戻る

2004/9/9 資料1(ガイドライン素案)

I 本指針の趣旨、目的、基本的考え方
1.本指針の趣旨
 本指針は、「個人情報の保護に関する法律」(平成15年法律第57号。以下「法」という。)第8条の規定に基づき、病院、診療所、薬局、介護保険施設、居宅サービス事業者、居宅介護支援事業者等の事業者が行う個人情報の適正な取扱いの確保に関する活動を支援するための指針として定めるものであり、厚生労働大臣が法を執行する際の基準となるものである。

2.本指針の構成及び基本的考え方
 個人情報の取扱いについては、法第3条において、「個人情報が、個人の人格尊重の理念の下に慎重に取り扱われるべきものである」とされていることを踏まえ、個人情報を取り扱うすべての者は、その目的や様態を問わず、個人情報の性格と重要性を十分認識し、その適正な取扱いを図らなければならない。
 特に、医療分野は、「個人情報の保護に関する基本方針」(平成16年4月2日閣議決定。以下「基本方針」という。)及び国会における附帯決議において、個人情報の性質や利用方法等から、特に適正な取扱いの厳格な実施を確保する必要がある分野の一つであると指摘されており、各医療機関等における積極的な取組が求められている。
 また、介護分野においても、介護関係事業者は、多数の利用者やその家族について、他人が容易には知り得ないような個人情報を詳細に知りうる立場にあり、医療分野と同様に個人情報の適正な取扱いが求められる分野と考えられる。
 このことを踏まえ、本指針では、法の趣旨を踏まえ医療・介護関係事業者における個人情報の適正な取扱いが確保されるよう、遵守すべき事項及び遵守することが望ましい事項をできる限り具体的に示しており、各医療・介護関係事業者においては、法令、基本方針及び本指針の趣旨を踏まえ、個人情報の適正な取扱いに取り組む必要がある。
 具体的には、医療・介護関係事業者は、本指針の【法の規定により遵守すべき事項等】のうち、「しなければならない」等と記載された事項については、法の規定により厳格に遵守することが求められる。また、【その他の事項】については、法に基づく義務等ではないが、達成できるよう努めることが求められる。

3.本指針の対象となる「医療・介護関係事業者」の範囲
 本指針が対象としている事業者の範囲は、(1)病院、診療所、助産所、薬局、訪問看護ステーション等の患者に対し直接医療を提供する事業者(以下「医療機関等」という。)、(2)介護保険施設、居宅サービス事業者及び居宅介護支援事業者(以下「介護関係事業者」という。)である。
 なお、検体検査、患者等や介護サービス利用者への食事の提供、施設の清掃、医療事務の業務など、医療・介護関係事業者から委託を受けた業務を遂行する事業者においては、本指針のIII4.に沿って適切な安全管理措置を講ずることが求められるとともに、当該委託を行う医療・介護関係事業者は、業務の委託に当たり、本指針の趣旨を理解し、本指針に沿った対応を行う事業者を委託先として選定するとともに委託先事業者における個人情報の取扱いについて定期的に確認を行い、適切な運用が行われていることを確認する等の措置を講ずる必要がある。

 また、法令上、「個人情報取扱事業者」としての義務等を負うのは医療・介護関係事業者のうち、識別される特定の個人の数の合計が過去6ヶ月以内のいずれの日においても5,000を超えない事業者を除くものとされている。

4.本指針の対象となる「個人情報」の範囲
 法令上「個人情報」とは、生存する個人に関する情報であり、個人情報取扱事業者の義務等の対象となるのは、生存する個人に関する情報に限定されている。

5.大臣の権限行使との関係等
 本指針中、医療・介護関係事業者が【法の規定により遵守すべき事項等】に記載された内容のうち、医療・介護関係事業者の義務とされている内容を遵守しない場合、厚生労働大臣は、法第34条の規定に基づき、「勧告」及び「命令」を行うことがある。
 また、法第51条及び「個人情報の保護に関する法律施行令」(平成15年12月10日政令第507号。以下「令」という。)第11条において、法第32条から第34条に規定する主務大臣の権限に属する事務は、個人情報取扱事業者が行う事業であって当該主務大臣が所管するものについての報告の徴収、検査、勧告等の全部又は一部が、他の法令の規定により地方公共団体の長その他の執行機関が行うこととされているときは、当該地方公共団体の長等が法に基づく報告の徴収、助言、勧告及び命令を行うことがある。

6.医療・介護関係事業者が行う措置の透明性の確保と対外的明確化
 法第3条では、個人の人格尊重の理念の下に個人情報を慎重に扱うべきことが指摘されている。
 医療・介護関係事業者は、個人情報保護に関する考え方や方針(いわゆる、プライバシーポリシー、プライバシーステートメント等)及び個人情報の取扱いに関する明確かつ適正な規則を策定し、それらを対外的に公表することが求められる。また、患者等から当該本人の個人情報がどのように取り扱われているか等について知りたいという求めがあった場合は、当該規則に基づき、迅速に情報提供を行う等必要な措置を行うものとする。
 プライバシーポリシー、プライバシーステートメント等の内容としては、医療・介護関係事業者が個人の人格尊重の理念の下に個人情報を取り扱うこと及び関係法令及び本指針等を遵守すること等、個人情報の取扱いに関する規則においては、個人情報に係る安全管理措置の概要、本人等からの開示等の手続、第三者提供の取扱い、苦情処理の体制等について具体的に定めることが考えられる。
 なお、利用目的等を広く公表することについては、以下のような趣旨があることに留意すべきである。
 (1)医療・介護関係事業者で個人情報が利用される意義について患者・利用者等の理解を得ること。
 (2)医療・介護関係事業者において、法を遵守し、個人情報保護のため積極的に取り組んでいる姿勢を対外的に明らかにする。

7.個人情報が研究に活用される場合の取扱い
 近年の科学技術の高度化に伴い、研究において個人の診療情報等や要介護認定情報等を利用する場合が増加しているほか、患者・利用者への診療や介護と平行して研究が進められる場合もある。
 法第50条第1項においては、憲法上の基本的人権である「学問の自由」の保障への配慮から、大学その他の学術研究を目的とする機関等が、学術研究の用に供する目的をその全部又は一部として個人情報を取り扱う場合については、法による義務等の規定は適用しないこととされている。従って、この場合には法の運用指針としての本指針は適用されるものではないが、これらの場合においても、法第50条第3項により、当該機関等は、自主的に個人情報の適正な取扱いを確保するための措置を講ずることが求められており、これに当たっては、医学研究分野の関連指針(別表4参照)とともに本指針の内容についても留意することが期待される。
 なお、治験における取扱いについては、本指針のほか、薬事法及び関係法令(「医薬品の臨床試験の実施の基準に関する省令」(平成9年厚生省令第28号)等)の規定や、関係団体等が定めるガイドラインに従うものとする。

8.他の法令等との関係
 医療・介護関係事業者は、個人情報の取扱いにあたり、法、基本方針及び本指針に示す項目のほか、個人情報保護又は守秘義務に関する他の法令等(刑法、関係資格法、介護保険法等)の規定を遵守しなければならない。
 また、病院等の管理者の監督義務(医療法第15条)や業務委託(医療法第15条の2等)に係る規定、介護関係事業者における個人情報保護に係る規定等を遵守しなければならない。


II 用語の定義
1.個人情報(法第2条第1項)
 「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日、その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。「個人に関する情報」は、氏名、性別、生年月日等個人を識別する情報に限られず、個人の身体、財産、職種、肩書き等の属性に関して、事実、判断、評価を表すすべての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化されているか否かを問わない。
 なお、死者に関する情報が、同時に、遺族等の生存する個人に関する情報でもある場合には、当該生存する個人に関する情報となる。
 本指針は、医療・介護関係事業者が保有する医療・介護関係個人情報を対象とするものであり、カルテ等の形態に整理されていない場合でも個人情報に該当する。

(例)下記については、記載された氏名、生年月日、その他の記述等により特定の個人を識別することができることから、匿名化されたものを除き、個人情報に該当する。

医療機関等における個人情報の例
 診療録、処方せん、手術記録、助産録、看護記録、検査所見記録、エックス線写真、紹介状、退院した患者に係る入院期間中の診療経過の要約 等

介護関係事業者における個人情報の例
 ケアプラン、介護サービス提供にかかる計画、提供したサービス内容等の記録、事故の状況等の記録 等

2.個人情報の匿名化
 当該個人情報から、当該情報に含まれる氏名、生年月日、住所の記述等、個人を識別する情報を取り除くことで、特定の個人を識別できないようにすることをいう。顔写真については、一般的には目の部分にマスキングすることで特定の個人を識別できないと考えられる。なお、必要な場合には、その人と関わりのない符号又は番号を付すこともある。
 このような処理を行っても、事業者内で医療・介護関係個人情報を利用する場合は、事業者内で得られる他の情報と照合することで特定の患者・利用者等が識別されることも考えられることから、当該情報の利用目的や利用者等を勘案した匿名化を行う必要がある。また、当該利用について本人の同意を得るなどの対応も考慮する必要がある。
 また、特定の患者・利用者の症例や事例を学会で発表したり、学会誌で報告したりする場合は、氏名等を消去することで匿名化されると考えられるが、症例や事例により十分な匿名化が困難な場合は、本人の同意を得なければならない。
 なお、当該発表等が研究の一環として行われる場合にはI7.に示す取扱いによるものとする。

3.個人情報データベース等(法第2条第2項)
 「個人情報データベース等」とは、特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した個人情報を含む情報の集合体、又はコンピュータを用いていない場合であっても、紙面で処理した個人情報を一定の規則(例えば、五十音順、生年月日順など)に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態においているものをいう。
 カルテ等の診療記録や介護関係記録については、媒体の如何にかかわらず個人情報データベース等に該当する。

4.本人の同意
 法は、個人情報の利用目的の可能な限りの特定とその公表・通知を求めるとともに、目的外利用や第三者提供の場合には、原則として本人の同意を得ることを求めている。これは、法の基本となるOECD8原則のうち、「自己情報コントロール権」の保護の考え方の現れである。このように本人の自己情報コントロール権を尊重しつつ、適切かつ円滑な医療の確保を図る観点から、医療機関等については、患者に適切な医療サービスを提供する目的のために、当該医療機関等において、通常必要と考えられる個人情報の利用範囲を施設内への掲示(院内掲示)により明らかにしておき、患者側から特段明確な反対・留保の意思表示がない場合には、これらの範囲内での個人情報の利用について同意が得られているものと考えられる。(III5.(3)(4)参照)
 なお、これらの場合において患者・利用者の理解力、判断力などに応じて、可能な限り患者本人に通知し、同意を得るよう努めることが重要である。


トップへ
戻る