD  日経 xTECH（クロステック）

エストニアでは、法律で医療データの提出（全国健康情報システムの中央データベースへ格納）が医師に義務付けられている一方で、患者本人は自身の医療データの利用を停止したり、アクセスを制限したりすることができます。

本人は、患者ポータルから、誰がいつ自分の医療データにアクセスしたかを確認し、不正な閲覧や好奇心からののぞき見などがあれば通報することができます。実際、興味本位で有名人の医療データにアクセスした医師が解雇・資格はく奪された事例もあります。エストニアは、医療のデジタル化を進めたことで、透明性やトレーサビリティが向上し、不正な行為者への責任追及が容易になりました。

機微性の高い医療・健康データの利用についての「同意」という行為は、その運用が難しいだけでなく、本人にとっても負担が大きく、悪用される可能性もあるので、法律で用途や範囲を明示した上で、医療関係者がデータを共有できる仕組みを作ることが有効です。

日本でも、公共性・公益性の高い医療・健康データを安全な環境の下で共有できる仕組みを作り、本人には自身のデータをコントロールできる機能を持たせることで、利用と安心のバランスを取ることができるのではないでしょうか。

ジェアディスでは、エストニア健康・医療・福祉システム最新動向調査ツアー（2019年11月10日から5泊7日間）を企画しています。エストニアの医療情報化に関心がある方は、どうぞご参加ください。

エストニアのタリンで、政府の協力の下、CybExer Technologiesなどの民間企業が開催するサイバー演習「CYBER CoRe 2019 (Cooperative Resilience)」が、2019年3月28日から31日まで行われています。

Unique cyber exercise for the private sector is taking place in Tallinn

演習に参加するのは、オランダのハイネケンや英国のアーンスト・アンド・ヤング（会計コンサルティング企業）などグローバル企業のサイバーセキュリティ専門家、エストニアの重要な情報インフラストラクチャ企業（電力会社のEleringとEesti Energia、トラストサービスを提供するSK ID Solutions AS、銀行など）、オランダのサイバー警察、エストニア財務省の情報技術センター、タルトゥ市などです。また、米国の防衛産業企業であるRaytheon Internationalの上級エキスパートがオブザーバーとして参加します。

電力会社が参加しているのは、電気事業者のITシステムのサイバーセキュリティを担う民間企業が、セキュリティ基準が低いEU非加盟国の小規模ソフトウェア開発会社を買収しているといった事情が背景にあるようです。

関係者は、情報インフラ企業に、複雑で不明確なサプライチェーンや調達メカニズムがあると、コスト削減のために、監視が及ばず信頼できない国からセキュリティソリューションを購入することがあるとしています。

また、今回の演習より少し前の2019年3月25日に、エネルギー会社へのサイバー攻撃を想定したエストニアとフィンランドの共同演習も実施されています。

エストニアのセキュリティ事情については、2007年に大規模なサイバー攻撃を受けたこと、ブロックチェーンの技術が政府の情報システムで採用されていること、NATO共同サイバーディフェンスセンターの本部があることなどが説明されますが、実際にやっているのは、かなり地味で地道な作業の積み重ねです。

政府が保有する情報システムやデータベースについては、公共情報法や関係法令で定めるセキュリティ基準を満たすことが義務付けられており、定期的な監査を受けることになっています。

例えば、エストニア国内の医療データを共有・交換する「健康情報システム」の「医療データ」については、セキュリティレベルは「高」で、データの完全性についてはT3（最高クラス）となっています。

​
T3というのは、法令で定義する「完全性」を「リアルタイムで保証する」というものです。このような基準に従って、「データの完全性をリアルタイムで保証するためには、どのような技術を使ったソリューションを採用すれば良いか」と考え、費用対効果を含めた最適な手法を採用し実装することになります。

エストニアの政府情報システムについては、標準化も進んでいます。標準化については、エストニア標準化センター（EVS）が重要な役割を担っています。

2019年2月25日、北海道ヘルスケア産業振興協議会の研究会におきまして、「世界最先端のデジタル国家 エストニアにおけるヘルスケア事情」のタイトルで講演を行いました。

​当日の資料（PDF、ファイルサイズ約8MB）をご希望されるジェアディス会員の皆さま、および当協議会の研究会等にご協力頂いている皆さまは、下記のお問合せページよりご連絡ください。原則、電子メールでお送りします。

お問合せ
http://www.jeeadis.jp/contact.html

ジェアディスでは、2019年度の活動に向けて賛助会員を募集しています。

企業賛助会員：年会費50,000円
個人賛助会員：年会費5,000円
特典：協議会主催セミナーへの招待、セミナー資料等の共有など

ジェアディスの紹介と入会案内
http://www.jeeadis.jp/about-jeeadis.html

皆さまのご参加をお待ちしています。

一般社団法人
日本・エストニアEUデジタルソサエティ推進協議会
（略称：JEEADiS ジェアディス）
http://www.jeeadis.jp/

2018年12月に、フィンランドのデジタル処方箋（電子処方箋）がエストニアでも有効になりました。フィンランド住民は、自国の医師に発行してもらったデジタル処方箋を利用して、エストニアの薬局で医薬品を購入することができます。2019年内には、エストニア住民も、エストニアのデジタル処方箋を使い、フィンランドの薬局で医薬品を購入できるようになる予定です。

EUでは、国を越えた医療サービスへのアクセス、いわゆる「クロスボーダー医療」の実現を目指しています。デジタル処方箋の標準化・相互利用も、その一つで、フィンランドとスウェーデンなど北欧諸国間での相互利用も進みつつあります。

エストニアの電子処方箋を直接規定するのは、医薬品法（Medicinal Products Act）ですが、同法では、EU加盟国等で取得した薬剤師の資格の取り扱いなども定めています。また、保健医療サービス組織法（Health Services Organisation Act）には、国境を越えた医療サービス提供についての規定があります。

今後は、上記の法律を改正することで、認可された国の機関が、他のEU加盟国とデジタル処方箋だけでなく、個人の医療記録を交換できるようになる予定で、「クロスボーダー医療」の本格的な実施が、この1-3年で確実に進むことでしょう。

実際、EUでは、 2021年末までに加盟国内で電子処方箋と患者サマリーを交換する予定で、そのうち10加盟国（フィンランド、エストニア、チェコ、ルクセンブルク、ポルトガル、クロアチア、マルタ、キプロス、ギリシャ、ベルギー） では、2019年末までデータ交換を開始する可能性があります。

​ところで、エストニアの電子処方箋が成功したのは、いくつかの理由があります。
 
１ 国のデジタル戦略・医療戦略・eヘルス戦略に基づく取組みであること
２ 導入・運営の主体がeヘルス財団（と健康保険基金）に統一されていること
３ 医療機関に医療データの登録が義務付けられていること
４ 公的医療保険における初期医療の仕組みが制度化されていること
５ 個人番号制度を基礎とした情報連携の仕組みが確立していること
 
まず、旧デジタル戦略の中でeヘルスの分野があり、電子処方箋（e-Prescription）の実現が明記され、必要なシステムを構築しました。エストニアには、同じようなシステムを重複して作らせない仕組みがあるため、電子処方箋システムの予算は約24万ユーロ（約3千万円）と非常に低価格です。
 
eヘルス財団（現在は別組織へ移行）は、医療システムに関するエストニア政府の電子ソリューションを開発し、eヘルスの各種サービスを作成・提供する組織です。社会省（日本の厚労省に該当）、北エストニアメディカルセンター、タルトゥ大学病院基金、東タリン中央病院、エストニア病院協会、エストニア家庭医協会、エストニア救急医療サービス連合などが参加し、2005年10月に設立しました。
 
電子処方箋の管理・運営は、唯一の公的医療保険者である「エストニア健康保険基金」に統一されているので、システムの乱立も起きず、データの標準化（国際標準を採用）にも問題はありません。
 
各医療機関には、その規模に関わらず、医療データの電子的な登録が義務付けられているので、医療機関側に電子化するかどうかの選択肢はありません。また、公的医療保険では、すべての市民（被保険者）が、かかりつけ医（一般開業医、県知事が任命）を登録する必要があり、専門医の診察にはかかりつけ医の紹介が必要になっています。そのため、患者にとって最も身近である地域の診療所ほど、電子化が進むことになります。かかりつけ医が電子データを取り扱えないと、専門医に紹介するための情報連携もできないからです。
 
エストニアでは、日本のマイナンバー制度と異なり、個人番号制度を基礎とした情報連携の仕組みが確立し、医療分野もカバーしています。患者はもちろん、医師や看護師の識別・資格確認も、個人番号がそのまま使われています。ただし、医療データは個人データと分離して（coding）保存されます。

エストニアでは、日本のような複雑な医療IDの議論をすることなく、非常にシンプルな仕組みの中で、安全な運用（すでに約10年の実績がある）を行っています。取得が義務付けられた国民IDカード（個人番号を含む電子証明書を格納）による本人確認で、患者だけでなく医療従事者の資格もリアルタイム確認することができます。


日本で電子処方箋を成功させるためには、システムの重複・乱立、過剰な費用発生を防ぐ仕組みを確立し、医療機関における電子データ提供の義務化などを進める必要があるのではないでしょうか。

Coin Portalより以下記事がリリースされました。
​サイバーディフェンス面でもこの改ざん検知の仕組みは有効ではないでしょうか。

Final report - Evaluative study on the Cross-Border Healthcare Directive
欧州委員会から、「クロスボーダー医療に関する指令」の評価報告書（最終版：2015年3月）が公表されています。KPMGに委託したものですが、クロスボーダー医療の需要は高まっており、患者を巻き込んだ展開が有効としています。

「クロスボーダー医療における患者の権利に関する指令：Directive 2011/24/EU on patients’ rights in cross-border healthcare」は、EU指令の中では比較的新しいもので、加盟国は2013年10月までに指令を実施するための法律制定が義務付けられました。

新しい試みである「クロスボーダー医療」は、初期の段階にありますが、「患者の権利」を基礎としている点が、欧州らしいと言えるでしょう。

他方、日本の「日本再興戦略改訂2015」や「健康・医療戦略」では、「患者の権利」について、ほとんど触れていません。

クロスボーダー医療における「患者の権利」とは、「EU加盟国内であれば、その国の市民と同様の医療サービスを受けることができ、その費用について自国の医療保険制度から全部または一部を負担してもらえる（払い戻しを受けられる）」というものです。

「クロスボーダー医療」には、４つの視点があります。

1 患者（EU域内で国境を越えた医療サービスを受ける）
2 医療専門家（異なるEU加盟国で医療に従事する）
3 より良い医療サービスへの期待
4 新しい医療技術の開発

日本では、たくさんの健康保険証がありますが、EUでは一時滞在で使える統一された「欧州健康保険カード：European Health Insurance Card」があり、EUに加盟していないスイスやノルウェーでも使用することができます。カードの発行は無料で、2015年7月現在で2億人以上のEU市民が保有しています。

日本でも、マイナンバー制度の個人番号カードを健康保険証として使えるようにするそうですが、転職等で医療保険が変わっても、個人番号カード一枚で受診できると便利でしょう。

言語、医療制度、技術レベルなどが異なる中で、相互運用性を確保した医療サービスの提供を模索する「クロスボーダー医療」の試みは、日本の地域医療連携などでも参考になることが多いと思います。