全日病ニュース

全日病ニュース

改正個人情報保護法・改正マイナンバー法への対応

改正個人情報保護法・改正マイナンバー法への対応

個人情報保護担当委員会委員長 東京都医療保健協会 練馬総合病院理事長・院長 医療の質向上研究所所長 飯田修平

Ⅰ背景
 個人情報の保護に関する法律(本法)とマイナンバー法の二度目の改正が2016年1月に一部施行され、2017年5月に全面施行された。
 医療・介護は、機微な情報を扱う分野であり、金融、電気通信分野とともに、他分野以上に個人情報管理を適切に実施しなければならない。しかし、適切な対応をしていない医療機関が多く、トラブルが発生している。
Ⅱ本法に適切に対応できない理由
 本法に適切に対応できない理由は、以下の二つである。
1.医療機関が、本法律の趣旨と内容を理解していない
 各医療機関は、形式的に対策を講じただけでは万全ではなく、本法の趣旨と内容を理解して、適切に対応する必要がある。継続的に職員を教育し、個人情報保護の意識の徹底や情報管理を見直さなければならない。
2.本法およびガイドラインの成立/改正の過程に、不整合がある(表1)。
 2. は、1. の根本原因である。
Ⅲ本法への対応が困難な理由
 本法への適切な対応を困難にする、制度に関する主な要因は以下である。
1表題の問題
2本法と他の法との関係
3法とガイドラインとの関係
4ガイドラインの複雑な構造
5用語の複雑性
6ガイドライン改正の経緯と体裁
1表題の問題
①本法は個人情報を保護する法律ではない。個人情報の本人への制御権付与法である。名は体を表すべきである。
②改正前の医療・介護関係事業者における個人情報の適切な取扱いのためのガイドラインが、改正後は医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンスになった。
 ガイドラインをガイダンスに変えた理由・意義を理解できない。「6 ガイドライン・ガイダンス改正の経緯と体裁」の項で解説する。
2本法と他の法との関係
 法には憲法を頂点とする階層があり、階層に準じて判断する。しかし、一般法と特別法や個別法との関係の理解は容易ではない。
 本法で許される行為でも、民法・その他の法で不法行為になることがある。
 「利用目的の制限の例外に該当する「法令に基づく場合」等であっても、利用目的以外の目的で個人情報を取り扱う場合は、当該法令等の趣旨をふまえ、その取り扱う範囲を真に必要な範囲に限定することが求められる。」と解説している。
 「警察からの患者に関する問い合わせ」では、「令状がある場合は全面的に協力する。令状が無く、捜査に必要な照会をされた場合には、回答すべき義務が有ると考えられており、本人の同意無く、回答しても個人情報保護法第23条第1項第1号の「法令に基づく場合」に該当する。しかし、民法により損害賠償請求される危険性は、理論上ありうるので本人の同意を得ないで回答する場合はある程度の危険を負担することになる。」と解説している。
 医療従事者には、理解が困難である。
3法とガイドラインとの関係
 法の規定をガイドラインで緩めるのであれば、法文に記載するべきである。
 これは、「利用目的の特定」、「利用目的による制限」、「オプトアウトとオプトイン」に関して顕著に表れている。
 ガイドラインの拘束力に関して、「本ガイドライン中「~なければならない」と記載されている規定について、それに従わない場合は、法の規定違反と判断され得る。…「こととする」、「適切である」及び「望ましい」と記載されている規定に…に従わない場合には、法の規定違反と判断されることはないが、…分野における個人情報取扱事業者に特に厳格な措置が求められる事項として規定されており、遵守に努めるものとする」と解説している。
4ガイドラインの複雑な構造
1)ガイドラインが複数ある
 全分野適用の通則編・外国にある第3者への提供編・第3者提供時の確認・記録義務編・匿名加工情報編と、特定の3分野編(医療・介護、金融、電気通信)である。
2)名称の相違がある
 特定の3分野の中、医療・介護はガイダンス、金融、電気通信はガイドラインである。
3)通則編との体裁の相違がある
 医療・介護/ 電気通信は通則編の内容とほぼ重複し、金融は通則編にない特定分野に特異な事項を記述している。
 2)、3)に関しては、「6 ガイドライン、ガイダンス改正の経緯・時期と体裁」で解説する。
5用語の複雑性
 用語は、複雑かつ類似名称が多く、区別が困難である。
①個人情報保護法・マイナンバー法・番号法
②法・方針・規律・ガイドライン・ガイダンス・指針
③義務・任意・遵守すべき事項・遵守することが望ましい・努めること・積極的な取組が求められる・必要がある
④個人情報・個人情報データベース等・要配慮個人情報・個人データ・保有個人データ・個人番号・特定個人情報・特定個人情報ファイル・匿名加工情報・特定加工情報
6ガイドライン改正の経緯と体裁
 2015年8月、本法とマイナンバー法が改正された。
 2016年1月、個人情報保護委員会が設置される。全日病の指針を改訂し報告するために、厚生労働省のガイドライン策定状況を問い合わせたが、1年程度後になる回答を得た。
 2016年9月、本法ガイドライン(通則編を含む4編)が公布された。医療・介護、金融、電気通信の3分野は、分野毎に規律を策定するとされた。通則編に基づいて、全日病指針改訂案を策定し、厚労省にガイドライン策定状況を問い合わせたが、未定であった。
 2016年12月、医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン改正が公布された。
 しかし、比較すると、改正本法の内容に基づいていない。厚労省に問い合わせると、個人情報漏洩等の問題に対応する微修正であるとの回答を得た。
 2017年2月、医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス案が公表され、意見が公募された。筆者は、ガイダンスという名称は不適切であることと、ガイダンスとした理由を質問した。また、ガイダンスに記述がない事項は、通則編に従うとされているが、両者はほぼ同じ内容であり、実務上、間違い探しはできない。金融分野のガイドラインのように、当該分野に特異な事項を記述し、記述がない事項は通則編に従うほうが良い。さもなければ、医療・介護分野のガイドラインに従うようにしていただきたいと要望した。しかし、いずれの要望も取り入れられなかった。
 認定個人情報保護団体への説明会及びヒアリング時に、時間的余裕がなければ、認定団体及び医療機関は対応困難であるので、全面施行日時を早急に決定し、ガイドラインを数カ月前に交付するよう要望した。
 2017年5月30日全面施行と通知され、2017年4月ガイダンスが公布された。
Ⅳマイナンバー法への対応
 マイナンバー法は、本法の特別法である。マイナンバー法は、行政組織の業務に資するもので、民間企業にはほとんど影響はない。現時点では、源泉徴収/謝金等を扱う一部の職員が理解していれば良い。
Ⅴ今後の課題
 認定個人情報保護団体として、適切な情報提供と研修会を継続する予定である。積極的な参加とご意見をお願いする。改正法を受けて、『個人情報保護法Q&A 第3版』を出版準備中である。

 

全日病ニュース2017年7月15日号 HTML版

 

 

全日病サイト内の関連情報
  • [1] 医療・介護関係事業者における個人情報の適切な取扱いのための ...

    https://www.ajha.or.jp/topics/admininfo/pdf/2017/170418_1.pdf

    2017年4月14日 ... 用符県知事あてに通知しましたので、御了知いただくとともに、傘下会員に対する周知方
    . よろしくお取り計らい願います. なお、本ガイダンスは、改正個人情報保護法等の施行
    の日 (平成29年5月30日) か. ら適用することとし、ガイドラインは ...

  • [2] 全日本病院協会 個人情報保護指針

    https://www.ajha.or.jp/about_us/nintei/pdf/05.pdf

    ガイダンス」は、「法」を踏まえ、「個人情報の保護に関する法律についてのガイドラ. イン
    (通則編)」(平成28年個人情報保護委員会告示第6号。以下「通則ガイドライン」. という
    。)を基礎とし、法第6条及び第8条の規定に基づき、法の対象となる病院、診療所、.

  • [3] 認定個人情報保護団体:全日病について - 全日本病院協会

    https://www.ajha.or.jp/about_us/nintei/

    今後、当協会は「認定個人情報保護団体」として、個人情報保護法に基づき、対象事業
    者(会員病院)の個人情報の適切な取扱いの確保を目的として、会員病院の ... 医療・
    介護関係事業者における個人情報の適切な取扱いのためのガイダンス」に関するQ&A
    (事例集) PDFリンク ... 個人情報の保護に関する法律についてのガイドライン」及び「
    個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A PDF
    リンク ...

本コンテンツに関連するキーワードはこちら。
以下のキーワードをクリックすることで、全日病サイト内から関連する記事を検索することができます。