６．改正個人情報保護法のポイント

　個人情報保護法は、ICTの発達に伴い制定当初に想定されなかったようなパーソナルデータの利活用が可能になったことをふまえ、「定義の明確化」「個人情報の適正な活用・流用の確保」「グローバル化への対応」等を目的として改正され、平成27年9月に公布されました。主要な改正点は以下のとおりです。

（ⅰ）小規模取り扱い事業者適用除外の廃止

　個人情報の取り扱い数が、過去6か月以内のいずれの日においても5000未満である事業者に対する適用対象外規定が廃止され、これまで義務の対象外だった小規模診療所も義務の対象になります。今後は患者情報漏えいが発生した場合、安全管理義務違反を問われるおそれがあり、患者本人からカルテ開示の請求があった場合に画像データや検査結果の複製に応じられるよう体制を整えておかなければなりません。

（ⅱ）個人情報の範囲の拡大

　個人識別符号が含まれるものが個人情報の対象になり、個人識別符号にはDNAの解析結果、指紋・顔の特長をコンピュータで扱うためデジタル化した情報の他、マイナンバー、運転免許番号、保険証の記号・番号等が該当します。保険証については、患者氏名がなくても記号・番号のみで個人情報として保護の対象となりますので取扱いに注意が必要です。

（ⅲ）要配慮個人情報の新設

　要配慮個人情報とは、人種や信条など個人が不当な差別を受ける原因となる可能性のある情報で、プライバシーマーク規格における「機微な個人情報」にあたるものです。この要配慮個人情報に、診療情報、調剤情報、健診結果、保健指導の内容、障害、ゲノム情報が該当し、改正法では通常の個人情報よりもさらに厳格な取り扱いが求められています。要配慮個人情報を第三者提供する場合には、オプトアウト手続き（＊2）が認められず、本人の同意を得ることが義務付けられます。

（＊2）オプトアウト手続き・・・本人の求めに応じて個人データの第三者提供を停止することとしている場合であり、予め第三者提供の利用目的や提供方法の一定の事項を通知している場合に本人の同意に代えることができるとする手続き。改正法施行後、オプトアウト手続きにより個人データを第三者提供する場合は、個人情報保護委員会（内閣府外局の行政委員会）への届出が必要です。

　
　ただし、法令に基づく場合、人の生命等の保護のために必要であって本人の同意を得ることが困難な場合、学術研究の用に供する場合などは本人の同意を要しないとされています。また、事業の継承に伴ってデータが提供される場合や共同して情報を利用する場合は第三者に該当しないとしています。したがって家族への情報提供、他医療機関との連携などの場合は患者の同意なしで取得できますが、学術研究以外の目的で行う疫学調査に診療情報を用いる場合は、患者の同意を得る必要があります。

（ⅳ）規制の強化

　個人情報を第三者に提供する場合、原則として提供年月日、提供先に関する記録を作成し、一定期間保存する事が義務付けられます。また提供を受ける側も、提供者が個人データを取得した経緯の確認と、提供年月日、提供者情報およびその取得経緯に関する記録を作成し一定期間保存する事が義務づけられます。その他、個人データを利用する必要がなくなった場合、遅滞なく消去する努力義務が追加されました。

（ⅴ）罰則の強化

　個人情報データベースなどを取り扱う個人情報取扱事業者やその従業者などが、不正な利益を図る目的で提供もしくは盗用した場合、1年以下の懲役または50万円以下の罰金を科せられる「データベース提供罪」が新設されました。

　今回の改正は、グローバル化の対応として、米国の「プライバシー章典」や欧州の「EUデータ保護規則」との整合性を図ることも目的であったため、医療関係者の間では医療と医学研究の視点が抜け落ちていると指摘されています。これを受けて個人情報保護委員会と厚生労働省は、「医療・介護事業者における個人情報の適切な取り扱いのためのガイダンス」を策定し平成29年4月14日に公表しました。

 　ガイダンスでは、現行のガイドラインの考えを維持するとともに、法改正に伴い新たに必要となる規定が盛り込まれており、改正法の全面施行の日（平成29年5月30日）から旧来のガイドラインに代わり、ガイダンスの内容を踏まえた個人情報の適切な取り扱いに取り組むことが医療関係事業者に求められることとなります。

　次回は、改正をふまえた実際の対策についてご説明します。