日本では、マイナンバーカードの健康保険証利用に関連して、他人の情報がひも付けられていた等の問題が起きています。今回は、デジタル化が進んでいるエストニアの状況を紹介したいと思います。 (1)エストニアの健康保険制度と健康保険証 エストニアの健康保険は、日本と同じく「皆保険制度」です。エストニアの永住者、滞在許可等に基づいてエストニアに居住し、社会税を支払っている人、またはその扶養を受けている人は、健康保険に加入する権利があります。エストニアの健康保険の保険者は一つで、「健康保険基金」という団体に統一されています。 エストニアの医療制度(英語) https://www.tervisekassa.ee/en/people/health-care-services/estonian-health-care-system エストニアのヘルスケアサービスと健康保険基金(英語) https://www.tervisekassa.ee/en/people/health-care-services 健康保険基金の組織について(英語) https://www.tervisekassa.ee/en/organisation/about-us エストニアは、公共サービスのオンライン化が進んでいますが、健康保険に関するオンラインサービス(自分でできる「セルフサービス」という位置づけです)には、次のようなものがあります。 健康保険の適用範囲: 自分が有効な健康保険に加入しているかどうかを確認できます。自分や子どもの「かかりつけ医(登録義務)」が誰なのかも確認できます。 欧州健康保険カードまたはその代替証明書の注文: 発行された欧州健康保険カードの詳細を確認したり、代わりの証明書を発行してもらうことができます。 健康保険基金への私の現在の口座: 健康保険の各種給付金等を受け取るための銀行口座を確認・登録・変更できます。 エストニアでは、公的な身分証明書として国民IDカードが発行されており、この国民IDカードを健康保険証として利用することができます。国民IDカードは、15歳以上のエストニア国民や住民であれば取得が義務になっていますが、子供や短期滞在の外国人など国民IDカードを持っていない人に対しては、欧州健康保険カードまたはその代替証明書が発行されます(健康保険法13-1条4-6項:保険適用の証明)。欧州健康保険カード発行の申請は、市民ポータルによるオンライン申請、健康保険基金の顧客窓口、郵送、電子メール(デジタル署名付き)など複数の方法を用意しています。 エストニアの欧州健康保険カード(表面) 出典:How to recognise the card - European Commission エストニアの欧州健康保険カード(裏面) 写真を見てわかる通り、エストニアの欧州健康保険カードはめちゃくちゃシンプルで、ICチップもありません。日本では健康保険証を廃止するようですが、国民IDカードの取得が義務になっているエストニアでも、健康保険証は廃止されていないことは伝えておきたいと思います。なお、国民IDカードが無い人の本人確認書類は、パスポートや滞在許可カードを利用しています。
(2)健康保険制度のデジタル基盤は「健康保険基金データベース」 エストニアの健康保険のデジタル化を支えているのは、「健康保険基金データベース」です。エストニアの健康保険法では、次のように定めています。 個人の保険適用は、健康保険基金データベースに入力されたデータに基づいて確立、一時停止、終了されます(同法13-1条1項)。 被保険者資格など、健康保険を適用・運用する上で必要となる情報を、リアルタイムで参照・確認できるためには、「健康保険に関する信頼できるデータベースの確立」が欠かせません。日本では、「健康保険に関する信頼できるデータベースの確立」をしないまま、オンライン資格確認を実現しようとしたために、様々なトラブル(過去から蓄積されている問題の見える化)が起きているように思います。 「健康保険基金データベース(英語名:Health Insurance Fund Database)」の詳細は、以前は健康保険法で定めていましたが、現在は健康保険基金法に移管されています(健康保険基金法第4の1章:46-1条から46-5条まで)。データベースの技術文書は、RIHAカタログ「健康保険データベース(kirst)」で確認できます。エストニアの公的データベースの確立手順については、「エストニアのデジタル国家を⽀えるITガバナンスと調達制度」で詳しく解説しています。 データベースの管理者(データコントローラー)は、健康保険基金です。健康保険給付の提供、医療サービスの支払い、医療サービスの組織に関連するその他の業務の実行など、法律に基づく健康保険基金の公的任務を遂行するためにデータを利用します。健康保険基金には「データを収集する権利」が認められているので、法令で定める範囲において、国や自治体等の組織や個人に対してデータの提供を求めることができます。 「健康保険基金データベース」には、次の情報が入力されます。データの法的効力は、法律で別の期限が定められていない限り、データベースに入力された時から発生します。健康保険基金は、データ登録の基礎となる文書を受け取ってから5日以内にデータを入力する義務があります。 1) 個人の一般データ:個人識別コード、生年月日、姓名、居住地(法律上の住所)、当座預金口座および連絡先情報 2) 保険適用の開始、終了、および一時停止の基礎となるデータ 3) 非金銭的健康保険給付の支払いの基礎となるデータ 4) 金銭的健康保険給付の支払いの基礎となるデータ 5) 医療提供者および医療に関連するその他のデータ 6) 健康保険法、薬事法、医療事業団法その他の法令に基づき、健康保険基金がその業務を遂行するために必要なその他のデータ ※データ項目の詳細は、「健康保険基金データベースの維持に関する法令」で確認できます。 「健康保険基金データベース」のデータは、データベースに登録された日から75年間、または個人の死亡後30年間保存されます。ログデータの保存期間は2年間です。 紙の書類で健康保険基金に提出されたデータ登録の基礎となる「元資料」は、電子形式でデータベースに保存されます。「元資料」は、申請の日から7年間保存されますが、外国の健康保険給付に関連する「元資料」は、受領日から75年間保存されます。 「健康保険基金データベース」には、「データプロバイダー」と呼ばれる他の公的データベース管理者等から、「健康保険基金データベース」を維持するために必要なデータが送信されます。例えば、「住民登録データベース(内務省)」からは氏名や住所の最新データが毎日直接転送されます。もちろん、「手入力」ではなく「自動処理」で更新されます。この場合、データの提供者である内務省が、データベースに送信された氏名や住所データの正確性について責任を負います。 「健康保険基金データベース」のデータの正確性について責任を負うのは、健康保険基金です。「健康保険基金データベース」に入力されたデータに誤りまたは不正確さを発見した場合、データ管理者である健康保険基金は、データが修正されるまで、誤ったデータへのアクセスを閉鎖します。 「健康保険基金データベース」のデータにアクセスするためには、法令で定める権限が必要です。例えば、健康保険が適用される医療サービスを提供する医療機関や医師・看護師などは、患者の被保険者資格の有効性や保険適用範囲を確認するために必要なデータにアクセスすることができます。もちろん、データ主体である被保険者本人は、自分のデータにアクセスすることができます。 (3)被保険者資格のオンライン確認はマイナンバーカードを利用しなくても実現できる 筆者は「電子政府コンサルタント」なので、日本で起きている問題を解決する方法も提案しておきたいと思います。 エストニアの事例を見てもわかりますが、健康保険の被保険者資格のオンライン確認にマイナンバーカードは必須ではありません。被保険者資格を確認するための重複しない識別子(被保険者番号など)があれば問題ありません。 日本の健康保険のオンライン資格確認は、被保険者番号で資格の有効性を照会できる仕組みがあれば良いので、マイナンバーカードは無くても実現できます。医療機関の患者受付システム等で「被保険者番号」を入力すると、被保険者資格の有効性等の情報が表示される、そんなシンプルな仕組みで良いのです。エストニアの仕組みもそんな感じです。最近の健康保険証は、券面にQRコードがあるので、被保険者番号の入力ミスも防げるでしょう。 保険証の不正利用についても、マイナンバーカードが無くても、簡単に防げます。例えば、医療機関側で初診時に健康保険証の提示と一緒に、写真付き身分証明書の確認をすれば良いのです。マイナンバーカードの優位性は、健康保険証に比べると偽造が難しいことぐらいでしょうか。 日本では、わざわざ被保険者番号を個人単位化したのに、なぜ被保険者番号を活用した安くて確実な方法を導入しないで、こんなに複雑で構築も維持管理も高コストなオンライン資格確認の仕組みにしたのか不思議に思います。マイナンバーカードを普及させたい気持ちもわかりますが、「健康保険のオンライン資格確認の実現」と「マイナンバーカードの普及」は分けた方が良いでしょう。 重要なのは被保険者資格のデータが信頼できて、そのデータを必要に応じて本人や医療関係者等が閲覧・確認できることです。信頼できる被保険者資格データベースがあれば、利用者用のインターフェースは個人情報の最小限利用で目的を達成することができます。 もう一つ重要なのが、被保険者資格へのアクセス制限・管理です。エストニアでは、医療関係者が被保険者資格等のデータにアクセスするためには、医療関係者のオンライン本人確認(認証や署名)が必要になります。この時の手段として、国民IDカードやモバイルIDがあります。情報セキュリティの観点からも、日本でマイナンバーカードを優先して取得すべきなのは、患者や国民ではなく、医療関係者や健康保険の業務を行う職員等であると考えます。 健康保険証や障害者手帳等のマイナンバーの紐づけ間違いについても、シンプルな方法で解決することができます。各種個人情報とマイナンバーの紐付けは、誰がどう頑張っても間違いが起きるのだから、間違いが発見されやすい仕組みを考える方が、はるかに効果的で効率的だと思います。 最も簡単な方法は、健康保険証や障害者手帳等の券面にマイナンバー(個人番号)を記載することです。新しい健康保険証や障害者手帳を受け取ったら、本人が券面のマイナンバーを見て、自分のマイナンバーが間違っていないかどうかを確認してもらえば良いのです。マイナンバーを「見せてはいけない番号」とするのは、そろそろ終わりにしても良いのではないでしょうか。 (4)わかりやすさ、伝わりやすさ、誰一人取り残さない 日本のデジタル庁は、「誰一人取り残されない、人に優しいデジタル化を」目指しています。 「誰一人取り残されない」には、文字通り、様々な立場や環境の人が含まれていると理解しています。健康保険組合や自治体の現場で手入力や目視確認の作業を強いられている人たちを、そうした作業負担から解放することは、デジタル政府の重要な役割だと思います。 エストニアでは、住所変更等をオンラインですると、自治体の仕事がゼロになるので、自治体職員が窓口でも積極的にオンライン利用を住民に勧めています。職員のインセンティブも大切です。 今の日本の電子政府は、「わかりやすさ」や「伝わりやすさ」が欠けているように見えます。「わかりやすさ」や「伝わりやすさ」は、政府の「透明性」とも深く関係しています。 デジタル化の最前線にいる人たちにとっては、「健康保険証や障害者手帳等の券面にマイナンバーを記載する」なんて、「遅れている」「かっこ悪い」と見えるかもしれませんが、健康保険や社会福祉などデジタル化に馴染めないであろう多くの人を対象とするサービスにおいては、「わかりやすさ」や「伝わりやすさ」を優先しても良いのではないかと思います。 デジタルツールに慣れている人たちには、スマートフォンの画面に健康保険証や障害者手帳等の券面情報(例:必要最小限の情報+QRコードなど)を表示させるアプリ等を開発・提供すれば良いと思います。 エストニアでは、住民に対してオンラインサービスの利用を義務化していないので、必ず紙や窓口の対応を残しています。利用が困難な人に対しては、誰がその人を支援しているのかを見極めた上で、オンライン代理の機能を提供しています。 身寄りの無い高齢者は、介護施設の職員や支援団体等がオンライン支援しています。国民全員がIDカードを持っているので、誰が誰のためにどのような権限で何をしたのか何ができるかを、事後確認・追跡できるようになっています。 エストニアはインターネット投票でも有名ですが、ネット投票の実現で一番恩恵を受けているのは、投票所へ行くことが困難な高齢者や障害者です。若者の投票率は向上していませんが、高齢者や障害者の投票率は向上しました。 日本の電子政府が、本来の目的を見誤ることなく、「誰一人取り残されない、人に優しいデジタル化を」実現できることを願います。
0 コメント
エストニアでは、新型コロナに関するPCR検査の結果やワクチン接種の実施を証明できるデジタル証明書が発行されています。
新型コロナのデジタル証明書には、次の3種類があります。 1 EUデジタルCOVIDテスト証明書 2 EUデジタルCOVID感染証明書 3 EUデジタルCOVID免疫証明書 「EUデジタルCOVIDテスト証明書」は、Sars-Cov-2のPCR検査の陰性結果を証明し、「EUデジタルCOVID感染証明書」は、同PCR検査結果が陽性であったことを証明します。「EUデジタルCOVID免疫証明書」は、COVID-19の予防接種を受けていることを証明します。 デジタル証明書は、エストニアの全国医療データベースである「健康情報システム」に記録される医療データに基づいて発行されます。 デジタル証明書が欲しい人は、健康情報システムと連携する患者ポータルにログインして、デジタル証明書の作成を指示すると、EUの要件に準拠した証明書が作成されます。3つの言語(エストニア語、英語、ロシア語)に対応したデジタルドキュメント(PDFドキュメント)としてダウンロードでき、スマートフォン等の画面で提示したり、印刷して利用することができます。親が子供の証明書を必要とする場合など、法定代理人も作成できます。 EU共通のデジタル証明書には、改ざんから保護するためのデジタル署名付きのQRコードが含まれています。証明書をチェックする際に、QRコードがスキャンされ、署名が検証されます。 デジタル証明書は、EU全域で有効ですが、特定の国への入国等を許可するものではありません。入国等の条件は国によって異なりますが、デジタル証明書を使用することで、自己隔離などの特定の制限が免除されることがあります。 デジタルCOVID免疫証明書(予防接種証明書)には、個人データに加えて、証明書番号があり、予防接種を受けた病気(COVID-19)、有効成分、免疫準備、ワクチンの販売承認保有者、投与回数、免疫化の日付と国、証明書発行者の詳細などが記載されます。 エストニアでは現在、欧州医薬品庁によって承認された4つのワクチン(AZ、ファイザー、モダーナ、J&J)が接種されています。 2021年2月6日現在、日本の厚生労働省の「新型コロナウイルス接触確認アプリ(COCOA:COVID-19 Contact-Confirming Application)」 のページに次のような告知があります。 "このたび、Androidをお使いの方について、9月末より、アプリ利用者との接触通知が到達していないことが判明いたしました。このアプリを御利用いただいている多くの国民の皆様の信頼を損ねることになり深くお詫び申しあげます。厚生労働省としては、2月中旬までに障害を解消すべく取り組むとともに、品質管理を徹底いたします。引き続き国民の皆様に広く安心して本アプリを御利用いただけるよう、しっかり取り組んでまいります。" 詳細については、Android版接触確認アプリの障害について(令和3年2月03日:厚生労働省健康局 結核感染症課)が出ています。 ※2月18日に、接触確認アプリ「COCOA」の修正版(「1.2.2」)の配布を開始しました。 民間企業のAPIに依存する公的なアプリケーションは、利用者の利便性や普及促進といったメリットがある一方で、品質管理が難しい面があると思います。エストニアでも、新型コロナウイルス接触確認アプリがリリースされていますので、その概要を整理しておきます。日本におけるデジタル庁の役割を考える上で、参考になれば幸いです。 はじめに伝えておきたいのは、エストニアでは情報システムの開発や公的データベースの確立について、法令でかなり詳細かつ厳格に規定されているということです。つまり、大統領や首相、IT大臣と言えども、法令で定められた手順を省略するような命令を下すことはできず、情報システムを実際に開発・管理する組織や人が、明らかに無理なスケジュールを課されたりしないことが、制度として保証されているのです。 エストニアの国民は、「政府や政治家は信頼しないけど、デジタル国家は信頼している」と言われます。政権や政治家は変わっても、「デジタル国家を通じて国民が政府の仕事を監視できる」という基本は変わらないことへの信頼と言えます。 (1)エストニアの新型コロナウイルス接触確認アプリ:HOIA(ホイア) (2)アプリの特徴 (3)アプリの利用状況 (4)アプリの更新 (5)アプリの開発とセキュリティ対策 (6)アプリの保守管理 (7)プライバシーへの対応と根拠法 (8)健康委員会とTEHIKについて (9)コミュニティの運営と組織文化 (1)エストニアの新型コロナウイルス接触確認アプリ:HOIA(ホイア) エストニアの新型コロナウイルス接触確認アプリ「HOIA(ホイア)」が公開されたのは、2020年8月です。日本のCOCOAのリリース(6月19日)と比べて、ちょうど2か月遅れのスタートです。HOIAの企画・開発にあたっては、個人データの保護を所管するデータ保護調査局などによるチェックがあり、必要な法令の改正を実施したことで、8月のリリースになったと考えられます。 新型コロナに関する詳細については、エストニアにおける新型コロナへの対応についてをご覧ください。 (2)アプリの特徴 HOIAの主な特徴は次の通りです。
日本のCOCOAは「1メートル以内15分以上」が接触通知の条件(密接な接触と見なすことができる暴露)ですが、HOIAは「2メートル以内15分以上」となっています。この条件は国によって微妙に異なるようで、例えばスイスのSwissCovidは「1.5メートル以内15分以上」となっています。 アプリへの陽性登録の時に、日本では保健所から発行された「処理番号」が必要になりますが、エストニアでは陽性登録に必要となる「自分が感染したという情報(匿名コード)」を、患者ポータルを経由して健康情報システム(全国規模の医療データベース)から取得します。これは、HOIAアプリ用に新しいデータベースが作成されないことを意味します。なお、13歳未満の子供は、保護者の患者ポータルで確認します。 技術的な説明を含むアプリの詳細については、SARS-CoV-2コロナウイルス近接接触検出アプリケーションHOIAで確認できます (3)アプリの利用状況 2021年2月6日までに、エストニアの人口約130万人に対して、HOIAのダウンロード数は262,334です。確定した感染者数約4.7万人に対して、HOIAへの陽性登録件数は3,133となっています。これらのデータは、コロナウイルスデータセットで確認できます。 エストニアと日本のアプリ普及率はどちらも約2割ほどですが、アプリに陽性登録する人の割合はエストニアの方が少し高くなっています。いずれにせよ、期待されたほど活発に利用されているとは言えず、利用者の増加と積極的な陽性登録の促進が課題と言えます。 HOIAは、自分の感染情報を確認するために患者ポータルへのログインが必要なのですが、モバイルIDとSmartIDだけが対応しており、最も利用者が多いIDカードは使えないことが、陽性登録件数の少なさと関係しているのかもしれません。 (4)アプリの更新 HOIAのiOS版は、2021年2月6日現在までに5回の更新があります。Android版の最終更新は2021年1月15日で、現在のバージョンが1.0.8になっています。更新の頻度は、日本のCOCOAとあまり変わらないと言えます。 (5)アプリの開発とセキュリティ対策 ※ 2月22日 ソースコードの説明を追記 HOIAの開発(設計、ソフトウェア開発、セキュリティ対策)は、日本の厚生労働省のような役割を担う社会問題省と有志企業12社が参加するコンソーシアムによって行われました。コンソーシアムは、社会問題省の配下にある健康委員会とTEHIKだけでなく、データ保護調査局、国家情報システム局など様々な政府機関とも連携・協力しています。 コンソーシアムには、日本でも知られているサイバーネティカ社やガードタイム社の他に、日本の富士通(富士通エストニアAS)も参加しています。 HOIAアプリの最初のバージョンは、コンソーシアムによって無料で開発され、EUPLライセンスの下で配布するためにエストニア政府に引き渡されました。日本のCOCOAと同様にソースコードと技術文書が公開されています(contact-tracing(dp3t-sdk-ios)も参照)。なお、エストニアではデジタル国家のソースコードを原則公開しており、国家情報システム局(RIA)がGitLabを使用して電子政府コードリポジトリを管理・運営しています。 HOIAは、DP-3Tライブラリを使用して構築されています。ソースコードの構成は次の通りです。
コンソーシアムは、社会問題省が主導し、TEHIKおよび健康委員会のデータ保護スペシャリストと協力して法的な分析も実施しています。アプリケーションの技術プロジェクト管理、設計、ユーザーエクスペリエンス分析は、Iglu社が担当し、バックグラウンドシステムのプログラミングはIcefire社とTEHIKが共同で行いました。 モバイルアプリの開発はMobiLab社が主導し、FOBSolutions社とMooncascade社の協力により実施されました。アプリのセキュリティ分析はGuardtime社とCybernetica社が実施し、アプリの侵入テストはClarifiedSecurity社が実施しました。Cybernetica社は、セキュリティドキュメントの作成も主導し、国際協力に大きく貢献しています。 Velvet社は、社会問題省と協力してHOIAのWebサイトと通信を処理し、ASA Quality Solutions社はアプリのテストに貢献しています。患者ポータルとアプリの連携に関する開発は、Heisi社が行いました。 HOIAアプリのセキュリティの維持と開発プロセスの流れは、次の通りです。エストニア電子政府のセキュリティ標準およびENISA文書に基づいています。詳細は、セキュリティレビューで確認できます。 セキュリティ要件と攻撃者のモデル>セキュリティ対策>アプリケーション開発>出荷前テスト>アプリ配布 なお、感染者の匿名コードを受信するHOIAアプリケーションのサーバーは、攻撃から保護されている政府クラウド(State Cloud)にあります。 (6)アプリの保守管理 HOIAは、新型コロナへの対応を所管する健康委員会が所有者となり、健康福祉情報システムセンター(TEHIK テヒック)が保守管理を行っています。Android版のコメント欄を見ると、TEHIKがこまめに回答していることがわかります。 TEHIKは、数多くの医療関連情報システムを保守管理しており、HOIAアプリの保守管理についても、組織やチームとして対応しています。TEHIKに確認していませんが、HOIAアプリの更新を含むメンテナンスは、eサービス管理部門が行っていると考えられます。 (7)プライバシーへの対応と根拠法 HOIAのプライバシーへの対応については、プライバシーポリシーで確認することができます。HOIAのデータ保護やプライバシーについては、健康委員会かTEHIKにメールで直接連絡することができます。 プライバシーの観点から見た場合、エストニアと日本の接触確認アプリの一番の違いは、「処理番号」の有無と言えるでしょう。 GDPRやエストニアのデータ保護法によると、厚生労働省がCOCOAで利用する「処理番号」は、個人データに該当すると思われるので、「処理番号」と「日次鍵」がリンクされた時点で、「日次鍵」も個人データとなってしまいます。 エストニアでは、当局が「処理番号」を発行することなく、患者ポータル経由で、感染情報をパーソナライズされていない形で取得することにより、正確な感染情報の登録を実現しています。こうした違いは、プライバシーの考え方というよりも、法令における個人情報・個人データの定義、オンライン上の本人確認手段の普及状況、医療データのガバナンスなどの違いによるものと考えます。 エストニアでは、接触確認アプリの開始にあたって、2020年7月に「健康情報システムに関する法令」を改正しています。具体的には、データ処理者の機能を一部修正し、6条の(9)のデータ提供で「感染者との接触を警告することを目的として、感染症の診断を確認するための識別コードを送信すること」を追加しています。 HOIAアプリ自体は、個人データを処理しないので、直接的な根拠法は無く、国家情報システム管理RIHAカタログにも登録されていません。しかし、アプリのライフサイクル中に、患者ポータルの同意を得て、個人情報が健康情報システムで処理される場合があります。個人データが患者ポータルで処理される場合、データ主体の権利は、GDPRの条項15、16、17、18、20、および21が適用されます。個人データの処理に違反した場合、エストニアのデータ保護調査官に苦情を提出する権利があります。 (8)健康委員会とTEHIKについて 健康委員会は、社会問題省(社会省)の組織として、健康管理、環境衛生、感染症、化学薬品、医療機器規制などを担当しています。今回の新型コロナへ対応についても、WHOや欧州疾病予防管理センターと連携しながら、中心的な役割を担ってきました。新型コロナの感染者データについては、データコントローラーとして、データの管理・分析やオープンデータ化などを実施しています。 健康委員会が所有する国家情報システム(根拠法に基づく公的データベース)として、医療専門家の全国登録DB、ヘルスケアサービスの提供のためのライセンスの全国登録DB、伝染病登録DB、医療機器DBなどがあります。 エストニアには、新型コロナが流行する前から、健康情報システム、患者ポータル、感染症登録データベースなどが整備されており、10年以上の運用実績がありました。これらのシステムやサービスが、日常的に医療関係者や市民に広く利用されていたことで、新たなデータベースや情報システムを構築することなく、新型コロナに対応することができたと言えます。 TEHIK(テヒック)は、社会保障、医療、労働分野のIT開発・管理を分野横断的に行う、社会問題省の組織です。健康委員会がデータコントローラーの役割を果たしているのに対して、TEHIKはデータプロセッサー(認定データ処理者)として機能しています。 エストニアのデータガバナンスの仕組みについては、ジェアディス公開講座:エストニアのデータガバナンスから見た日本の電子政府の現在と未来で詳しく解説しています。 エストニアでは、ほとんどの省庁がTEHIKのようなIT実働部隊を抱えており、各省庁の業務に必要なITシステム調達をそのライフサイクルを通じて支援しています。相互運用性フレームワークという決められた枠組みの中で、各組織は自主的に競争・開発できる一方で、組織や分野を超えた共同開発・共同調達が行えるようになっています。 (9)コミュニティの運営と組織文化 エストニアでは、Xロードの例を見るように、オープンな開発環境とコミュニティを大切にしてきました。X-Roadなど電子政府基盤の国際連携を目指してフィンランドを共同で設立した相互運用性ソリューション北欧研究所(NIIS)には、アイスランドが新たに参加し、Xロードを採用する国が今後ますます増えていきそうです。 エストニア政府は、オープンソースの活用について、すでに多くの実績と経験があり、そのノウハウは文書化され共有されています。次世代の公共サービスのデジタル化を目指して、ハッカソンも定期的に開催しています。新型コロナへの対応でも、官民学の有志によるcovid-19危機対策ツールが数多く生まれました。
エストニアには、各省庁に様々なIT組織がありますが、共通するのは、透明性や公平性、オープンなコミュニケーションを重視していることです。人口が少なく常に人材不足に悩むデジタル国家は、他者の貢献を尊重し、相互に思いやり、人を大事にしているのです。エストニアの政府CTOは、「公共部門における技術者の原動力は情熱である」と言っています。 最後に、エストニア財務省のIT組織である情報技術開発センターが掲げる価値観(抜粋)を紹介しておきます。
エストニアの新型コロナの感染状況等について、政府の公式データを見ながら解説しています。エストニアにも、日本の新型コロナウイルス接触確認アプリ(COCOA) と同じようなアプリ(HOIA)があり、日本と同じぐらいの割合(人口の2割ぐらい)でダウンロードされています。陽性登録率は約7%で、日本の登録率2%よりは少し高くなっています。
参考サイトは、下記の通りです。 コロナ統計データ https://www.koroonakaart.ee/en コロナウイルスデータ 健康委員会 https://www.terviseamet.ee/et/koroonaviirus/koroonakaart エストニア コロナ危機公式情報ポータル https://www.kriis.ee/ HOIAモバイルアプリ https://hoia.me/ 電子政府コードリポジトリ HOIA https://koodivaramu.eesti.ee/tehik/hoia
9月に開催した、ジェアディス会員限定の勉強会用として作成・使用した資料に、最近のデータ等を少し追加した上で、ウェブ公開しました。
日本でも、デジタル庁の発足準備が始まり、医療データの利活用や、オンライン行政サービスの改善が進められています。エストニアの取組みが、関係者の皆さまにとって何かの参考になれば幸いです。 エストニアの新型コロナへの対応について、「iRONNA(いろんな)」(ironna.jp)へ寄稿させていただきました。日本とエストニア、どちらが優れているということではなく、「平時に、できるだけの準備をしておく」ことの大切さを伝えられたらと思います。 アナログ国家の日本、ヒントにすべきエストニアの「デジタル理想郷」 原稿執筆にあたっての参考情報は、下記の通りです。内容について、ご質問等ございましたら、お問合せフォームからお願いいたします。 参考情報 Freedom on the Net https://freedomhouse.org/report/freedom-net 2020 United Nations E-Government Survey https://www.un.org/development/desa/publications/publication/2020-united-nations-e-government-survey National Cyber Security Index https://ncsi.ega.ee/ Digital Economy and Society Index Report 2020 - Digital Public Services https://ec.europa.eu/digital-single-market/en/digital-public-services-scoreboard OECD Government at a Glance 2017 https://www.oecd-ilibrary.org/governance/government-at-a-glance-2017_gov_glance-2017-en Valiskaubandus- ja IT-minister: varske audit on selge kinnitus e-residentsuse programmi kasumlikkusele(エストニアのIT大臣によるコメント) https://www.mkm.ee/et/uudised/valiskaubandus-ja-it-minister-varske-audit-selge-kinnitus-e-residentsuse-programmi Koroonakaart(エストニア政府の公式コロナ統計データ) https://www.koroonakaart.ee/en e-Estonia:e-Health Records https://e-estonia.com/solutions/healthcare/e-health-record/ NAKKUSHAIGUSTE REGISTER(Estonian Communicable Diseases Register) https://www.riha.ee/Infos%C3%BCsteemid/Vaata/nhr The Social Insurance Board’s e-service https://iseteenindus.sotsiaalkindlustusamet.ee/ The Government of Estonia: due to the risk of infection, schools will be moved to distance learning https://www.hm.ee/en/news/government-estonia-due-risk-infection-schools-will-be-moved-distance-learning Estonia: Coping with COVID-19 and setting up remote education. The Digest
残念ながら、ジェアディスとして来日記念イベントは開催できなかったのですが、「エストニア大統領が語るデジタル国家」などのイベントで、カリユライド大統領のお話を聞く機会を提供してくれました。 カリユライド大統領は、エストニアの独立後、初の女性大統領であり、就任当時46歳という史上最年少の大統領でもあります。エストニアでは、大統領に限らず、多くの女性が家庭と両立しながら重要なポストで活躍しています。 例えば、検察庁のトップであるペーリング検事総長や、憲法審査や人権保護を担う独立機関であるウルマディゼ司法長官の活躍などがあります。 また、女性医師の割合が高いことも有名です。OECDの最近の調査でも、女性医師の割合は73.3%と、ラトビア(74.3%)に次いで第2位となっています。これには、歴史的な経緯もあるようです。
写真出典:toolbox.estonia.ee
その一方で、女性の国会議員の割合(世界銀行データ)は、2018年時点で約27%と、日本(10%)よりは高いですが、まだまだ改善の余地があると言えます。 エストニアの人に、女性の活躍について尋ねると、よく返ってくるのが「女性は真面目でコツコツ勉強するので、専門知識や技術を学び資格を取得するような職業に向いているのではないか」というものです。そう言えば、インド人の友人からも同じようなことを聞いた記憶があります。日本からも、より多くの女性が、エストニアに留学して学ぶ機会が増えることを願います。
エストニアのeヘルスと医療データの活用に関するスライド資料を公開しました。
技術の祭典「テクノロジーNEXT 2019」での講演を記事にしてもらいました。
エストニアで進む医療情報の利活用、それを支えるX-ROAD 日経 xTECH(クロステック) エストニアでは、法律で医療データの提出(全国健康情報システムの中央データベースへ格納)が医師に義務付けられている一方で、患者本人は自身の医療データの利用を停止したり、アクセスを制限したりすることができます。 本人は、患者ポータルから、誰がいつ自分の医療データにアクセスしたかを確認し、不正な閲覧や好奇心からののぞき見などがあれば通報することができます。実際、興味本位で有名人の医療データにアクセスした医師が解雇・資格はく奪された事例もあります。エストニアは、医療のデジタル化を進めたことで、透明性やトレーサビリティが向上し、不正な行為者への責任追及が容易になりました。 機微性の高い医療・健康データの利用についての「同意」という行為は、その運用が難しいだけでなく、本人にとっても負担が大きく、悪用される可能性もあるので、法律で用途や範囲を明示した上で、医療関係者がデータを共有できる仕組みを作ることが有効です。 日本でも、公共性・公益性の高い医療・健康データを安全な環境の下で共有できる仕組みを作り、本人には自身のデータをコントロールできる機能を持たせることで、利用と安心のバランスを取ることができるのではないでしょうか。 ジェアディスでは、エストニア健康・医療・福祉システム最新動向調査ツアー(2019年11月10日から5泊7日間)を企画しています。エストニアの医療情報化に関心がある方は、どうぞご参加ください。 エストニアのタリンで、政府の協力の下、CybExer Technologiesなどの民間企業が開催するサイバー演習「CYBER CoRe 2019 (Cooperative Resilience)」が、2019年3月28日から31日まで行われています。 Unique cyber exercise for the private sector is taking place in Tallinn 演習に参加するのは、オランダのハイネケンや英国のアーンスト・アンド・ヤング(会計コンサルティング企業)などグローバル企業のサイバーセキュリティ専門家、エストニアの重要な情報インフラストラクチャ企業(電力会社のEleringとEesti Energia、トラストサービスを提供するSK ID Solutions AS、銀行など)、オランダのサイバー警察、エストニア財務省の情報技術センター、タルトゥ市などです。また、米国の防衛産業企業であるRaytheon Internationalの上級エキスパートがオブザーバーとして参加します。 電力会社が参加しているのは、電気事業者のITシステムのサイバーセキュリティを担う民間企業が、セキュリティ基準が低いEU非加盟国の小規模ソフトウェア開発会社を買収しているといった事情が背景にあるようです。 関係者は、情報インフラ企業に、複雑で不明確なサプライチェーンや調達メカニズムがあると、コスト削減のために、監視が及ばず信頼できない国からセキュリティソリューションを購入することがあるとしています。 また、今回の演習より少し前の2019年3月25日に、エネルギー会社へのサイバー攻撃を想定したエストニアとフィンランドの共同演習も実施されています。 エストニアのセキュリティ事情については、2007年に大規模なサイバー攻撃を受けたこと、ブロックチェーンの技術が政府の情報システムで採用されていること、NATO共同サイバーディフェンスセンターの本部があることなどが説明されますが、実際にやっているのは、かなり地味で地道な作業の積み重ねです。 政府が保有する情報システムやデータベースについては、公共情報法や関係法令で定めるセキュリティ基準を満たすことが義務付けられており、定期的な監査を受けることになっています。 例えば、エストニア国内の医療データを共有・交換する「健康情報システム」の「医療データ」については、セキュリティレベルは「高」で、データの完全性についてはT3(最高クラス)となっています。
T3というのは、法令で定義する「完全性」を「リアルタイムで保証する」というものです。このような基準に従って、「データの完全性をリアルタイムで保証するためには、どのような技術を使ったソリューションを採用すれば良いか」と考え、費用対効果を含めた最適な手法を採用し実装することになります。 エストニアの政府情報システムについては、標準化も進んでいます。標準化については、エストニア標準化センター(EVS)が重要な役割を担っています。 2019年2月25日、北海道ヘルスケア産業振興協議会の研究会におきまして、「世界最先端のデジタル国家 エストニアにおけるヘルスケア事情」のタイトルで講演を行いました。 当日の資料(PDF、ファイルサイズ約8MB)をご希望されるジェアディス会員の皆さま、および当協議会の研究会等にご協力頂いている皆さまは、下記のお問合せページよりご連絡ください。原則、電子メールでお送りします。 お問合せ http://www.jeeadis.jp/contact.html ジェアディスでは、2019年度の活動に向けて賛助会員を募集しています。 企業賛助会員:年会費50,000円 個人賛助会員:年会費5,000円 特典:協議会主催セミナーへの招待、セミナー資料等の共有など ジェアディスの紹介と入会案内 http://www.jeeadis.jp/about-jeeadis.html 皆さまのご参加をお待ちしています。 一般社団法人 日本・エストニアEUデジタルソサエティ推進協議会 (略称:JEEADiS ジェアディス) http://www.jeeadis.jp/ 2018年12月に、フィンランドのデジタル処方箋(電子処方箋)がエストニアでも有効になりました。フィンランド住民は、自国の医師に発行してもらったデジタル処方箋を利用して、エストニアの薬局で医薬品を購入することができます。2019年内には、エストニア住民も、エストニアのデジタル処方箋を使い、フィンランドの薬局で医薬品を購入できるようになる予定です。 EUでは、国を越えた医療サービスへのアクセス、いわゆる「クロスボーダー医療」の実現を目指しています。デジタル処方箋の標準化・相互利用も、その一つで、フィンランドとスウェーデンなど北欧諸国間での相互利用も進みつつあります。 エストニアの電子処方箋を直接規定するのは、医薬品法(Medicinal Products Act)ですが、同法では、EU加盟国等で取得した薬剤師の資格の取り扱いなども定めています。また、保健医療サービス組織法(Health Services Organisation Act)には、国境を越えた医療サービス提供についての規定があります。 今後は、上記の法律を改正することで、認可された国の機関が、他のEU加盟国とデジタル処方箋だけでなく、個人の医療記録を交換できるようになる予定で、「クロスボーダー医療」の本格的な実施が、この1-3年で確実に進むことでしょう。 実際、EUでは、 2021年末までに加盟国内で電子処方箋と患者サマリーを交換する予定で、そのうち10加盟国(フィンランド、エストニア、チェコ、ルクセンブルク、ポルトガル、クロアチア、マルタ、キプロス、ギリシャ、ベルギー) では、2019年末までデータ交換を開始する可能性があります。 ところで、エストニアの電子処方箋が成功したのは、いくつかの理由があります。
1 国のデジタル戦略・医療戦略・eヘルス戦略に基づく取組みであること 2 導入・運営の主体がeヘルス財団(と健康保険基金)に統一されていること 3 医療機関に医療データの登録が義務付けられていること 4 公的医療保険における初期医療の仕組みが制度化されていること 5 個人番号制度を基礎とした情報連携の仕組みが確立していること まず、旧デジタル戦略の中でeヘルスの分野があり、電子処方箋(e-Prescription)の実現が明記され、必要なシステムを構築しました。エストニアには、同じようなシステムを重複して作らせない仕組みがあるため、電子処方箋システムの予算は約24万ユーロ(約3千万円)と非常に低価格です。 eヘルス財団(現在は別組織へ移行)は、医療システムに関するエストニア政府の電子ソリューションを開発し、eヘルスの各種サービスを作成・提供する組織です。社会省(日本の厚労省に該当)、北エストニアメディカルセンター、タルトゥ大学病院基金、東タリン中央病院、エストニア病院協会、エストニア家庭医協会、エストニア救急医療サービス連合などが参加し、2005年10月に設立しました。 電子処方箋の管理・運営は、唯一の公的医療保険者である「エストニア健康保険基金」に統一されているので、システムの乱立も起きず、データの標準化(国際標準を採用)にも問題はありません。 各医療機関には、その規模に関わらず、医療データの電子的な登録が義務付けられているので、医療機関側に電子化するかどうかの選択肢はありません。また、公的医療保険では、すべての市民(被保険者)が、かかりつけ医(一般開業医、県知事が任命)を登録する必要があり、専門医の診察にはかかりつけ医の紹介が必要になっています。そのため、患者にとって最も身近である地域の診療所ほど、電子化が進むことになります。かかりつけ医が電子データを取り扱えないと、専門医に紹介するための情報連携もできないからです。 エストニアでは、日本のマイナンバー制度と異なり、個人番号制度を基礎とした情報連携の仕組みが確立し、医療分野もカバーしています。患者はもちろん、医師や看護師の識別・資格確認も、個人番号がそのまま使われています。ただし、医療データは個人データと分離して(coding)保存されます。 エストニアでは、日本のような複雑な医療IDの議論をすることなく、非常にシンプルな仕組みの中で、安全な運用(すでに約10年の実績がある)を行っています。取得が義務付けられた国民IDカード(個人番号を含む電子証明書を格納)による本人確認で、患者だけでなく医療従事者の資格もリアルタイム確認することができます。 日本で電子処方箋を成功させるためには、システムの重複・乱立、過剰な費用発生を防ぐ仕組みを確立し、医療機関における電子データ提供の義務化などを進める必要があるのではないでしょうか。 Final report - Evaluative study on the Cross-Border Healthcare Directive 欧州委員会から、「クロスボーダー医療に関する指令」の評価報告書(最終版:2015年3月)が公表されています。KPMGに委託したものですが、クロスボーダー医療の需要は高まっており、患者を巻き込んだ展開が有効としています。 「クロスボーダー医療における患者の権利に関する指令:Directive 2011/24/EU on patients’ rights in cross-border healthcare」は、EU指令の中では比較的新しいもので、加盟国は2013年10月までに指令を実施するための法律制定が義務付けられました。 新しい試みである「クロスボーダー医療」は、初期の段階にありますが、「患者の権利」を基礎としている点が、欧州らしいと言えるでしょう。 他方、日本の「日本再興戦略改訂2015」や「健康・医療戦略」では、「患者の権利」について、ほとんど触れていません。 クロスボーダー医療における「患者の権利」とは、「EU加盟国内であれば、その国の市民と同様の医療サービスを受けることができ、その費用について自国の医療保険制度から全部または一部を負担してもらえる(払い戻しを受けられる)」というものです。 「クロスボーダー医療」には、4つの視点があります。 1 患者(EU域内で国境を越えた医療サービスを受ける) 2 医療専門家(異なるEU加盟国で医療に従事する) 3 より良い医療サービスへの期待 4 新しい医療技術の開発 日本では、たくさんの健康保険証がありますが、EUでは一時滞在で使える統一された「欧州健康保険カード:European Health Insurance Card」があり、EUに加盟していないスイスやノルウェーでも使用することができます。カードの発行は無料で、2015年7月現在で2億人以上のEU市民が保有しています。 日本でも、マイナンバー制度の個人番号カードを健康保険証として使えるようにするそうですが、転職等で医療保険が変わっても、個人番号カード一枚で受診できると便利でしょう。 言語、医療制度、技術レベルなどが異なる中で、相互運用性を確保した医療サービスの提供を模索する「クロスボーダー医療」の試みは、日本の地域医療連携などでも参考になることが多いと思います。 |
Categories
すべて
Archives
6月 2023
|
一般社団法人 日本・エストニアEUデジタルソサエティ推進協議会
Japan & Estonia EU Association for Digital Society ( 略称 JEEADiS : ジェアディス)
|
免責事項
本ウェブサイトの情報は、一部のサービスを除き、無料で提供されています。当サイトを利用したウェブサイトの閲覧や情報収集については、情報がユーザーの需要に適合するものか否か、情報の保存や複製その他ユーザーによる任意の利用方法により必要な法的権利を有しているか否か、著作権、秘密保持、名誉毀損、品位保持および輸出に関する法規その他法令上の義務に従うことなど、ユーザーご自身の責任において行っていただきますようお願い致します。 当サイトの御利用につき、何らかのトラブルや損失・損害等につきましては一切責任を問わないものとします。 当サイトが紹介しているウェブサイトやソフトウェアの合法性、正確性、道徳性、最新性、適切性、著作権の許諾や有無など、その内容については一切の保証を致しかねます。 当サイトからリンクやバナーなどによって他のサイトに移動された場合、移動先サイトで提供される情報、サービス等について一切の責任を負いません。 |