戻る

論点1:個人情報の利用や第三者への提供等に当たって具体的に必要となる対応に関する論点

【利用目的の特定・公表等】

論点1−1:利用目的の特定

(1) 個人情報取扱事業者の義務の概要
(1)  個人情報取扱事業者は、個人情報を取り扱うに当たっては、利用目的をできる限り特定しなければならない。(法15条1項)

(2) 主な論点
(1)  ガイドラインの策定に当たって、診療情報等の利用や第三者への提供等について、整理することが望ましい主な事例には、どのようなものがあるか。(別紙
(2)  通常、医療機関等が、医療保険(介護保険)により、医療(介護)サービスを提供する場合については、診療情報等の利用目的は、患者等に対する医療サービス(介護サービス)の提供、医療保険(介護保険)事務、入退院等の病棟管理、会計・経理、医療サービス等の向上、これ以外の当該医療機関の管理運営、職員の研修などで特定できると考えてよいか。


論点1−2:利用目的の公表等

(1) 個人情報取扱事業者の義務の概要
(1)  個人情報取扱事業者は、個人情報を取得したときは、あらかじめ利用目的を公表している場合を除き、速やかに利用目的を本人に通知又は公表しなければならない。(法18条1項)
(2)  契約書その他の書面により、本人から直接書面に記載された個人情報を取得する場合は、あらかじめ、本人に対し利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。(法18条2項)
(3)  取得の状況からみて利用目的が明らかであると認められる場合等については、これらの規定は適用しない。(法18条4項)

(2) 主な論点
(1)  利用目的の公表の方法としては、院内掲示、ホームページへの掲載、本人への通知の方法としては、初診時や介護サービス提供開始の書面の交付などと考えてよいか。
(2)  医療機関等が書面により個人情報を取得する場合としては、被保険者証の提示、問診表の記入などの他、どのような場合が考えられるか。
(3)  通常、本人の申込みに応じて診察、介護サービスの提供等を行う場合で、論点1−1(2)(2)であげたような目的(患者等に対する医療サービス(介護サービス)の提供、医療保険(介護保険)事務、入退院等の病棟管理、会計・経理、医療サービス等の向上、これ以外の当該医療機関の管理運営)で診療情報等を利用する場合は、「取得の状況からみて利用目的が明らかであると認められる場合」に該当し、利用目的の公表等は行わなくともよいと考えてよいか。
(注)
1. 仮にこのように考えられる場合であっても、上記以外の利用目的については、個別の例外規定に該当しない限り、公表又は本人への通知が必要。
2. 個人情報保護法第24条の保有個人データに関する事項の公表等については、「取得の状況からみて利用目的が明らかであると認められる場合」も例外とされていないことから、事業者は、保有個人データの利用目的を含む必要事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置かなければならないこととされている。


【利用目的の変更、利用目的による制限、第三者提供の制限】

論点1−3:利用目的の変更、利用目的による制限

(1) 個人情報取扱事業者の義務の概要
(1)  利用目的の変更は、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。(法15条2項)
 また、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。(法18条3項)
(2)  あらかじめ本人の同意を得ないで、利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。(法16条1項)
(3)  次の場合は、(2)の制限は適用しない。(16条3項)
ア. 法令に基づく場合
イ. 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
ウ. 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
エ. 国、地方公共団体等の事務の遂行に協力する必要がある場合であって、本人の同意を得ることにより事務の遂行に支障を及ぼすおそれがあるとき。

(2) 主な論点




(議論のための事例)
 病院の職員を対象とした研修会で、事例として一部の患者の診療情報
を使用する場合に、どのような対応を行うか。




(1)  個人情報保護法を遵守するための対応として、以下のような対応があり得ると考えてよいか。
ア. 診療情報を病院の職員を対象とした研修会に事例として利用する場合があることを、あらかじめ公表又は本人に通知しておく。
イ. あらかじめ公表又は本人に通知していない場合は、利用目的を変更し、公表又は本人に通知する。(利用目的の変更は、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならないことに留意が必要。)
ウ. 研修会で利用する前に、本人の同意を得る。
エ. 氏名、生年月日、住所等を消去し匿名化することにより、「個人情報」に該当しないようにする。(匿名化に関する論点は、論点1−4を参照)

(2)  更に、より望ましい対応として、どのような対応があり得るか。
 (例)  本人の同意を得るとともに、可能な限り、氏名、生年月日、住所等を消去する。

(注)  例外規定((1)(3))については、次の第三者提供の制限の例外規定とあわせて検討。


論点1−4:第三者提供の制限

(1) 個人情報取扱事業者の義務の概要
(1)  次の場合を除き、あらかじめ本人の同意を得ずに、個人データを第三者に提供してはならない。(法23条1項)
(2)  (1)の例外は、次のとおり。
ア. 法令に基づく場合
イ. 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
ウ. 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
エ. 国、地方公共団体等の法令に定める事務の遂行に協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(3)  次により個人データの提供を受ける者は、第三者に該当しない。(法23条3項)
ア. 利用目的の達成に必要な範囲において個人データの取扱いを委託する場合
イ. 個人データを特定の者との間で共同して利用する場合であって、その旨や個人データの項目、共同して利用する者の範囲等について、本人に通知等を行っている場合

(2) 主な論点
(1)  次のような典型的な事例(別紙より、議論のための事例を一部抽出)について、個人情報保護法を遵守する上で、どのような整理、対応が考えられるか。
(2)  また、更に望ましい対応については、どうか。

【当該事業者内部での利用であると考えられる事例】
ア.  院内の他の診療科との連携など医療機関等内部における情報交換
イ.  同一事業者内の複数施設間の情報交換
ウ.  職員の研修
 個人情報取扱事業者としての内部での利用であることから、利用目的による制限や安全管理との関係で問題が生じないようにする必要はあるが、「第三者提供」には該当しないと考えてよいか。

【他の事業者への情報提供ではあるが、「第三者」に該当しないと考えられる事例】
ア.  検査等の業務の委託
イ.  外部の医師へのコンサルテーション
 他の事業者への情報の提供ではあるが、利用目的(この場合は、患者等に対する医療(介護)サービスの提供)の達成に必要な範囲において個人データの取扱いを委託する場合に該当すると考えてよいか。

【第三者提供に該当し、原則として本人の同意を得ることが必要と考えられる事例】
ア.  他の医療機関、薬局、訪問看護、介護サービス事業者等との連携
 紹介状、処方箋の交付等が本人を介して行われる場合、基本的には、その後の情報交換を含めて、実質的に本人の同意があると考えてよいか。あるいは、明示的な同意が必要と考えるか。
 連携先があらかじめ特定されている場合は、個人データを特定の者との間で共同して利用する場合の規定を活用することも考えられるが、どうか。
 介護分野では、複数の居宅サービス事業者等が、サービス担当者会議等において、当該利用者又は利用者の家族に係る個人情報を用いる場合には、省令上、あらかじめ利用者又は家族の同意を文書により得ておかなければならないこととされている。実際上も、多くの事業者において、サービス提供開始時に利用者及びその家族から同意をとっており、こうした方法を原則としていくことが適当と考えられるがどうか。
イ.  他の医療機関からの照会
 患者が現に受診している医療機関Aから、当該患者が過去に受診していた医療機関Bに照会があった場合には、医療機関Aに対し本人が同意していることで足りると考えてよいか。
ウ.  家族等への説明
 家族等についても、未成年者の法定代理人などの場合を除き、第三者に該当し、原則として本人の同意が必要と考えてよいか。(法定代理人等の取扱いについては、論点1−6を参照)
 本人と家族に対し、同時に説明するような場合は、本人の同意があると考えてよいか。
 意識不明の患者の病状や重度の痴呆性の高齢者の状況を、家族に説明するような場合は、次の例外規定(一定の要件に該当し本人の同意を得ることが困難な場合)に該当するかどうかを考えればよいか。
エ. 学生の実習への協力
 学生が実習としてケアに参加することについて患者等の同意を得る際に、個人情報の取扱いについても説明し、同意を得ることが望ましいと考えてよいか。


【第三者提供に該当するが、本人の同意を得る必要のない例外規定に該当すると考えられる事例】
ア. 行政機関への届出等
 (例) 医療法等に基づく立入検査、感染症患者に関する届出、児童虐待の通報
イ. 審査支払機関へのレセプトの提出
 法令に基づく場合と考えてよいか

ウ. 意識不明・身元不明の患者についての関係機関への照会
エ. 意識不明の患者の病状を家族に説明する場合
 人の生命、身体等の保護のために必要がある場合であって、本人の同意を得ることが困難であるときに該当すると考えてよいか。

オ. 個人を特定する必要がある一方、本人の同意を得ることが困難な調査研究への協力
カ. 児童虐待事例についての関係機関との情報交換
 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるときに該当すると考えてよいか。


【その他共通の論点】

論点1−5:個人情報に該当しないようにするための匿名化

(1) 個人情報取扱事業者の義務の概要
(1)  「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。(法2条1項)
(2) 主な論点
(1)  一般的には、文書に記載された情報については、氏名、生年月日、住所等を消去した場合には、特定の個人を識別することはできないと考えてよいか。また、顔写真については、一般的には目の部分をマスキングすることで、特定の個人を識別することはできないと考えてよいか。
(2)  このような考え方をとる場合でも、例えば、職員の研修や学生の実習に診療情報等を利用する場合は、(1)のような処理を行っても事業者内部で得られる他の情報と照合することにより、特定の患者等を識別することができることも十分考えられることから、個人情報に該当するとして、法の規制が適用になることを前提として、本人の同意を得るなどの対応することが望ましいのではないか。


論点1−6:本人の同意

(1) 個人情報取扱事業者の義務の概要
(1)  利用目的制限や第三者提供の制限を解除する要件として、本人の同意を得ることが規定されている。
(2) 主な論点
(1)  未成年者とその親権者のように法定代理人がいる場合は、誰から同意を得ることが必要か。例えば、法定代理人のよる同意でよいと考えられるが、一定の判断能力を有する未成年者については本人の同意も得ることが望ましいと考えてよいか。

(注) 個人データの開示請求については、本人の代理として法定代理人も行うことができることとされている。(法29条4項、施行令8条)
(2)  意識不明の患者や重度の痴呆性の高齢者などで、法定代理人がいない場合については、本人の同意を得ることが困難な場合として、利用目的制限等の例外規定に該当するかどうかを考えるということでよいか。

トップへ
戻る