医療機関における個人情報保護~改正個人情報保護法の全面施行を見据えて~(2)
2017.07.14
カテゴリ:
制度・政策
タグ:
個人情報, 2017年改正

3.医療においての個人情報の範囲

 個人情報保護法において、「個人情報」は「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日、その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)という」と定義されています。
 医療における個人情報の具体例については、「医療・介護関係事業者における個人情報の適切な取り扱いのためのガイダンス」で、診療録、処方せん、手術記録、助産録、看護記録、検査所見記録、エックス線写真、紹介状、退院した患者に係る入院期間中の診療経過の要約、調剤録等と掲げられています。
 また法律において個人情報の適正な取得と安全管理措置を義務づけられる個人情報取扱事業者は、下記を除く個人情報を事業の用に供している者と定義されています。

 ・国の機関
 ・地方公共団体、独立行政法人
 ・事業活動に利用している個人情報が過去6か月以内のいずれの日においても5000未満で
 ある事業者(改正法では削除)

  医療機関も個人情報取扱事業者に該当し、個人情報取扱事業者には下記に掲げる事項が義務づけられています。

・利用目的の特定
・利用目的の達成に必要な範囲を超えた利用の制限
・個人情報の第三者提供において本人同意の取得
・偽りその他不正の手段による個人情報の取得の禁止
・個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のための必要 
 かつ適切な措置を講じること
・従業者が個人データを取り扱うにあたり、安全管理が図られるよう必要かつ適切な監督を行
 う

 このうち第三者提供については、法令に基づく場合や、人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき等は、予め本人の同意を得る事は要しないとされています。

 4.ガイドラインの策定

 法律の施行後、医療機関で特に問題視されたのが第三者提供の取扱いであり、民間保険会社からの照会、職場からの照会、入院患者の面会者からの問い合わせ等でどのように対応するべきか、医療機関から具体的な例示が欲しいという声が上がるようになりました。
 また、従来の守秘義務の概念と混同して法律が個人情報の利用を取り締まるためのものと捉えられ、外来で患者の名前を呼ぶ事は違反ではないか、入院している部屋の前やベッドの頭上に患者の名前を書く事は違反ではないかといった様々な過剰な反応も見られました。この様な混乱に至ったのは、前述の診療情報に対する主客の逆転や、医療情報の特殊性が要因として考えられます。この様な状況を受けて厚生労働省は、医療機関における個人情報の取り扱いに対する基準として、平成16年12月24日に「医療・介護関係事業者における個人情報の適切な取り扱いのためのガイドライン」(以下ガイドライン)を策定しました。医療機関ではガイドラインをもとに個人情報の適正な取り扱いに取り組むようになりました。

 5.実際の運用状況

 個人情報保護法の施行とガイドラインの策定から10年以上経ち、医療機関にも個人情報保護の概念が定着するようになりましたが、現実問題として患者情報の院外持ち出しなどによる患者情報の取扱い事故は後を絶たない状況にあるといわざるを得ません。以下は2012年以降に発生した患者情報の取扱い事故事例からの抜粋です。

 1)医師USBメモリ紛失による個人情報の流出
 2016年に福島県の病院において、患者237人の氏名、生年月日等の属性情報と病歴、検査 
 データ、カルテ番号が含まれた個人情報が記録されたUSBメモリが所在不明になっているこ
 とが発覚した。紛失したのは、同院医師が利用していたUSBメモリであった。同院では、原則 
 USBメモリへの個人情報の保存を禁止しており、保存する場合は、所属長の許可を得て、
 USBメモリやファイルにパスワードをかける規則となっていた。

2)患者家族待合室に個人情報を含む書類を放置
 2016年に佐賀県の病院において、事務員が手術を受ける患者180人分の個人情報を含む
 手術予定一覧を、手術患者の家族用の待合室に誤って置き忘れるミスが発生。書類は同日
 回収されたが、発見までの間、人目に触れる場所に置かれていた。

3)診療情報管理士がツイッターにスポーツ選手の情報を投稿
 2012年に茨城県の病院に勤務している診療情報管理士が通院中のスポーツ選手のカルテ
 を業務目的外に閲覧し、個人情報をツイッターに投稿。インターネット上で非難が殺到して発
 覚し、病院が謝罪文を病院のウェブサイトに掲載した。

4)興味本位で電子カルテを不正閲覧
 2015年に宮城県の病院で家庭内暴力が原因で保護入院する姉妹の電子カルテが院内で
 不正閲覧されていた。委託する医療事務会社の社員ら20人以上が職務と無関係に閲覧し、
 一部は「興味本位で見た」と認めている。姉妹の母親は病院と医療事務会社を提訴し、慰謝  
 料900万円を求めている。

  情報セキュリティに関するニュース配信サイト「Security NEXT」の調査によると、患者情報の取扱い事故の発生は、2011年以降増加傾向であり、USBメモリやハードディスクの盗難、紛失による事故が最も多くなっています。
 また最近ではSNSへの書き込みが増加傾向にあります。医療機関による情報漏えい事故の発生件数は民間企業に比べても多く、情報セキュリティの専門家の間では、医療従事者の個人情報保護に対する関心が薄いことが要因ではないかと指摘されています。この様な事態を受け、将来的にNDB(レセプト情報・特定健診等情報データベース)の活用や医療ID制度の導入等、医療情報の一元管理化が計画されている事もふまえ、個人情報の更なる適正利用の推進、規制強化のための法整備が議論されるようになりました。

 次回は改正個人情報保護法のポイントについてご説明します。

 

kojinjouhou_pc