ビジネス全般

医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンスⅢ-5.個人データの第三者提供(法第23条)

2021年9月26日

(第三者提供の制限)
法第二十三条

  1. 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
    一 法令に基づく場合
    二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
    三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
    四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
  2. 個人情報取扱事業者は、第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
    一 第三者への提供を利用目的とすること。
    二 第三者に提供される個人データの項目
    三 第三者への提供の方法
    四 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
    五 本人の求めを受け付ける方法
  3. 個人情報取扱事業者は、前項第二号、第三号又は第五号に掲げる事項を変更する場合は、変更する内容について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
  4. 個人情報保護委員会は、第二項の規定による届出があったときは、個人情報保護委員会規則で定めるところにより、当該届出に係る事項を公表しなければならない。前項の規定による届出があったときも、同様とする。
  5. 次に掲げる場合において、当該個人データの提供を受ける者は、前各号の規定の適用については、第三者に該当しないものとする。
    一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
    二 合併その他の事由による事業の承継に伴って個人データが提供される場合
    三 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
  6. 個人情報取扱事業者は、前項第三号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

(1)第三者提供の取扱い

医療・介護関係事業者は、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならないとされており、次のような場合には、本人の同意を得る必要がある。

(例)

  • 民間保険会社からの照会
    患者が民間の生命保険に加入しようとする場合、生命保険会社から患者の健康状態等について照会があった場合、患者の同意を得ずに患者の現在の健康状態や既往歴等を回答してはならない。
    交通事故によるけがの治療を行っている患者に関して、保険会社から損害保険金の支払いの審査のために必要であるとして症状に関する照会があった場合、患者の同意を得ずに患者の症状等を回答してはならない。
  • 職場からの照会
    職場の上司等から、社員の病状に関する問合せがあったり、休職中の社員の職場復帰の見込みに関する問合せがあった場合、患者の同意を得ずに患者の病状や回復の見込み等を回答してはならない。
  • 学校からの照会
    学校の教職員等から、児童・生徒の健康状態に関する問合せがあったり、休学中の児童・生徒の復学の見込みに関する問合せがあった場合、患者の同意を得ずに患者の健康状態や回復の見込み等を回答してはならない。
  • マーケティング等を目的とする会社等からの照会
    健康食品の販売を目的とする会社から、高血圧の患者の存在の有無について照会された場合や要件に該当する患者を紹介して欲しい旨の依頼があった場合、患者の同意を得ずに患者の有無や該当する患者の氏名・住所等を回答してはならない。

(2)第三者提供の例外

ただし、次に掲げる場合については、本人の同意を得る必要はない。

①法令に基づく場合

医療法に基づく立入検査、介護保険法に基づく不正受給者に係る市町村への通知、児童虐待の防止等に関する法律に基づく児童虐待に係る通告等、法令に基づいて個人情報を利用する場合であり、医療機関等の通常の業務で想定される主な事例は別表3のとおりである。(Ⅲ1.(2)①参照)

②人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき

(例)

  • 意識不明で身元不明の患者について、関係機関へ照会したり、家族又は関係者等からの安否確認に対して必要な情報提供を行う場合
  • 意識不明の患者の病状や重度の認知症の高齢者の状況を家族等に説明する場合
  • 大規模災害等で医療機関に非常に多数の傷病者が一時に搬送され、家族等からの問合せに迅速に対応するためには、本人の同意を得るための作業を行うことが著しく不合理である場合

※なお、「本人の同意を得ることが困難であるとき」には、本人同意を求めても同意しない場合、本人に同意を求める手続を経るまでもなく本人の同意を得ることができない場合等が含まれるものである。

③公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき

(例)

  • 健康増進法に基づく地域がん登録事業による国又は地方公共団体への情報提供
  • がん検診の精度管理のための地方公共団体又は地方公共団体から委託を受けた検診機関に対する精密検査結果の情報提供
  • 児童虐待事例についての関係機関との情報交換
  • 医療安全の向上のため、院内で発生した医療事故等に関する国、地方公共団体又 は第三者機関等への情報提供のうち、氏名等の情報が含まれる場合

④国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

(例)
・統計法第2条第7項の規定に定める一般統計調査に協力する場合
・災害発生時に警察が負傷者の住所、氏名や傷の程度等を照会する場合等、公共の安全と秩序の維持の観点から照会する場合

(3)本人の同意が得られていると考えられる場合

医療機関の受付等で診療を希望する患者は、傷病の回復等を目的としている。一方、医療機関等は、患者の傷病の回復等を目的として、より適切な医療が提供できるよう治療に取り組むとともに、必要に応じて他の医療機関と連携を図ったり、当該傷病を専門とする他の医療機関の医師等に指導、助言等を求めることも日常的に行われる。

また、その費用を公的医療保険に請求する場合等、患者の傷病の回復等そのものが目的ではないが、医療の提供には必要な利用目的として提供する場合もある。このため、第三者への情報の提供のうち、患者の傷病の回復等を含めた患者への医療の提供に必要であり、かつ、個人情報の利用目的として院内掲示等により明示されている場合は、原則として黙示による同意が得られているものと考えられる。

なお、傷病の内容によっては、患者の傷病の回復等を目的とした場合であっても、個人データを第三者提供する場合は、あらかじめ本人の明確な同意を得るよう求めがある場合も考えられ、その場合、医療機関等は、本人の意思に応じた対応を行う必要がある。

①患者への医療の提供のために通常必要な範囲の利用目的について、院内掲示等で公表しておくことによりあらかじめ黙示の同意を得る場合

医療機関の受付等で、診療を希望する患者から個人情報を取得した場合、それらが患者自身の医療サービスの提供のために利用されることは明らかである。このため、院内掲示等により公表して、患者に提供する医療サービスに関する利用目的について患者から明示的に留保の意思表示がなければ、患者の黙示による同意があったものと考えられる。(Ⅲ2.参照)
また、
(ア)患者への医療の提供のため、他の医療機関等との連携を図ること
(イ)患者への医療の提供のため、外部の医師等の意見・助言を求めること
(ウ)患者への医療の提供のため、他の医療機関等からの照会があった場合にこれに応じること
(エ)患者への医療の提供に際して、家族等への病状の説明を行うこと
等が利用目的として特定されている場合は、これらについても患者の同意があったものと考えられる。

②この場合であっても、黙示の同意があったと考えられる範囲は、患者のための医療サービスの提供に必要な利用の範囲であり、別表2の「患者への医療の提供に必要な利用目的」を参考に各医療機関等が示した利用目的に限られるものとする。

なお、院内掲示等においては、
(ア)患者は、医療機関等が示す利用目的の中で同意しがたいものがある場合には、その事項について、あらかじめ本人の明確な同意を得るよう医療機関等に求めることができること。
(イ)患者が、(ア)の意思表示を行わない場合は、公表された利用目的について患者の同意が得られたものとすること。
(ウ)同意及び留保は、その後、患者からの申出により、いつでも変更することが可能であること。

をあわせて掲示するものとする。

※上記①の(ア)~(エ)の具体例

(例)

・他の医療機関宛に発行した紹介状等を本人が持参する場合
医療機関等において他の医療機関等への紹介状、処方せん等を発行し、当該書面を本人が他の医療機関等に持参した場合、当該第三者提供については、本人の同意があったものと考えられ、当該書面の内容に関し、医療機関等との間での情報交換を行うことについて同意が得られたものと考えられる。
・他の医療機関等からの照会に回答する場合
診療所Aを過去に受診したことのある患者が、病院Bにおいて現に受診中の場合で、病院Bから診療所Aに対し過去の診察結果等について照会があった場合、病院Bの担当医師等が受診中の患者から同意を得ていることが確認できれば、診療所Aは自らが保有する診療情報の病院Bへの提供について、患者の同意が得られたものと考えられる。
・家族等への病状説明
病態等について、本人と家族等に対し同時に説明を行う場合には、明示的に本人の同意を得なくても、その本人と同時に説明を受ける家族等に対する診療情報の提供について、本人の同意が得られたものと考えられる。
同様に、児童・生徒の治療に教職員が付き添ってきた場合についても、児童・生徒本人が教職員の同席を拒まないのであれば、本人と教職員を同席させて、治療内容等について説明を行うことができると考えられる。

③医療機関等が、労働安全衛生法第66条、健康保険法第150条、国民健康保険法第82条又は高齢者の医療の確保に関する法律第20条、第24条若しくは第125条により、事業者又は保険者が行う健康診断等を受託した場合、その結果である労働者等の個人データを委託元である当該事業者又は保険者に対して提供することについて、本人の同意が得られていると考えられる。

④介護関係事業者については、介護保険法に基づく指定基準において、サービス担当者会議等で利用者の個人情報を用いる場合には利用者の同意を、利用者の家族の個人情報を用いる場合には家族の同意を、あらかじめ文書により得ておかなければならないとされていることを踏まえ、事業所内への掲示によるのではなく、サービス利用開始時に適切に利用者から文書により同意を得ておくことが必要である。

(4)「第三者」に該当しない場合

①他の事業者等への情報提供であるが、「第三者」に該当しない場合

法第23条第5項各号に掲げる場合の当該個人データの提供を受ける者については、第三者に該当せず、本人の同意を得ずに情報の提供を行うことができる。医療・介護関係事業者における具体的事例は以下のとおりである。

  • 検査等の業務を委託する場合
  • 外部監査機関への情報提供((公益財団法人)日本医療機能評価機構が行う病院機能評価等)
  • 個人データを特定の者との間で共同して利用するとして、あらかじめ本人に通知等している場合

※個人データの共同での利用における留意事項
病院と訪問看護ステーションが共同で医療サービスを提供している場合など、あらかじめ個人データを特定の者との間で共同して利用することが予定されている場合、(ア)共同して利用される個人データの項目、(イ)共同利用者の範囲(個別列挙されているか、本人から見てその範囲が明確となるように特定されている必要がある)、(ウ)利用する者の利用目的、(エ)当該個人データの管理について責任を有する者の氏名又は名称、をあらかじめ本人に通知し、又は本人が容易に知り得る状態においておくとともに、共同して利用することを明らかにしている場合には、当該共同利用者は第三者に該当しない。
この場合、(ア)、(イ) については変更することができず、(ウ)、(エ)については、本人が想定することが困難でない範囲内で変更することができ、変更する場合は、本人に通知又は本人の容易に知り得る状態におかなければならない。

②同一事業者内における情報提供であり、第三者に該当しない場合

同一事業者内で情報提供する場合は、当該個人データを第三者に提供したことにはならないので、本人の同意を得ずに情報の提供を行うことができる。医療・介護関係事業者における具体的事例は以下のとおりである。

  • 病院内の他の診療科との連携など当該医療・介護関係事業者内部における情報の交換
  • 同一事業者が開設する複数の施設間における情報の交換
  • 当該事業者の職員を対象とした研修での利用(ただし、第三者提供に該当しない場合であっても、当該利用目的が院内掲示等により公表されていない場合には、具体的な利用方法について本人の同意を得るか(Ⅲ1.参照)、個人が特定されないよう匿名化する必要がある(Ⅱ4.参照))
  • 当該事業者内で経営分析を行うための情報の交換

(5)その他留意事項

  • 他の事業者への情報提供に関する留意事項
    第三者提供を行う場合のほか、他の事業者への情報提供であっても、①法令に基づく場合など第三者提供の例外に該当する場合、②「第三者」に該当しない場合、③個人が特定されないように匿名化して情報提供する場合などにおいては、本来必要とされる情報の範囲に限って提供すべきであり、情報提供する上で必要とされていない事項についてまで他の事業者に提供することがないようにすべきである。
    特に、医療事故等に関する情報提供に当たっては、患者・利用者及び家族等の意思を踏まえ、報告において氏名等が必要とされる場合を除き匿名化(Ⅱ4.参照)を行う。また、医療事故発生直後にマスコミへの公表を行う場合等については、匿名化する場合であっても本人又は家族等の同意を得るよう努めるものとする。

(適切ではない例)

  • 医師及び薬剤師が製薬企業のMR(医薬品情報担当者)、医薬品卸業者のMS(医薬品販売担当者)等との間で医薬品の投薬効果などについて情報交換を行う場合に、必要でない氏名等の情報を削除せずに提供すること。

【法の規定により遵守すべき事項等】

  • 医療・介護関係事業者においては、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。なお、(2)の本人の同意を得る必要がない場合に該当する場合には、本人の同意を得る必要はない。
  • 個人データの第三者提供について本人の同意があった場合で、その後、本人から第三者提供の範囲の一部についての同意を取り消す旨の申出があった場合は、その後の個人データの取扱いについては、本人の同意のあった範囲に限定して取り扱うものとする。

【その他の事項】

  • 第三者提供に該当しない情報提供が行われる場合であっても、院内や事業所内等への掲示、ホームページ等により情報提供先をできるだけ明らかにするとともに、患者・利用者等からの問合せがあった場合に回答できる体制を確保する。
  • 例えば、業務委託の場合、当該医療・介護関係事業者において委託している業務の内容、委託先事業者、委託先事業者との間での個人情報の取扱いに関する取り決めの内容等について公開することが考えられる。

参照

医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス(平成29年4月14日) Ⅰ.本ガイダンスの趣旨、目的、基本的考え方

-ビジネス全般

© 2021 Real-World Data/Evidence website