患者から取得した個人情報を利用してダイレクトメールを送付してもよいのか、患者の個人情報の問い合わせがあったときに回答してもよいのか、そのような個人情報の取扱いについて悩むことはないでしょうか。

医療機関では、患者の診療情報など高度に機微な個人情報が取り扱われています。個人情報の取扱いについては、個人情報の保護に関する法律（以下「個人情報保護法」といいます。）等の法令やガイドラインにおいて整備され、特に医療機関では、「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」（以下「ガイダンス」といいます。）などに記載の留意点に注意する必要があります。

本記事では、医療機関における個人情報の取扱いについて、特に問題となる重要なポイントを解説します。

 

１　個人情報

「個人情報」とは、生存する「個人に関する情報」であって、当該情報に含まれる氏名、生年月日、その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができるものも含まれます。）、個人識別符号が含まれるものをいいます。

「個人に関する情報」には、氏名、住所、性別、生年月日、顔画像等個人を識別する情報に限らず、ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報が含まれると考えられています。

「個人識別符号」には、細胞から採取されたデオキシリボ核酸（別名 DNA）を構成する塩基の配列、健康保険法に基づく保険者番号や被保険者等記号・番号などが該当します。

医療機関で取り扱われる個人情報の具体例としては、診療録、処方箋、手術記録、助産録、看護記録、検査所見記録、エックス線写真、紹介状、退院した患者の入院期間中の診療経過の要約、調剤録などがあります。

 

２　要配慮個人情報

「要配慮個人情報」とは、不当な差別や偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして、人種、信条、社会的身分、病歴、犯罪の前科など法令で定める記述等が含まれる個人情報をいいます。

医療機関において想定される要配慮個人情報としては、診療録等の診療記録に記載された病歴、診療や調剤の過程で医療従事者が知り得た患者の身体状況、病状、治療等についての診療情報や調剤情報、健康診断の結果及び保健指導の内容、障害（身体障害、知的障害、精神障害等）の事実などがあります。

 

３　利用目的の通知・公表・明示

医療機関が患者などから個人情報を取得する場合、利用目的をあらかじめ公表するか、本人に通知・公表する必要があります。利用目的の公表方法としては、医療機関内や事業所内等の掲示、ホームページへの掲載等の方法が考えられます。

また、書面や電磁的方法に記載された個人情報を取得する場合、あらかじめ本人に利用目的を明示する必要があります。医療機関では、受付で患者に資格確認書等を提出してもらう場合や問診票への記入を求める場合など、本人から直接書面に記載された個人情報を取得する場合、あらかじめ、本人に対し、その利用目的を院内の掲示や問診票に記載するなどの方法により明示することが考えられます。

なお、利用目的は、個人情報が実際にどのような目的でどのように利用されるのかが分かるように具体的に特定する必要があります。

 

４　利用目的内での使用

医療機関が取得した個人情報は、原則として、利用目的の達成に必要な範囲内で使用しなければなりません。利用目的の達成に必要な範囲を超えて個人情報を使用する場合、次のような例外的な場合を除いて、あらかじめ本人の同意を得る必要があります。

①法令に基づく場合

（例）

・医師が感染症の患者等を診断した場合における都道府県知事等への届出

・保険医療機関及び保険薬局が療養の給付等に関して費用を請求しようとする場合における審査支払機関への診療報酬請求書・明細書等の提出等

 

②人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき

（例）

・意識不明で身元不明の患者について、関係機関へ照会したり、家族又は関係者等からの安否確認に対して必要な情報提供を行う場合

・意識不明の患者の病状や重度の認知症の高齢者の状況を家族等に説明する場合

 

③公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき

（例）

・健康増進法に基づく地域がん登録事業による国又は地方公共団体への情報提供

・児童虐待事例についての関係機関との情報交換

 

④国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

（例）

・災害発生時に警察が負傷者の住所、氏名や傷の程度等を照会する場合等

 

同意を得る必要のある患者が、未成年者、成年被後見人、被保佐人、被補助人の場合、親権者や法定代理人等から同意を得る必要があります。

同意を得る方法としては、以下のような方法が考えられますが、後になって争いが生じないように、形に残る方法によることが望ましいといえます。

 

①本人からの同意する旨の口頭による意思表示

②本人からの同意する旨の書面（電磁的記録）の受領

③本人からの同意する旨のメールの受信

④本人による同意する旨の確認欄へのチェック

⑤本人による同意する旨のホームページ上のボタンのクリック

⑥本人による同意する旨の音声入力、タッチパネルへのタッチ、ボタンやスイッチ等による入力

 

５　要配慮個人情報の取得

要配慮個人情報を取得する場合、原則として、あらかじめ本人の同意を得る必要があります。マイナ保険証の提示に伴い、医療機関が患者の診療履歴、薬の処方履歴、健診の結果等の要配慮個人情報を取得する場合でも、本人の同意が必要になります。

医療機関において、例外的に、本人の同意なく要配慮個人情報が取得できる場面は、以下のような場合が考えられます。

 

①人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

（例）

・急病その他の事態が生じたときに、本人の病歴等を医師や看護師などの医療従事者が家族から聴取する場合

 

②公衆衛生の向上又は児童の健全な育成のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

（例）

・医療機関等が、他の医療機関等から、当該他の医療機関等において以前治療を行った患者の臨床症例に係る個人情報を観察研究のために取得し、当該医療機関等を受診する不特定多数の患者に対してより優れた医療サービス提供できるようになること等により、公衆衛生の向上に特に資する場合であって、本人からの同意取得が困難であるとき

・児童虐待のおそれのある家庭情報のうち被害を被った事実に係る情報を、児童相談所、警察、学校、病院等の関係機関が、他の関係機関から取得する場合

 

③国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

（例）

・医療機関等が警察の任意の求めに応じて要配慮個人情報に該当する個人情報を提出するために、当該個人情報を取得する場合

 

６　個人情報の提供

（１）第三者提供の取扱い

個人情報は、原則として、あらかじめ本人の同意を得ずに、第三者に提供することはできません。医療機関で問題となる場面として、次のような場合には、本人の同意を得る必要がありますので、本人の同意を得ることなく個人情報を提供しないように注意が必要です。

（例）

①民間保険会社からの照会

・患者が民間の生命保険に加入しようとする場合や、生命保険会社から患者の健康状態等について照会があった場合における患者の現在の健康状態や既往歴等の回答

・交通事故によるけがの治療を行っている患者について、保険会社から損害保険金の支払いの審査のために必要であるとして症状に関する照会があった場合における患者の症状等の回答

 

②職場からの照会

・職場の上司等からの社員の病状に関する問合せや、休職中の社員の職場復帰の見込みに関する問合せがあった場合における患者の病状や回復の見込み等の回答

 

③学校からの照会

・学校の教職員等からの児童・生徒の健康状態に関する問合せや、休学中の児童・生徒の復学の見込みに関する問合せがあった場合における患者の健康状態や回復の見込み等の回答

 

④マーケティング等を目的とする会社等からの照会

・健康食品の販売を目的とする会社からの高血圧の患者の存在の有無について照会された場合や要件に該当する患者を紹介して欲しい旨の依頼があった場合における患者の有無や該当する患者の氏名・住所等の回答

 

（２）「第三者」に該当しない場合

個人情報を提供する相手方が、個人情報保護法上の「第三者」に該当しない場合には、本人の同意を得ることなく、個人情報を提供することができます。

医療機関における個人情報の提供の場面では、次のような場合が考えられます。

 

①検査等の業務を委託する場合

②外部監査機関への情報提供（（公益財団法人）日本医療機能評価機構が行う病院機能評価等）

③個人データを特定の者との間で共同して利用するとして、あらかじめ本人に通知等している場合

④病院内の他の診療科との連携など当該医療関係事業者内部における情報の交換

⑤同一事業者が開設する複数の施設間における情報の交換

 

（３）第三者提供の例外

医療機関において、次のような場合には、例外的に、本人の同意を得ることなく、第三者に個人情報を提供することができます。

①法令に基づく場合

（例）

・医師が感染症の患者等を診断した場合における都道府県知事等への届出

・保険医療機関及び保険薬局が療養の給付等に関して費用を請求しようとする場合における審査支払機関への診療報酬請求書・明細書等の提出等

 

②人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき

（例）

・意識不明で身元不明の患者について、関係機関へ照会したり、家族又は関係者等からの安否確認に対して必要な情報提供を行う場合

・意識不明の患者の病状や重度の認知症の高齢者の状況を家族等に説明する場合

 

③公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき

（例）

・健康増進法に基づく地域がん登録事業による国又は地方公共団体への情報提供・児童虐待事例についての関係機関との情報交換

 

④国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

（例）

・災害発生時に警察が負傷者の住所、氏名や傷の程度等を照会する場合等、公共の安全と秩序の維持の観点から照会する場合

 

⑤学術研究機関等が学術研究目的で個人データを提供する場合であり、かつ、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ない場合（個人の権利利益を不当に侵害するおそれがある場合を除く。）

（例）

・顔面の皮膚病に関する医学論文において、症例に言及する場合であって、写真全体にモザイク処理を施す等の対応をすることにより当該論文による研究成果の公表の目的が達せられなくなるとき

 

７　個人情報に関する事項の公表等

個人情報について、次の事項を、本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含みます。）に置かなければなりません。

 

①個人情報を取り扱う者の氏名・名称、住所、法人の場合はその代表者の氏名

②全ての個人情報の利用目的

③個人情報の利用目的の通知・開示・訂正・利用停止等の手続の方法、保有する個人情報の利用目的の通知・開示の手数料の額、

④個人情報の安全管理のために講じた措置

⑤苦情の申出先など

 

医療機関においては、これらの①から⑤について、少なくとも院内や事業者内等への掲示、ホームページ等により公開することや、患者からの要望により書面の交付、問合せに対して回答できる体制を確保する必要があります。

 

８　安全管理措置、従業者の監督

医療機関は、取り扱う個人情報が漏えい、滅失又は毀損するのを防止し、安全管理のため、組織的、人的、物理的、技術的安全管理措置等を講じる必要があります。また、医療機関では、安全管理措置が遵守させるよう、従業者に対し必要かつ適切な監督をしなければなりません。

医療機関が取り組む安全管理措置として、ガイダンスでは、以下のような取組みが例示されています。

 

①個人情報保護に関する規程の整備・公表

・医療機関における個人情報保護に関する規程の整備

・整備した規程の院内や事業所内等への掲示やホームページへの掲載

 

②個人情報保護推進のための組織体制等の整備

・個人情報保護について知識を有する管理者、監督者の選任

・個人情報保護の推進を図るための部署、委員会等の設置

 

③個人データの漏えい等の問題が発生した場合等における報告連絡体制の整備

 

④雇用契約時における個人情報保護に関する規程の整備

・雇用契約、就業規則における従業者の個人情報保護に関する規程の整備

・離職後の元従業者に守秘義務を課す誓約書の整備

 

⑤従業者に対する教育研修の実施

 

⑥物理的安全管理措置

・入退館（室）管理の実施

・機器、装置等の固定など物理的な保護

・不正な操作を防ぐため、個人データを取り扱う端末に付与する機能の限定

・スマートフォン、パソコン等の記録機能を有する機器の接続の制限、機器の更新への対応

 

⑦技術的安全管理措置

・個人データに対するアクセス管理（IDやパスワード等による認証等）

・個人データに対するアクセス記録の保存

・不正が疑われる異常な記録の存否の定期的な確認

・個人データに対するファイアウォールの設置

・情報システムへの外部からのアクセス状況の監視、監視システムの動作の定期的な確認

・ソフトウェアに関する脆弱性対策

 

⑧個人情報の保存

・長期保存する場合における保存媒体の劣化防止など個人情報を消失させない適切な保存

・本人からの照会等に対応するためのインデックス整備など検索可能な状態での保存

 

⑨不要となった個人情報の廃棄、消去

・不要となった個人情報を廃棄する場合、焼却や溶解など復元不可能な形での廃棄

・情報機器を廃棄する場合、記憶装置内の個人情報が復元不可能な形に消去して廃棄

 

９　本人からの請求による個人情報の開示、訂正、利用停止等

（１）個人情報の開示

医療機関は、本人から、当該本人が識別される個人情報の開示の請求を受けたときは、本人に対し、遅滞なく、次のような例外的な場合を除き、当該個人情報を開示しなければなりません。

 

①本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

②当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合

③他の法令に違反することとなる場合

 

医療機関において例外的な場合となる具体的な場面は、次のようなものが考えられます。

（例）

・患者の状況等について、家族や患者の関係者が医療従事者に情報提供を行っている場合に、これらの者の同意を得ずに患者自身に当該情報を提供することにより、患者と家族との人間関係が悪化するなど、これらの者の利益を害するおそれがある場合

・症状や予後、治療経過等について患者に対して十分な説明をしたとしても、患者本人に重大な心理的影響を与え、その後の治療効果等に悪影響を及ぼす場合

 

（２）個人情報の訂正・追加・削除、利用停止・消去、第三者への提供の停止

医療機関は、個人情報保護法に基づき、本人から、個人情報の訂正・追加・削除、利用停止・消去、第三者への提供の停止の請求を受けた場合、それらの請求が適正であると認められるときは、原則として、これらの措置を行わなければなりません。

 

10　漏えい等の報告・通知義務

医療機関は、その取り扱う個人情報の漏えい、滅失、毀損その他の個人情報の安全の確保に係る事態であって個人の権利利益を害するおそれが大きいもの（要配慮個人情報が含まれる個人データの漏えい等）が生じたときは、当該事態が生じた旨を個人情報保護委員会に報告するとともに、本人への通知をしなければなりません。

医療機関における個人情報の漏えい等の具体的な例としては、次のようなものが考えられます。

（例）

・患者の診療情報を含む個人データを記録した USB メモリーの紛失

・従業員の健康診断等の結果を含む個人情報の漏えい

 

11　まとめ

以上のように、医療機関における個人情報の取扱いについては、様々な注意点があり、適切な対応を取るためには法的知識が必要となります。

個人情報の取扱いについてお困りのことがあれば、ぜひご相談ください。

 

（文責）内藤　秀明