電子的な医療情報を扱う際の責任のあり方
医療に関わる全ての行為は医療法等で医療機関等の管理者の責任で行うことが求められており、医療情報の取扱いも同様である。このことから、収集、保管、破棄を通じて刑法等に定められている守秘義務、個人情報保護に関する諸法及び指針のほか、診療情報の扱いに関わる法令、通知、指針等により定められている要件を満たすために適切な取扱いが求められる。
平成29年5月に施行した改正個人情報保護法では、個人情報の定義が明確化されるとともに、取扱いに特に配慮を要する「要配慮個人情報」や、特定の個人を識別することができないように加工した「匿名加工情報」等について、新たに規定が設けられた。このことを受けて、個人情報保護委員会が個人情報保護法についてのガイドラインを公表し、医療・介護分野においては「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」等が定められているため、関連する規定を遵守し、適切な措置を講じられたい。
故意及び重過失をもって、これらの要件に反する行為を行えば刑法上の秘密漏示罪で犯罪として処罰される場合があるが、診療情報等については過失による漏えいや目的外利用も同様に大きな問題となり得る。そのような事態が生じないよう適切な管理をする必要がある。そのためには管理者に善良なる管理者の注意義務(善管注意義務)を果たすことが求められ、その具体的内容は、扱う情報や状況によって異なるものである。
本来、医療情報の価値と重要性はその媒体によって変化するものではなく、医療機関等の管理者は、そもそも紙やフィルムによる記録を院内に保存する場合と電子化して保存する場合とでは、少なくとも同等の善管注意義務を負うと考えられる。
ただし、電子化された情報は、次のような固有の特殊性もある。
- 紙の媒体やフィルム等に比べて、その動きが一般の人にとって分かりにくい側面がある
- 漏えい等の事態が生じた場合に、一瞬にして大量に情報が漏えいする可能性が高い
- さらに医療従事者が情報取扱いの専門家とは限らないため、その安全な保護に慣れていないケースが多い
従って、それぞれの医療機関等がその事情によりメリット・デメリットを勘案して電子化の実施範囲及びその方法を検討し、導入するシステムの機能や運用方法を選択して、それに対し求められる安全基準等への対応を決める必要がある。
また、電子化された医療情報が医療機関等の施設内だけにとどまって存在するという状況のみならず、ネットワークを用いた交換・共有・委託等が考えられる状況下では、その管理責任は医療機関等が負うだけでなく、ネットワーク上のサービスを提供する事業者やネットワークを提供する通信事業者等にもまたがるようになる。
本章では、これらの関係者間での電子的な医療情報の取扱いについて「医療機関等の管理者の情報保護責任の内容と範囲」及び「他の医療機関等や事業者に情報処理の委託や他の業務の委託に付随して医療情報を委託する場合と第三者提供した場合」の責任のあり方として責任分界という概念を用いて整理した。
Table of Contents
4.1 医療機関等の管理者の情報保護責任について
医療機関等の管理者が医療情報を適切に管理するための善管注意義務を果たすためには、通常の運用時において医療情報保護の体制を構築し管理する局面での責任と、医療情報について何らかの不都合な事態(典型的には情報漏えい)が生じた場合に対処をすべき責任とがある。便宜上、本ガイドラインでは前者を「通常運用における責任」、後者を「事後責任」と呼ぶこととする。
(1) 通常運用における責任について
ここでいう通常運用における責任とは、医療情報の適切な保護のための適切な情報管理ということになるが、適切な情報管理を行うことが全てではなく、以下に示す3つの責任を含む必要がある。
① 説明責任
電子的に医療情報を取り扱うシステムの機能や運用方法が、その取扱いに関する基準を満たしていることを患者等に説明する責任である。これを果たすためには、以下のことが必要である。
- システムの仕様や運用方法を明確に文書化すること
- 仕様や運用方法が当初の方針のとおりに機能しているかどうかを定期的に監査すること
- 監査結果をあいまいさのない形で文書化すること
- 監査の結果問題があった場合は、真摯に対応すること
- 対応の記録を文書化し、第三者が検証可能な状況にすること
② 管理責任
医療情報を取り扱うシステムの運用管理を行う責任であり、当該システムの管理を請負事業者に任せきりにしているだけでは、これを果たしたことにはならないため、医療機関等においては、以下のことが必要である。
- 少なくとも管理状況の報告を定期的に受けること
- 管理に関する最終的な責任の所在を明確にする等の監督を行うこと
さらに、個人情報保護法上は、以下の事項を定め、請負事業者との対応に当たる必要がある。
- 個人情報保護の責任者を定めること
- 電子化された個人情報の保護について一定の知識を有する責任者を決めること
③ 定期的に見直し必要に応じて改善を行う責任
情報保護に関する技術は日進月歩であるため、情報保護体制が陳腐化するおそれがあり、それを適宜見直して改善するためには以下の責任を果たさなくてはならない。
- 当該情報システムの運用管理の状況を定期的に監査すること
- 問題点を洗い出し、改善すべき点があれば改善すること
そのために医療機関等の管理者は、医療情報保護の仕組みの改善を常にこころがけ、現行の運用管理全般の再評価・再検討を定期的に行う必要がある。
(2) 事後責任について
医療情報について何らかの不都合な事態(典型的には漏えい)が生じた場合には、以下の責任がある。
なお、「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンスⅢ 4. (5)」では、個人データの漏えい等の問題発生時における二次被害防止に向けた取組みについて規定していることから、参照されたい。
① 説明責任
特に医療機関等は一定の公共性を有するため、個々の患者に対する説明責任があることは当然ながら、併せて監督機関である行政機関や社会への説明・公表も求められる。そのため、以下のことが必要である。
- 医療機関等の管理者はその事態発生を公表すること
- 原因とそれに対していかなる対処を行うかについて説明すること
② 善後策を講ずる責任
また、医療機関等の管理者には善後策を講ずる責任も発生する。その責任は以下に分けられる。
- 原因を追及し明らかにする責任
- 損害を生じさせた場合にはその損害填補責任
- 再発防止策を講ずる責任
4.2 委託と第三者提供における責任分界
医療情報を外部の医療機関等や事業者に伝送する場合、個人情報保護法上、その形態には委託(第三者委託)と第三者提供の2 種類があるため、それぞれの形態における医療機関等の管理者の情報保護責任のあり方を、前項に従い整理して示す。
4.2.1 委託における責任分界
委託の場合、管理責任の主体はあくまでも医療機関等の管理者である。医療機関等の管理者は、患者に対する関係では、受託する事業者の助けを借りながら、前項に掲げた「説明責任」・「管理責任」・「定期的に見直し必要に応じて改善を行う責任」を果たす義務を負う。
万一、何らかの不都合な事態が生じた場合にも同様に、受託する事業者と連携しながら「説明責任」と「善後策を講ずる責任」を果たす必要があり、委託管理契約で委託先の義務を明記すべきである。
ただし、これとは別に、受託する事業者の責任による不都合な事態が生じた場合については、善後策を講ずる責任を医療機関等と受託する事業者との間でいかに分担するか、委託契約で明記しておくべき事項である。
以下に医療機関等が管理責任を果たすために必要な委託先との契約の原則を掲げる。
(1)通常運用における責任について
① 説明責任
患者等に対し、いかなる内容の医療情報保護の仕組みが構築されどのように機能しているかの説明責任は、いうまでもなく医療機関等の管理者にある。
ただし、医療機関等の管理者が説明責任を果たすためには、受託する事業者による情報提供が不可欠の場合があり、受託する事業者は医療機関等の管理者に対し説明責任を負うといってよい。
従って、受託する事業者に対し適切な情報提供義務・説明義務を委託契約事項に含め、その履行を確保しておく必要がある。
② 管理責任
管理責任を負う主体はやはり医療機関等の管理者にある。しかし、現実に情報処理に当たりその安全な保守作業等を行うのは、委託先事業者である場面が多いと考えられる。医療機関等の管理者としては、委託先事業者の管理の実態を理解し、その監督を適切に行う仕組みを作る必要があり、契約事項に含めるべきである。
③ 定期的に見直し必要に応じて改善を行う責任
当該システムの運用管理の状況に対する定期的な監査により問題点を洗い出し、改善すべき点があれば改善していく責任の分担、また、情報保護に関する技術進展に配慮した定期的な再評価・再検討を実施し、その結果に基づき対策を行う際の医療機関等との協議について、委託先事業者との契約事項に含めるべきである。
(2)事後責任について
① 説明責任
前項で述べたように、医療情報について何らかの不都合な事態が生じた場合、医療機関等の管理者にはその事態発生を公表し、その原因といかなる対処法をとるかについて説明する責任が求められている。
しかし、情報に関する事故は、説明に際して受託する事業者の情報提供や分析が不可欠な場合が多いと考えられる。そのため、あらかじめ可能な限りの事態を予想し、受託する事業者との間で、説明責任についての分担を契約事項に含めるべきである。
② 善後策を講ずる責任
医療情報について何らかの事故が生じた場合、医療機関等の管理者には善後策を講ずる責任が発生することは前項で述べた。しかし、事故が医療情報の処理を委託した事業者の責任による場合、適切な委託契約に基づき、受託する事業者の選任・監督に適切な注意を払っていれば、法律上、医療機関等の管理者の善管注意義務は果たされていると解される。
ただし、本章冒頭に述べたように、医療機関等では医療情報の管理を医療機関等の管理者の責任において行うことが求められている。よって、医療情報に関する事故の原因究明、被害者への損害填補、さらに再発防止について、少なくとも責任の一端を負わなければならない。また、現実的にも、受託する事業者が医療情報の全てを管理しているとは限らないため、事故を契機として、医療情報保護の仕組み全体について善後策を講ずる責任は、医療機関等の管理者が負わざるを得ない。
上記のように、医療機関等の管理者は、患者に対して、「原因を追及し明らかにする責任」、「損害を生じさせた場合にはその損害填補責任」、「再発防止策を講ずる責任」等、善後策を講ずる責任を免れるものではない。
ただし、医療機関等の管理者の、患者等に対する全ての責任が免ぜられることはないとしても、受託する事業者との間での責任分担はそれとは別の問題である。特に、事故が受託する事業者の責任で生じた場合、医療機関等の管理者が全ての責任を負うことは、原則としてあり得ない。
しかし、医療情報について何らかの事故が生じた場合、医療機関等と受託する事業者の間で責任の分担について争うことに優先して、まず原因を追及し明らかにすること、そして再発防止策を講ずることが重要である。
そのためには、委託契約に、医療機関等と受託する事業者が協力してこれらの措置を優先させることを明記しておく必要がある。
委託内容によっては、より詳しく受託する事業者の責任での原因追及と再発防止策の提案義務を明記することも考えられる。
損害填補責任の分担については、事故の原因が受託する事業者にある場合、最終的には受託する事業者が負うのが原則である。ただし、この点は、原因の種類や複雑さによっては原因究明が困難になること、また損害填補責任分担の定め方によっては原因究明の妨げになるおそれがあること、あるいは保険による損害分散の可能性等、考慮すべき様々な要素がある。それらを考慮した上で、委託契約において損害填補責任の分担を明記することが必要である。
4.2.2 第三者提供における責任分界
医療機関等が医療情報について第三者提供を行う場合、個人情報保護法及び関連する個人情報保護法についてのガイドライン並びに「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」等を遵守する必要がある。
第三者提供とは、第三者が何らかの目的で医療情報を利用するために行われるものであり、原則として医療機関等の管理者にとってはその正当性だけが問題となる。適切な第三者提供がなされる限り、その後の情報保護に関する責任は医療機関等の管理者から離れることになり、提供を受けた第三者に生ずる。
ただし、例外的に、提供先で適切に扱われないことを知りながら情報提供をするような場合は、提供元の医療機関等の責任が追及される可能性がある。
一方、電子化された情報の特殊性に着目すると、情報が第三者提供されても医療機関等の側で当該情報を削除しない限り、当該情報を保存している状態と何ら変わりがない。従って、その情報に関して適切な情報管理責任がなお残ることはいうまでもない。
医療情報が電子化され、ネットワーク等を通じて送受信して情報を提供する場合、第三者提供の際にも、医療機関等から受信側へ直接情報が提供されるわけではなく、情報処理関連事業者が介在することがある。この場合、いつの時点で、第三者提供が成立するのか、すなわち情報処理関連事業者との責任分界点の明確化というべき概念が発生する。
一旦適切・適法に提供された医療情報については送信側の医療機関等に責任はないことは先に述べたとおりであるが、第三者提供の主体は送信側の医療機関等であることからみて、患者に対する関係では、少なくとも情報が受信側に到達するまで、原則として送信側の医療機関等に責任があると考えることができる。その上で、前項にいうところの善後策を講ずる責任をいかに分担するかは、情報処理関連事業者及び送信側との間で、あらかじめ協議し明確にしておくことが望ましい。選任監督義務を果たしており、特に明記されていない場合で情報処理関連事業者の過失によるものである場合は、情報処理関連事業者が全ての責任を負うのが原則である。
4.3 例示による責任分界点の考え方の整理
本項では責任分界点について、幾つか例を挙げて解説する。ただし、本項は考え方を例として挙げているため、医療情報システムの安全管理や外部接続時のネットワークの考え方、保存義務のある書類の保存、外部保存を受託することが可能な機関の選定基準等は、それぞれ6章、7章、8章を参照する必要がある。
(1) 地域医療連携で「患者情報を交換」する場合
(a) 医療機関等における考え方
① 「情報処理関連事業者の提供するネットワーク」を通じて医療情報の提供元医療機関等と提供先医療機関等で患者情報を交換する場合の責任分界点
ここでいう「情報処理関連事業者の提供するネットワーク」とは、情報処理関連事業者の責任でネットワーク経路上のセキュリティを担保する場合を言う。
提供元医療機関等と提供先医療機関等はネットワーク経路における責任分界点を定め、不通時や事故発生時の対処も含めて契約等で合意しておく。
その上で、自らの責任範囲において、情報処理関連事業者と管理責任の分担について責任分界点を定め、委託する管理責任の範囲及びサービスに何らかの障害が起こった際の対処をどの事業者が主体となって行うかを明らかにしておく。
ただし、通常運用における責任並びに事後責任は、委託の場合には、原則として提供元医療機関等にあり、第三者提供の場合には、適切に情報が提供される限り原則として提供先医療機関等にある。情報処理関連事業者に瑕疵のない場合は、情報処理関連事業者に生じるのは管理責任の一部のみであることに留意する必要がある。
② 提供元医療機関等と提供先医療機関等が独自に接続する場合の責任分界点
ここでいう「独自に接続」とは、情報処理関連事業者のネットワークではあるが、接続しようとする医療機関等同士がルータ等の接続機器を自ら設定して1対1や1対Nで相互に接続する場合や電話回線等の公衆網を使う場合を言う。
この場合、あらかじめ提供先又は提供先となる可能性がある医療機関等を特定できる場合は、委託又は第三者提供の要件に従って両機関等が責務を果たさなければならない。
情報処理関連事業者に対しては、管理責任の分担は発生せず、通信の品質確保は発生するとしても、情報処理関連事業者が提示する約款に示される一般的な責任しか存在しない。
さらに、提供元医療機関等と提供先医療機関等が1対N通信で、提供先医療機関等が一つでも特定できない場合は原則として医療情報を提供できない。ただし、法令で定められている場合等の例外を除く。
(b) 情報処理関連事業者に対する考え方
① 医療情報が発信元/送信先で適切に暗号化/復号される場合の責任分界点
患者情報を送信しようとする医療機関等(発信元)の情報システムにおいて、送信前に患者情報が暗号化され、情報を受け取った医療機関等(送信先)の情報システムにおいて患者情報が復号される場合、情報処理関連事業者は盗聴の脅威に対する個人情報保護上の責務とは無関係であり、責任は限定的になる。
この場合、情報処理関連事業者に存在するのは管理責任であり、ネットワーク上の情報の改ざんや侵入、妨害の脅威に対する管理責任の範囲やネットワークの可用性等の品質に関して契約で明らかにしておく。
なお、暗号化等のネットワークに係る考え方や最低限のガイドラインについては、「6.11 外部と個人情報を含む医療情報を交換する場合の安全管理」を参照されたい。
② 医療情報が情報処理関連事業者の管理範囲の開始点で適切に暗号化される場合の責任分界点
情報処理関連事業者の中には、例えば暗号化された安全なネットワーク回線の提供を主たるサービスとしている事業者も存在する。
そのようなネットワーク回線を使う場合、事業者が提供するネットワーク回線上における外部からの情報の盗聴や改ざん、侵入等やサービスの可用性等の品質については事業者に管理責任が発生する。従って、それらの責任については契約で明らかにしておく。
ただし、事業者が提供するネットワーク回線に到達するまでの管理責任やネットワーク回線を流れる情報に対する管理責任は医療機関等に存在するため、「Ⅰ医療機関等における考え方①医療情報の提供元医療機関等と提供先医療機関等の責任分界点」に則った考え方の整理が必要である。
なお、ネットワーク回線上とネットワーク回線を流れる情報に対する考え方や最低限のガイドラインについては、「6.11 外部と個人情報を含む医療情報を交換する場合の安全管理」を参照されたい。
(c) 外部保存機関が介在する場合に対する考え方
この場合、保存する情報は外部保存機関に委託することになるため、通常運用における責任、事後責任は医療機関等にある。
これを他の医療機関等と共用しようとする場合は、双方の医療機関等における管理責任の分担を明確にし、共用に対する患者の同意も得ておく必要がある。
また、外部保存機関とは、サービスに何らかの障害が起こった際の対処について契約で明らかにしておく。
なお、医療機関等が外部保存機関を通じて患者情報を交換する場合の医療機関等及び外部保存機関に対する考え方は、「8.1.2 外部保存を受託する機関の選定基準及び情報の取扱いに関する基準」で定める保存機関ごとに「2.情報の取扱い」及び「3.情報の提供」として、別途詳細に規定しているため、8.1.2章を参照されたい。
(2)業務の必要に応じて医療機関等の「施設外から情報システムにアクセス」する場合
施設外から情報システムにアクセスする場合のネットワーク全般の考え方については、「6.11 外部と個人情報を含む医療情報を交換する場合の安全管理」の、特に「B-2.選択すべきネットワークのセキュリティの考え方Ⅲ.モバイル端末等を使って医療機関等の外部から接続する場合」を参照されたい。ここでは特に責任分界点の考え方について述べる。
(a) 自らの機関の情報システムにアクセスし業務を行う、いわゆるテレワーク
昨今、医療機関等においても医療機関等の施設外から自らの機関の情報システムにアクセスし業務を行う、いわゆるテレワークも一般的になってきた。
この場合、責任分界の観点では自施設に閉じているが、情報処理関連事業者が間に入って通信回線の両端で一医療機関等の従業者が関わることになる。
さらに、この場合には通信回線がインターネットだけでなく携帯電話網、公衆回線等多彩なものが利用されることになり、個人情報保護について広範な対応が求められることになる。
特に、医療機関等の管理責任者でない医療機関等の従業者についても管理責任が問われる事態も発生することに注意を払う必要がある。
この例の場合、責任分界点としては基本的に自施設に閉じているため、責任のあり方の原則としては、「4.1 医療機関等の管理者の情報保護責任について」を参照すべきことに留意しなくてはならない。
(b) 第三者が保守を目的としてアクセスする、いわゆるリモートメンテナンス
この例のような、リモートログインを用いた保守業者の遠隔保守のためのアクセスが考えられる。この場合、適切な情報管理や情報アクセス制御がなされていないと一時保存しているディスク上の個人情報を含む医療情報の不正な読み取りや改ざんが行われる可能性もある。他方、リモートログイン機能を全面的に禁止してしまうと、遠隔保守が不可能となり、保守に要する時間等の保守コストが増大する。
従って、保守の利便性と情報保護との兼ね合いを見極めつつ実施する必要がある。
ただし、この場合でも、当然、医療機関等に対して「通常運用における責任」、「事後責任」が存在するため、管理状況の報告を定期的に受け、管理に関する最終的な責任の所在を明確にする等の監督を行い、管理責任を果たす必要がある。
なお、リモートログインも含めた、保守の考え方については「6.8 情報システムの改造と保守」を参照されたい。
(3) 医療機関等の業務の一部を委託することに伴い情報が「一時的に外部に保存」される場合
ここでいう委託とは遠隔画像診断、臨床検査等、診療等を目的とした業務の第三者委託であり、これに伴い一時的にせよ情報を第三者が保管することとなる。
医療機関等の管理者は業務委託先に対して、受託する事業者の選定に関する責任やセキュリティ等の改善指示を含めた管理責任があるとともに、情報の保存期間の規定等の管理監督を行う必要がある。
ただし、受託する事業者は保存した情報の漏えい防止、改ざん防止等の対策を講じることは当然であるが、感染症情報や遺伝子情報等の機微な情報の取扱い方法や保存期間等を双方協議し明記しておく必要がある。
なお、治験のように、上記のようないわゆる業務委託ではなくとも、医療情報が外部に提供される場合は、これに準じてあらかじめ治験依頼者との間で双方の責任及び情報の取扱いについて取り決めを行うことが必要である。
(4) オンライン外部保存を委託する場合
委託先が医療機関等、行政機関、又は民間事業者であるかによって要件は異なるので、本ガイドラインの「8.1.2 外部保存を受託する機関の選定基準及び情報の取扱いに関する基準」を十分理解して委託先の選定と適切な契約を結ぶ必要がある。患者等に対する責任の主体は委託を行う医療機関等であり、医療機関等が説明責任を果たすための資料や説明の提供を委託契約で定め、医療機関等としても理解する努力は必要である。さらにネットワーク事業者と外部保存を受託する事業者は異なることが多いが、障害が起こった際の対処の責任範囲についても、明確に定めた上で、医療機関等が理解しておく必要がある。
さらに委託先に対する監督も必須であり、定期的に安全管理に関する状況の報告を受ける必要がある。
(5) 法令で定められている場合
法令で定められている場合等の特別な事情により、情報処理関連事業者に暗号化されていない医療情報が送信される場合は、情報処理関連事業者若しくはネットワークにおいて盗聴の脅威に対する対策を施す必要がある。
そのため、当該医療情報の通信経路上の管理責任を負っている医療機関等は、情報処理関連事業者と医療情報の管理責任についての明確化を行わなくてはならない。
また、情報処理関連事業者に対して管理責任の一部若しくは全部を委託する場合は、それぞれの事業者と個人情報に関する委託契約を適切に締結し、監督しなければなら
ない。
4.4 技術的対策と運用による対策における責任分界点
情報システムの安全を担保するためには、「技術的な対応(対策)」と「組織的な対応(運用による対策)」の総合的な組み合わせによって達成する必要がある。
技術的な対応(対策)は医療機関等の総合的な判断の下、主にシステム提供側(ベンダ)に求められ、組織的な対応(運用による対策)は利用者側(医療機関等)の責任で実施される。
総合的な判断とは、リスク分析に基づき、経済性も加味して装置仕様あるいはシステム要件と運用管理規程により一定レベルの安全性を確保することである。この選択は安全性に対する脅威やその対策に対する技術的変化や医療機関等の組織の変化を含めた社会的環境変化により異なってくるので、その動向に注意を払う必要がある。
総合的な判断を下し、医療機関等が責任を果たすためには、ベンダへ要求する技術要件あるいはベンダが要求する運用条件を明確にして、ベンダとの責任分界点を明確にする必要がある。
運用管理規程は、医療機関等として総合的に作成する場合と医用画像の電子保存のように部門別や装置別に作成される場合がある。基準を満たしているか否かを判断する目安として、10章と付表を参考にして、「基準適合チェックリスト」等を作成して整理しておく必要がある。このようなチェックリストは第三者へ説明責任を果たす際の参考資料に利用できる。