メルマガ登録お問い合わせ
ヘルスケア・ウェルビーイング

自治体によるPHRサービス導入時の留意点
~2025年指針・ガイドライン改定と実務対応~

PHR
ガイドライン
パーソナルヘルスレコード

上級研究員 岡島 正泰

2025年にPHRサービスに関する政府の基本的指針と民間団体のガイドラインが改定され、自治体が提供するPHRサービスも対象範囲に含まれることになった。自治体および自治体にPHRサービスを提供する事業者は、基本的指針等への対応を検討する必要がある。一方で、すでに基本的指針等の記載事項に対応している事業者も存在し、質の高いサービスの提供や交付金の獲得に繋げている。基本的指針およびガイドライン、先行事業者の取り組みを参照した質の高いPHRサービスの効率的な開発が期待される。

1.はじめに

2025年4月、政府は個人の健康情報であるパーソナルヘルスレコード(PHR)を活用したPHRサービスに関する指針である「PHRサービス提供者による健診等情報の取り扱いに関する基本的指針」1(以下、「基本的指針」)を改定した。今回の改定で、健診等情報2を取り扱うPHRサービスを住民等に提供する場合は、自治体も基本的指針の対象範囲に含まれる可能性が生じるようになった。

これに伴い、PHRサービスの普及促進を目的とする民間団体である一般社団法人PHR普及推進協議会3およびPHRサービス事業協会4は、共同で策定している「PHR サービス提供に関わるガイドライン(第4版)」(以下、「ガイドライン」)を同6月に改定した。このガイドラインも、基本的指針の改定に合わせて自治体を対象範囲に含むこととなった。

改定後の基本的指針とガイドラインの関係を《図表1》に整理した。基本的指針およびガイドラインともに自治体を対象とする。基本的指針は遵守義務があり、ガイドラインはサービスの質向上のために任意に参照するものである。そのため、住民等にPHRサービスを提供する自治体、および自治体にPHRサービスを提供する事業者は、基本的指針とガイドラインの双方を参照して必要な対応を講じることが望ましい。

そこで本レポートは、最初に基本的指針とガイドラインの留意点を確認する。そのうえで基本的指針とガイドラインへの対応で先行する事業者の取り組みを参照してその効果を確認する。なお、筆者はPHR普及推進協議会およびPHRサービス事業協会の活動に参加している。

2.基本的指針およびガイドライン改定と留意点

(1) 基本的指針の改定

今回の改定で基本的指針の対象範囲に自治体が含まれることとなった。その背景として、PHRサービス事業者が開発したアプリ等のサービスを、自治体、健康保険組合、医療機関等が提供主体になってその住民や被保険者、患者等に提供するケースが多くみられるようになったことが挙げられる。PHRサービスを開発する民間事業者は従来から基本的指針の対象に含まれていたが、提供主体である自治体等も基本的指針を遵守する必要があることが明示された形である。

基本的指針は、情報セキュリティ対策、個人情報の適切な取り扱い等の項目の遵守を求めている。今回の改定では特に情報セキュリティ対策の最新化が図られている。例えば、情報資産区分に基づいたリスク管理、物理的セキュリティ要件の明確化、マルウェア対策、認証情報の管理、利用者向け問い合わせ窓口の整備等の要件が見直されている。

(2) ガイドラインの改定

基本的指針の改定を受けて、ガイドラインも自治体を対象範囲に含むこととなった。これに伴い、ガイドラインが参照する関連法規に、行政機関と自治体が所管する国民健康保険組合の個人情報保護法関連のガイドライン等5が追加された。また、「PHRサービス提供時に自治体が関わる際の注意点」が別添資料として追加された。

PHRサービス提供に自治体が関わる際の最初の注意点として、PHRサービス運営主体が自治体か事業者かを明確にすべきであることが挙げられている。自治体が運営主体となる場合は、運営費の予算化等による中長期的に持続可能な事業設計の必要性や利用者である住民からの問い合わせ対応、住民の多様性を踏まえたUI/UX設計、民間サービスとの競合への配慮等、自治体ならではの注意点が存在する。また、運営主体が自治体か事業者であるかに応じて、参照するべき個人情報保護法上の規定が異なることへの注意も喚起されている。

(3) 基本的指針およびガイドライン改定の主な留意点

自治体や事業者が基本的指針およびガイドラインの改定に対応する際に、以下の3点に特に留意が必要と考える。

①PHRサービスが基本的指針の対象となるかどうかの確認

まず、自治体は提供するPHRサービスが基本的指針の対象となるのかどうかを確認する必要がある。基本的指針は、「直接的もしくは間接的に健診等情報を取り扱うPHR サービスを提供する者」を対象者としている。また、この規定における「健診等情報」は個人が自らの健康管理に利用可能な個人情報保護法上の要配慮個人情報と予防接種歴とされており、要配慮個人情報に関しては「個人がマイナポータルAPI 等を活用して入手可能な健康診断等の情報」等が対象とされている《図表2》。

ところで、事業者がマイナポータルAPIから健診情報等を取得するPHRサービスを開発する際にはデジタル庁に事前の利用申請が必要とされており、その際に基本的指針の遵守が求められている6。自治体として独自に基本的指針の充足を確認する必要があることに変わりはないものの、マイナポータルAPIと連携したサービスは基本的指針を充足している可能性が高いサービスとして捉えることができる。

一方で、マイナポータルAPIを活用していないが基本的指針の対象に含まれる健診等情報を取り扱うPHRサービスは、自治体、事業者がより慎重に指針の充足を確認する必要がある。

②運営主体の違いによる個人情報保護法上の参照規律の違い

PHRサービスの運営主体が自治体か事業者であるかに応じて、個人情報保護法の参照条文が異なる。そのために、運営主体に応じてPHRサービスの仕様を変更する必要が生じる可能性がある。ガイドラインの「PHRサービス提供時に自治体が関わる際の注意点」は、運営主体に応じて個人情報保護法における民間事業者向けの規律と行政機関等向けの規律のいずれが適用されるかを例示している《図表3》。

自治体を含む行政機関等は、個人情報保護法の第5章「行政機関等の義務等」の規律が適用される。例えば、行政機関等による個人情報の保有は、法令の定める所掌事務や業務を遂行するために必要な場合に限られ、かつ、その利用目的をできる限り特定する必要がある。また、特定された利用目的の達成に必要な範囲を超えて個人情報を保有してはならないとされている(同法61条)。そのために、ガイドラインでは自治体が運営主体となる際には、法令上の業務を超えた「PHRサービスの改善」等の利用目的をPHRサービス内で掲げることが難しい可能性があることが例示されている。

なお、行政機関等による病院や大学の運営に関しては民間事業者向けの規律が一部適用される点にも注意が必要となる(同法58条)。

いずれにしても、PHRサービスの運営主体を明確化して、適用される法令に準拠したPHRサービスを提供する必要がある。特に既存の民間向けのPHRサービスを自治体向けに提供する場合には、注意が必要となるだろう。

③チェックシートの活用

基本的指針およびガイドラインは、遵守を求めるまたは推奨する項目をチェックシート形式でも提供している7。チェックシートを用いることで指針やガイドラインの充足状況を効果的に確認できる。

更に、基本的指針はPHRサービス提供者がチェックシートの充足状況を定期的に確認し、結果を自社のホームページ等で公表することを求めている。指針を遵守する観点からもチェックシートを活用することが望ましい。

また、ガイドラインは今回の改定に伴い「自治体向けPHRサービス自己チェックリスト」を新たに提示している。自治体や自治体にPHRサービスを提供する事業者向けの留意点がまとめられているため、自治体ならではの留意点への対応漏れを防ぐ効果を期待できる。

3.先行して自治体に導入されているPHRサービスにおける基本的指針・ガイドラインの対応状況

続けて、先行して自治体に導入されているPHRサービスにおける基本的指針・ガイドラインの対応状況と、対応により得られる効果を確認する。

(1) TIS「ヘルスケアパスポート」

TIS株式会社が提供する「ヘルスケアパスポート」8は、自治体や地域、医療機関で活用されるPHRプラットフォームサービスだ。自治体、地域の医療機関、住民や患者等の利用者は、それぞれが提供する診療情報やPHRデータを、ヘルスケアパスポートを介して共有する。さらに、利用者本人の同意の下で、マイナポータルからのデータ取得も可能となっている《図表4》。このプラットフォームを活用することで、自治体の住民向けの健康増進施策や、地域医療連携におけるPHRデータの活用、医療機関における生活習慣病の疾患管理を支援する等の様々なPHRサービスを提供できる。

基本的指針の充足に関して、同社の担当者は「セキュリティや基本的指針等のガイドラインへの対応には特に気を使っている。」と述べており、マイナポータル連携に伴うデジタル庁の事前審査も経ながら要件の充足を確認している。

ガイドラインの「PHRサービス提供時に自治体が関わる際の注意点」および「自治体向けPHRサービス自己チェックリスト」が推奨する事項に関しても、いくつかの項目を既に実装している。

例えば、「自治体向けPHRサービス自己チェックリスト」はユーザビリティの項目で、ダイナミックコンセント(住民がデータ提供範囲を柔軟に変更できる仕組み)の導入を推奨している。ヘルスケアパスポートは、利用者本人が自身の情報が提供される範囲をスマートフォンで柔軟に変更する機能を提供している。更に、利用者が疾病や障害等で操作できない可能性も考慮して、本人の家族が管理できる機能も備えている《図表5》。多様な住民へのサービス提供が求められる自治体向けPHRサービスとして、本人本位に柔軟なデータ管理が可能となるこの仕組みの実装は望ましいことといえるだろう。

また、自己チェックリストは事業者選定の項目で、他の自治体や事業者との相互運用性の確保やそのためのデータ標準規格への準拠を推奨している。ヘルスケアパスポートは、診療情報のデータ交換規格として厚生労働省標準規格にも採用されているHL7 FHIRに準拠したデータ交換を実現している。標準化された規格への対応は、他システムとの相互運用性の向上によりサービスの価値を高めるだけでなく、ベンダーロックインの回避によるその後のシステム管理や移行コストの低下につながる。それにより、自治体ひいては住民の長期的な利益を実現できる。

(2) DeSCヘルスケア「kencom」

DeSCヘルスケア株式会社が提供する「kencom」9は、自治体や健康保険組合、企業で活用されるPHRサービスアプリだ。利用者本人は、健診結果や歩数・体重・血圧等のライフログをアプリ上で管理できる。2025年5月にはマイナポータルからの診療情報等の取得も可能となった。ウォーキングイベントやペットキャラクターの育成機能、ポイントインセンティブ等のエンターテイメント機能を豊富に備えており、利用者のアプリ利用継続率や行動変容実績に強みを持つサービスとなっている《図表6》。

kencomは自治体との連携に力をいれており、ウォーキングイベントやポイントプログラム等の機能が自治体の健康増進施策に適している。例えば、2023年11月から弘前大学と連携して健康増進施策を実施している青森県弘前市へのサービス提供を開始している。

基本的指針に関しては、kencomもマイナポータル連携を開始しており、デジタル庁の事前審査も経ながら要件の充足を確認している。

ガイドラインの「PHRサービス提供時に自治体が関わる際の注意点」および「自治体向けPHRサービス自己チェックリスト」が推奨する事項に関しても、いくつかの項目を先行して実現している。

例えば、「自治体向けPHRサービス自己チェックリスト」では市民参加の促進に関して、ウォーキングイベント等の健康促進キャンペーンや住民向けの判りやすい説明、サポート窓口の設置等が推奨されている。kencomは《図表7》のような形で市の広報誌と連携して市民参加の促進を実現している。

またガイドラインでは、PHRサービスに対する質評価に関して、アウトカムとなる健康指標への影響評価や、継続的な運用改善のための評価指標(KPI)設定が推奨されている。kencomは弘前市と連携してこれらの項目を充足し、政府の「成果連動型民間委託契約(PFS:Pay For Success)」を推進する交付金事業に応募し、2025年5月に採択されている10。PHRサービスの質を評価する体制の構築が、PFS方式による効果的なPHRサービスの提供だけでなく、交付金の獲得を通じた予算の確保につながっており、自治体・住民・事業者ともに利点のある事業に結びついている。

4.おわりに

2025年4月以降に実施された基本的指針およびガイドラインの改定により、自治体および自治体にPHRサービスを提供する事業者には、基本的指針の対象となるかどうかの確認や、運営主体の違いによる個人情報保護法上の参照規律の違い等を確認する必要が生じている。一方で、ガイドラインが提示する推奨事項を先行して実現してPHRサービスを自治体に提供している事業者も存在し、質の高いサービスの提供や、交付金の獲得につなげている状況もみられた。

PHRサービスの導入に取り組む自治体や、これから自治体向けのPHRサービスに取り組む事業者が、基本的指針やガイドライン、先行事業者の取り組みを参照し、質の高いPHRサービスを効率的に開発していくことが期待される。

  • 総務省、厚生労働省、経済産業省「PHRサービス提供者による健診等情報の取扱いに関する基本的指針」(2025年4月改定)。
  • 基本的指針において、個人が自らの健康管理に利用可能な個人情報保護法上の要配慮個人情報で個人が「マイナポータルAPI 等を活用して入手可能な健康診断等の情報」等や予防接種歴が該当すると定義されている。詳細は《図表2》を参照。
  • 一般社団法人PHR普及推進協議会のWEBサイト(visited Jul. 10, 2025) < https://phr.or.jp/ >。
  • PHRサービス事業協会のWEBサイト(visited Jul. 10, 2025) < https://phr-s.org/ >。
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(行政機関等編)」(2025年6月一部改正)、同「国民健康保険組合における個人情報の適切な取扱いのためのガイダンス」(2025年4月一部改正)等。
  • デジタル庁「マイナポータル医療保険情報取得API利用ガイドライン」(2025年4月)。
  • 経済産業省のWEBサイト(visited Jul. 10, 2025)
    < https://www.meti.go.jp/policy/mono_info_service/healthcare/02phrchecksheet_20250428.xlsx >、および、一般社団法人PHR普及推進協議会のWEBサイト(visited Jul. 10, 2025) < https://phr.or.jp/archives/2920 >。
  • TIS株式会社のWEBサイト(visited Jul. 10, 2025) < https://www.tis.jp/service_solution/healthcare-passport/ >。
  • DeSCヘルスケア株式会社のWEBサイト(visited Jul. 10, 2025) < https://desc-hc.co.jp/ >。
  • 株式会社ディー・エヌ・エーのWEBサイト(visited Jul. 10, 2025) < https://dena.com/jp/news/5266/ >。
このレポートをダウンロードする

PDF:MB

PDF書類をご覧いただくには、Adobe Readerが必要です。
右のアイコンをクリックしAcrobet(R) Readerをダウンロードしてください。

この記事に関するお問い合わせ

お問い合わせ
レポート一覧へ

このサイトでは、アクセス状況の把握や広告配信などのためにクッキー(Cookie)を使用しています。このバナーを閉じるか閲覧を継続した場合、クッキーの使用に同意したこととさせていただきます。なお、クッキーの設定や使用の詳細については「個人情報保護について」のページをご覧ください。

TOPへ戻る