ビジネス全般

医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス(平成29年4月14日) Ⅰ.本ガイダンスの趣旨、目的、基本的考え方

Ⅰ 本ガイダンスの趣旨、目的、基本的考え方

1.本ガイダンスの趣旨

本ガイダンスは、「個人情報の保護に関する法律」(平成15年法律第57号。以下「法」という。)を踏まえ、「個人情報の保護に関する法律についてのガイドライン(通則編)」(平成28年個人情報保護委員会告示第6号。以下「通則ガイドライン」という。)を基礎とし、法第6条及び第8条の規定に基づき、法の対象となる病院、診療所、薬局、介護保険法に規定する居宅サービス事業を行う者等の事業者等が行う個人情報の適正な取扱いの確保に関する活動を支援するための具体的な留意点・事例等を示すものである。

なお、本ガイダンスは医療・介護関係事業者における実例に照らした内容であるため、本ガイダンスに記載のない事項及び関係条文については通則ガイドライン、「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」(平成28年個人情報保護委員会告示第7号)、「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」(平成28年個人情報保護委員会告示第8号)及び「個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)」(平成28年個人情報保護委員会告示第9号)をそれぞれ参照されたい。

2.本ガイダンスの構成及び基本的考え方

個人情報の取扱いについては、法第3条において、「個人情報が、個人の人格尊重の理念の下に慎重に取り扱われるべきものである」とされていることを踏まえ、個人情報を取り扱う全ての者は、その目的や様態を問わず、個人情報の性格と重要性を十分認識し、その適正な取扱いを図らなければならない。

医療分野は、個人情報の性質や利用方法等から、法第6条の規定に基づく特に適正な取扱いの厳格な実施を確保する必要がある分野の一つであることから、各医療機関等における積極的な取組が求められる。

また、介護分野においても、介護関係事業者は、多数の利用者やその家族について、他人が容易には知り得ないような個人情報を詳細に知りうる立場にあり、医療分野と同様に個人情報の適正な取扱いが求められる分野と考えられる。

このことを踏まえ、本ガイダンスでは、法の趣旨を踏まえ医療・介護関係事業者における個人情報の適正な取扱いが確保されるよう、遵守すべき事項及び遵守することが望ましい事項をできる限り具体的に示しており、各医療・介護関係事業者においては、法令、「個人情報の保護に関する基本方針」(平成16年4月2日閣議決定。以下「基本方針」という。)及び本ガイダンスの趣旨を踏まえ、個人情報の適正な取扱いに取り組む必要がある。

具体的には、医療・介護関係事業者は、本ガイダンスの【法の規定により遵守すべき事項等】のうち、「しなければならない」等と記載された事項については、法の規定により厳格に遵守することが求められる。また、【その他の事項】については、法に基づく義務等ではないが、達成できるよう努めることが求められる。

3.本ガイダンスの対象となる「医療・介護関係事業者」の範囲

本ガイダンスが対象としている事業者の範囲は、①病院、診療所、助産所、薬局、訪問看護ステーション等の患者に対し直接医療を提供する事業者(以下「医療機関等」という。)、②介護保険法に規定する居宅サービス事業、介護予防サービス事業、地域密着型サービス事業、地域密着型介護予防サービス事業、居宅介護支援事業、介護予防支援事業、及び介護保険施設を経営する事業、老人福祉法に規定する老人居宅生活支援事業及び老人福祉施設を経営する事業その他高齢者福祉サービス事業を行う者(以下「介護関係事業者」という。)であり、いずれについても、個人情報保護に関する他の法律や条例が適用される、国、地方公共団体、独立行政法人等が設置するものを除く。ただし、医療・介護分野における個人情報保護の精神は同一であることから、これらの事業者も本ガイダンスに十分配慮することが望ましい。

なお、検体検査、患者等や介護サービス利用者への食事の提供、施設の清掃、医療事務の業務など、医療・介護関係事業者から委託を受けた業務を遂行する事業者においては、本ガイダンスのⅢ4.に沿って適切な安全管理措置を講ずることが求められるとともに、当該委託を行う医療・介護関係事業者は、業務の委託に当たり、本ガイダンスの趣旨を理解し、本ガイダンスに沿った対応を行う事業者を委託先として選定するとともに委託先事業者における個人情報の取扱いについて定期的に確認を行い、適切な運用が行われていることを確認する等の措置を講ずる必要がある。

4.本ガイダンスの対象となる「個人情報」の範囲

法令上「個人情報」とは、生存する個人に関する情報であり、個人情報取扱事業者の義務等の対象となるのは、生存する個人に関する情報に限定されている。本ガイダンスは、医療・介護関係事業者が保有する生存する個人に関する情報のうち、医療・介護関係の情報を対象とするものであり、また、診療録等の形態に整理されていない場合でも個人情報に該当する。

なお、当該患者・利用者が死亡した後においても、医療・介護関係事業者が当該患者・利用者の情報を保存している場合には、漏えい、滅失又はき損等の防止のため、個人情報と同等の安全管理措置を講ずるものとする。

5.個人情報保護委員会の権限行使との関係

本ガイダンス中、【法の規定により遵守すべき事項等】に記載された内容のうち、医療・介護関係事業者の義務とされている内容を個人情報取扱事業者としての義務を負う医療・介護関係事業者が遵守しない場合、個人情報保護委員会は、法第40条から第42条までの規定に基づき、「報告徴収」、「立入検査」、「指導・助言」、「勧告」及び「命令」を行うことがある。

また、法第44条第1項の規定に基づき、法第40条第1項の規定による権限が個人情報保護委員会から事業所管大臣に委任された場合には、厚生労働大臣が報告徴収及び立入検査を行うことがある。

さらに、法第77条及び「個人情報の保護に関する法律施行令」(平成15年12月10日政令第507号。以下「令」という。)第21条において、法第40条第1項に規定する個人情報保護委員会の権限及び法第44条第1項の規定により事業所管大臣に委任された権限に属する事務は、個人情報取扱事業者が行う事業であって事業所管大臣が所管するものについての報告徴収及び立入検査に係る権限に属する事務の全部又は一部が、他の法令の規定により地方公共団体の長その他の執行機関が行うこととされているときは、当該地方公共団体の長等が法に基づく報告徴収及び立入検査を行うことがある。

6.医療・介護関係事業者が行う措置の透明性の確保と対外的明確化

法第3条では、個人の人格尊重の理念の下に個人情報を慎重に扱うべきことが指摘されている。

医療・介護関係事業者は、個人情報保護に関する考え方や方針に関する宣言(いわゆる、プライバシーポリシー、プライバシーステートメント等)及び個人情報の取扱いに関する明確かつ適正な規則を策定し、それらを対外的に公表することが求められる。また、患者等から当該本人の個人情報がどのように取り扱われているか等について知りたいという求めがあった場合は、当該規則に基づき、迅速に情報提供を行う等必要な措置を行うものとする。

個人情報保護に関する考え方や方針に関する宣言の内容としては、医療・介護関係事業者が個人の人格尊重の理念の下に個人情報を取り扱うこと及び関係法令及び本ガイダンス等を遵守すること等、個人情報の取扱いに関する規則においては、個人情報に係る安全管理措置の概要、本人等からの開示等の手続、第三者提供の取扱い、苦情への対応等について具体的に定めることが考えられる。

なお、利用目的等を広く公表することについては、以下のような趣旨があることに留意すべきである。

  • ①医療・介護関係事業者で個人情報が利用される意義について患者・利用者等の理解を得ること。
  • ②医療・介護関係事業者において、法を遵守し、個人情報保護のため積極的に取り組んでいる姿勢を対外的に明らかにすること。

7.責任体制の明確化と患者・利用者窓口の設置等

医療・介護関係事業者は、個人情報の適正な取扱いを推進し、漏えい等の問題に対処する体制を整備する必要がある。このため、個人情報の取扱いに関し、専門性と指導性を有し、事業者の全体を統括する組織体制・責任体制を構築し、規則の策定や安全管理措置の計画立案等を効果的に実施できる体制を構築するものとする。

また、患者・利用者等に対しては、受付時、利用開始時に個人情報の利用目的を説明するなど、必要に応じて分かりやすい説明を行う必要があるが、加えて、患者・利用者等が疑問に感じた内容を、いつでも、気軽に問合せできる窓口機能等を確保することが重要である。また、患者・利用者等の相談は、医療・介護サービスの内容とも関連している場合が多いことから、個人情報の取扱いに関し患者・利用者等からの相談や苦情への対応等を行う窓口機能等を整備するとともに、その窓口がサービスの提供に関する相談機能とも有機的に連携した対応が行える体制とするなど、患者・利用者等の立場に立った対応を行う必要がある。

なお、個人情報の利用目的の説明や窓口機能等の整備、開示の請求を受け付ける方法を定める場合等に当たっては、障害のある患者・利用者等にも配慮する必要がある。

8.遺族への診療情報の提供の取扱い

法は、OECD8原則の趣旨を踏まえ、生存する個人の情報を適用対象とし、個人情報の目的外利用や第三者提供に当たっては本人の同意を得ることを原則としており、死者の情報は原則として個人情報とならないことから、法及び本ガイダンスの対象とはならない。しかし、患者・利用者が死亡した際に、遺族から診療経過、診療情報や介護関係の諸記録について照会が行われた場合、医療・介護関係事業者は、患者・利用者本人の生前の意思、名誉等を十分に尊重しつつ、特段の配慮が求められる。このため、患者・利用者が死亡した際の遺族に対する診療情報の提供については、「診療情報の提供等に関する指針」(「診療情報の提供等に関する指針の策定について」(平成15年9月12日医政発第0912001号))の9において定められている取扱いに従って、医療・介護関係事業者は、同指針の規定により遺族に対して診療情報・介護関係の記録の提供を行うものとする。

9.個人情報が研究に活用される場合の取扱い

近年の科学技術の高度化に伴い、研究において個人の診療情報等や要介護認定情報等を利用する場合が増加しているほか、患者・利用者への診療や介護と並行して研究が進められる場合もある。

法第76条第1項においては、憲法上の基本的人権である「学問の自由」の保障への配慮から、大学その他の学術研究を目的とする機関等が、学術研究の用に供する目的をその全部又は一部として個人情報を取り扱う場合については、法による義務等の規定は適用しないこととされている。従って、この場合には法の運用指針としての本ガイダンスは適用されるものではないが、これらの場合においても、法第76条第3項により、当該機関等は、自主的に個人情報の適正な取扱いを確保するための措置を講ずることが求められており、これに当たっては、医学研究分野の関連指針(別表5参照)とともに本ガイダンスの内容についても留意することが期待される。

なお、治験及び製造販売後臨床試験における個人情報の取扱いについては、本ガイダンスのほか、医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律(昭和35年法律第145号。以下「医薬品医療機器等法」という。)及び関係法令(「医薬品の臨床試験の実施の基準に関する省令」(平成9年厚生省令第28号)等)の規定や、関係団体等が定める指針に従うものとする。また、医療機関等が自ら研究を実施する場合、企業若しくは研究機関から研究を受託して若しくは共同で実施する場合又は他の研究機関からの求めに応じて研究のために情報提供する場合における個人情報の取扱いについては、本ガイダンスのほか、別表5に掲げる医学研究分野における関連指針や、関係団体等が定める指針に従うものとする。

10.遺伝情報を診療に活用する場合の取扱い

遺伝学的検査等により得られた遺伝情報については、本人の遺伝子・染色体の変化に基づく体質、疾病の発症等に関する情報が含まれるほか、その血縁者に関わる情報でもあり、その情報は生涯変化しないものであることから、これが漏えいした場合には、本人及び血縁者が被る被害及び苦痛は大きなものとなるおそれがある。したがって、遺伝学的検査等により得られた遺伝情報の取扱いについては、UNESCO 国際宣言等(別表6参照)、別表5に掲げる指針及び関係団体等が定める指針を参考とし、特に留意する必要がある。

また、検査の実施に同意している場合においても、その検査結果が示す意味を正確に理解することが困難であったり、疾病の将来予測性に対してどのように対処すればよいかなど、本人及び家族等が大きな不安を持つ場合が多い。したがって、医療機関等が、遺伝学的検査を行う場合には、臨床遺伝学の専門的知識を持つ者により、遺伝カウンセリングを実施するなど、本人及び家族等の心理的社会的支援を行う必要がある。

11.他の法令等との関係

医療・介護関係事業者は、個人情報の取扱いにあたり、法、基本方針及び本ガイダンスに示す項目のほか、個人情報保護又は守秘義務に関する他の法令等(刑法、関係資格法、介護保険法等)の規定を遵守しなければならない。

また、病院等の管理者の監督義務(医療法第15条)や業務委託(医療法第15条の2等)に係る規定、介護関係事業者における個人情報保護に係る規定等を遵守しなければならない。

また、医療分野については、すでに「診療情報の提供等に関する指針」が定められている。これは、インフォームド・コンセントの理念等を踏まえ、医療従事者等が診療情報を積極的に提供することにより、医療従事者と患者等とのより良い信頼関係を構築することを目的としており、この目的のため、患者等からの求めにより個人情報である診療情報を開示する場合は、同指針の内容に従うものとする。

12.認定個人情報保護団体における取組

法第47条においては、個人情報取扱事業者等の個人情報等の適正な取扱いの確保を目的とする業務を行う法人等は個人情報保護委員会の認定を受けて認定個人情報保護団体となることができることとされている。認定個人情報保護団体となる医療・介護関係の団体等は、傘下の医療・介護関係事業者を対象に、個人情報保護に係る普及・啓発を推進するほか、法の趣旨に沿った指針等を自主的なルールとして定めたり、個人情報の取扱いに関する患者・利用者等のための相談窓口を開設するなど、積極的な取組を行うことが期待されている。

参照

-ビジネス全般

© 2021 Real-World Data/Evidence website