ビジネス全般

医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンスⅢ-7.第三者提供に係る記録の作成等(法第25条)

詳細は、別途定める「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」(平成28年個人情報保護委員会告示第8号)を参照のこと。

(第三者提供に係る記録の作成等)法第二十五条

  1. 個人情報取扱事業者は、個人データを第三者(第二条第五項各号に掲げる者を除く。略)に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。ただし、当該個人データの提供が第二十三条第一項各号又は第五項各号のいずれか(略)に該当する場合は、この限りでない。
  2. 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。

(第三者提供に係る記録の作成)規則第十二条

  1. 法第二十五条第一項の規定による同項の記録を作成する方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法とする。
  2. 法第二十五条第一項の記録は、個人データを第三者(略)に提供した都度、速やかに作成しなければならない。ただし、当該第三者に対し個人データを継続的に若しくは反復して提供(略)したとき、又は当該第三者に対し個人データを継続的に若しくは反復して提供することが確実であると見込まれるときの記録は、一括して作成することができる。
  3. 前項の規定にかかわらず、法第二十三条第一項又は法第二十四条の規定により、本人に対する物品又は役務の提供に関連して当該本人に係る個人データを第三者に提供した場合において、当該提供に関して作成された契約書その他の書面に次条第一項各号に定める事項が記載されているときは、当該書面をもって法第二十五条第一項の当該事項に関する記録に代えることができる。

(第三者提供に係る記録事項)規則第十三条

  1. 法第二十五条第一項の個人情報保護委員会規則で定める事項は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める事項とする。
    • 一 法第二十三条第二項の規定により個人データを第三者に提供した場合 次のイからニまでに掲げる事項
      • イ 当該個人データを提供した年月日
      • ロ 当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)
      • ハ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
      • ニ 当該個人データの項目
    • 二 法第二十三条第一項又は法第二十四条の規定により個人データを第三者に提供した場合 次のイ及びロに掲げる事項
      • イ 法第二十三条第一項又は法第二十四条の本人の同意を得ている旨
      • ロ 前号ロからニまでに掲げる事項
  2. 前項各号に定める事項のうち、既に前条に規定する方法により作成した法第25条第1項の記録(当該記録を保存している場合におけるものに限る。)に記録されている事項と内容が同一であるものについては、法第25条第 1 項の当該事項の記録を省略することができる。

(第三者提供に係る記録の保存期間)規則第十四条

  1. 法第二十五条第二項の個人情報保護委員会規則で定める期間は、次の各号に掲げる場合の区分に応じて、それぞれ当該各号に定める期間とする。
    一 第十二条第三項に規定する方法により記録を作成した場合 最後に当該記録に係る個人データの提供を行った日から起算して一年を経過する日までの間
    二 第十二条第二項ただし書に規定する方法により記録を作成した場合 最後に当該記録に係る個人データの提供を行った日から起算して三年を経過する日までの間
    三 前二号以外の場合 三年

(1)記録義務が適用されない場合

以下の場合には記録義務が適用されない。

①第三者が法第2条第5項各号に掲げる者である場合

以下の1)から4)までに掲げる者との間で個人データの授受を行う場合、記録義務は適用されない。

1)国の機関(法第 2 条第 5 項第 1 号関係)

2)地方公共団体(法第 2 条第 5 項第 2 号関係)

3)独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律(平成15年法律第59号)第2条第 1 項 に規定する独立行政法人等をいう。)(法第 2 条第 5 項第 3 号関係)

4)地方独立行政法人(地方独立行政法人法(平成15年法律第118号)第 2条第 1 項に規定する地方独立行政法人をいう。)(法第 2 条第 5 項第 4 号関係)

②法第 23 条第 1 項各号に該当する場合(Ⅲ5.(2)参照)

個人データが転々流通することは想定されにくいことに鑑み、記録義務は適用されない。

1)法令に基づいて個人データを提供する場合(第 1 号関係)
(例)
・審査支払機関へのレセプトの提出

2)人(法人を含む。)の生命、身体又は財産といった具体的な権利利益が侵害されるおそれがあり、これを保護するために個人データの提供が必要であり、かつ、本人の同意を得ることが困難である場合(第 2 号関係)

3)公衆衛生の向上又は心身の発展途上にある児童の健全な育成のために特に必要な場合であり、かつ、本人の同意を得ることが困難である場合(第 3号関係)

4)国の機関等が法令の定める事務を実施する上で、民間企業等の協力を得る必要がある場合であって、協力する民間企業等が当該国の機関等に個人データを提供することについて、本人の同意を得ることが当該事務の遂行に支障を及ぼすおそれがある場合(第 4 号関係)

③法第23条第 5 項各号に該当する場合(Ⅲ5.(4)参照)

「第三者に該当しないものとする」とされていることに鑑み、記録義務は適用されない。

1)個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合(法第23条第 5 項第 1 号関係)

(例)

  • 検体検査業務の委託その他の業務委託
  • 保険事務の委託
  • 事業者等からの委託を受けて健康診断等を行った場合における、事業者等へのその結果の通知
  • 医療機関等の管理運営業務のうち、外部監査機関への情報提供

2)合併その他の事由による事業の承継に伴って個人データが提供される場合(法第23条第 5 項第 2 号関係)

3)特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき(法第 23 条第 5 項第 3 号関係)

④本人に代わって提供している場合

医療・介護関係事業者が患者・利用者本人からの委託等に基づき当該本人の個人データを第三者提供する場合は、当該個人情報取扱事業者は「本人に代わって」個人データの提供をしているものである。

したがって、この場合の第三者提供については、記録義務は適用されない。

(例)

医療機関等が患者等に提供する医療サービスのうち、

  • 他の病院、診療所、助産所、薬局、訪問看護ステーション、介護サービス事業者等との連携
  • 他の医療機関等からの照会への回答
  • 患者の診療等に当たり、外部の医師等の意見・助言を求める場合
  • 審査支払機関又は保険者からの照会への回答
  • 医師賠償責任保険などに係る、医療に関する専門の団体、保険会社等への相談又は届出等

⑤本人と一体と評価できる関係にある者に提供する場合

本人の代理人又は家族等、本人と一体と評価できる関係にある者に提供する場合、本人側に対する提供とみなし、記録義務は適用されない。

(例)
・家族等への病状説明
【法の規定により遵守すべき事項等】

(2)記録義務の適用

(1)に記載したいずれの場合にも該当しない場合で、医療・介護関係事業者が個人データを第三者に提供したときは、法令に定める記録の作成及びその記録を保存しなければならない。

①記録を作成する方法など

1)記録を作成する媒体

医療・介護関係事業者は、記録を、文書、電磁的記録又はマイクロフィルムを用いて作成しなければならない。

2)記録を作成する方法

医療・介護関係事業者は、原則として、個人データの授受の都度、速やかに記録を作成しなければならない。

3)一括して記録を作成する方法

一定の期間内に特定の事業者との間で継続的に又は反復して個人データを授受する場合は、個々の授受に係る記録を作成する代わりに、一括して記録を作成することができる。

4)契約書等の代替手段による方法

医療・介護関係事業者が、本人に対する物品又は役務の提供に係る契約を締結し、その契約の履行に伴って、契約の相手方を本人とする個人データを医療・介護関係事業者から第三者に提供する場合は、その提供の際に作成した契約書その他の書面をもって個人データの流通を追跡することが可能であるから当該契約書その他の書面をもって記録とすることができる。

5)代行により記録を作成する方法

提供者、受領者のいずれも記録の作成方法、保存期間は同一であることに鑑みて受領者は提供者の記録義務の全部又は一部を代替して行うことができる(提供者と受領者の記録事項の相違については留意する必要がある。)。なお、この場合であっても、提供者及び受領者は自己の義務が免責されるわけではないことから、実質的に自ら記録作成義務を果たしているものと同等の体制を構築しなければならない。

②記録事項

1)提供者の記録事項

医療・介護関係事業者が、本人の同意に基づき個人データの第三者提供を行う場合は、次の項目を記録しなければならない。

  • 本人同意を得ている旨
  • 第三者の氏名又は名称その他の当該第三者を特定できる事項
  • 個人データによって識別される本人の氏名その他の当該本人を特定できる事項
  • 個人データの項目

③記録事項の省略

複数回にわたって同一「本人」の個人データの授受をする場合において、同一の内容である事項を重複して記録する必要はない。既に「7.(2)記録義務の適用」に規定する方法により作成した記録(現に保存している場合に限る。)に記録された事項と内容が同一であるものについては、当該事項の記録を省略することができる。

④保存期間

医療・介護関係事業者は、作成した記録を規則で定める期間保存しなければならない。保存期間は記録の作成方法によって異なるので留意が必要である。

記録の作成方法の別 保存期間
契約書等の代替手段による方法により記録を作成した場合 最後に当該記録に係る個人データの提供を行った日から起算して1年を経過する日までの間
一括して記録を作成する方法により記録を作成した場合 最後に当該記録に係る個人データの提供を行った日から起算して3年を経過する日までの間
上記以外の場合 3年

参照

-ビジネス全般

© 2021 Real-World Data/Evidence website