戻る

ガイドラインに係る論点の例


【個人情報取扱事業者としての義務等に係る論点(例)】

1. 個人情報の利用や第三者への提供等に当たって具体的に必要となる対応に関する論点













(事例1)  病院の職員を対象とした研修会で、事例として一部の患者の診療情報を使用した。研修に使用することは当該患者に説明していない。
  →  目的外利用の制限違反となるおそれがある。

(事例2)  都道府県知事から法令に基づき特定の患者の診療情報を提出するよう命令があった。
  →  法令に基づく命令の場合は、本人の同意を得なくとも、個人情報保護法違反とはならない。

(事例3)  医療機関Aの医師から、医療機関Bの医師に対し、医療機関Bが過去に診療した患者の診療情報を知りたい旨の照会があった。
  →  医療機関Aが医療機関Bに照会することについて患者の同意を得ることで足りるのか。照会を受けた医療機関Bが改めて診療情報を提供することについて患者の同意を得る必要があるのか。













 利用目的の特定・公表等(15条)
 利用目的をできる限り特定し、本人への通知又は公表を行わなければならないとされているが、医療機関等においては、典型的な利用目的についてどのように特定することが考えられるか
 (例) 例えば、
利用目的としては、本人に対する医療等の提供、医療保険・介護保険事務、医療機関等の管理運営などとすることが考えられる。
公表の方法として、院内掲示、ホームページでの公表が考えられる。

 取得の状況からみて利用目的が明らかであると認められる場合は、利用目的の本人への通知又は公表を行うことの例外とされているが、通常、患者の申込みに応じて診察・治療等を行う場合は、このような例外に該当し、本人への通知又は公表を行う必要はないと考えてよいか。

 目的外利用の制限(16条)
 本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならないとされているが、医療機関等が、診療情報を職員の研修等に利用しようとする場合、どのような対応が必要か。
 (例)・ 職員の研修に利用する場合があることをあらかじめ公表しておく。
個人情報の利用を行うこととした場合に、本人の同意を得て利用する。

 第三者提供の制限(23条)
 第三者に対する個人データの提供については、原則として本人の同意を得ることとされているが、医療機関等が連携してサービスを提供する場合や医師が外部の専門医に相談するような場合に、どのような対応が必要か。
 法令に基づく場合、人の生命・身体・財産の保護に必要な場合等は、この制限の例外とされているが、医療機関等では、どのような事例が該当するか。
 (例)・ 第三者に個人情報を提供する場合は、本人の同意を得る。
委託に当たる場合は、第三者に該当しないので、本人の同意は必要ない。
医療法に基づく立入検査への対応、感染症患者に係る知事への届出(感染症予防法)などは例外規定に該当することから、本人の同意を得ることなく提供して差し支えない。

2. 個人情報の安全管理のために必要となる対応に関する論点







(事例1)  病院に従事している医師が、患者の診療情報を自宅に持ち帰って業務を行おうとしたところ、帰宅途上で書類を紛失してしまった。
  →  安全管理措置や従業員に対する監督義務に違反するおそれがある

(事例2)  個人情報の取り扱いに何ら留意することなく、検査機関に、患者の氏名等を付して検体検査を委託したところ、検査機関からの患者情報の漏洩が発生した。
  →  委託先に対する監督義務に違反するおそれがある。







 安全管理措置、従業者・委託先の監督(20条〜22条)
 個人データの安全管理のために必要かつ適切な措置を講じなければならないとされているが、医療機関等においては、どのような対応が必要か。
 従業員に対する監督として、どのような対応が必要か。
 個人データの取扱いを委託する場合は、委託先に対し必要な監督を行わなければならないとされているが、医療機関等が個人データの取扱いを委託する場合は、どのような対応が必要か。
  (参考)  個人情報の保護に関する基本方針関連部分
 〜 事業者が講ずべき措置
事業者が行う措置の対外的明確化(いわゆる「プライバシーポリシー」の策定・公表、漏洩が発生した場合の事実関係等の公表
責任体制の確保
従業者の啓発

3. 本人からの要求・苦情等に対する対応に関する論点

 保有個人データの開示・訂正等(25条〜26条)
 本人の求めに応じて、原則として、保有個人データを開示しなければならないとされているが、医療機関等においてはどのような対応が適切か。
 本人又は第三者の生命・身体・財産その他の権利利益を害するおそれがある場合等は開示しないことができるとされているが、どのような場合がこれに該当するか。
 事実でないという理由により本人から訂正等を求められた場合はこれに応じなければならないとされているが、診療情報における「事実」とは何か、また、これを踏まえ、どのように対応する必要があるか。

(参考) 「診療に関する情報提供等の在り方に関する検討会」報告書(平成15年6月)、「診療情報の提供等に関する指針」(平成15年9月)

 苦情処理(31条)
 苦情処理やそのための体制整備に努めなければならないとされているが、どのような対応が必要か。

4. 個人情報保護法の適用関係とガイドラインの対象に関する論点

 ガイドラインの適用範囲
 個人情報保護法では、生存する個人の情報のみを対象としているが、死者に関する情報についても、ガイドラインの適用対象とすることが適切か。
 個人情報の件数が5000件以下の事業者は、個人情報保護法の定める具体的義務等の適用が除外されているが、ガイドラインの適用対象とすることが適切か。


【ガイドライン策定の基本的考え方(素案)】

 ○  医療機関等における取り組みを支援する観点から、できる限り、具体的に何をしたらよいかを示すこととしてはどうか。

 ○  診療情報は、プライバシー性の高い情報である一方、診療に利用することを目的としたものであり、また、チーム医療や医療機関等の連携により適切な医療・介護サービスを提供する必要があることから、情報の保護と利用のバランスを如何にとっていくかについて具体的な議論を進めることが必要ではないか。

 ○  ガイドラインに係る議論については、議論を効率的に医療機関をまず念頭に議論を行いつつ、他の事業者についても必要に応じ修正を行いつつ、応用していくという方向で議論を進めてはどうか。

 ○  医療機関等の業務やその規模にも様々なものがあることから、個人情報保護法を遵守する上で最低限必要な対応から、より高いレベルの望ましい対応まで幅がある議論をすることが適当ではないか。


トップへ
戻る