1. | 本指針の趣旨 本指針は、「個人情報の保護に関する法律」(平成15年法律第57号。以下「法」という。)第6条第3項及び第8条の規定に基づき、病院、診療所、薬局、介護保険法に規定する |
2. | 本指針の構成及び基本的考え方 個人情報の取扱いについては、法第3条において、「個人情報が、個人の人格尊重の理念の下に慎重に取り扱われるべきものである」とされていることを踏まえ、個人情報を取り扱うすべての者は、その目的や様態を問わず、個人情報の性格と重要性を十分認識し、その適正な取扱いを図らなければならない。 特に、医療分野は、「個人情報の保護に関する基本方針」(平成16年4月2日閣議決定。以下「基本方針」という。)及び国会における附帯決議において、個人情報の性質や利用方法等から、特に適正な取扱いの厳格な実施を確保する必要がある分野の一つであると指摘されており、各医療機関等における積極的な取組が求められている。 また、介護分野においても、介護関係事業者は、多数の利用者やその家族について、他人が容易には知り得ないような個人情報を詳細に知りうる立場にあり、医療分野と同様に個人情報の適正な取扱いが求められる分野と考えられる。 このことを踏まえ、本指針では、法の趣旨を踏まえ医療・介護関係事業者における個人情報の適正な取扱いが確保されるよう、遵守すべき事項及び遵守することが望ましい事項をできる限り具体的に示しており、各医療・介護関係事業者においては、法令、基本方針及び本指針の趣旨を踏まえ、個人情報の適正な取扱いに取り組む必要がある。 具体的には、医療・介護関係事業者は、本指針の【法の規定により遵守すべき事項等】のうち、「しなければならない」等と記載された事項については、法の規定により厳格に遵守することが求められる。また、【その他の事項】については、法に基づく義務等ではないが、達成できるよう努めることが求められる。 |
3. | 本指針の対象となる「医療・介護関係事業者」の範囲 本指針が対象としている事業者の範囲は、(1)病院、診療所、助産所、薬局、訪問看護ステーション等の患者に対し直接医療を提供する事業者(以下「医療機関等」という。)、(2)介護保険法に規定する なお、検体検査、患者等や介護サービス利用者への食事の提供、施設の清掃、医療事務の業務など、医療・介護関係事業者から委託を受けた業務を遂行する事業者においては、本指針のIII4.に沿って適切な安全管理措置を講ずることが求められるとともに、当該委託を行う医療・介護関係事業者は、業務の委託に当たり、本指針の趣旨を理解し、本指針に沿った対応を行う事業者を委託先として選定するとともに委託先事業者における個人情報の取扱いについて定期的に確認を行い、適切な運用が行われていることを確認する等の措置を講ずる必要がある。 また、法令上、「個人情報取扱事業者」としての義務等を負うのは医療・介護関係事業者のうち、識別される特定の個人の数の合計が過去6ヶ月以内のいずれの日においても5,000を超えない事業者(小規模事業者)を除くものとされている。 しかし、医療・介護関係事業者は、個人情報を提供して医療・介護関係事業者からサービスを受ける患者・利用者等から、その規模等によらず良質かつ適切な医療・介護サービスの提供が期待されていること、そのため、良質かつ適切な医療・介護サービスの提供のために最善の努力を行う必要があること、また、患者・利用者の立場からは、どの医療・介護関係事業者が法令上の義務を負う個人情報取扱事業者に該当するかが分かりにくいこと等から、本指針においては個人情報取扱事業者としての法令上の義務を負わない医療・介護関係事業者にも本指針を遵守する努力を求めるものである。 |
4. | 本指針の対象となる「個人情報」の範囲 法令上「個人情報」とは、生存する個人に関する情報であり、個人情報取扱事業者の義務等の対象となるのは、生存する個人に関する情報に限定されている。本指針は、医療・介護関係事業者が保有する生存する個人に関する情報のうち、医療・介護関係の情報を対象とするものであり、また、カルテ等の形態に整理されていない場合でも個人情報に該当する。 なお、当該患者・利用者が死亡した後においても、医療・介護関係事業者が当該患者・利用者の情報を保存している場合には、漏えい、滅失又はき損等の防止のため、個人情報と同等の安全管理措置を講ずるものとする。 |
5. | 大臣の権限行使との関係等 本指針中、 また、法第51条及び「個人情報の保護に関する法律施行令」(平成15年12月10日政令第507号。以下「令」という。)第11条において、法第32条から第34条に規定する主務大臣の権限に属する事務は、個人情報取扱事業者が行う事業であって当該主務大臣が所管するものについての報告の徴収、検査、勧告等に係る権限に属する事務の全部又は一部が、他の法令の規定により地方公共団体の長その他の執行機関が行うこととされているときは、当該地方公共団体の長等が法に基づく報告の徴収、助言、勧告及び命令を行うことがある。 |
6. | 医療・介護関係事業者が行う措置の透明性の確保と対外的明確化 法第3条では、個人の人格尊重の理念の下に個人情報を慎重に扱うべきことが指摘されている。 医療・介護関係事業者は、個人情報保護に関する考え方や方針(いわゆる、プライバシーポリシー、プライバシーステートメント等)及び個人情報の取扱いに関する明確かつ適正な規則を策定し、それらを対外的に公表することが求められる。また、患者等から当該本人の個人情報がどのように取り扱われているか等について知りたいという求めがあった場合は、当該規則に基づき、迅速に情報提供を行う等必要な措置を行うものとする。 プライバシーポリシー、プライバシーステートメント等の内容としては、医療・介護関係事業者が個人の人格尊重の理念の下に個人情報を取り扱うこと及び関係法令及び本指針等を遵守すること等、個人情報の取扱いに関する規則においては、個人情報に係る安全管理措置の概要、本人等からの開示等の手続、第三者提供の取扱い、苦情処理の体制等について具体的に定めることが考えられる。 なお、利用目的等を広く公表することについては、以下のような趣旨があることに留意すべきである。
|
7. | 責任体制の明確化と患者・利用者窓口の設置等 医療・介護関係事業者は、個人情報の適正な取扱いを推進し、漏えい等の問題に対処する体制を整備する必要がある。このため、個人情報の取扱いに関し、専門性と指導性を有し、事業者の全体を統括する組織体制・責任体制を構築し、規則の策定や安全管理措置の計画立案等を効果的に実施できる体制を構築するものとする。 また、患者・利用者等に対しては、受付時、利用開始時に個人情報の利用目的を説明するなど、必要に応じて分かりやすい説明を行う必要があるが、加えて、患者・利用者等が疑問に感じた内容を、いつでも、気軽に問い合わせできる窓口機能等を確保することが重要である。また、患者・利用者等の相談は、医療・介護サービスの内容とも関連している場合が多いことから、個人情報の取扱いに関し患者・利用者等からの相談や苦情処理等の受付を行う窓口を設置するとともに、その窓口がサービスの提供に関する相談機能とも有機的に連携した対応が行える体制とするなど、患者・利用者等の立場に立った対応を行う必要がある。 |
8. | 遺族への診療情報の提供の取扱い 法は、OECD8原則の趣旨を踏まえ、生存する個人の情報を適用対象とし、個人情報の目的外利用や第三者提供に当たっては本人の同意を得ることを原則としており、死者の情報は原則として個人情報とならないことから、法及び本指針の対象とはならない。しかし、患者・利用者が死亡した際に、遺族から診療経過、診療情報や介護関係の諸記録について照会が行われた場合、医療・介護関係事業者は、患者・利用者本人の生前の意思、名誉等を十分に尊重しつつ、特段の配慮が求められる。このため、患者・利用者が死亡した際の遺族に対する診療情報の提供については、「診療情報の提供等に関する指針」(「診療情報の提供等に関する指針の策定について」(平成15年9月12日医政発第0912001号))の9において定められている取扱いを参考に、医療・介護関係事業者は、同指針の規定により遺族に対して診療情報・介護関係の記録の提供を行うものとする。 |
9 | 個人情報が研究に活用される場合の取扱い 近年の科学技術の高度化に伴い、研究において個人の診療情報等や要介護認定情報等を利用する場合が増加しているほか、患者・利用者への診療や介護と平行して研究が進められる場合もある。 法第50条第1項においては、憲法上の基本的人権である「学問の自由」の保障への配慮から、大学その他の学術研究を目的とする機関等が、学術研究の用に供する目的をその全部又は一部として個人情報を取り扱う場合については、法による義務等の規定は適用しないこととされている。従って、この場合には法の運用指針としての本指針は適用されるものではないが、これらの場合においても、法第50条第3項により、当該機関等は、自主的に個人情報の適正な取扱いを確保するための措置を講ずることが求められており、これに当たっては、医学研究分野の関連指針(別表5 なお、治験における取扱いについては、本指針のほか、薬事法及び関係法令(「医薬品の臨床試験の実施の基準に関する省令」(平成9年厚生省令第28号)等)の規定や、関係団体等が定めるガイドラインに従うものとする。 |
10. | 遺伝情報を用いた検査・治療を行う場合 遺伝学的検査等により得られた遺伝情報については、本人の体質、疾病の発症等に関する情報が含まれるほか、その血縁者に関わる情報でもあることから、これが漏えいした場合には、本人及び血縁者が被る苦痛は大きなものとなるおそれがある。したがって、検査結果及び血液等の試料の取扱いについては、医学研究分野の関連指針や関係団体等が定めるガイドラインを参考とし、特に留意する必要がある。 また、検査の実施に同意している場合においても、その検査結果が示す意味を正確に理解することが困難であったり、疾病の将来予測性に対してどのように対処すればよいかなど、本人及び家族等が大きな不安を持つ場合が多い。したがって、医療機関等が、遺伝情報を用いた検査・治療を行う場合には、本人及び希望する家族等に対し、遺伝学・心理学等に通じた専門的助言を行うことのできる者による遺伝カウンセリングの実施、適切な情報提供など、本人及び家族等の心理的精神的援助を行う必要がある。 |
11 | 他の法令等との関係 医療・介護関係事業者は、個人情報の取扱いにあたり、法、基本方針及び本指針に示す項目のほか、個人情報保護又は守秘義務に関する他の法令等(刑法、関係資格法、介護保険法等)の規定を遵守しなければならない。 また、病院等の管理者の監督義務(医療法第15条)や業務委託(医療法第15条の2等)に係る規定、介護関係事業者における個人情報保護に係る規定等を遵守しなければならない。 また、医療分野については、すでに「診療情報の提供等に関する指針」が定められている。これは、インフォームド・コンセントの理念等を踏まえ、医療従事者等が診療情報を積極的に提供することにより、医療従事者と患者等とのより良い信頼関係を構築することを目的としており、この目的のため、患者等からの求めにより個人情報である診療情報を開示する場合は、同指針の内容に従うものとする。 |
12. | 認定個人情報保護団体における取組 法第37条においては、個人情報取扱事業者の個人情報の適正な取扱いの確保を目的とする業務を行う法人等は主務大臣の認定を受けて認定個人情報保護団体となることができることとされている。医療・介護関係の団体等は認定個人情報保護団体として、傘下の医療・介護関係事業者を対象に、個人情報保護に係る普及・啓発を推進するほか、法の趣旨に沿った指針等を自主的なルールとして定めたり、個人情報の取扱いに関する患者・利用者等のための相談窓口を開設するなど、積極的な取組を行うことが期待されている。 |
1. | 個人情報(法第2条第1項) 「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日、その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。「個人に関する情報」は、氏名、性別、生年月日等個人を識別する情報に限られず、個人の身体、財産、職種、肩書き等の属性に関して、事実、判断、評価を表すすべての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化されているか否かを問わない。 なお、死者に関する情報が、同時に、遺族等の生存する個人に関する情報でもある場合には、当該生存する個人に関する情報となる。 本指針は、医療・介護関係事業者が保有する医療・介護関係個人情報を対象とするものであり、カルテ等の形態に整理されていない場合でも個人情報に該当する。
|
2. | 個人情報の匿名化 当該個人情報から、当該情報に含まれる氏名、生年月日、住所の記述等、個人を識別する情報を取り除くことで、特定の個人を識別できないようにすることをいう。顔写真については、一般的には目の部分にマスキングすることで特定の個人を識別できないと考えられる。なお、必要な場合には、その人と関わりのない符号又は番号を付すこともある。 このような処理を行っても、事業者内で医療・介護関係個人情報を利用する場合は、事業者内で得られる他の情報と照合することで特定の患者・利用者等が識別されることも考えられることから、当該情報の利用目的や利用者等を勘案した匿名化を行う必要がある。また、当該利用について本人の同意を得るなどの対応も考慮する必要がある。 また、特定の患者・利用者の症例や事例を学会で発表したり、学会誌で報告したりする場合は、氏名等を消去することで匿名化されると考えられるが、症例や事例により十分な匿名化が困難な場合は、本人の同意を得なければならない。 なお、当該発表等が研究の一環として行われる場合にはI7.に示す取扱いによるものとする。 |
3. | 個人情報データベース等(法第2条第2項)、個人データ(法第2条第4項) 「個人情報データベース等」とは、特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した個人情報を含む情報の集合体、又はコンピュータを用いていない場合であっても、紙面で処理した個人情報を一定の規則(例えば、五十音順、生年月日順など)に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態においているものをいう。また、「個人データ」とは「個人情報データベース等」を構成する個人情報をいう。 カルテ等の診療記録や介護関係記録については、媒体の如何にかかわらず個人情報データ また、検査等の目的で、患者から血液等の検体を採取した場合、それらは個人情報に該当し、利用目的の特定等(III1.参照)、利用目的の通知等(III2.参照)等の対象となることから、患者の同意を得ずに、特定された利用目的の達成に必要な範囲を超えて検体を取り扱ってはならない。また、これらの検査結果については、カルテ等と同様に検索可能な状態として保存されることから、個人データに該当し、第三者提供(III5.参照)や開示(III7.参照)の対象となる。 |
4. | 本人の同意 法は、個人情報の また、患者・利用者が、意識不明ではないものの、本人の意思を明確に確認できない状態の場合については、意識の回復にあわせて、速やかに本人への説明を行い本人の同意を得るものとする。 なお、これらの場合において患者・利用者の理解力、判断力などに応じて、可能な限り患者・利用者本人に通知し、同意を得るよう努めることが重要である。 |
5. | 家族等への病状説明 法においては、個人データを第三者提供する場合には、あらかじめ本人の同意を得ることを原則としている。一方、病態によっては、治療等を進めるに当たり、本人だけでなく家族等の同意を得る必要がある場合もある。家族等への病状説明については、「患者(利用者)への医療(介護)の提供に必要な利用目的(III1.(1)参照)と考えられるが、本人以外の者に病状説明を行う場合は、本人に対し、あらかじめ病状説明を行う家族等の対象者を確認し、同意を得ることが望ましい。この際、本人から申出がある場合には、治療の実施等に支障の生じない範囲において、現実に患者(利用者)の世話をしている親族及びこれに準ずる者を説明を行う対象に加えたり、家族の特定の人を限定するなどの取扱いとすることができる。 一方、意識不明の患者の病状や重度の痴呆性の高齢者の状況を家族等に説明する場合は、本人の同意を得ずに第三者提供できる場合と考えられる(III5.(2)(2)参照)。この場合、医療・介護関係事業者において、本人の家族等であることを確認した上で、治療等を行うに当たり必要な範囲で、情報提供を行うとともに、本人の過去の病歴、治療歴等について情報の収集を行う。本人の意識が回復した際には、速やかに、提供及び収集した個人情報の内容とその相手について本人に説明するとともに、本人からの申出があった場合、収集した個人情報の内容の訂正等、病状の説明を行う家族等の対象者の変更等を行う。 なお、患者の判断能力に疑義がある場合は、意識不明の患者と同様の対応を行うとともに、意識の回復にあわせて、速やかに本人への説明を行い本人の同意を得るものとする。 |
(利用目的の特定)
|
(1) | 利用目的の特定及び制限 医療・介護関係事業者が医療・介護サービスを希望する患者・利用者から個人情報を取得する場合、当該個人情報を患者・利用者 これら以外で個人情報を利用する場合は、患者・利用者にとって必ずしも明らかな利用目的とはいえない。この場合は、個人情報を取得するに当たって明確に当該利用目的の公表等の措置が講じられなければならない。(III2.参照) 医療・介護関係事業者の通常の業務で想定される利用目的は別表2 また、別表2 |
(2) | 利用目的による制限の例外 法第16条第3項に掲げる場合については、本人の同意を得る必要はない。具体的な例としては以下のとおりである。
【法の規定により遵守すべき事項等】
【その他の事項】
|
(取得に際しての利用目的の通知等)
|
・ | 医療・介護関係事業者は、個人情報を取得するに当たって、あらかじめその利用目的を公表しておくか、個人情報を取得した場合、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。 |
・ | 利用目的の公表方法としては、院内や事業所内等に掲示するとともに、可能な場合にはホームページへの掲載等の方法により、なるべく広く公表する必要がある。 |
・ | 医療・介護関係事業者は、受付で患者に保険証を提出してもらう場合や問診票の記入を求める場合など、本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を院内掲示等により明示しなければならない。ただし、救急の患者で緊急の処置が必要な場合等は、この限りでない。 |
・ | 医療・介護関係事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。 |
・ | 取得の状況からみて利用目的が明らかであると認められる場合など利用目的の通知等の例外に該当する場合は、上記内容は適用しない。(「利用目的が明らか」な場合についてはIII1.(1)を参照) |
・ | 利用目的が、本規定の例外である「取得の状況からみて利用目的が明らかであると認められる場合」に該当する場合であっても、患者・利用者等に利用目的をわかりやすく示す観点から、利用目的の公表に当たっては、当該利用目的についても併せて記載する。 |
・ | 院内や事業所内等への掲示に当たっては、受付の近くに当該内容を説明した表示を行い、初回の患者・利用者等に対しては、受付時や利用開始時において当該掲示についての注意を促す。 |
・ | 初診時や入院・入所時等における説明だけでは、個人情報について十分な理解ができない患者・利用者も想定されることから、患者・利用者が落ち着いた時期に改めて説明を行ったり、診療計画書、療養生活の手引き、訪問介護計画等のサービス提供に係る計画等に個人情報に関する取扱いを記載するなど、患者・利用者が個人情報の利用目的を理解できるよう配慮する。 |
・ | 患者・利用者等の希望がある場合、詳細の説明や当該内容を記載した書面の交付を行う。 |
(適正な取得)
|
・ | 医療・介護関係事業者は、偽りその他の不正の手段により個人情報を取得してはならない。 |
・ | 診療等のために必要な過去の受診歴等については、真に必要な範囲について、本人から直接収集するほか、第三者提供について本人の同意を得た者(III5.(3)により本人の黙示の同意が得られていると考えられる者を含む)から収集することを原則とする。ただし、本人以外の家族等から収集することが診療上又は適切な介護サービスの提供上やむを得ない場合はこの限りでない。 |
・ | 親の同意なく、十分な判断能力を有していない子どもから家族の個人情報を取得してはならない。 |
・ | 医療・介護関係事業者は、適正な医療・介護サービスを提供するという利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない。 |
・ | 第三者提供により他の医療・介護関係事業者から個人情報を入手したとき、当該個人情報の内容に疑義が生じた場合には、記載内容の事実に関して本人又は情報の提供を行った者に確認をとる。 |
・ | 医療・介護関係事業者は、個人データの内容の正確性、最新性を確保するため、III4.(2)(2)に示す委員会等において、具体的なルールを策定したり、技術水準向上のための研修の開催などを行うことが望ましい。 |
(安全管理措置)
|
(1) | 医療・介護関係事業者が講ずるべき安全管理措置
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
(2) | 安全管理措置として考えられる事項 医療・介護関係事業者は、その取り扱う個人データの重要性にかんがみ、個人データの漏えい、滅失またはき損の防止その他の安全管理のため、その規模、従業者の様態等を勘案して、以下に示すような取組を参考に、必要な措置を行うものとする。 また、同一事業者が複数の施設を開設する場合、当該施設間の情報交換については第三者提供に該当しないが、各施設ごとに安全管理措置を講ずるなど、個人情報の利用目的を踏まえた個人情報の安全管理を行う。
|
(3) | 業務を委託する場合の取扱い
|
(4) | 電子カルテ等の導入及びそれに伴う情報の外部保存を行う場合の取扱い 医療機関等において、電子カルテ等を導入したり、診療情報の外部保存を行う場合には、厚生労働省が別途定める指針によることとし、各医療機関等において運営及び委託等の取扱いについて安全性が確保されるよう規程を定め、実施するものとする。 |
(5) | 個人情報の漏えい等の問題が発生した場合における二次被害の防止等 個人情報の漏えい等の問題が発生した場合には、二次被害の防止、類似事案の発生回避等の観点から、個人情報の保護に配慮しつつ、可能な限り事実関係を公表するとともに、都道府県の所管課等に速やかに報告する。 |
(6 | その他 受付での呼び出しや、病室における患者の名札の掲示などについては、患者の取り違え防止など業務を適切に実施する上で必要と考えられるが、医療におけるプライバシー保護の重要性にかんがみ、患者の希望に応じて一定の配慮をすることが望ましい。 |
・ | 医療・介護関係事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他個人データの安全管理のために必要かつ適切な措置を講じなければならない。 |
・ | 医療・介護関係事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。 |
・ | 医療・介護関係事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。 |
・ | 医療・介護関係事業者は、安全管理措置に関する取組を一層推進するため、安全管理措置が適切であるかどうかを一定期間ごとに検証するほか、必要に応じて外部機関による検証を受けることで、改善を図ることが望ましい。 |
(第三者提供の制限)
|
(1) | 第三者提供の取扱い 医療・介護関係事業者は、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならないとされており、次のような場合には、本人の同意を得る必要がある。 (例)
|
(2) | 第三者提供の例外 ただし、次に掲げる場合については、本人の同意を得る必要はない。
|
(3) | 本人の同意が得られていると考えられる場合 医療機関等については、第三者への情報の提供のうち、以下に掲げる場合については、黙示による同意が得られていると考えられる。
※上記(1)の(ア)〜(エ)の具体例 (事例1)他の医療機関宛に発行した紹介状等を本人が持参する場合
(事例2)他の医療機関等からの照会に回答する場合
(事例3)家族等への病状説明
|
(4) | 「第三者」に該当しない場合
|
(5) | その他留意事項
|
(保有個人データに関する事項の公表等)
(保有個人データの適正な取扱いの確保に関し必要な事項)
|
・ | 医療・介護関係事業者は、保有個人データに関し、(ア)当該個人情報取扱事業者の氏名又は名称、(イ)すべての保有個人データの利用目的(法第18条に規定された例外の場合を除く)、(ウ)保有個人データの利用目的の通知、開示、訂正、利用停止等の手続の方法、及び保有個人データの利用目的の通知又は開示に係る手数料の額、(エ)苦情処理の申出先について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置かなければならない。 |
・ | 医療・介護関係事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、上記の措置により利用目的が明らかになっている場合及び法第18条の例外に相当する場合を除き、遅滞なく通知しなければならない。 |
・ | 医療・介護関係事業者は、利用目的の通知をしない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。 |
・ | 法施行前から保有している個人情報についても同様の取扱いを行う。 |
・ | 医療・介護関係事業者は、保有個人データについて、その利用目的、開示、訂正、利用停止等の手続の方法及び利用目的の通知又は開示に係る手数料の額、苦情の申出先等について、少なくとも院内や事業所内等への掲示、さらにホームページ等により |
(開示)
(個人情報取扱事業者が保有個人データを開示する方法)
|
(1) | 開示の原則 医療・介護関係事業者は、本人から、当該本人が識別される保有個人データの開示を求められたときは、本人に対し、書面の交付による方法等により、遅滞なく、当該保有個人データを開示しなければならない。 | ||||||
(2) | 開示の例外 開示することで、法第25条第1項の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。具体的事例は以下のとおりである。 (事例1)
|
・ | 医療・介護関係事業者は、本人から、当該本人が識別される保有個人データの開示を求められたときは、本人に対し、遅滞なく、当該保有個人データを開示しなければならない。また、当該本人が識別される保有個人データが存在しないときにその旨知らせることとする。ただし、開示することにより、法第25条の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。 |
・ | 開示の方法は、書面の交付又は求めを行った者が同意した方法による。 |
・ | 医療・介護関係事業者は、求められた保有個人データの全部又は一部について開示しない旨を決定したときは、本人に対し、遅滞なく、その旨を通知しなければならない。また、本人に通知する場合には、本人に対してその理由を説明するよう努めなければならない(III10.参照)。 |
・ | 他の法令の規定により、保有個人データの開示について定めがある場合には、当該法令の規定によるものとする。 |
・ | 法定代理人等、開示の求めを行い得る者から開示の求めがあった場合、原則として患者・利用者本人に対し保有個人データの開示を行う旨の説明を行った後、法定代理人等に対して開示を行うものとする。 |
・ | 医療・介護関係事業者は、保有個人データの全部又は一部について開示しない旨決定した場合、本人に対するその理由の説明に当たっては、文書により示すことを基本とする。また、苦情処理の体制についても併せて説明することが望ましい。 |
(訂正等)
|
・ | 医療・介護関係事業者は、法第26条、第27条第1項又は第2項の規定に基づき、本人から、保有個人データの訂正等、利用停止等、第三者への提供の停止を求められた場合で、それらの求めが適正であると認められるときは、これらの措置を行わなければならない。 | ||||
・ | ただし、利用停止等及び第三者への提供の停止については、利用停止等に多額の費用を要する場合など当該措置を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。 | ||||
・ | なお、以下の場合については、これらの措置を行う必要はない。
| ||||
・ | 医療・介護関係事業者は、上記の措置を行ったとき、又は行わない旨を決定したときは、本人に対し、遅滞なく、その旨を通知しなければならない。また、本人に通知する場合には、本人に対してその理由を説明するよう努めなければならない(III10.参照)。 |
・ | 医療・介護関係事業者は、訂正等、利用停止等又は第三者への提供の停止が求められた保有個人データの全部又は一部について、これらの措置を行わない旨決定した場合、本人に対するその理由の説明に当たっては、文書により示すことを基本とする。その際は、苦情処理の体制についても併せて説明することが望ましい。 |
・ | 保有個人データの訂正等にあたっては、訂正した者、内容、日時等が分かるように行われなければならない。 |
・ | 保有個人データの字句などを不当に変える改ざんは、行ってはならない。 |
9.開示等の求めに応じる手続及び手数料(法第29条、第30条)
(開示等の求めに応じる手続)
(開示等の求めを受け付ける方法)
|
(1) | 開示等を行う情報の特定 医療・介護関係事業者は、本人に対し、開示等の求めに関して、その対象となる保有個人データを特定するに足りる事項の提示を求めることができるが、この場合には、本人が容易かつ的確に開示等の求めをすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した措置をとらなければならない。 また、保有個人データの開示等については、本人の求めにより、保有個人データの全体又は一部が対象となるが、当該本人の保有個人データが多岐にわたる、データ量が膨大であるなど、全体の開示等が困難又は非効率な場合は、本人の意思を尊重しつつ、本人に過去の受診の状況、病態の変化等の概要を説明するなど、本人が開示等の求めを行う情報の範囲を特定できるよう配慮するものとする。 |
(2) | 代理人による開示等の求め 保有個人データの開示等については、本人のほか、(1)未成年者又は成年被後見人の法定代理人、(2)開示等の求めをすることにつき本人が委任した代理人により行うことができる。 |
・ | 医療・介護関係事業者は、保有個人データの開示等の求めに関し、本人に過重な負担を課すものとならない範囲において、以下の事項について、その求めを受け付ける方法を定めることができる。
| ||||||||
・ | 医療・介護関係事業者は、本人に対し、開示等の求めに関して、その対象となる保有個人データを特定するに足りる事項の提示を求めることができるが、この場合には、本人が容易かつ的確に開示等の求めをすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した措置をとらなければならない。 | ||||||||
・ | 保有個人データの開示等の求めは、本人のほか、未成年者又は成年被後見人の法定代理人、当該求めをすることにつき本人が委任した代理人によってすることができる。 | ||||||||
・ | 医療・介護関係事業者は、保有個人データの利用目的の通知、又は保有個人データの開示を求められたときは、当該措置の実施に関し、手数料を徴収することができ、その際には実費を勘案して合理的であると認められる範囲内において、手数料の額を定めなければならない。 |
・ | 医療・介護関係事業者は、以下の点に留意しつつ、保有個人データの開示の手続を定めることが望ましい。
| ||||||||||
・ | 代理人等、開示の求めを行い得る者から開示の求めがあった場合、原則として患者・利用者本人に対し保有個人データの開示を行う旨の説明を行った後、開示の求めを行った者に対して開示を行うものとする。 | ||||||||||
・ | 代理人等からの求めがあった場合で、(1)本人による具体的意思を把握できない包括的な委任に基づく請求、(2)開示等の請求が行われる相当以前に行われた委任に基づく請求が行われた場合には、本人への説明に際し、開示の求めを行った者及び開示する保有個人データの内容について十分説明する必要がある。 |
(理由の説明)
|
・ | 医療・介護関係事業者は、本人から求められた保有個人データの利用目的の通知、開示、訂正等、利用停止等において、その措置をとらない旨又はその措置と異なる措置をとる旨本人に通知する場合は、本人に対して、その理由を説明するよう努めなければならない。 |
・ | 医療・介護関係事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。また、医療・介護関係事業者は、苦情の適切かつ迅速な処理を行うにあたり、苦情処理窓口の設置や苦情処理の手順を定めるなど必要な体制の整備に努めなければならない。 |
・ | 医療・介護関係事業者は、本人に対して理由を説明する際には、文書により示すことを基本とする。その際は、苦情処理の体制についても併せて説明することが望ましい。 |
・ | 医療・介護関係事業者は、患者・利用者等からの苦情処理にあたり、専用の窓口の設置や主治医等の担当スタッフ以外の職員による相談体制を確保するなど、患者・利用者等が相談を行いやすい環境の整備に努める。 |
・ | 医療・介護関係事業者は、当該施設における患者・利用者等からの苦情処理体制等について院内や事業所内等への掲示やホームページへの掲載等を行うことで患者・利用者等に対して周知を図るとともに、地方公共団体、地域の医師会や国民健康保険団体連合会等が開設する医療や介護に関する相談窓口等についても患者・利用者等に対して周知することが望ましい。 |