個人情報保護のGL素案が提示。秋に最終案医療現場のシミュレーションが急務
利用目的を選んで公表。患者から異議なければ「包括的同意」
アクセス管理など安全措置が不可避。データ廃棄、再委託先にも注意が必要 |
来年4月1日に施行される個人情報の保護に関する法律は、「識別可能な生存する特定個人の情報」を合計5,000件以上保有する事業者に、個人情報保護にかかわる義務を課している(別表)。
施行にともなって当該事業者には、個人情報を保護する上での考え方や方針(プライバシーポリシー、プライバシーステートメントなど)、そして個人情報を取り扱う規則の策定と公表が求められる。規則においては、個人情報を安全に管理する措置、開示などの手続き、第3者に提供する際の取り扱い、苦情に対応する体制などをきめ細かに定める必要がある。
そして、規則にもとづいて、患者などから、本人情報がどう扱われているかなどをたずねられた場合は、迅速に必要な対応をとることが義務づけられる。法に違反した個人と事業体には、主務大臣から報告請求や是正勧告・命令が出され、従わない場合には罰金刑が科せられる。
この4月2日に「個人情報の保護に関する基本方針」が閣議決定され、各分野で既存ガイドライン見直しや新たな策定など必要な措置を講じることが方針化された。そして、6月には厚生労働省に「医療機関等における個人情報保護のあり方に関する検討会」が設置され、医療・介護の分野を対象にしたガイドラインの検討が始まった。
9月9日の検討会に厚労省はガイドライン(指針)の素案を提示した。指針の対象は病院、診療所、訪問看護ステーションなど医療機関と介護保険施設、居宅介護支援事業者などの介護関係事業者。ただし、識別可能な特定個人の合計が過去6ヶ月の各日に5,000を超えない事業者は、法令上、対象外となる。つまり、6ヶ月以内に消去される一時的な個人情報は対象外となるわけだが、医療・介護では一定期間の患者記録保存が義務づられているため、介護保険サービスの小規模事業者を除くほとんどの事業者が対象になるとみられる。
医療・介護は各分野ごとに、関連法や資格法などによって患者・利用者情報の秘密保持が義務づけられており、「個人情報保護」という視点はしごく当然のように思える。しかし、法が求めるものは、個人情報保護に関する体系的な体制(方針・規定・説明・公表・苦情処理など)を整えることである。そこには、本人請求にもとづく診療録などの開示義務も含まれる。
したがって、個人情報の一般的利用範囲の院内掲示、他医療機関への紹介や症例研究など目的外使用に際しての書面交付と同意取り付け、「識別可能な特定個人の情報」であることを避けるための匿名化作業、外部委託の監督、情報システムの外部評価起用など、思いもかけない新たな労力とコストが発生する。対応に法上の不備が認められると紛争に発展する可能性もある。
他面で、法の精神にのっとって患者のプライバシー保護をどこまで貫かれるかという、医療理念とサービスの“真贋”が問われる一面を持つ。「医療の質」に、新たに可視化された要件が加わるわけで、付け焼刃では対応できない。
それだけに、ガイドラインについては、現場の実情を踏まえた、対応可能なものが望まれるところだ。検討会は今後、当素案には盛り込まれていない「死者情報の取扱い」「5,000件未満事業者の取扱い」などについても検討を行ない、早ければ10月にもガイドライン案をまとめる。
個人情報保護の体制を整える上でどういう問題が生じるか。各病院におけるシミュレーションに資するべくガイドライン素案(要旨)を掲載し、会員の議論に供する。
▲ガイドラインの検討が始まった
個人情報取扱事業者の主な義務
(一定の適用除外あり) |
1.個人情報の利用目的の特定化
2.利用目的の範囲を超えた取扱いの原則禁止
3.利用目的の通知、公表、利用目的の明示
4.データ内容の正確性の確保
5.安全管理措置、従業者・委託先の監督
6.本人同意を得ない第3者提供の原則禁止
7.本人からの求めに応じて開示する義務
8.本人からの求めに応じて内容の訂正・追加・削除の義務
9.本人からの求めに応じて利用を停止する義務 |
|
職員意識、管理システム、規程類、情報管理など改革が不可避
医療・介護関係事業者における個人情報の適切な取り扱いのためのガイドライン(素案)要旨 *検討会の今後の議論によって修正があり得る。 |
III.医療・介護関係事業者の責務
1.利用目的の特定等
(1)利用目的の特定及び制限
(当該条文の引用=省略)
患者・利用者から個人情報を取得する場合、当該情報を医療・介護サービスの提供、保険事務、入退院等の病棟管理などで利用することは患者・利用者にとって明らか。これら以外で利用する場合は必ずしも明らかとはいえないため、当該利用目的の公表等の措置が講じられなければならない。(III2.参照)
医療・介護の通常業務で想定される利用目的は別表1のとおり。これらから通常必要とされるものを特定して公表(院内掲示等)しなければならない。(III2.参照)
利用目的の範囲は変更を行うことができるが、変更された利用目的は、本人へ通知又は公表しなければならない。(III2.参照)
(2)利用目的による制限の例外
法に照らして本人の同意を得る必要が低い例は以下のとおり。
1.法令に基づく場合
医療法に基づく立入検査、介護保険法に基づく不正受給者に係る市町村への通知等法令に基づいて個人情報を利用する場合。想定される主な事例は別表2のとおり。
2.人の生命・身体、財産保護のために必要がある場合で本人同意を得ることが困難なとき。(例示あり=省略)
3.公衆衛生の向上又は児童の健全な育成推進のために特に必要がある場合で本人同意を得ることが困難なとき。(例示あり=省略)
【法の規定により遵守すべき事項等=法の当該条文主旨を列挙(省略)】
【その他の事項=法に明示された以外の留意点を列挙】
・利用目的の制限の例外に該当する「法令に基づく場合」であっても、利用目的以外の目的で個人情報を取り扱う場合は、当該法令の趣旨をふまえ、その取り扱う範囲を真に必要な範囲に限定することが求められる。
・個人情報を取得する時点で、本人の同意があった場合で、その後、本人から利用目的の一部についての同意を取り消す旨の申出があった場合は、その後の個人情報の取扱いについては、本人の同意のあった範囲に限定して取り扱う。
・患者が未成年者等の場合、法定代理人等の同意を得ることで足りるが、一定の判断能力を有する未成年者等については、法定代理人等の同意にあわせて本人の同意を得る。
・意識不明の患者や重度の痴呆性の高齢者などで法定代理人がいない場合で、緊急に診療が必要な場合については、上記(2)2.に該当し、当該本人の個人情報を取り扱うことができる。
2.利用目的の通知等
(当該条文の引用=省略)
【法の規定により遵守すべき事項等(省略)】
【その他の事項】
・利用目的が、本規定の例外である「取得の状況からみて利用目的が明らかであると認められる場合」に該当する場合であっても、患者・利用者等に利用目的をわかりやすく示す観点から、利用目的の公表に当たっては、当該利用目的についても併せて記載する。
・院内や事業所内等への掲示に当たっては、受付の近くに当該内容を説明した表示を行い、初回の患者・利用者等に対しては、受付時や利用開始時において当該掲示についての注意を促す。
・患者・利用者等の希望がある場合、詳細の説明や当該内容を記載した書面の交付を行う。
3.個人情報の適正な取得、個人データ内容の正確性の確保
(当該条文の引用=省略)
【法の規定により遵守すべき事項等(省略)】
【その他の事項】
・第三者提供により他の医療・介護関係事業者から個人情報を入手したとき、当該個人情報の内容に疑義が生じた場合には、記載内容の事実に関して本人に確認をとる。
・医療・介護関係事業者は、個人データの内容の正確性、最新性を確保するため、III4.(2)2.に示す委員会等において、具体的なルールを策定したり、技術水準向上のための研修の開催などを行うことが望ましい。
4.安全管理措置、従業者の監督及び委託先の監督
(当該条文の引用=省略)
(1)医療・介護関係事業者が講ずるべき安全管理措置
1.安全管理措置
個人データの安全管理のため、組織的、人的、物理的、及び技術的安全管理措置を講じなければならない。その際、本人が被る権利利益侵害の大きさを考慮し、事業の性質とリスクに応じ、かつ、個人データ記録媒体の性質に応じた安全管理措置を講ずる。
2.従業者の監督
安全管理措置を遵守させるよう、当該業務に従事する者を含むすべての従業者に必要かつ適切な監督をしなければならない。
(2)安全管理措置として考えられる事項
事業対の規模、従業者の様態等を勘案し、以下を参考に必要な措置を行う。
1.個人情報保護に関する規程の整備、公表
・開示手順を定めた規程を整備し、苦情処理体制も含め、院内掲示やホームぺージヘの掲載を行うなど患者・利用者等に周知徹底を図る。
・情報システムの安全管理措置に関する指定等についても同様に整備を行う。
2.個人情報保護推進のための組織体制等の整備
・管理者、監督者等を定めたり、個人情報保護推進を図る委員会等を設置する。
・安全管理措置の定期的な自己評価を行い、適切な改善を行う。
3.漏えい等の問題が発生した場合等における報告連絡体制の整備 (III10.参照)
4.雇用契約時における個人情報保護に関する規程の整備
5.従業者に対する教育研修の実施
6.物理的安全管理措置
入退館(室)管理、盗難等に対する予防対策、機器・装置等の固定等物理的保護など物理的安全管理措置を行う。
7.技術的安全管理措置
アクセス管理、アクセス記録の保存、ファイアウォールの設置など技術的安全管理措置を行う。
8.個人データの保存
保存媒体の劣化防止など適切な保存。インデックスの整備など検索可能な状態での保存。
9.不要となった個人データの廃棄、消去
不要となった個人データは復元不可能な形で廃棄する。不要となった情報機器は記憶装置内の個人データを復元不可能な形に消去して廃棄する。これらを委託する場合は、個人データの取扱いについても委託契約で明確に定める。
(3)業務を委託する場合の取扱い
1.委託先の監督
検査や報酬請求事務等個人データの取扱いを委託する場合、委託契約には、委託者が定める安全管理措置内容を受託者の義務として盛り込むほか、委託者による定期的確認なども含まれる。業務が再委託された場合に、再委託先が不適切な取扱いを行って問題が生じたときは、元の事業者が責めを負うこともあり得る。
2.業務を委託する場合の留意事項
・個人情報を適切に取り扱っている事業者を委託先として選定する
・委託終了後の取扱いも含め、個人情報の適切な取扱いに関する内容を契約に盛り込む
・委託先が再委託を予定している場合は、事業者の選定と再委託先の個人情報取扱い状況が確認できるよう契約で配慮する
・受託者が個人情報を適切に取り扱っていることを定期的に確認する
・受託者に疑義が生じた場合には、必要に応じ改善を求める等適切な措置をとる
(4)電子カルテ等の導入及びそれに伴う情報の外部保存を行う場合の取扱い
電子カルテ等を導入したり診療情報の外部保存を行う場合は厚労省が別途定める指針によることとし、各医療機関等が運営・委託等について安全性が確保されるよう規程を定め実施する。
(5)その他
受付での呼び出しや病室における患者の名札の掲示などは、患者の希望に応じて一定の配慮をすることが望ましい。
【法の規定により遵守すべき事項等(省略)】
【その他の事項】
・医療・介護関係事業者は、安全管理措置に関する取組を一層推進するため、安全管理措置が適切であるかどうかを一定期間ごとに検証するほか、必要に応じて外部機関による検証を受けることで、改善を図ることが望ましい。
5.個人データの第三者提供
(当該条文の引用=省略)
(1)第三者提供の取扱い
個人データを本人の同意を得ないで第三者に提供してはならないとされており、次のような場合には、本人の同意を得る必要がある。(例示あり=省略)
(2)第三者提供の例外
次に掲げる場合は本人の同意を得る必要はない。
1.法令に基づく場合
2.人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき(例示あり=省略)
3.公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき(例示あり=省略)
4.国・地方公共団体が遂行する法令の定める事務に協力する必要がある場合で、本人同意を得ることで当該事務の遂行に支障を及ぼすおそれがあるとき
(3)本人の同意が得られていると考えられる場合
以下に掲げる場合は黙示による同意が得られていると考えられる。
1.患者への医療の提供のために通常必要な範囲の利用目的について、院内掲示等の公表によるあらかじめ包括的な同意を得る場合
公表した利用目的について患者から明示的に留保の意思表示がなければ、患者の黙示による同意があったものと考えられる。(III2.参照) また、(ア)他医療機関等と連携を図る、(イ)外部医師等の意見・助言を得る、(ウ)他医療機関等からの照会に応じる、(エ)家族等への病状説明を行うこと等が利用目的として特定されている場合は、これらについても患者の同意があったものと考えられる。
2.この場合であっても、別表1の「患者への医療の提供に必要な利用目的」に示された利用目的に限られるものとする。
なお、院内掲示等においては、(ア)利用目的で同意しがたいものがあれば、それについては、あらかじめ本人の明確な同意を得るよう医療機関に求めることができること、(イ)前出の意思表示がない場合は同意が得られたものとすること、(ウ)同意・留保は、その後、いつでも変更することが可能であることをあわせて掲示する。
(上記1.(ア)〜(エ)の具体例=省略)
3.当該各法にもとづいて、事業者、保険者、市町村が行う健康診断等を受託した場合、その結果である個人データを当該事業者等に提供することは本人の同意が得られていると考えられる。
4.介護保険法に基づく指定基準を踏まえ、介護関係事業者は事業所内掲示ではなく、サービス利用開始時に利用者から文書により同意を得ておくことが必要。
(4)[第三者]に該当しない場合
1.他事業者等への情報提供であるが「第三者」に該当しない場合
法第23条第4項の各号に掲げる場合の当該個人データの提供を受ける者は第三者に該当せず、本人の同意を得ずに情報の提供を行うことができる。(具体的事例=省略)
※病院と訪問看護ステーションが共同で医療サービスを提供している場合など、あらかじめ個人データを特定の者との間で共同して利用することが予定されている場合の留意事項(省略)
2.同一事業者内における情報提供であり、第三者に該当しない場合(具体的事例=省略)
このうち、内部研修でカルテや介護関係記録等を利用する場合には、利用方法を含め、あらためて本人の同意を得るか匿名化する。
(5)その他留意事項.
・他事業者への情報提供に関する留意事項
1.第三者提供の例外に該当する場合、2.「第三者」に該当しない場合、3.匿名化して情報提供する場合などにおいては、本来必要とされる情報の範囲に限って提供すべきである。
(適切ではない例=省略)
【法の規定により遵守すべき事項等(省略)】
【その他の事項】
・第三者提供に該当しない情報提供であっても、院内掲示、ホームページ等により情報提供先をできるだけ明らかにするとともに問い合わせがあった場合に回答できる体制を確保する。
・例えば、業務委託の場合に委託業務の内容、委託先、委託先との間での個人情報取扱いに関する取り決めの内容等について公開することが考えられる。
・本人から第三者提供範囲の一部について同意を取り消す旨の申出があった場合、その後は、本人同意のあった範囲に限定して取り扱う。
6.保有個人データに関する事項の公表等
(当該条文の引用=省略)
【法の規定により遵守すべき事項等(省略)】
【その他の事項】
・保有個人データの利用目的、開示、訂正、利用停止等の手続の方法及び利用目的の通知又は開示に係る手数料の額、苦情の申出先等について、院内掲示やホームページ等によりできるだけ明らかにするとともに、患者・利用者等からの要望により書面を交付する、問い合わせがあった場合には具体的に回答できる体制を確保する。
7.本人からの求めによる保有個人データの開示
(当該条文の引用=省略)
(1)開示の原則
本人から、当該本人が識別される保有個人データの開示を求められたときは、書面の交付による方法等により、遅滞なく、当該保有個人データを開示しなければならない。
(2)開示の例外
開示することで、法第25条第1項の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。(具体的事例=省略)
【法の規定により遵守すべき事項等(省略)】
【その他の事項(省略)】
8.訂正及び利用停止
(当該条文の引用=省略)
【法の規定により遵守すべき事項等(省略)】
【その他の事項(省略)】
9.開示等の求めに応じる手続及び手数料
(当該条文の引用=省略)
【法の規定により遵守すべき事項等(省略)】
【その他の事項】
・医療・介護関係事業者は、以下の点に留意しつつ、保有個人データの開示の手続を定めることが望ましい。
・開示等の求めの方法は書面によることが望ましいが、患者・利用者等の自由な求めを阻害しないため、開示等を求める理由を要求することは不適切である。
・開示等を求める者が本人(又はその代理人)であることを確認する。
・開示等の求めがあった場合、主治医等の担当スタッフの意見を聴いた上で、速やかに保有個人データの開示等をするか否か等を決定し、これを開示の求めを行った者に通知する。
・保有個人データの開示を行う場合には、日常の医療・介護サービス提供への影響等も考慮し、本人に過重な負担を課すものとならない範囲で、日時、場所、方法等を指定することができる。
・保有個人データについての開示の可否については、医療・介護関係事業者の内部に設置する検討委員会等において検討した上で速やかに決定することが望ましい。
10.理由の説明、苦情処理
(当該条文の引用=省略)
【法の規定により遵守すべき事項等(省略)】
【その他の事項】
・医療・介護関係事業者は、本人に対して理由を説明する際には、文書により示すことを基本とする。その際は、苦情処理の体制についても併せて説明することが望ましい。
・医療・介護関係事業者は、患者・利用者等からの苦情処理にあたり、専用の窓口の設置や主治医等の担当スタッフ以外の職員による相談体制を確保するなど、患者・利用者等が相談を行いやすい環境の整備に努める。
・医療・介護関係事業者は、当該施設における患者・利用者等からの苦情処理体制等について院内や事業所内等への掲示やホームページヘの掲載等を行うことで患者・利用者等に対して周知を図るとともに、地方公共団体、地域の医師会や国民健康保険団体連合会等が開設する医療や介護に関する相談窓口等についても患者・利用者等に対して周知することが望ましい。
|
「医療の質」に、新たな可視化された要件医療・介護の業務スタイルに“文化革命”
「同意」なき第3者提供は違反。情報共同利用は要注意
開示・訂正・利用停止・苦情処理・書面交付等規程など適正運用へ業務改善が不可避 |
| 別表1 医療・介護関係事業者の通常の業務で想定される利用目的 |
(病院、診療所の場合)
【患者への医療の提供に必要な利用目的】
〔病院等の内部での利用に係る事例〕
・当該病院等が患者等に提供する医療サービス
・医療保険事務
・患者に係る病院等の管理運営業務のうち、入退院等の病棟管理、会計・経理、医療事故等の報告、当該患者の医療サービスの向上
〔他の事業者等への情報提供を伴う事例〕
・当該病院等が患者等に提供する医療サービスのうち、他の病院・診療所・助産所・薬局・訪問看護ステーショシ・介護サービス事業者等との連携、他医療機関からの照会への回答、患者の診療に当たり外部の医師等の意見・助言を求める場合、検体検査業務の委託その他の業務委託、家族等への病状説明
・医療保険事務のうち、保険事務の委託、審査支払機関へのレセプトの提出、審査支払機関又は保険者からの照会への回答
・事業者等からの委託を受けて健康診断等を行った場合における、事業者等へのその結果の通知
【上記以外の利用目的】
〔病院等の内部での利用に係る事例〕
・病院等の管理運営業務のうち、医療・介護サービスや業務の維持・改善のための基礎資料、院内において行われる学生の実習への協力、院内において行われる症例研究
【介護サービスの利用者への介護の提供に必要な利用目的】
〔介護関係事業者の内部での利用に係る事例〕
・当該事業者が介護サービスの利用者等に提供する介護サービス
・介護保険事務
・介護サービスの利用者に係る事業所等の管理運営業務のうち、入退所等の事業所等管理、会計・経理、介護事故等の報告、当該介護サービスの利用者の介護サービスの向上
〔他の事業者等への情報提供を伴う事例〕
・当該事業所等が利用者等に提供する介護サービスのうち、当該利用者に居宅サービスを提供する他の居宅サービス事業者や居宅介護支援事業所等との連携(サービス担当者会議等)
・照会への回答、その他の業務委託、家族等への心身の状況説明
・介護保険事務のうち、保険事務の委託、審査支払機関へのレセプトの提出、審査支払機関又は保険者からの照会への回答
【上記以外の利用目的】
〔介護関係事業者の内部での利用に係る事例〕
・ 介護関係事業者の管理運営業務のうち、介護サービスや業務の維持・改善のための基礎資料、介護保険施設等において行われる学生の実習への協力
| 別表2 医療・介護関連事業者の通常業務で想定される主な事例 (法令に基づく場合=省略) |
| 別表3 医療関係資格、介護サービス従業者等に係る守秘義務等 (省略) |
| 別表4 医学研究分野における関連指針 (省略) |
|