| 論点1: | 個人情報の利用や第三者への提供等に当たって具体的に必要となる対応に関する論点 |
| 論点1-1: | 利用目的の特定 |
| 論点1-2: | 利用目的の公表等 |
| 論点1-3: | 利用目的の変更、利用目的による制限 |
| 論点1-4: | 第三者提供の制限 |
| 論点1-5: | 個人情報に該当しないようにするための匿名化 |
| 論点1-6: | 本人の同意 |
| 論点2: | 個人情報の安全管理のために必要となる対応に関する論点 |
| 論点2-1: | 安全管理措置、従業者の監督、委託先の監督 |
| 論点3: | 本人からの要求・苦情等に対する対応に関する論点 |
| 論点3-1: | 個人データの開示原則とその例外 |
| 論点3-2: | 開示等に応じる手続き |
| 論点3-3: | 本人からの求めによる個人データの訂正等 |
| 論点3-4: | 利用停止等 |
| 論点3-5: | 苦情処理等 |
| 論点4: | ガイドラインの適用範囲や見直し等に関する論点 |
| 論点4-1: | ガイドラインの適用範囲 |
| 論点4-2: | ガイドラインの見直し |
| (別紙) | 医療機関等における診療情報等の利用目的や他の事業者への情報提供について(主な事例) |
| 〇 | 医療機関等における個人情報保護のガイドラインを策定するに当たっては、次の点を基本として検討していくこととしてはどうか。 |
| (1) | 本来の利用目的である医療(介護)サービスの提供が円滑かつ適切に行われることを最優先に考える。 |
| (2) | 上記の視点を踏まえつつ、医療(介護)サービスの提供以外の目的での利用や第三者への提供等については、本人の同意を得るなど、適正な手続を経ることとするとともに、漏えい等を防止するための適切な安全管理措置等を講じることとする。
|
| (3) | 個人情報の取扱いに当たって、医療機関等が何をすればよいか、患者等からみて何を期待できるかをできる限り具体的に示すこととする。 |
| (1) | 個人情報保護取扱事業者は、個人情報を取り扱うに当たっては、利用目的をできる限り特定しなければならない。(法15条1項) |
| (1) | ガイドラインの策定に当たって、診療情報等の利用や第三者への提供等について、整理することが望ましい主な事例には、どのようなものがあるか。(別紙) |
| (2) | 通常、医療機関等が、医療保険(介護保険)により、医療(介護)サービスを提供する場合については、診療情報等の利用目的は、患者等に対する医療サービス(介護サービス)の提供、医療保険(介護保険)事務、入退院等の病棟管理、会計・経理、医療サービス等の向上、これ以外の当該医療機関の管理運営、職員の研修などで特定できると考えてよいか。 |
| (1) | 個人情報取扱事業者は、個人情報を取得したときは、あらかじめ利用目的を公表している場合を除き、速やかに利用目的を本人に通知又は公表しなければならない。(法18条1項) |
| (2) | 契約書その他の書面により、本人から直接書面に記載された個人情報を取得する場合は、あらかじめ、本人に対し利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。(法18条2項) |
| (3) | 取得の状況からみて利用目的が明らかであると認められる場合等については、これらの規定は適用しない。(法18条4項) |
| (1) | 利用目的の公表の方法としては、院内掲示、ホームページへの掲載、本人への通知の方法としては、初診時や介護サービス提供開始の書面の交付などと考えてよいか。 |
||||
| (2) | 医療機関等が書面により個人情報を取得する場合としては、被保険者証の提示、問診表の記入などの他、どのような場合が考えられるか。 |
||||
| (3) | 通常、本人の申込みに応じて診察、介護サービスの提供等を行う場合で、論点1-1(2)(2)であげたような目的(患者等に対する医療サービス(介護サービス)の提供、医療保険(介護保険)事務、入退院等の病棟管理、会計・経理、医療サービス等の向上、これ以外の当該医療機関の管理運営)で診療情報等を利用する場合は、「取得の状況からみて利用目的が明らかであると認められる場合」に該当し、利用目的の公表等は行わなくともよいと考えてよいか。 (注)
|
| (1) | 利用目的の変更は、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。(法15条2項) また、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。(法18条3項) |
||||||||
| (2) | あらかじめ本人の同意を得ないで、利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。(法16条1項) | ||||||||
| (3) | 次の場合は、(2)の制限は適用しない。(16条3項)
|
| ┌ │ │ └ |
(議論のための事例)
|
┐ │ │ ┘ |
| (1) | 個人情報保護法を遵守するための対応として、以下のような対応があり得ると考えてよいか。
|
||||||||
| (2) | 更に、より望ましい対応として、どのような対応があり得るか。
|
| (注) | 例外規定((1)(3))については、次の第三者提供の制限の例外規定とあわせて検討。 |
| (1) | 次の場合を除き、あらかじめ本人の同意を得ずに、個人データを第三者に提供してはならない。(法23条1項) | ||||||||
| (2) | (1)の例外は、次のとおり。
|
||||||||
| (3) | 次により個人データの提供を受ける者は、第三者に該当しない。(法23条3項)
|
| (1) | 次のような典型的な事例(別紙より、議論のための事例を一部抽出)について、個人情報保護法を遵守する上で、どのような整理、対応が考えられるか。 |
| (2) | また、更に望ましい対応については、どうか。 |
【当該事業者内部での利用であると考えられる事例】
【他の事業者への情報提供ではあるが、「第三者」に該当しないと考えられる事例】
【第三者提供に該当し、原則として本人の同意を得ることが必要と考えられる事例】
【第三者提供に該当するが、本人の同意を得る必要のない例外規定に該当すると考えられる事例】
|
| (1) | 「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。(法2条1項) |
| (1) | 一般的には、文書に記載された情報については、氏名、生年月日、住所等を消去した場合には、特定の個人を識別することはできないと考えてよいか。また、顔写真については、一般的には目の部分をマスキングすることで、特定の個人を識別することはできないと考えてよいか。 |
| (2) | このような考え方をとる場合でも、例えば、職員の研修や学生の実習に診療情報等を利用する場合は、(1)のような処理を行っても事業者内部で得られる他の情報と照合することにより、特定の患者等を識別することができることも十分考えられることから、個人情報に該当するとして、法の規制が適用になることを前提として、本人の同意を得るなどの対応することが望ましいのではないか。 |
| (1) | 利用目的制限や第三者提供の制限を解除する要件として、本人の同意を得ることが規定されている。 |
| (1) | 未成年者とその親権者のように法定代理人がいる場合は、誰から同意を得ることが必要か。例えば、法定代理人のよる同意でよいと考えられるが、一定の判断能力を有する未成年者については本人の同意も得ることが望ましいと考えてよいか。
|
||
| (2) | 意識不明の患者や重度の痴呆性の高齢者などで、法定代理人がいない場合については、本人の同意を得ることが困難な場合として、利用目的制限等の例外規定に該当するかどうかを考えるということでよいか。 |
| (1) | 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。(法第20条) |
| (2) | 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。(法第21条) |
| (3) | 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。(法第 22条) |
| (1) | 個人情報取扱事業者が講ずべき個人情報の保護のための措置について、個人情報の保護に関する基本方針等では以下のとおり規定されているが、医療機関等における安全管理措置等についても、基本的に重要な事項は同様であると考えてよいか。 |
【個人情報の保護に関する基本方針(抜粋)】
【個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(平成16年6月 経済産業省:抜粋)】 2.個人情報取扱事業者の義務等
|
| (2) | 医療情報や医療機関等の業務の特性からみて、個人情報保護法を遵守する上で必要な対応やより高いレベルの対応として、各種の安全管理措置のうち、例えば、次のような事項について、医療機関等の規模等も踏まえつつ、医療機関等に求めることとしてはどうか。 |
| ア. | 個人情報保護に関する規程の整備、公表 |
| (参考) | 「診療情報の提供等に関する指針」においては、「診療情報の提供に関する規程」を整備することとされている。 |
【診療情報の提供等に関する指針(抜粋)】
|
| イ. | 個人情報保護推進のための委員会や責任者等の設置 |
||
| ウ. | 個人情報の漏洩等の問題が発生した場合の報告連絡体制の整備 |
||
| エ. | 医療資格者でない者も含めた従業者との雇用契約において、個人情報を漏えいしないことを義務づけること |
||
| オ. | 従業者に対する教育研修の実施 |
||
| カ. | 個人情報の提供が必要な業務委託を行う際の委託契約において、個人情報の漏えい防止その他の安全管理措置の実施を義務づけること
|
| (3) | 受付での呼び出しや、病室の患者の名札などについては、患者の取り違えを防止するなど業務を適正に実施する上で必要と考えられるが、患者の希望に応じて一定の配慮をするとが適当ではないか。 |
| (1) | 個人情報取扱事業者の義務の概要 |
| (1) | 事業者は、ア)本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合、イ)当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合、ウ)他の法令に違反することとなる場合、を除き、本人から、当該本人が識別される保有個人データの開示等を求められたときは、本人に対し、書面又は本人の同意する方法により、遅滞なく、当該保有個人データを開示しなければならないとされている。(法 25条1項) |
| (1) | 「診療情報の提供等に関する指針」においては、以下のとおりとなっているが、修正を要する点はあるか。 |
| (2) | 介護分野についても、基本的にこれに準ずるものと考えてよいか。 |
| 【診療情報の提供等に関する指針(抜粋)】 7 診療記録の開示 (1)診療記録の開示に関する原則
8 診療情報の提供を拒み得る場合
<(1)に該当することが想定され得る事例>
|
| (1) | 本人から個人データの開示等の求めがあった場合の受付等の手続きを定めることができるとともに、未成年者又は成年被後見人の法定代理人又は本人が委任した代理人による請求を認めている。(法29条、施行令8条) |
| (1) | 「診療情報の提供等に関する指針」においては、以下のとおりとなっているが、修正を要する点はあるか。 特に、開示を求め得る者として、どのような整理が適切であると考えられるか。 |
| (2) | 介護分野についても、基本的にこれに準ずるものと考えてよいか。 |
| 【診療情報の提供等に関する指針(抜粋)】 7 診療記録の開示 (2)診療記録の開示を求め得る者
(3)診療記録の開示に関する手続
|
| (1) | 事業者は、本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの内容の訂正、追加又は削除を求められた場合、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならないとされている。 (法26条1項) また、前項の規定に基づき求められた保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知しなければならないとされている。(法26条2項) |
| 〇 | 事実でないという理由により本人から訂正等を求められた場合にはこれに応じなければならないとされているが、診療情報における「事実」とは何か、これを踏まえ、どのように対応する必要があるか。 |
| 〇 | 「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」では、訂正を行う必要がない事例として、「訂正等の対象が事実でなく評価に関する情報である場合」を挙げている。 |
| (1) | 事業者は、本人から、個人データが正当な利用目的以外の目的で利用されている、不正な手段で取得されたという理由により、当該個人データの利用の停止又は消去を求められ、その理由が適切であると認められる場合は、利用停止等の措置をとらなければならないとされている。(法27条) |
| 〇 | 論点2により、個人情報の利用や第三者への提供等に当たって法を順守する上で必要となる対応を整理し、これに反する場合は利用停止等の措置をとることが必要。 |
| (1) | 事業者は、苦情の適切かつ迅速な処理に努め、必要な体制の整備に努めなければならないとされている。(法31条) |
| 〇 | 「診療情報の提供等に関する指針」においては、以下のとおりとなっているが、どのような対応が適切と考えるか。 |
| 【診療情報の提供等に関する指針(抜粋)】 11 診療情報の提供に関する苦情処理
|
| (1) | この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいうとされている。(法2条1項) |
| (注) | 従って、死者に関する情報は含まれていない。ただし、死者に関する情報が同時に遺族等の生存する個人に関する情報でもある場合には、当該生存する個人に関する情報として法の対象となる。 |
| (2) | その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6月以内のいずれの日においても5千を超えない者は、「個人情報取扱事業者」から除外されている。(法2条3項5号、施行令2条) |
| (1) | 個人情報保護法では、生存する個人の情報のみを対象としているが、死者に関する情報についても、ガイドラインの適用対象とすることが適切か。 |
| (2) | 個人情報の件数が5千件以下の事業者は、個人情報保護法の定める具体的義務等の適用が除外されているが、ガイドラインの適用対象とすることが適切か。 |
| ○ | 個人情報の取扱いのルールをより明確化し、適切な取扱いを推進するためには、ガイドラインの策定後において、疑義が生じた事例やそれに対する対応例等の情報を集積し、公表する仕組みをつくるとともに、こうした情報に基づき、必要に応じ、ガイドラインの見直しを行っていくことが重要と考えるが、どうか。 |
| ○ | 患者等に対する医療サービス(介護サービス)の提供
|
|||||||||||||||
| ○ | 医療保険(介護保険)事務 | |||||||||||||||
| ○ | 当該医療機関の管理運営
|
|||||||||||||||
| ○ | 職員の研修 |
| ○ | 他の医療機関、薬局、訪問看護、介護サービス事業者等との連携 |
| ○ | 他の医療機関からの照会 |
| ○ | 検査を委託する場合その他の業務委託の場合 |
| ○ | 外部の医師へのコンサルテーション |
| ○ | 家族等への病状説明 |
| ○ | 審査支払機関へのレセプトの提出 |
| ○ | 学生の実習への協力 |
| ○ | 外部監査機関への情報提供(会計監査法人、医療機能評価等) |
| ○ | 民間保険会社からの照会 |
| ○ | 医療事故等の報告 |
| ○ | 医薬品等の副作用報告 |
| ○ | 職場からの照会 (注)労働者健康情報として別途検討中。 |
| ○ | 学校からの照会 |
| ○ | 行政機関(保健所、福祉事務所等を含む)への届出等 |
| ○ | 警察、裁判所からの照会 |
| ○ | 学術研究機関からの照会 |
| ○ | 調査機関(学術研究以外)の照会 |
| ○ | 報道機関からの照会 |
| ○ | 治験への協力 |
| ○ | 商業誌への症例の公表 |
| ○ | その他外部(見舞い客等)からの照会 |