医療・介護あれこれ　「個人情報保護法」について

長　幸美

2018.08.27 アドバイザリー

盂蘭盆会を迎え、ご先祖様や帰省してくる親戚等の対応に追われ、夏も終盤となってきました。暦の上では立秋を迎えていますが、まだまだ酷暑が続いております。

体調を崩される方もあるようにお聞きしています・・・皆様、くれぐれもご自愛ください。

さて、昨年の５月、個人情報保護法がリニューアルされ、小規模事業所を含め、殆どの事業者が対象とされました。

今回のコラムでは、改定の内容とともに、医療機関・介護事業者として注意すべき点を考えていきたいと思います。

＜個人情報保護の歴史＞

1988年「個人情報の保護に関する法律」が公布され、行政機関向けに法整備されてきましたが、2005年に民間も含め全面施行されることになりました。この時、病院では「個人情報保護方針」を定め、患者さんの個人情報の取り扱いについて、院内掲示を行うとともに患者さんへの周知を図ることが必要になりました。これは、「プライバシーポリシー」ともいわれ、それぞれの病院玄関や受付周辺、ホームページにも掲載されていると思います。

そして、急速に情報通信技術が発達し、当時想定されなかった様々な問題が顕在化し、パーソナルデータの利活用を行うとともに国民の安全・安心の向上を実現するために個人情報保護法の改定が行われました。

今回の改定では、「要配慮個人情報」の概念の明確化とともに、取扱業者の記録（トレサービリティ）の義務化、オプアウトによる第三者への情報提供が明確化されました。

＜個人情報の定義＞

「個人情報」とは、生存する特定の個人を識別できる情報である、と定義されています。この中で特筆すべきところは、「身体的特徴等が対象となる」ということが明記されたこと、また、「匿名加工情報」の利活用についても規定が新設されたこと、オプアウト規程の活用による第三者への情報提供の明確化があります。

医療機関において、個人情報とは、患者さんの情報はもちろんですが、働く職員の情報も個人情報と位置付けられます。また、診療録等の形態に整理されていない情報についても個人情報に該当するものとされていますので、注意が必要です。

また、亡くなった方の情報が同時に遺族等の生存する個人に関する情報でもある場合は、当然のことながら、「個人情報保護の対象」となります。

今回の改定では、「要配慮個人情報」というものが新たにづけられ、これは原則「事前に本人の同意を得る」必要があり、簡単に情報提供することはできません。

この中には、「人種・信条・社会的身分・病歴・前科・犯罪被害情報」などが含まれ、これらにより不当な差別・偏見が生じないように特に配慮が必要であるとされています。これは、次に述べる「オプアウトによる第三者提供」の対象外とされています。

＜オプアウト＞

「オプアウト」とは、個人情報を第三者に提供する場合の要件を言います。

➀第三者への提供を利用目的とし、➁個人データの項目、③提供の手段や方法を明確にし、④本人の求めに応じて提供を停止することができる場合に、個人情報の提供が可能となります。この情報についても条件があり、不正な理由で取得した個人情報は提供できないことになっています。

＜匿名化＞

学会発表等による事例報告や学会誌で報告したりする場合は、氏名・生年月日・樹書・個人識別番号等を消去することで、「匿名化」されると考えられていますが、十分な匿名化が困難な場合は「本人の同意を得なければならない」とされています。

特異な症例などで、「あ、あの患者さんのことかな・・・」とわかってしまう可能性があれば、本人さまに説明し了解を得ておくようにしましょう。

＜本人の同意＞

今回の改定では、「本人の意思表示を確認すること」を求められています。しかしながら、書式等の明確なものは提示されていません。

従って、確認方法としては、

➀　口頭による確認

➁　書面による確認（電磁的記録を含む）

③　確認した旨のメール受信

④　本人確認欄のチェック

⑤　ホームページ上のボタンのクリック

⑥　同意する旨の音声入力や、タッチパネル・ボタンやスイッチなど

など、が考えられますが、どれにも当てはまるのは、「記録を残しておく」ということだと思います。

例えば、電話や本人に直接問い合わせを行い「同意をもらった」という記録が必要になるということです。記録がなければ「やってない（同意をとってない）でしょ」といわれても致し方がないかもしれません。

＜トレサービリティ＞

同時に、いつ誰にどのような状況でどんな情報を提供したのか・・・ということも記録に取っておく必要があります。これが、トレサービリティです。

つまり、個人データの第三者取得を行う場合に、提供者、受領者ともに「個人情報の取得経緯」「利用目的」「提供先・提供元」について記録し、一定期間保存するものとされました。この保存期間は３年と考えておかれると間違いはないのかなと思います。

今回の改定では、この「受領者」へも第三者から個人データを受ける場合には「提供者に関する事項」を確認する義務が出てきました。こうして、提供された情報がどのように流れていくのか、「追跡ができるようにする」という義務が出てきたことになります。いわゆる「名簿屋対策」としての改定です。

この場合の記録しておくべき内容を以下に記載しますので、参考にされてください。

※個人情報取扱事業者から、本人の同意に基づいて個人データの提供を受ける場合

①　当該第三者の氏名又は名称

②　当該第三者の住所

③　当該第三者の代表者名（当該第三者が法人である場合）

④　当該第三者による取得の経緯

⑤　個人データによって識別される本人の氏名その他の当該本人を特定する事項

⑥　当該個人データの項目

⑦　本人の同意がある旨

※個人情報取扱事業者以外の者から個人データの提供を受ける場合

⇒この場合は上記➀～⑥までの項目

※オプトアウト手続きに基づいて個人データの提供を受ける場合

①　当該第三者の氏名又は名称

②　当該第三者の住所

③　当該第三者の代表者名（当該第三者が法人である場合）

④　当該第三者による取得の経緯

⑤　個人データによって識別される本人の氏名その他の当該本人を特定する事項

⑥　当該個人データの項目

⑦　個人データの提供を受けた年月日

⑧　個人情報保護委員会からオプトアウト手続きの届出が公表されている旨

＜医療・介護事業者が講ずるべき安全管理措置等＞

➀　安全管理措置

⇒その取り扱う個人データの漏洩、滅失又は既存の防止その他の個人データの安全管理の為、組織的、人的、物理的、及び技術的安全管理措置等を講じなければならない。

個人データを記憶した媒体の性質に応じた安全管理措置を講ずる必要がある。

➁　従業者の監督

⇒病院の管理者はその病院等に勤務する医師等の従業者の監督義務が課せられています（医療法第15条）

ここでいう「従業者」には、理事、派遣労働者等も含むものとされています。

③　個人情報保護に関する規定の整備・公表

⇒院内・事業所内等への掲示、ホームページへの掲載など

④　組織体制等の整備

⇒従業者の責任体制の明確化、具体的な取り組みを進めるため、管理者（監督者）を定め、個人情報保護の推進を図るための部署・委員会などを設置する。個人データの安全管理措置について定期的に自己評価を行い見直しや改善を行うべき事項について適切に改善を行う。

⑤　事故発生時の体制整備（苦情相談も含む）

⇒個人データの漏洩等の問題が発生した場合等における報告連絡体制の整備

⑥　雇用契約時における個人情報保護に関する規定の整備

⇒雇用契約や就業規則において、就業期間中はもとより、離職後も含めた守秘義務を課すなど従業者の個人情報保護に関する規定を整備し、徹底を図る

⑦　従業者に対する教育研修の実施

⇒個人情報が適切に取り扱われるように、従業者に対する教育研修の実施等により従業者の啓発を図り、従業者の個人情報保護意識を徹底する。

⑧　物理的安全管理措置

⇒個人情報データの盗難・紛失等を防止する

➀入退室の管理

➁盗難等に対する予防対策の実施・・・操作制限、機器等の物理的保護

⇒不正操作を防ぐため、業務上の必要性に基づき、取り扱い端末や個人マスタの権限に制限をかける。

⇒個人機器の持ち込み禁止・・・スマートフォン、モバイル端末、パソコン、など

⇒ＵＳＢの使用制限

⑨　技術的安全管理措置

⇒個人データに関するアクセス制限等のシステム構築

⇒個人データへのファイヤーウォールの設置

⑩　個人データの保存・・・劣化防止、検索可能な状態で保存する、など

⑪　廃棄・消去について

⇒不要となったものは廃棄・消去のルールを決め、適切に廃棄する

⇒焼却・溶解など、データ復元不可能な状態にすることが必要で、その記録もとっておくこと。

個人情報漏洩・・・盗難等の事故は後を絶ちません。幾度となく繰り返されているこれらの事故については、「自分は大丈夫」という過信があるように思います。今日のこのコラムをお読みくださった方のなかで、「あれ？どうだったかな？」ということがおありになる場合、是非一度身の回りを見直して、未然に防いでいきましょう。

【参考資料】

〇個人情報の取り扱いのルールが改正されます！

http://www.meti.go.jp/policy/it_policy/privacy/downloadfiles/01kaiseikojinjohopamphlet.pdf

経営支援課