III 医療・介護関係事業者の義務等責務
1. | 利用目的の特定等(法第15条、第16条) |
(利用目的の特定)
(利用目的による制限)
|
(1) | 利用目的の特定及び制限 医療・介護関係事業者が医療・介護サービスを希望する患者・利用者から個人情報を取得する場合、当該個人情報を患者・利用者に対する医療・介護サービスの提供、医療・介護保険事務、入退院等の病棟管理などで利用することは患者・利用者にとって明らかと考えられる。 これら以外で個人情報を利用する場合は、患者・利用者にとって必ずしも明らかな利用目的とはいえない。この場合は、個人情報を取得するに当たって明確に当該利用目的の公表等の措置が講じられなければならない。(III2.参照) 医療・介護関係事業者の通常の業務で想定される利用目的は別表2のとおりであり、医療・介護関係事業者は、これらの中から自らの業務に照らして通常必要とされるものを特定して公表(院内掲示等)しなければならない。(III2.参照) また、別表2に掲げる利用目的の範囲については、法第15条第2項に定める利用目的の変更を行うことができると考えられる。ただし、変更された利用目的については、本人へ通知又は公表しなければならない。(III2.参照) | ||||||||||||||||||||
(2) | 利用目的による制限の例外 法第16条第3項に掲げる場合については、本人の同意を得る必要はない。具体的な例としては以下のとおりである。
|
【法の規定により遵守すべき事項等】
・ | 医療・介護関係事業者は、個人情報を取り扱うに当たって、その利用目的をできる限り特定しなければならない。 |
・ | 医療・介護関係事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。 |
・ | 医療・介護関係事業者は、あらかじめ本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。なお、本人の同意を得るために個人情報を利用すること(同意を得るために患者・利用者の連絡先を利用して電話をかける場合など)、個人情報を匿名化するために個人情報に加工を行うことは差し支えない。 |
・ | 個人情報を取得する時点で、本人の同意があった場合で、その後、本人から利用目的の一部についての同意を取り消す旨の申出があった場合は、その後の個人情報の取扱いについては、本人の同意のあった範囲に限定して取り扱う。 |
・ | 医療・介護関係事業者は、合併その他の事由により他の事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。 |
・ | 利用目的の制限の例外(法第16条第3項)に該当する場合は、本人の同意を得ずに個人情報を取り扱うことができる。 (利用目的を変更する場合の取扱いについてはIII2.を参照) |
【その他の事項】
・ | 利用目的の制限の例外に該当する「法令に基づく場合」等であっても、利用目的以外の目的で個人情報を取り扱う場合は、当該法令等の趣旨をふまえ、その取り扱う範囲を真に必要な範囲に限定することが求められる。 |
| |
・ | 患者が未成年者等の場合、法定代理人等の同意を得ることで足りるが、一定の判断能力を有する未成年者等については、法定代理人等の同意にあわせて本人の同意を得る。 |
・ | 意識不明の患者や重度の痴呆性の高齢者などで法定代理人がいない場合で、緊急に診療が必要な場合については、上記(2)(2)に該当し、当該本人の個人情報を取り扱うことができる。 |
2. | 利用目的の通知等(法第18条) |
(取得に際しての利用目的の通知等)
|
【法の規定により遵守すべき事項等】
・ | 医療・介護関係事業者は、個人情報を取得するに当たって、あらかじめその利用目的を公表しておくか、個人情報を取得した場合、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。 |
・ | 利用目的の公表方法としては、院内や事業所内等に掲示するとともに、可能な場合にはホームページへの掲載等の方法により、なるべく広く公表する必要がある。 |
・ | 医療・介護関係事業者は、受付で患者に保険証を提出してもらう場合や問診票の記入を求める場合など、本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を院内掲示等により明示しなければならない。ただし、救急の患者で緊急の処置が必要な場合等は、この限りでない。 |
・ | 医療・介護関係事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。 |
・ | 取得の状況からみて利用目的が明らかであると認められる場合など利用目的の通知等の例外に該当する場合は、上記内容は適用しない。(「利用目的が明らか」な場合についてはIII1.(1)を参照) |
【その他の事項】
・ | 利用目的が、本規定の例外である「取得の状況からみて利用目的が明らかであると認められる場合」に該当する場合であっても、患者・利用者等に利用目的をわかりやすく示す観点から、利用目的の公表に当たっては、当該利用目的についても併せて記載する。 |
・ | 院内や事業所内等への掲示に当たっては、受付の近くに当該内容を説明した表示を行い、初回の患者・利用者等に対しては、受付時や利用開始時において当該掲示についての注意を促す。 |
・ | 初診時や入院・入所時等における説明だけでは、個人情報について十分な理解ができない患者・利用者も想定されることから、患者・利用者が落ち着いた時期に改めて説明を行ったり、診療計画書、療養生活の手引き、訪問介護計画等のサービス提供に係る計画等に個人情報に関する取扱いを記載するなど、患者・利用者が個人情報の利用目的を理解できるよう配慮する。 |
・ | 患者・利用者等の希望がある場合、詳細の説明や当該内容を記載した書面の交付を行う。 |
3. | 個人情報の適正な取得、個人データ内容の正確性の確保(法第17条、第19条) |
(適正な取得)
(データ内容の正確性の確保)
|
【法の規定により遵守すべき事項等】
・ | 医療・介護関係事業者は、偽りその他の不正の手段により個人情報を取得してはならない。 |
・ | 診療等のために必要な過去の受診歴等については、真に必要な範囲について、本人から直接収集するほか、第三者提供について本人の同意を得た者(III5.(3)により本人の黙示の同意が得られていると考えられる者を含む)から収集することを原則とする。ただし、本人以外の家族等から収集することが診療上又は適切な介護サービスの提供上やむを得ない場合はこの限りでない。 |
・ | 親の同意なく、十分な判断能力を有していない子どもから家族の個人情報を取得してはならない。 |
・ | 医療・介護関係事業者は、適正な医療・介護サービスを提供するという利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない。 |
【その他の事項】
・ | 第三者提供により他の医療・介護関係事業者から個人情報を入手したとき、当該個人情報の内容に疑義が生じた場合には、記載内容の事実に関して本人又は情報の提供を行った者に確認をとる。 |
・ | 医療・介護関係事業者は、個人データの内容の正確性、最新性を確保するため、III4.(2)(2)に示す委員会等において、具体的なルールを策定したり、技術水準向上のための研修の開催などを行うことが望ましい。 |
4. | 安全管理措置、従業者の監督及び委託先の監督(法第20条〜第22条) |
(安全管理措置)
(従業者の監督)
|
(1) | 医療・介護関係事業者が講ずるべき安全管理措置
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
(2) | 安全管理措置として考えられる事項 医療・介護関係事業者は、その取り扱う個人データの重要性にかんがみ、個人データの漏えい、滅失またはき損の防止その他の安全管理のため、その規模、従業者の様態等を勘案して、以下に示すような取組を参考に、必要な措置を行うものとする。 また、同一事業者が複数の施設を開設する場合、当該施設間の情報交換については第三者提供に該当しないが、各施設ごとに安全管理措置を講ずるなど、個人情報の利用目的を踏まえた個人情報の安全管理を行う。
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
(3) | 業務を委託する場合の取扱い
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
(4) | 電子カルテ等の導入及びそれに伴う情報の外部保存を行う場合の取扱い 医療機関等において、電子カルテ等を導入したり、診療情報の外部保存を行う場合には、厚生労働省が別途定める指針によることとし、各医療機関等において運営及び委託等の取扱いについて安全性が確保されるよう規程を定め、実施するものとする。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
(5) | 個人情報の漏えい等の問題が発生した場合における二次被害の防止等 個人情報の漏えい等の問題が発生した場合には、二次被害の防止、類似事案の発生回避等の観点から、個人情報の保護に配慮しつつ、可能な限り事実関係を公表するとともに、都道府県の所管課等に速やかに報告する。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
(6) | その他 受付での呼び出しや、病室における患者の名札の掲示などについては、患者の取り違え防止など業務を適切に実施する上で必要と考えられるが、医療におけるプライバシー保護の重要性にかんがみ、患者の希望に応じて一定の配慮をすることが望ましい。 |
【法の規定により遵守すべき事項等】
・ | 医療・介護関係事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他個人データの安全管理のために必要かつ適切な措置を講じなければならない。 |
・ | 医療・介護関係事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。 |
・ | 医療・介護関係事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。 |
【その他の事項】
・ | 医療・介護関係事業者は、安全管理措置に関する取組を一層推進するため、安全管理措置が適切であるかどうかを一定期間ごとに検証するほか、必要に応じて外部機関による検証を受けることで、改善を図ることが望ましい。 |
5. | 個人データの第三者提供(法第23条) |
(第三者提供の制限)
|
(1) | 第三者提供の取扱い 医療・介護関係事業者は、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならないとされており、次のような場合には、本人の同意を得る必要がある。 (例)
| ||||||||||||||||||||||||||||||
(2) | 第三者提供の例外 ただし、次に掲げる場合については、本人の同意を得る必要はない。
| ||||||||||||||||||||||||||||||
(3) | 本人の同意が得られていると考えられる場合 医療機関の受付等で診療を希望する患者は、傷病の回復等を目的としている。一方、医療機関等は、患者の傷病の回復等を目的として、より適切な医療が提供できるよう治療に取り組むとともに、必要に応じて他の医療機関と連携を図ったり、当該傷病を専門とする他の医療機関の医師等に指導、助言等を求めることも日常的に行われる。また、その費用を公的医療保険に請求する場合等、患者の傷病の回復等そのものが目的ではないが、医療の提供には必要な利用目的として提供する場合もある。このため、第三者への情報の提供のうち、患者の傷病の回復等を含めた患者への医療の提供に必要であり、かつ、個人情報の利用目的として院内掲示等により明示されている場合は、原則として黙示による同意が得られているものと考えられる。 なお、傷病の内容によっては、患者の傷病の回復等を目的とした場合であっても、個人データを第三者提供する場合は、あらかじめ本人の明確な同意を得るよう求めがある場合も考えられ、その場合、医療機関等は、本人の意思に応じた対応を行う必要がある。
| ||||||||||||||||||||||||||||||
(4) | 「第三者」に該当しない場合
| ||||||||||||||||||||||||||||||
(5) | その他留意事項
|
【法の規定により遵守すべき事項等】
・ | 医療・介護関係事業者においては、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。なお、(2)の本人の同意を得る必要がない場合に該当する場合には、本人の同意を得る必要はない。 |
・ | 個人データの第三者提供について本人の同意があった場合で、その後、本人から第三者提供の範囲の一部についての同意を取り消す旨の申出があった場合は、その後の個人データの取扱いについては、本人の同意のあった範囲に限定して取り扱うものとする。 |
【その他の事項】
・ | 第三者提供に該当しない情報提供が行われる場合であっても、院内や事業所内等への掲示、ホームページ等により情報提供先をできるだけ明らかにするとともに、患者・利用者等からの問い合わせがあった場合に回答できる体制を確保する。 |
・ | 例えば、業務委託の場合、当該医療・介護関係事業者において委託している業務の内容、委託先事業者、委託先事業者との間での個人情報の取扱いに関する取り決めの内容等について公開することが考えられる。 |
|
6. | 保有個人データに関する事項の公表等(法第24条) |
(保有個人データに関する事項の公表等)
(保有個人データの適正な取扱いの確保に関し必要な事項)
|
【法の規定により遵守すべき事項等】
・ | 医療・介護関係事業者は、保有個人データに関し、(ア)当該個人情報取扱事業者の氏名又は名称、(イ)すべての保有個人データの利用目的(法第18条第4項第1号から第3号までに規定された例外の場合を除く)、(ウ)保有個人データの利用目的の通知、開示、訂正、利用停止等の手続の方法、及び保有個人データの利用目的の通知又は開示に係る手数料の額、(エ)苦情処理の申出先等について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置かなければならない。 |
・ | 医療・介護関係事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、上記の措置により利用目的が明らかになっている場合及び法第18条第4項第1号から第3号までの例外に相当する場合を除き、遅滞なく通知しなければならない。 |
・ | 医療・介護関係事業者は、利用目的の通知をしない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。 |
・ | 法施行前から保有している個人情報についても同様の取扱いを行う。 |
【その他の事項】
・ | 医療・介護関係事業者は、保有個人データについて、その利用目的、開示、訂正、利用停止等の手続の方法及び利用目的の通知又は開示に係る手数料の額、苦情の申出先等について、少なくとも院内や事業所内等への掲示、さらにホームページ等によりできるだけ明らかにするとともに、患者・利用者等からの要望により書面を交付したり、問い合わせがあった場合に具体的内容について回答できる体制を確保する。 |
7. | 本人からの求めによる保有個人データの開示(法第25条) |
(開示)
|
(1) | 開示の原則 医療・介護関係事業者は、本人から、当該本人が識別される保有個人データの開示を求められたときは、本人に対し、書面の交付による方法等により、遅滞なく、当該保有個人データを開示しなければならない。 | ||||||
(2) | 開示の例外 開示することで、法第25条第1項の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。具体的事例は以下のとおりである。 (事例1)
|
【法の規定により遵守すべき事項等】
・ | 医療・介護関係事業者は、本人から、当該本人が識別される保有個人データの開示を求められたときは、本人に対し、遅滞なく、当該保有個人データを開示しなければならない。また、当該本人が識別される保有個人データが存在しないときにその旨知らせることとする。ただし、開示することにより、法第25条第1項の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。 |
・ | II1.に記したとおり、例えば診療録の情報の中には、患者の保有個人データであって、診察した医師の保有個人データでもあるという二面性を持つ部分が含まれるものの、そもそも診療録全体が患者の保有個人データであることから、患者本人から開示の求めがある場合に、その二面性があることを理由に全部又は一部を開示しないことはできない。ただし、法第25条第1項の各号のいずれかに該当する場合には、法に従い、その全部又は一部を開示しないことができる。 |
・ | 開示の方法は、書面の交付又は求めを行った者が同意した方法による。 |
・ | 医療・介護関係事業者は、求められた保有個人データの全部又は一部について開示しない旨を決定したときは、本人に対し、遅滞なく、その旨を通知しなければならない。また、本人に通知する場合には、本人に対してその理由を説明するよう努めなければならない(III10.参照)。 |
・ | 他の法令の規定により、保有個人データの開示について定めがある場合には、当該法令の規定によるものとする。 |
【その他の事項】
・ | 法定代理人等、開示の求めを行い得る者から開示の求めがあった場合、原則として患者・利用者本人に対し保有個人データの開示を行う旨の説明を行った後、法定代理人等に対して開示を行うものとする。 |
・ | 医療・介護関係事業者は、保有個人データの全部又は一部について開示しない旨決定した場合、本人に対するその理由の説明に当たっては、文書により示すことを基本とする。また、苦情処理の体制についても併せて説明することが望ましい。 |
8. | 訂正及び利用停止(法第26条、第27条) |
(訂正等)
(利用停止等)
|
【法の規定により遵守すべき事項等】
・ | 医療・介護関係事業者は、法第26条、第27条第1項又は第2項の規定に基づき、本人から、保有個人データの訂正等、利用停止等、第三者への提供の停止を求められた場合で、それらの求めが適正であると認められるときは、これらの措置を行わなければならない。 | ||||
・ | ただし、利用停止等及び第三者への提供の停止については、利用停止等に多額の費用を要する場合など当該措置を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。 | ||||
・ | なお、以下の場合については、これらの措置を行う必要はない。
| ||||
・ | 医療・介護関係事業者は、上記の措置を行ったとき、又は行わない旨を決定したときは、本人に対し、遅滞なく、その旨を通知しなければならない。また、本人に通知する場合には、本人に対してその理由を説明するよう努めなければならない(III10.参照)。 |
【その他の事項】
・ | 医療・介護関係事業者は、訂正等、利用停止等又は第三者への提供の停止が求められた保有個人データの全部又は一部について、これらの措置を行わない旨決定した場合、本人に対するその理由の説明に当たっては、文書により示すことを基本とする。その際は、苦情処理の体制についても併せて説明することが望ましい。 |
・ | 保有個人データの訂正等にあたっては、訂正した者、内容、日時等が分かるように行われなければならない。 |
・ | 保有個人データの字句などを不当に変える改ざんは、行ってはならない。 |
9. | 開示等の求めに応じる手続及び手数料(法第29条、第30条) |
(開示等の求めに応じる手続)
(手数料)
(開示等の求めを受け付ける方法)
(開示等の求めをすることができる代理人)
|
(1) | 開示等を行う情報の特定 医療・介護関係事業者は、本人に対し、開示等の求めに関して、その対象となる保有個人データを特定するに足りる事項の提示を求めることができるが、この場合には、本人が容易かつ的確に開示等の求めをすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した措置をとらなければならない。 また、保有個人データの開示等については、本人の求めにより、保有個人データの全体又は一部が対象となるが、当該本人の保有個人データが多岐にわたる、データ量が膨大であるなど、全体の開示等が困難又は非効率な場合 |
(2) | 代理人による開示等の求め 保有個人データの開示等については、本人のほか、(1)未成年者又は成年被後見人の法定代理人、(2)開示等の求めをすることにつき本人が委任した代理人により行うことができる。 |
【法の規定により遵守すべき事項等】
・ | 医療・介護関係事業者は、保有個人データの開示等の求めに関し、本人に過重な負担を課すものとならない範囲において、以下の事項について、その求めを受け付ける方法を定めることができる。
| ||||||||
・ | 医療・介護関係事業者は、本人に対し、開示等の求めに関して、その対象となる保有個人データを特定するに足りる事項の提示を求めることができるが、この場合には、本人が容易かつ的確に開示等の求めをすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した措置をとらなければならない。 | ||||||||
・ | 保有個人データの開示等の求めは、本人のほか、未成年者又は成年被後見人の法定代理人、当該求めをすることにつき本人が委任した代理人によってすることができる。 | ||||||||
・ | 医療・介護関係事業者は、保有個人データの利用目的の通知、又は保有個人データの開示を求められたときは、当該措置の実施に関し、手数料を徴収することができ、その際には実費を勘案して合理的であると認められる範囲内において、手数料の額を定めなければならない。 |
【その他の事項】
・ | 医療・介護関係事業者は、以下の点に留意しつつ、保有個人データの開示の手続を定めることが望ましい。
| ||||||||||
・ | 代理人等、開示の求めを行い得る者から開示の求めがあった場合、原則として患者・利用者本人に対し保有個人データの開示を行う旨の説明を行った後、開示の求めを行った者に対して開示を行うものとする。 | ||||||||||
・ | 代理人等からの求めがあった場合で、(1)本人による具体的意思を把握できない包括的な委任に基づく請求、(2)開示等の請求が行われる相当以前に行われた委任に基づく請求が行われた場合には、本人への説明に際し、開示の求めを行った者及び開示する保有個人データの内容について十分説明し、本人の意思を確認するとともに代理人の求めの適正性、開示の範囲等について本人の意思を踏まえた対応を行うものとする |
10. | 理由の説明、苦情処理(法第28条、第31条) |
(理由の説明)
(個人情報取扱事業者による苦情の処理)
|
【法の規定により遵守すべき事項等】
・ | 医療・介護関係事業者は、本人から求められた保有個人データの利用目的の通知、開示、訂正等、利用停止等において、その措置をとらない旨又はその措置と異なる措置をとる旨本人に通知する場合は、本人に対して、その理由を説明するよう努めなければならない。 |
・ | 医療・介護関係事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。また、医療・介護関係事業者は、苦情の適切かつ迅速な処理を行うにあたり、苦情処理窓口の設置や苦情処理の手順を定めるなど必要な体制の整備に努めなければならない。 |
【その他の事項】
・ | 医療・介護関係事業者は、本人に対して理由を説明する際には、文書により示すことを基本とする。その際は、苦情処理の体制についても併せて説明することが望ましい。 |
・ | 医療・介護関係事業者は、患者・利用者等からの苦情処理にあたり、専用の窓口の設置や主治医等の担当スタッフ以外の職員による相談体制を確保するなど、患者・利用者等が相談を行いやすい環境の整備に努める。 |
・ | 医療・介護関係事業者は、当該施設における患者・利用者等からの苦情処理体制等について院内や事業所内等への掲示やホームページへの掲載等を行うことで患者・利用者等に対して周知を図るとともに、地方公共団体、地域の医師会や国民健康保険団体連合会等が開設する医療や介護に関する相談窓口等についても患者・利用者等に対して周知することが望ましい。 |