HOME >> コンテンツ一覧 >> スペシャリストに聞く >> 「個人情報保護法全面施行でおさえておくべきこと」

第37回:「個人情報保護法全面施行でおさえておくべきこと」



日医総研 主任研究員 矢野一博氏
     
 今回のスペシャリストは日医総研の主任研究員であり、厚労省の「医療情報ネットワーク基盤検討会」の委員でもある矢野一博氏。
 今、会員の方々にとって、大きな関心事の1つと思われる「個人情報保護法」について、全面施行とは何か、厚労省から出された「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」のポイント、何から取り組むか、の3点を聞いた。またIT技術の活用についても、併せて伺った。(取材日:平成17年3月25日)





■はじめに

 平成17年4月、個人情報の保護に関する法律(以下、「個人情報保護法」という)が全面施行されます。これにより、一定の数の個人情報を取り扱う事業者は、個人情報を適切に取り扱うことが求められます。個人情報をずさんに管理している場合、指導、勧告、最悪の場合は罰則が適用されてしまいます。医療機関も例外ではなく、個人情報保護法に則って患者等の個人情報を取り扱わなくてはなりません。
 個人情報保護法は、その成立時、国会において「特にその適正な取扱いの厳格な実施を確保する必要がある個人情報については、保護のための格別の措置が講じられるよう必要な法制上の措置その他の措置を講ずるものとする」と附帯決議がされていました。
 このため、平成16年6月、医療機関等における個人情報保護のあり方について幅広く検討を行うことを目的として、厚生労働省内に「医療機関等における個人情報保護のあり方に関する検討会」が設置されました。その結果、同12月に「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」が通知されています。
 このガイドラインは、診療録等の開示、個人情報保護法では対象外とされている死者の情報の取り扱い、一定数以上の個人情報を保有しない小規模事業者への努力義務などが盛り込まれています。

 個人情報保護法は、各分野に共通する必要最低限のものを定める法という位置付けのものです。従って、「個人情報の保護に関する基本方針」(平成16年4月 閣議決定)により事業分野毎のガイドライン等を定めることになりました。特に厳格な実施を確保する必要のある医療等の分野については、格別の措置を検討し、法の全面施行までに一定の結論を得ることとされていました。「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」はこのような流れを受け策定されたものです。

 他に代表的なガイドラインとして、経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象としたガイドライン」(平成16年6月)などもあります。
 厚生労働省からは近々もうひとつ「医療情報システムの安全管理に関するガイドライン」が出される予定です。

 「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」では、電子カルテ等のIT関連システムの安全管理について、別途、厚生労働省の定める指針を参照することとなっています。別途定める指針というのが、「医療情報システムの安全管理に関するガイドライン」です。従って、「医療情報システムの安全管理に関するガイドライン」は、「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」と対を成すものです。

 昨今、医療機関では電子カルテなどのIT関連システムを導入する機会も増えてきています。一度は上記2つのガイドラインにじっくりと目を通しておくことも必要だと思います。
 しかし、個人情報保護法が全面施行されるからといって、法対応のために特殊なことをしなくてはいけないということではありません。個人情報保護法の全面施行に伴っておさえておくべき点を理解して、適切に対応すれば何ら問題はありません。


-では、そのおさえておくべき点について説明して下さい。

1)個人情報保護法の全面施行とは

 まず個人情報の全面施行とは何かという点を簡単に説明します。
 個人情報保護法は、以下の全6章で構成され、平成15年5月に既に公布されている法律です。ただし、経過措置として法令の第4章から第6章までの規程は、公布後2年以内に施行とされています。

 第1章 総則
 第2章 国及び地方公共団体の責務等
 第3章 個人情報の保護に関する施策等
 第4章 個人情報取扱事業者の義務等
 第5章 雑則
 第6章 罰則

 このうち、第4章に個人情報取扱事業者の義務等として、「利用目的の特定、利用目的による制限」、「適正な取得、取得に際しての利用目的の通知等」、「安全管理措置、従業者・委託先の監督」、「第三者提供の制限」、「公表等、開示、訂正等、利用停止等」が並んでいます。つまり、全面施行されることで、個人情報を取り扱う民間事業者への規程が、第6章で定められている罰則も含めて施行されることになります。
 このことから、医療機関も含めた幅広い事業者において、法に則った適切な個人情報の取り扱いが必要となります。


2)「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」のポイント

 「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」は、個人情報保護法よりも一歩踏み込んだ内容が含まれています。以下、その代表的なポイントについて個人情報保護法との関係を見てみましょう。

(診療録等の開示)
 個人情報保護法では、第25条(開示)の定めにより、開示を求められた場合は、同条第1項各号のいずれかに該当する場合を除いて、遅滞なく書面等の交付により開示を行うことと定められています。

 一方、ガイドラインでは、開示にあたっては平成15年9月の「診療情報の提供等に関する指針」にも配慮するようにとされています。
 この指針では、開示の際には医療分野の情報の特性を踏まえて、担当の医師等が説明を行う等の対応が望ましいとなっています。また、開示・不開示の判断にあたっては、「医療機関内に設置する検討委員会で検討した上で決定すること」、「文章で理由を示すこと」、「苦情処理の体制についても併せて説明すること」と、客観的な評価が求められています。

 つまり、診療録等の開示については、既に、より具体的な指針が示されているのです。この指針に従って、診療録等の情報開示を適切に実施している医療機関であれば、同法に対応した特別な措置は必要ないでしょう。

 ただし、個人情報保護法と指針では開示請求できる者の規定が若干異なります。指針では親族や法定代理人などを限定的に定めているのに対して、個人情報保護法では親族関係などには関係なく、広く代理人からの請求を認めています。この点は、請求者が何を根拠に開示を求めて来ているのかを適切に判断しなくてはならないでしょう。従って、個人情報保護法に則って開示請求をして来た人に対する対応について、一度検討しておく必要があると思います。

(死者の情報)
 個人情報保護法では、法の適用される個人として「生存する個人」に関する情報であって、特定の個人を識別することができるものと定義されています。

 一方、ガイドラインでは、先述の指針に従って遺族へも情報を提供するように求めています。従って、患者が死亡した場合でも、情報を保存している場合は漏洩防止のために、生存する個人と同等の安全管理措置を講ずるべきとなっています。この点は、個人情報保護法より厳しい内容です。

(小規模事業者の取り扱い)
 個人情報保護法では、取り扱う個人情報の数が5,000件以下の小規模事業者に対しては、個人情報取扱事業者としての義務は課されません(厳密には、過去6ヶ月以内に一度でも5,000件を越えた場合は対象となります)。

 一方、ガイドラインでは、小規模事業者に対してもその遵守義務を求めています。その理由には、「事業者の規模によらず良質かつ適切なサービスの提供が期待されること」、「患者等からみればどの事業者が小規模事業者であるかの判断が難しい」ということが挙げられています。
 
 つまり、医療分野においては5,000件以上の個人情報を取り扱わない事業者であっても、「従業者の監督」、「安全管理措置」、「委託先の監督」などについての遵守努力が求められることになります。医療機関であれば患者情報は、小規模、大規模によらず医師等の資格者の守秘義務とも相俟って適切に取り扱われているはずです。規模の違いにより個人情報の保護対応に違いは生じないと思われます。


3)何から取り組むか

 今まで述べてきたように、個人情報保護法の全面施行に伴い、医療機関が特別に何かを実施しなくてはならない事項というのはほとんどないはずです。それでも、いくつかは実施しなくてはならないこと、実施しておいた方が望ましいことなどがあります。

(体制の構築)
 まず、個人情報を保護するにあたり、最初に取り組みたいのが体制の構築です。万が一、個人情報が漏洩した場合、誰が責任を取り、また、被害者への対処、再発を防ぐ手立ての構築など、迅速に対応する必要があります。そのためには、指揮命令系統も含めた個人情報保護の体制作りが必要になります。また、体制を構築しても、それが実際に機能しなくては意味がありません。そこで、経営判断のできるトップも関与する形で、全組織的に個人情報の保護体制を敷く必要があります。

 これには、実際に個人情報に関する問い合わせや開示などの依頼が来た場合の受付窓口もしくは担当者の設置なども含まれます。個人情報に関する問い合わせ窓口がなく、依頼者がたらい回しにされるようなことがあれば、対外的に印象も悪く、個人情報の保護・管理がずさんだと言われかねません。そのような観点からも窓口を設置することは重要です。

 その体制を構築した上で、組織として個人情報をどのように保護して行くかを定めた各種のドキュメントや手順書を作成して、外部に公開したり、組織内で教育・啓発して行きます。一般的にいわれるドキュメントの体系は、「基本方針」、「基本規程」、「実施手順書等」という三層構成になっています。
 「基本方針」で、組織の個人情報保護に対する理念や考え方を述べます。「基本規程」は、基本方針を受けて、それを実施するための基礎となる具体的な内容を規程しています。最後の「実施手順書等」というのは、実際の業務の手順を定めるなど、具体的なマニュアルや手順書となるものです。これらは、個人情報保護を解説した書籍などでも必ず触れられているので、そちらを参照されるのがよいと思います。

(院内掲示)
 次に実施しておきたいのが、医療機関における個人情報に対する取り組みを表明する院内掲示です。
 ポスター1枚を掲示する程度で、その医療機関が個人情報保護に取り組んでいるという姿勢と個人情報の利用目的などを患者等に示すことができます。これは、体制の構築の中で述べた「基本方針」と同一でも構いません。これにより、医療機関内における個人情報に対して適切に対応しているという姿勢を対外的に明示することが重要です。

 なお、この院内掲示の例については、日本医師会の作成した冊子「医療機関における個人情報保護」(会員のみに配布)や、日本病院会全日本病院会のホームページにサンプルが掲載されているため、そちらを活用すると良いと思います。ただし、あくまでサンプルのため、医療機関毎の実態に合わせて適宜変更する必要があることに注意して下さい。

(契約等の見直し)
 忘れがちなのが契約の見直しです。医療機関は色々な局面で業務を外部に委託しています。検査であったり、レセプトコンピュータの保守などです。上述の院内掲示で個人情報を委託することがあると断っておくことも重要ですが、委託先との契約を見直したり確認することも忘れてはなりません。
 委託先と守秘義務を含めた契約を結ぶのはもとより、委託先での個人情報の適切な取り扱いも含めて、再度、現在締結している契約で問題ないかなど一度確認しておくべきでしょう。これから新規で契約を結ぶのであれば、契約書にきちんとそれらの事項が含まれているかを確認しておきましょう。

 また、個人情報の委託を実施する場合、委託元には委託先管理という義務が発生します。これは、委託先が適切に個人情報を取り扱っているかを管理、監督する必要があるということです。特に新規の契約の場合は、適切に個人情報を取り扱っている委託先を選ぶということが重要です。その際のひとつの基準になるのが、「プライバシーマーク制度」です。ただし、委託先が同制度による認定を受けていたとしても、基準のひとつに過ぎません。プライバシーマークがあれば安心ということではなく、委託した個人情報の取り扱いについて可能な限り確認を実施して下さい。


-情報の取り扱いにはIT技術が欠かせないと思われます。活用上の留意点は何でしょうか。

■IT技術の活用について

 個人情報を取り扱う際、コンピュータを用いることは当たり前のようになってきています。電子カルテの普及率はまだまだ低くても、例えばレセプトコンピュータは多くの医療機関で使われています。IT技術を導入することによって、ある程度、個人情報を保護していくことも可能になります。

 そのひとつの解として暗号技術の活用が挙げられます。また、暗号技術を応用した認証局といわれる仕組みを活用することも考えられるでしょう。詳細は割愛しますが、暗号技術により電子データを保護し、認証技術で電子データの作成責任者や権限の管理などをして、責任の所在を明確にするというようなことも可能になります。

 ただし、IT技術は諸刃の剣であり、IT技術を導入したことにより瞬時に大量の個人情報が漏洩するということもありえます。医療機関の実情に合わせ、IT技術以外の運用と適切に組み合わせることで便利な道具として活用して下さい。

 なお、冒頭で述べた「医療情報システムの安全管理に関するガイドライン」は、このIT技術活用の際に必要となる基準を示したものです。近々厚労省から通知が出ると思いますので、IT技術の導入如何に係わらず、一度目を通しておくと参考になるでしょう。


■おわりに

 個人情報の施行に伴い、色々な業務が制限されたり、少しでも取り扱いを間違うと罰せられるというような話を耳にすることがあります。そもそも、個人情報保護法は、事業者に適用される法律であり、個人情報を取り扱う個人(従業者)に適用される法律ではありません。また、その成立の目的も、「個人情報の有用性に配慮しつつ、個人の権利利益を保護」するものとされています。つまり、これまで曖昧に取り扱われていた個人情報を適切に取り扱い、適切な情報流通を図ろうというのが法律の趣旨です。

 従って、個人情報保護法の施行に伴って医療機関の業務が特に大きく変わったり制限されることはありません。今まで通り、適切な取り扱いをすれば十分です。

 ただし、若干注意しなくてはならないこともあります。それが、例えば院内掲示による利用目的の公表・通知であり、個人情報に関する問い合わせが来た場合の対処方法です。

 また、個人情報保護法が施行されることで、国民の個人情報に対する権利意識が高まっていることは確かです。今後、個人情報についての問い合わせが増えることも想定されます。新たな時代の流れともいえるでしょう。

 しかし、個人情報保護法の全面施行を新たな規制と考えるのではなく、既に確立した個人情報保護体制の見直しの機会と捉えて、より一層の個人情報の保護に取り組んでみてはいかがでしょうか。



 法の全面施行を前に、あれもこれもやらなければ・・・ここ数ヶ月間はどの医療現場も準備に追われて混乱していたのではないだろうか。しかし、法が変わっても、医療機関が患者の安全を目指すことに変わりは無いはずだ。個人情報保護は、その安全がより高まる1つのアプローチと捉え、今回のポイントを参考に取り組んでいこう。

> このページのトップへ

> 戻る