第７回医療機関等における個人情報の保護に関する検討会

III　医療・介護関係事業者の義務等責務

１．利用目的の特定等（法第１５条、第１６条）

（利用目的の特定）

法第十五条　個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的（以下「利用目的」という。）をできる限り特定しなければならない。

２　個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。

（利用目的による制限）

法第十六条　個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。

２　個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。

３　前二項の規定は、次に掲げる場合については、適用しない。

一　法令に基づく場合

二　人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

三　公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

四　国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

　（１）利用目的の特定及び制限
　医療・介護関係事業者が医療・介護サービスを希望する患者・利用者から個人情報を取得する場合、当該個人情報を患者・利用者に対する医療・介護サービスの提供、医療・介護保険事務、入退院等の病棟管理などで利用することは患者・利用者にとって明らかと考えられる。
　これら以外で個人情報を利用する場合は、患者・利用者にとって必ずしも明らかな利用目的とはいえない。この場合は、個人情報を取得するに当たって明確に当該利用目的の公表等の措置が講じられなければならない。（III２．参照）
　医療・介護関係事業者の通常の業務で想定される利用目的は別表２のとおりであり、医療・介護関係事業者は、これらの中から自らの業務に照らして通常必要とされるものを特定して公表（院内掲示等）しなければならない。（III２．参照）

　また、別表２に掲げる利用目的の範囲については、法第１５条第２項に定める利用目的の変更を行うことができると考えられる。ただし、変更された利用目的については、本人へ通知又は公表しなければならない。（III２．参照）

　（２）利用目的による制限の例外
　法第１６条第３項に掲げる場合については、本人の同意を得る必要はない。具体的な例としては以下のとおりである。

(1) 法令に基づく場合
　医療法に基づく立入検査、介護保険法に基づく不正受給者に係る市町村への通知、児童虐待の防止等に関する法律に基づく児童虐待に係る通告等、法令に基づいて個人情報を利用する場合であり、医療・介護関係事業者の通常の業務で想定される主な事例は別表３のとおりである。
　根拠となる法令の規定としては、一般に刑事訴訟法第２１８条（令状による捜査）、地方税法第７２条の６３（個人の事業税に係よる質問検査権、各種税法に類似の規定あり）等が考えられる。これらの法令は強制力を伴って回答が義務づけられるため、医療・介護関係事業者は捜査等が行われた場合、回答する義務が生じる。
　また、刑事訴訟法第１９７条第２項（捜査に必要な取調べ）等については、法の例外規定の対象であるが、当該法令において任意協力とされており、医療・介護関係事業者は取調べ等が行われた場合、回答するか否かについて個別の事例ごとに判断する必要がある。この場合、本人の同意を得ずに個人情報の提供を行ったとしても、法第１６条違反とはならないが、場合によっては、当該本人からの民法に基づく損害賠償請求等を求められるおそれがある。

(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
（例）

　・意識不明で身元不明の患者について、関係機関へ照会する場合

　・意識不明の患者の病状や重度の痴呆性の高齢者の状況を家族等に説明する場合

(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
（例）

　・健康増進法に基づく地域がん登録事業による国又は地方公共団体への情報提供

　・児童虐待事例についての関係機関との情報交換

　・医療安全の向上のため、院内で発生した医療事故等に関する国、地方公共団体又は第三者機関等への情報提供のうち、氏名等の情報が含まれる場合

(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
（例）

　・国等が実施する、統計報告調整法の規定に基づく統計報告の徴集（いわゆる承認統計調査）及び統計法第８条の規定に基づく指定統計以外の統計調査（いわゆる届出統計調査）に協力する場合

　【法の規定により遵守すべき事項等】

　　・医療・介護関係事業者は、個人情報を取り扱うに当たって、その利用目的をできる限り特定しなければならない。

　　・医療・介護関係事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。

　　・医療・介護関係事業者は、あらかじめ本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。なお、本人の同意を得るために個人情報を利用すること（同意を得るために患者・利用者の連絡先を利用して電話をかける場合など）、個人情報を匿名化するために個人情報に加工を行うことは差し支えない。

　　・個人情報を取得する時点で、本人の同意があった場合で、その後、本人から利用目的の一部についての同意を取り消す旨の申出があった場合は、その後の個人情報の取扱いについては、本人の同意のあった範囲に限定して取り扱う。

　　・医療・介護関係事業者は、合併その他の事由により他の事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。

　　・利用目的の制限の例外（法第１６条第３項）に該当する場合は、本人の同意を得ずに個人情報を取り扱うことができる。
（利用目的を変更する場合の取扱いについてはIII２．を参照）

　【その他の事項】

　　・利用目的の制限の例外に該当する「法令に基づく場合」等であっても、利用目的以外の目的で個人情報を取り扱う場合は、当該法令等の趣旨をふまえ、その取り扱う範囲を真に必要な範囲に限定することが求められる。

　　・個人情報を取得する時点で、本人の同意があった場合で、その後、本人から利用目的の一部についての同意を取り消す旨の申出があった場合は、その後の個人情報の取扱いについては、本人の同意のあった範囲に限定して取り扱う。

　　・患者が未成年者等の場合、法定代理人等の同意を得ることで足りるが、一定の判断能力を有する未成年者等については、法定代理人等の同意にあわせて本人の同意を得る。

　　・意識不明の患者や重度の痴呆性の高齢者などで法定代理人がいない場合で、緊急に診療が必要な場合については、上記（２）(2)に該当し、当該本人の個人情報を取り扱うことができる。

２．利用目的の通知等（法第１８条）

（取得に際しての利用目的の通知等）

法第十八条　個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

２　個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面（電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。以下この項において同じ。）に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。

３　個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。

４　前三項の規定は、次に掲げる場合については、適用しない。

一　利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

二　利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合

三　国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。

四　取得の状況からみて利用目的が明らかであると認められる場合

　【法の規定により遵守すべき事項等】

　　・医療・介護関係事業者は、個人情報を取得するに当たって、あらかじめその利用目的を公表しておくか、個人情報を取得した場合、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

　　・利用目的の公表方法としては、院内や事業所内等に掲示するとともに、可能な場合にはホームページへの掲載等の方法により、なるべく広く公表する必要がある。

　　・医療・介護関係事業者は、受付で患者に保険証を提出してもらう場合や問診票の記入を求める場合など、本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を院内掲示等により明示しなければならない。ただし、救急の患者で緊急の処置が必要な場合等は、この限りでない。

　　・医療・介護関係事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。

　　・取得の状況からみて利用目的が明らかであると認められる場合など利用目的の通知等の例外に該当する場合は、上記内容は適用しない。（「利用目的が明らか」な場合についてはIII１．（１）を参照）

　【その他の事項】

　　・利用目的が、本規定の例外である「取得の状況からみて利用目的が明らかであると認められる場合」に該当する場合であっても、患者・利用者等に利用目的をわかりやすく示す観点から、利用目的の公表に当たっては、当該利用目的についても併せて記載する。

　　・院内や事業所内等への掲示に当たっては、受付の近くに当該内容を説明した表示を行い、初回の患者・利用者等に対しては、受付時や利用開始時において当該掲示についての注意を促す。

　　・初診時や入院・入所時等における説明だけでは、個人情報について十分な理解ができない患者・利用者も想定されることから、患者・利用者が落ち着いた時期に改めて説明を行ったり、診療計画書、療養生活の手引き、訪問介護計画等のサービス提供に係る計画等に個人情報に関する取扱いを記載するなど、患者・利用者が個人情報の利用目的を理解できるよう配慮する。

　　・患者・利用者等の希望がある場合、詳細の説明や当該内容を記載した書面の交付を行う。

３．個人情報の適正な取得、個人データ内容の正確性の確保（法第１７条、第１９条）

（適正な取得）

法第十七条　個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。

（データ内容の正確性の確保）

法第十九条　個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない。

　【法の規定により遵守すべき事項等】

　　・医療・介護関係事業者は、偽りその他の不正の手段により個人情報を取得してはならない。

　　・診療等のために必要な過去の受診歴等については、真に必要な範囲について、本人から直接収集するほか、第三者提供について本人の同意を得た者（III５．（３）により本人の黙示の同意が得られていると考えられる者を含む）から収集することを原則とする。ただし、本人以外の家族等から収集することが診療上又は適切な介護サービスの提供上やむを得ない場合はこの限りでない。

　　・親の同意なく、十分な判断能力を有していない子どもから家族の個人情報を取得してはならない。

　　・医療・介護関係事業者は、適正な医療・介護サービスを提供するという利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない。

　【その他の事項】

　　・第三者提供により他の医療・介護関係事業者から個人情報を入手したとき、当該個人情報の内容に疑義が生じた場合には、記載内容の事実に関して本人又は情報の提供を行った者に確認をとる。

　　・医療・介護関係事業者は、個人データの内容の正確性、最新性を確保するため、III４．（２）(2)に示す委員会等において、具体的なルールを策定したり、技術水準向上のための研修の開催などを行うことが望ましい。

４．安全管理措置、従業者の監督及び委託先の監督（法第２０条～第２２条）

（安全管理措置）

法第二十条　個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

（従業者の監督）

法第二十一条　個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

（委託先の監督）

法第二十二条　個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

　（１）医療・介護関係事業者が講ずるべき安全管理措置

(1) 安全管理措置
　医療・介護関係事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のため、組織的、人的、物理的、及び技術的安全管理措置を講じなければならない。その際、本人の個人データが漏えい、滅失又はき損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個人データの取扱い状況等に起因するリスクに応じ、必要かつ適切な措置を講ずるものとする。なお、その際には、個人データを記録した媒体の性質に応じた安全管理措置を講ずる。

(2) 従業者の監督
　医療・介護関係事業者は、(1)の安全管理措置を遵守させるよう、従業者に対し必要かつ適切な監督をしなければならない。なお、「従業者」とは、医療資格者のみならず、当該事業者の指揮命令を受けて業務に従事する者すべてを含むものであり、また、雇用関係のある者のみならず、理事、派遣労働者等も含むものである。
　医療法第１５条では、病院等の管理者は、その病院等に勤務する医師等の従業者の監督義務が課せられている。（薬局や介護関係事業者についても、薬事法や介護保険法に基づく「指定居宅サービス等の事業の人員、設備及び運営に関する基準」、「指定居宅介護支援等の事業の人員及び運営に関する基準」、「指定介護老人福祉施設の人員、設備及び運営に関する基準」、「介護老人保健施設の人員、施設及び設備並びに運営に関する基準」及び「指定介護療養型医療施設の人員、設備及び運営に関する基準」（以下「指定基準」という。）等に同様の規定あり。）

　（２）安全管理措置として考えられる事項
　医療・介護関係事業者は、その取り扱う個人データの重要性にかんがみ、個人データの漏えい、滅失またはき損の防止その他の安全管理のため、その規模、従業者の様態等を勘案して、以下に示すような取組を参考に、必要な措置を行うものとする。
　また、同一事業者が複数の施設を開設する場合、当該施設間の情報交換については第三者提供に該当しないが、各施設ごとに安全管理措置を講ずるなど、個人情報の利用目的を踏まえた個人情報の安全管理を行う。

(1) 個人情報保護に関する規程の整備、公表

・医療・介護関係事業者は、保有個人データの開示手順を定めた規程その他個人情報保護に関する規程を整備し、苦情処理体制も含めて、院内や事業所内等への掲示やホームページへの掲載を行うなど、患者・利用者等に対して周知徹底を図る。

・また、個人データを取り扱う情報システムの安全管理措置に関する規程定等についても同様に整備を行うこと。

(2) 個人情報保護推進のための組織体制等の整備

・従業者の責任体制の明確化を図り、具体的な取組を進めるため、医療における個人情報保護に関し十分な知識を有する管理者、監督者等を定めたり、個人情報保護の推進を図るための委員会等を設置する。

・医療・介護関係事業所で行っている個人データの安全管理措置について定期的に自己評価を行い、見直しや改善を行うべき事項について適切な改善を行う。

(3) 個人データの漏えい等の問題が発生した場合等における報告連絡体制の整備

・１）個人データの漏えい等の事故が発生した場合、又は発生の可能性が高いと判断した場合、２）個人データの取扱いに関する規程等に違反している事実が生じた場合、又は兆候が高いと判断した場合における責任者等への報告連絡体制の整備を行う。

・個人データの漏えい等の情報は、苦情等の一環として、外部から報告される場合も想定されることから、苦情処理体制との連携も図る。（III１０．参照）

(4) 雇用契約時における個人情報保護に関する規程の整備

・雇用契約や就業規則において、就業期間中はもとより離職後も含めた守秘義務を課すなど従業者の個人情報保護に関する規程を整備し、徹底を図る。なお、特に、医師等の医療資格者や介護サービスの従業者については、刑法、関係資格法又は介護保険法に基づく指定基準により守秘義務規定等が設けられており（別表４）、その遵守を徹底する。

(5) 従業者に対する教育研修の実施

・取り扱う個人データの適切な保護が確保されるよう、従業者に対する教育研修の実施等により、個人データを実際の業務で取り扱うこととなる従業者の啓発を図り、従業者の個人情報保護意識を徹底する。

・この際、派遣労働者についても、「派遣先が講ずべき措置に関する指針」（平成１１年労働省告示第１３８号）において、「必要に応じた教育訓練に係る便宜を図るよう努めなければならない」とされていることを踏まえ、個人情報の取扱いに係る教育研修の実施に配慮する必要がある。

(6) 物理的安全管理措置

・個人データの盗難・紛失等を防止するため、以下のような物理的安全管理措置を行う。

－入退館（室）管理の実施

－盗難等に対する予防対策の実施

－機器、装置等の固定など物理的な保護

(7) 技術的安全管理措置

・個人データの盗難・紛失等を防止するため、個人データを取り扱う情報システムについて以下のような技術的安全管理措置を行う。

－個人情報データに対するアクセス管理（ＩＤやパスワード等による認証、各職員の業務内容に応じて業務上必要な範囲にのみアクセスできるようなシステム構成の採用等）

－個人情報データに対するアクセス記録の保存

－個人情報データに対するファイアウォールの設置

(8) 個人データの保存

・個人データを長期にわたって保存する場合には、保存媒体の劣化防止など個人データが消失しないよう適切に保存する。

・個人データの保存に当たっては、本人からの照会等に対応する場合など必要なときに迅速に対応できるよう、インデックスの整備など検索可能な状態で保存しておく。

(9) 不要となった個人データの廃棄、消去

・不要となった個人データを廃棄する場合には、焼却や溶解など、個人データを復元不可能な形にして廃棄する。

・個人データを取り扱った情報機器を廃棄する場合は、記憶装置内の個人データを復元不可能な形に消去して廃棄する。

・これらの廃棄業務を委託する場合には、個人データの取扱いについても委託契約において明確に定める。

　（３）業務を委託する場合の取扱い

(1) 委託先の監督
　医療・介護関係事業者は、検査や診療報酬又は介護報酬の請求に係る事務等個人データの取扱いの全部又は一部を委託する場合、法第２０条に基づく安全管理措置を遵守させるよう受託者に対し、必要かつ適切な監督をしなければならない。
　「必要かつ適切な監督」には、委託契約において委託者である事業者が定める安全管理措置の内容を契約に盛り込み受託者の義務とするほか、業務が適切に行われていることを定期的に確認することなども含まれる。
　また、業務が再委託された場合で、再委託先が不適切な取扱いを行ったことにより、問題が生じた場合は、医療・介護関係事業者や再委託した事業者が責めを負うこともあり得る。

(2) 業務を委託する場合の留意事項
　医療・介護関係事業者は、個人データの取扱いの全部又は一部を委託する場合、以下の事項に留意すべきである。

・個人情報を適切に取り扱っている事業者を委託先（受託者）として選定する

・契約において、個人情報の適切な取扱いに関する内容を盛り込む（委託期間中のほか、委託終了後の個人データの取扱いも含む。）

・受託者が、委託を受けた業務の一部を再委託することを予定している場合は、再委託を受ける事業者の選定において個人情報を適切に取り扱っている事業者が選定されるとともに、再委託先事業者が個人情報を適切に取り扱っていることが確認できるよう契約において配慮する

・受託者が個人情報を適切に取り扱っていることを定期的に確認する

・受託者における個人情報の取扱いに疑義が生じた場合（患者・利用者等からの申出があり、確認の必要があると考えられる場合を含む。）には、受託者に対し、説明を求め、必要に応じ改善を求める等適切な措置をとる

＊医療機関等における業者委託に関する関連通知等
　上記の留意事項のほか、委託する業務に応じ、関連する通知等を遵守する。

・「医療法の一部を改正する法律の一部の施行について」（平成５年２月１５日健政発第９８号）の「第３　業務委託に関する事項」

・「病院、診療所等の業務委託について」（平成５年２月１５日指第１４号）

　（４）電子カルテ等の導入及びそれに伴う情報の外部保存を行う場合の取扱い
　医療機関等において、電子カルテ等を導入したり、診療情報の外部保存を行う場合には、厚生労働省が別途定める指針によることとし、各医療機関等において運営及び委託等の取扱いについて安全性が確保されるよう規程を定め、実施するものとする。

　（５）個人情報の漏えい等の問題が発生した場合における二次被害の防止等
　個人情報の漏えい等の問題が発生した場合には、二次被害の防止、類似事案の発生回避等の観点から、個人情報の保護に配慮しつつ、可能な限り事実関係を公表するとともに、都道府県の所管課等に速やかに報告する。

　（６）その他
　受付での呼び出しや、病室における患者の名札の掲示などについては、患者の取り違え防止など業務を適切に実施する上で必要と考えられるが、医療におけるプライバシー保護の重要性にかんがみ、患者の希望に応じて一定の配慮をすることが望ましい。

　【法の規定により遵守すべき事項等】

　　・医療・介護関係事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他個人データの安全管理のために必要かつ適切な措置を講じなければならない。

　　・医療・介護関係事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

　　・医療・介護関係事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

　【その他の事項】

　　・医療・介護関係事業者は、安全管理措置に関する取組を一層推進するため、安全管理措置が適切であるかどうかを一定期間ごとに検証するほか、必要に応じて外部機関による検証を受けることで、改善を図ることが望ましい。

５．個人データの第三者提供（法第２３条）

（第三者提供の制限）

法第二十三条　個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

一　法令に基づく場合

二　人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

三　公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

四　国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

２　個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。

一　第三者への提供を利用目的とすること。

二　第三者に提供される個人データの項目

三　第三者への提供の手段又は方法

四　本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。

３　個人情報取扱事業者は、前項第二号又は第三号に掲げる事項を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

４　次に掲げる場合において、当該個人データの提供を受ける者は、前三項の規定の適用については、第三者に該当しないものとする。

一　個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合

二　合併その他の事由による事業の承継に伴って個人データが提供される場合

三　個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。

５　個人情報取扱事業者は、前項第三号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

　（１）第三者提供の取扱い
　医療・介護関係事業者は、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならないとされており、次のような場合には、本人の同意を得る必要がある。
（例）

　・民間保険会社からの照会
　患者が民間の生命保険に加入しようとする場合、生命保険会社から患者の健康状態等について照会があった場合、患者の同意を得ずに患者の現在の健康状態や既往歴等を回答してはならない。
　交通事故によるけがの治療を行っている患者に関して、保険会社から損害保険金の支払いの審査のために必要であるとして症状に関する照会があった場合、患者の同意を得ずに患者の症状等を回答してはならない。

　・職場からの照会
　職場の上司等から、社員の病状に関する問い合わせがあったり、休職中の社員の職場復帰の見込みに関する問い合わせがあった場合、患者の同意を得ずに患者の病状や回復の見込み等を回答してはならない。

　・学校からの照会
　学校の教職員先生等から、児童・生徒の健康状態に関する問い合わせがあったり、休学中の児童・生徒の復学の見込みに関する問い合わせがあった場合、患者の同意を得ずに患者の健康状態や回復の見込み等を回答してはならない。

　・マーケティング等を目的とする会社等からの照会
　健康食品の販売を目的とする会社から、高血圧の患者の存在の有無について照会された場合や要件に該当する患者を紹介して欲しい旨の依頼があった場合、患者の同意を得ずに患者の有無や該当する患者の氏名・住所等を回答してはならない。

　（２）第三者提供の例外
　ただし、次に掲げる場合については、本人の同意を得る必要はない。

(1) 法令に基づく場合
　医療法に基づく立入検査、介護保険法に基づく不正受給者に係る市町村への通知、児童虐待の防止等に関する法律に基づく児童虐待に係る通告等、法令に基づいて個人情報を利用する場合であり、医療機関等の通常の業務で想定される主な事例は別表３のとおりである。（III１．（２）(1)参照）

(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
（例）

　・意識不明で身元不明の患者について、関係機関へ照会する場合

　・意識不明の患者の病状や重度の痴呆性の高齢者の状況を家族等に説明する場合

※ なお、「本人の同意を得ることが困難であるとき」には、本人に同意を求めても同意しない場合、本人に同意を求める手続を経るまでもなく本人の同意を得ることができない場合等が含まれるものである。

(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
（例）

　・健康増進法に基づく地域がん登録事業による国又は地方公共団体への情報提供

　・児童虐待事例についての関係機関との情報交換

　・医療安全の向上のため、院内で発生した医療事故等に関する国、地方公共団体又は第三者機関等への情報提供のうち、氏名等の情報が含まれる場合

(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
（例）

　・国等が実施する、統計報告調整法の規定に基づく統計報告の徴集（いわゆる承認統計調査）及び統計法第８条の規定に基づく指定統計以外の統計調査（いわゆる届出統計調査）に協力する場合

　（３）本人の同意が得られていると考えられる場合
　医療機関の受付等で診療を希望する患者は、傷病の回復等を目的としている。一方、医療機関等は、患者の傷病の回復等を目的として、より適切な医療が提供できるよう治療に取り組むとともに、必要に応じて他の医療機関と連携を図ったり、当該傷病を専門とする他の医療機関の医師等に指導、助言等を求めることも日常的に行われる。また、その費用を公的医療保険に請求する場合等、患者の傷病の回復等そのものが目的ではないが、医療の提供には必要な利用目的として提供する場合もある。このため、第三者への情報の提供のうち、患者の傷病の回復等を含めた患者への医療の提供に必要であり、かつ、個人情報の利用目的として院内掲示等により明示されている場合は、原則として黙示による同意が得られているものと考えられる。
　なお、傷病の内容によっては、患者の傷病の回復等を目的とした場合であっても、個人データを第三者提供する場合は、あらかじめ本人の明確な同意を得るよう求めがある場合も考えられ、その場合、医療機関等は、本人の意思に応じた対応を行う必要がある。
　~~医療機関等については、第三者への情報の提供のうち、以下に掲げる場合については、黙示による同意が得られていると考えられる。~~

(1) 患者への医療の提供のために通常必要な範囲の利用目的について、院内掲示等で公表しておくことによりあらかじめ包括的な同意を得る場合
　医療機関の受付等で、診療を希望する患者から個人情報を取得した場合、それらが患者自身の医療サービスの提供のために利用されることは明らかである。このため、院内掲示等により公表して、患者に提供する医療サービスに関する利用目的について患者から明示的に留保の意思表示がなければ、患者の黙示による同意があったものと考えられる。（III２．参照）
　また、

　(ア) 患者への医療の提供のため、他の医療機関等との連携を図ること

　(イ) 患者への医療の提供のため、外部の医師等の意見・助言を求めること

　(ウ) 患者への医療の提供のため、他の医療機関等からの照会があった場合にこれに応じること

　(エ) 患者への医療の提供に際して、家族等への病状の説明を行うこと

等が利用目的として特定されている場合は、これらについても患者の同意があったものと考えられる。

(2) 　この場合であっても、黙示の同意があったと考えられる範囲は、患者のための医療サービスの提供に必要な利用の範囲であり、別表２の「患者への医療の提供に必要な利用目的」に示された利用目的に限られるものとする。
　なお、院内掲示等においては、

　(ア) 患者は、医療機関が示す利用目的の中で同意しがたいものがある場合には、その事項について、あらかじめ本人の明確な同意を得るよう医療機関に求めることができること。

　(イ) 患者が、(ア)の意思表示を行わない場合は、公表された利用目的について患者の同意が得られたものとすること。

　(ウ) 同意及び留保は、その後、患者からの申出により、いつでも変更することが可能であること。

をあわせて掲示するものとする。

　※ 上記(1)の(ア)～(エ)の具体例

　（事例１）他の医療機関宛に発行した紹介状等を本人が持参する場合
　医療機関等において他の医療機関等への紹介状、処方せん等を発行し、当該書面を本人が他の医療機関等に持参した場合、当該第三者提供については、本人の同意があったものと考えられ、当該書面の内容に関し、医療機関等との間での情報交換を行うことについて同意が得られたものと考えられる。
　~~例えば、薬局の薬剤師が、処方せんの内容に疑義が生じたため、処方せんを交付した医師に照会を行う場合がこれに該当する。~~

　（事例２）他の医療機関等からの照会に回答する場合
　診療所Ａを過去に受診したことのある患者が、病院Ｂにおいて現に受診中の場合で、病院Ｂから診療所Ａに対し過去の診察結果等について照会があった場合、病院Ｂの担当医師等が受診中の患者から同意を得ていることが確認できれば、診療所Ａは自らが保有する診療情報の病院Ｂへの提供について、患者の同意が得られたものと考えられる。

　（事例３）家族等への病状説明
　病態等について、本人と家族等に対し同時に説明を行う場合には、明示的に本人の同意を得なくても、家族等に対する診療情報の提供について、本人の同意が得られたものと考えられる。

(3) 医療機関等が、労働安全衛生法第６６条、健康保険法第１５０条、国民健康保険法第８２条又は老人保健法第２０条により、事業者、保険者又は市町村が行う健康診断等を受託した場合、その結果である労働者等の個人データを委託元である当該事業者、保険者又は市町村等に対して提供することについて、本人の同意が得られていると考えられる。

(4) 介護関係事業者については、介護保険法に基づく指定基準において、サービス担当者会議等で利用者の個人情報を用いる場合には利用者の同意を、利用者の家族の個人情報を用いる場合には家族の同意を、あらかじめ文書により得ておかなければならないとされていることを踏まえ、事業所内への掲示によるのではなく、サービス利用開始時に適切に利用者から文書により同意を得ておくことが必要である。

　（４）「第三者」に該当しない場合

(1) 他の事業者等への情報提供であるが、「第三者」に該当しない場合
　法第２３条第４項の各号に掲げる場合の当該個人データの提供を受ける者については、第三者に該当せず、本人の同意を得ずに情報の提供を行うことができる。医療・介護関係事業者における具体的事例は以下のとおりである。

・検査等の業務を委託する場合

・外部監査機関への情報提供（（財）日本医療機能評価機構が行う病院機能評価等）

・個人データを特定の者との間で共同して利用するとして、あらかじめ本人に通知等している場合

※ 個人データの共同での利用における留意事項
　病院と訪問看護ステーションが共同で医療サービスを提供している場合など、あらかじめ個人データを特定の者との間で共同して利用することが予定されている場合、(ア)共同して利用される個人データの項目、(イ)共同利用者の範囲（個別列挙されているか、本人から見てその範囲が明確となるように特定されている必要がある）、(ウ)利用する者の利用目的、(エ)当該個人データの管理について責任を有する者の氏名又は名称、をあらかじめ本人に通知し、又は本人が容易に知り得る状態においておくとともに、共同して利用することを明らかにしている場合には、当該共同利用者は第三者に該当しない。
　この場合、(ア)、(イ)については変更することができず、(ウ)、(エ)については、本人が想定することが困難でない範囲内で変更することができ、変更する場合は、本人に通知又は本人の容易に知り得る状態におかなければならない。

(2) 同一事業者内における情報提供であり、第三者に該当しない場合
　同一事業者内で情報提供する場合は、当該個人データを第三者に提供したことにはならないので、本人の同意を得ずに情報の提供を行うことができる。医療・介護関係事業者における具体的事例は以下のとおりである。

・病院内の他の診療科との連携など当該医療・介護関係事業者内部における情報の交換

・同一事業者が開設する複数の施設間における情報の交換

・当該事業者の職員を対象とした研修での利用（特定し、公表した利用目的との関係で、目的外利用として所要の措置を行う必要があり得る）

・当該事業者内で経営分析を行うための情報の交換

　このうち、医療・介護関係事業者内部の研修で診療録~~カルテ~~や介護関係記録等を利用する場合には、具体的な利用方法を含め、あらためて本人の同意を得るか、個人が特定されないよう匿名化する。

　（５）その他留意事項

・他の事業者への情報提供に関する留意事項
　第三者提供を行う場合のほか、他の事業者への情報提供であっても、(1)法令に基づく場合など第三者提供の例外に該当する場合、(2)「第三者」に該当しない場合、(3)個人が特定されないように匿名化して情報提供する場合などにおいては、本来必要とされる情報の範囲に限って提供すべきであり、情報提供する上で必要とされていない事項についてまで他の事業者に提供することがないようにすべきである。
　特に、医療事故等に関する情報提供に当たっては、患者・利用者及び家族等の意思を踏まえ~~感情に配慮し~~、報告において氏名等が必要とされる場合を除き匿名化（II２．参照）~~マスキング~~を行う。また、医療事故発生直後にマスコミへの公表等を行う場合等については、匿名化する場合であっても~~原則として~~本人又は家族等の同意を得るよう努めるものとする。
（適切ではない例）

　・医師及び薬剤師が製薬企業のMR（医薬品情報担当者）、医薬品卸業者のMS（医薬品販売担当者）等との間で医薬品の投薬効果などについて情報交換を行う場合に、必要でない氏名等の情報を削除せずに提供すること。

　【法の規定により遵守すべき事項等】

　　・医療・介護関係事業者においては、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。なお、（２）の本人の同意を得る必要がない場合に該当する場合には、本人の同意を得る必要はない。

　　・個人データの第三者提供について本人の同意があった場合で、その後、本人から第三者提供の範囲の一部についての同意を取り消す旨の申出があった場合は、その後の個人データの取扱いについては、本人の同意のあった範囲に限定して取り扱うものとする。

　【その他の事項】

　　・第三者提供に該当しない情報提供が行われる場合であっても、院内や事業所内等への掲示、ホームページ等により情報提供先をできるだけ明らかにするとともに、患者・利用者等からの問い合わせがあった場合に回答できる体制を確保する。

　　・例えば、業務委託の場合、当該医療・介護関係事業者において委託している業務の内容、委託先事業者、委託先事業者との間での個人情報の取扱いに関する取り決めの内容等について公開することが考えられる。

　　・個人情報の第三者提供について本人の同意があった場合で、その後、本人から第三者提供の範囲の一部についての同意を取り消す旨の申出があった場合は、その後の個人情報の取扱いについては、本人の同意のあった範囲に限定して取り扱うものとする。

６．保有個人データに関する事項の公表等（法第２４条）

（保有個人データに関する事項の公表等）

法第二十四条　個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置かなければならない。

一　当該個人情報取扱事業者の氏名又は名称

二　すべての保有個人データの利用目的（第十八条第四項第一号から第三号までに該当する場合を除く。）

三　次項、次条第一項、第二十六条第一項又は第二十七条第一項若しくは第二項の規定による求めに応じる手続（第三十条第二項の規定により手数料の額を定めたときは、その手数料の額を含む。）

四　前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの

２　個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。

一　前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合

二　第十八条第四項第一号から第三号までに該当する場合

３　個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

（保有個人データの適正な取扱いの確保に関し必要な事項）

令第五条　法第二十四条第一項第四号の政令で定めるものは、次に掲げるものとする。

一　当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先

二　当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び苦情の解決の申出先

　【法の規定により遵守すべき事項等】

　　・医療・介護関係事業者は、保有個人データに関し、(ア)当該個人情報取扱事業者の氏名又は名称、(イ)すべての保有個人データの利用目的（法第１８条第４項第１号から第３号までに規定された例外の場合を除く）、(ウ)保有個人データの利用目的の通知、開示、訂正、利用停止等の手続の方法、及び保有個人データの利用目的の通知又は開示に係る手数料の額、(エ)苦情処理の申出先等について、本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む）に置かなければならない。

　　・医療・介護関係事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、上記の措置により利用目的が明らかになっている場合及び法第１８条第４項第１号から第３号までの例外に相当する場合を除き、遅滞なく通知しなければならない。

　　・医療・介護関係事業者は、利用目的の通知をしない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

　　・法施行前から保有している個人情報についても同様の取扱いを行う。

　【その他の事項】

　　・医療・介護関係事業者は、保有個人データについて、その利用目的、開示、訂正、利用停止等の手続の方法及び利用目的の通知又は開示に係る手数料の額、苦情の申出先等について、少なくとも院内や事業所内等への掲示、さらにホームページ等によりできるだけ明らかにするとともに、患者・利用者等からの要望により書面を交付したり、問い合わせがあった場合に具体的内容について回答できる体制を確保する。

７．本人からの求めによる保有個人データの開示（法第２５条）

（開示）

法第二十五条　個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの開示（当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ。）を求められたときは、本人に対し、政令で定める方法により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。

一　本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

二　当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合

三　他の法令に違反することとなる場合

２　個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの全部又は一部について開示しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

３　他の法令の規定により、本人に対し第一項本文に規定する方法に相当する方法により当該本人が識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人データについては、同項の規定は、適用しない。

（個人情報取扱事業者が保有個人データを開示する方法）

令第六条　法第二十五条第一項の政令で定める方法は、書面の交付による方法（開示の求めを行った者が同意した方法があるときは、当該方法）とする。

　（１）開示の原則
　医療・介護関係事業者は、本人から、当該本人が識別される保有個人データの開示を求められたときは、本人に対し、書面の交付による方法等により、遅滞なく、当該保有個人データを開示しなければならない。

　（２）開示の例外
　開示することで、法第２５条第１項の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。具体的事例は以下のとおりである。
（事例１）

　・患者・利用者の状況等について、家族や患者・利用者の関係者が医療・介護サービス従事者に情報提供を行っている場合に、これらの者の同意を得ずに患者・利用者自身に当該情報を提供することにより、患者・利用者と家族や患者・利用者の関係者との人間関係が悪化するなど、これらの者の利益を害するおそれがある場合

（事例２）

　・症状や予後、治療経過等について患者に対して十分な説明をしたとしても、患者本人に重大な心理的影響を与え、その後の治療効果等に悪影響を及ぼす場合

　※ 個々の事例への適用については個別具体的に慎重に判断することが必要である。また、保有個人データである診療情報の開示に当たっては、「診療情報の提供等に関する指針」の内容にも配慮する必要がある。

　【法の規定により遵守すべき事項等】

　　・医療・介護関係事業者は、本人から、当該本人が識別される保有個人データの開示を求められたときは、本人に対し、遅滞なく、当該保有個人データを開示しなければならない。また、当該本人が識別される保有個人データが存在しないときにその旨知らせることとする。ただし、開示することにより、法第２５条第１項の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。

　　・ II１．に記したとおり、例えば診療録の情報の中には、患者の保有個人データであって、診察した医師の保有個人データでもあるという二面性を持つ部分が含まれるものの、そもそも診療録全体が患者の保有個人データであることから、患者本人から開示の求めがある場合に、その二面性があることを理由に全部又は一部を開示しないことはできない。ただし、法第２５条第１項の各号のいずれかに該当する場合には、法に従い、その全部又は一部を開示しないことができる。

　　・開示の方法は、書面の交付又は求めを行った者が同意した方法による。

　　・医療・介護関係事業者は、求められた保有個人データの全部又は一部について開示しない旨を決定したときは、本人に対し、遅滞なく、その旨を通知しなければならない。また、本人に通知する場合には、本人に対してその理由を説明するよう努めなければならない（III１０．参照）。

　　・他の法令の規定により、保有個人データの開示について定めがある場合には、当該法令の規定によるものとする。

　【その他の事項】

　　・法定代理人等、開示の求めを行い得る者から開示の求めがあった場合、原則として患者・利用者本人に対し保有個人データの開示を行う旨の説明を行った後、法定代理人等に対して開示を行うものとする。

　　・医療・介護関係事業者は、保有個人データの全部又は一部について開示しない旨決定した場合、本人に対するその理由の説明に当たっては、文書により示すことを基本とする。また、苦情処理の体制についても併せて説明することが望ましい。

８．訂正及び利用停止（法第２６条、第２７条）

（訂正等）

法第二十六条　個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの内容の訂正、追加又は削除（以下この条において「訂正等」という。）を求められた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。

２　個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨（訂正等を行ったときは、その内容を含む。）を通知しなければならない。

（利用停止等）

法第二十七条　個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第十六条の規定に違反して取り扱われているという理由又は第十七条の規定に違反して取得されたものであるという理由によって、当該保有個人データの利用の停止又は消去（以下この条において「利用停止等」という。）を求められた場合であって、その求めに理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

２　個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第二十三条第一項の規定に違反して第三者に提供されているという理由によって、当該保有個人データの第三者への提供の停止を求められた場合であって、その求めに理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

３　個人情報取扱事業者は、第一項の規定に基づき求められた保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は前項の規定に基づき求められた保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

　【法の規定により遵守すべき事項等】

　　・医療・介護関係事業者は、法第２６条、第２７条第１項又は第２項の規定に基づき、本人から、保有個人データの訂正等、利用停止等、第三者への提供の停止を求められた場合で、それらの求めが適正であると認められるときは、これらの措置を行わなければならない。

　　・ただし、利用停止等及び第三者への提供の停止については、利用停止等に多額の費用を要する場合など当該措置を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

　　・なお、以下の場合については、これらの措置を行う必要はない。

(1) 訂正等の求めがあった場合であっても、(ア)利用目的から見て訂正等が必要でない場合、(イ)誤りである指摘が正しくない場合又は(ウ)訂正等の対象が事実でなく評価に関する情報である場合

(2) 利用停止等、第三者への提供の停止の求めがあった場合であっても、手続違反等の指摘が正しくない場合

　　・医療・介護関係事業者は、上記の措置を行ったとき、又は行わない旨を決定したときは、本人に対し、遅滞なく、その旨を通知しなければならない。また、本人に通知する場合には、本人に対してその理由を説明するよう努めなければならない（III１０．参照）。

　【その他の事項】

　　・医療・介護関係事業者は、訂正等、利用停止等又は第三者への提供の停止が求められた保有個人データの全部又は一部について、これらの措置を行わない旨決定した場合、本人に対するその理由の説明に当たっては、文書により示すことを基本とする。その際は、苦情処理の体制についても併せて説明することが望ましい。

　　・保有個人データの訂正等にあたっては、訂正した者、内容、日時等が分かるように行われなければならない。

　　・保有個人データの字句などを不当に変える改ざんは、行ってはならない。

９．開示等の求めに応じる手続及び手数料（法第２９条、第３０条）

（開示等の求めに応じる手続）

法第二十九条　個人情報取扱事業者は、第二十四条第二項、第二十五条第一項、第二十六条第一項又は第二十七条第一項若しくは第二項の規定による求め（以下この条において「開示等の求め」という。）に関し、政令で定めるところにより、その求めを受け付ける方法を定めることができる。この場合において、本人は、当該方法に従って、開示等の求めを行わなければならない。

２　個人情報取扱事業者は、本人に対し、開示等の求めに関し、その対象となる保有個人データを特定するに足りる事項の提示を求めることができる。この場合において、個人情報取扱事業者は、本人が容易かつ的確に開示等の求めをすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。

３　開示等の求めは、政令で定めるところにより、代理人によってすることができる。

４　個人情報取扱事業者は、前三項の規定に基づき開示等の求めに応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮しなければならない。

（手数料）

法第三十条　個人情報取扱事業者は、第二十四条第二項の規定による利用目的の通知又は第二十五条第一項の規定による開示を求められたときは、当該措置の実施に関し、手数料を徴収することができる。

２　個人情報取扱事業者は、前項の規定により手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければならない。

（開示等の求めを受け付ける方法）

令第七条　法第二十九条第一項の規定により個人情報取扱事業者が開示等の求めを受け付ける方法として定めることができる事項は、次に掲げるとおりとする。

一　開示等の求めの申出先

二　開示等の求めに際して提出すべき書面（電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。）の様式その他の開示等の求めの方式

三　開示等の求めをする者が本人又は次条に規定する代理人であることの確認の方法

四　法第三十条第一項の手数料の徴収方法

（開示等の求めをすることができる代理人）

令第八条
　法第二十九条第三項の規定により開示等の求めをすることができる代理人は、次に掲げる代理人とする。

一　未成年者又は成年被後見人の法定代理人二　開示等の求めをすることにつき本人が委任した代理人

　（１）開示等を行う情報の特定
　医療・介護関係事業者は、本人に対し、開示等の求めに関して、その対象となる保有個人データを特定するに足りる事項の提示を求めることができるが、この場合には、本人が容易かつ的確に開示等の求めをすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した措置をとらなければならない。
　また、保有個人データの開示等については、本人の求めにより、保有個人データの全体又は一部が対象となるが、当該本人の保有個人データが多岐にわたる、データ量が膨大であるなど、全体の開示等が困難又は非効率な場合は、医療・介護関係事業者は、本人が開示等の求めを行う情報の範囲を特定するのに参考となる情報（~~本人の意思を尊重しつつ、本人に~~過去の受診の状況、病態の変化等）を提供するなど、本人の利便を考慮した支援を行う~~の概要を説明するなど、本人が開示等の求めを行う情報の範囲を特定できるよう配慮する~~ものとする。

　（２）代理人による開示等の求め
　保有個人データの開示等については、本人のほか、(1)未成年者又は成年被後見人の法定代理人、(2)開示等の求めをすることにつき本人が委任した代理人により行うことができる。

　【法の規定により遵守すべき事項等】

　　・医療・介護関係事業者は、保有個人データの開示等の求めに関し、本人に過重な負担を課すものとならない範囲において、以下の事項について、その求めを受け付ける方法を定めることができる。

　(ア) 開示等の求めの受付先

　(イ) 開示等の求めに際して提出すべき書面の様式、その他の開示等の求めの受付方法

　(ウ) 開示等の求めをする者が本人又はその代理人であることの確認の方法

　(エ) 保有個人データの利用目的の通知、又は保有個人データの開示をする際に徴収する手数料の徴収方法

　　・医療・介護関係事業者は、本人に対し、開示等の求めに関して、その対象となる保有個人データを特定するに足りる事項の提示を求めることができるが、この場合には、本人が容易かつ的確に開示等の求めをすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した措置をとらなければならない。

　　・保有個人データの開示等の求めは、本人のほか、未成年者又は成年被後見人の法定代理人、当該求めをすることにつき本人が委任した代理人によってすることができる。

　　・医療・介護関係事業者は、保有個人データの利用目的の通知、又は保有個人データの開示を求められたときは、当該措置の実施に関し、手数料を徴収することができ、その際には実費を勘案して合理的であると認められる範囲内において、手数料の額を定めなければならない。

　【その他の事項】

　　・医療・介護関係事業者は、以下の点に留意しつつ、保有個人データの開示の手続を定めることが望ましい。

－開示等の求めの方法は書面によることが望ましいが、患者・利用者等の自由な求めを阻害しないため、開示等を求める理由を要求することは不適切である。

－開示等を求める者が本人（又はその代理人）であることを確認する。

－開示等の求めがあった場合、主治医等の担当スタッフの意見を聴いた上で、速やかに保有個人データの開示等をするか否か等を決定し、これを開示の求めを行った者に通知する。

－保有個人データの開示を行う場合には、日常の医療・介護サービス提供への影響等も考慮し、本人に過重な負担を課すものとならない範囲で、日時、場所、方法等を指定することができる。

－保有個人データについての開示の可否については、医療・介護関係事業者の内部に設置する検討委員会等において検討した上で速やかに決定することが望ましい。

　　・代理人等、開示の求めを行い得る者から開示の求めがあった場合、原則として患者・利用者本人に対し保有個人データの開示を行う旨の説明を行った後、開示の求めを行った者に対して開示を行うものとする。

　　・代理人等からの求めがあった場合で、(1)本人による具体的意思を把握できない包括的な委任に基づく請求、(2)開示等の請求が行われる相当以前に行われた委任に基づく請求が行われた場合には、本人への説明に際し、開示の求めを行った者及び開示する保有個人データの内容について十分説明し、本人の意思を確認するとともに代理人の求めの適正性、開示の範囲等について本人の意思を踏まえた対応を行うものとする~~する必要がある~~。

１０．理由の説明、苦情処理（法第２８条、第３１条）

（理由の説明）

法第二十八条　個人情報取扱事業者は、第二十四条第三項、第二十五条第二項、第二十六条第二項又は前条第三項の規定により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努めなければならない。

（個人情報取扱事業者による苦情の処理）

法第三十一条　個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。

２　個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。

　【法の規定により遵守すべき事項等】

　　・医療・介護関係事業者は、本人から求められた保有個人データの利用目的の通知、開示、訂正等、利用停止等において、その措置をとらない旨又はその措置と異なる措置をとる旨本人に通知する場合は、本人に対して、その理由を説明するよう努めなければならない。

　　・医療・介護関係事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。また、医療・介護関係事業者は、苦情の適切かつ迅速な処理を行うにあたり、苦情処理窓口の設置や苦情処理の手順を定めるなど必要な体制の整備に努めなければならない。

　【その他の事項】

　　・医療・介護関係事業者は、本人に対して理由を説明する際には、文書により示すことを基本とする。その際は、苦情処理の体制についても併せて説明することが望ましい。

　　・医療・介護関係事業者は、患者・利用者等からの苦情処理にあたり、専用の窓口の設置や主治医等の担当スタッフ以外の職員による相談体制を確保するなど、患者・利用者等が相談を行いやすい環境の整備に努める。

　　・医療・介護関係事業者は、当該施設における患者・利用者等からの苦情処理体制等について院内や事業所内等への掲示やホームページへの掲載等を行うことで患者・利用者等に対して周知を図るとともに、地方公共団体、地域の医師会や国民健康保険団体連合会等が開設する医療や介護に関する相談窓口等についても患者・利用者等に対して周知することが望ましい。

トップへ

戻る

・	医療・介護関係事業者は、個人情報を取り扱うに当たって、その利用目的をできる限り特定しなければならない。
・	医療・介護関係事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。
・	医療・介護関係事業者は、あらかじめ本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。なお、本人の同意を得るために個人情報を利用すること（同意を得るために患者・利用者の連絡先を利用して電話をかける場合など）、個人情報を匿名化するために個人情報に加工を行うことは差し支えない。
・	個人情報を取得する時点で、本人の同意があった場合で、その後、本人から利用目的の一部についての同意を取り消す旨の申出があった場合は、その後の個人情報の取扱いについては、本人の同意のあった範囲に限定して取り扱う。
・	医療・介護関係事業者は、合併その他の事由により他の事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
・	利用目的の制限の例外（法第１６条第３項）に該当する場合は、本人の同意を得ずに個人情報を取り扱うことができる。（利用目的を変更する場合の取扱いについてはIII２．を参照）

・	利用目的の制限の例外に該当する「法令に基づく場合」等であっても、利用目的以外の目的で個人情報を取り扱う場合は、当該法令等の趣旨をふまえ、その取り扱う範囲を真に必要な範囲に限定することが求められる。
・	個人情報を取得する時点で、本人の同意があった場合で、その後、本人から利用目的の一部についての同意を取り消す旨の申出があった場合は、その後の個人情報の取扱いについては、本人の同意のあった範囲に限定して取り扱う。
・	患者が未成年者等の場合、法定代理人等の同意を得ることで足りるが、一定の判断能力を有する未成年者等については、法定代理人等の同意にあわせて本人の同意を得る。
・	意識不明の患者や重度の痴呆性の高齢者などで法定代理人がいない場合で、緊急に診療が必要な場合については、上記（２）(2)に該当し、当該本人の個人情報を取り扱うことができる。

・	医療・介護関係事業者は、個人情報を取得するに当たって、あらかじめその利用目的を公表しておくか、個人情報を取得した場合、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
・	利用目的の公表方法としては、院内や事業所内等に掲示するとともに、可能な場合にはホームページへの掲載等の方法により、なるべく広く公表する必要がある。
・	医療・介護関係事業者は、受付で患者に保険証を提出してもらう場合や問診票の記入を求める場合など、本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を院内掲示等により明示しなければならない。ただし、救急の患者で緊急の処置が必要な場合等は、この限りでない。
・	医療・介護関係事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
・	取得の状況からみて利用目的が明らかであると認められる場合など利用目的の通知等の例外に該当する場合は、上記内容は適用しない。（「利用目的が明らか」な場合についてはIII１．（１）を参照）

・	利用目的が、本規定の例外である「取得の状況からみて利用目的が明らかであると認められる場合」に該当する場合であっても、患者・利用者等に利用目的をわかりやすく示す観点から、利用目的の公表に当たっては、当該利用目的についても併せて記載する。
・	院内や事業所内等への掲示に当たっては、受付の近くに当該内容を説明した表示を行い、初回の患者・利用者等に対しては、受付時や利用開始時において当該掲示についての注意を促す。
・	初診時や入院・入所時等における説明だけでは、個人情報について十分な理解ができない患者・利用者も想定されることから、患者・利用者が落ち着いた時期に改めて説明を行ったり、診療計画書、療養生活の手引き、訪問介護計画等のサービス提供に係る計画等に個人情報に関する取扱いを記載するなど、患者・利用者が個人情報の利用目的を理解できるよう配慮する。
・	患者・利用者等の希望がある場合、詳細の説明や当該内容を記載した書面の交付を行う。

・	医療・介護関係事業者は、偽りその他の不正の手段により個人情報を取得してはならない。
・	診療等のために必要な過去の受診歴等については、真に必要な範囲について、本人から直接収集するほか、第三者提供について本人の同意を得た者（III５．（３）により本人の黙示の同意が得られていると考えられる者を含む）から収集することを原則とする。ただし、本人以外の家族等から収集することが診療上又は適切な介護サービスの提供上やむを得ない場合はこの限りでない。
・	親の同意なく、十分な判断能力を有していない子どもから家族の個人情報を取得してはならない。
・	医療・介護関係事業者は、適正な医療・介護サービスを提供するという利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない。

・	第三者提供により他の医療・介護関係事業者から個人情報を入手したとき、当該個人情報の内容に疑義が生じた場合には、記載内容の事実に関して本人又は情報の提供を行った者に確認をとる。
・	医療・介護関係事業者は、個人データの内容の正確性、最新性を確保するため、III４．（２）(2)に示す委員会等において、具体的なルールを策定したり、技術水準向上のための研修の開催などを行うことが望ましい。

・	医療・介護関係事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他個人データの安全管理のために必要かつ適切な措置を講じなければならない。
・	医療・介護関係事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
・	医療・介護関係事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

・	医療・介護関係事業者においては、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。なお、（２）の本人の同意を得る必要がない場合に該当する場合には、本人の同意を得る必要はない。
・	個人データの第三者提供について本人の同意があった場合で、その後、本人から第三者提供の範囲の一部についての同意を取り消す旨の申出があった場合は、その後の個人データの取扱いについては、本人の同意のあった範囲に限定して取り扱うものとする。

・	第三者提供に該当しない情報提供が行われる場合であっても、院内や事業所内等への掲示、ホームページ等により情報提供先をできるだけ明らかにするとともに、患者・利用者等からの問い合わせがあった場合に回答できる体制を確保する。
・	例えば、業務委託の場合、当該医療・介護関係事業者において委託している業務の内容、委託先事業者、委託先事業者との間での個人情報の取扱いに関する取り決めの内容等について公開することが考えられる。
・	個人情報の第三者提供について本人の同意があった場合で、その後、本人から第三者提供の範囲の一部についての同意を取り消す旨の申出があった場合は、その後の個人情報の取扱いについては、本人の同意のあった範囲に限定して取り扱うものとする。

・	医療・介護関係事業者は、保有個人データに関し、(ア)当該個人情報取扱事業者の氏名又は名称、(イ)すべての保有個人データの利用目的（法第１８条第４項第１号から第３号までに規定された例外の場合を除く）、(ウ)保有個人データの利用目的の通知、開示、訂正、利用停止等の手続の方法、及び保有個人データの利用目的の通知又は開示に係る手数料の額、(エ)苦情処理の申出先等について、本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む）に置かなければならない。
・	医療・介護関係事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、上記の措置により利用目的が明らかになっている場合及び法第１８条第４項第１号から第３号までの例外に相当する場合を除き、遅滞なく通知しなければならない。
・	医療・介護関係事業者は、利用目的の通知をしない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
・	法施行前から保有している個人情報についても同様の取扱いを行う。

・	医療・介護関係事業者は、本人から、当該本人が識別される保有個人データの開示を求められたときは、本人に対し、遅滞なく、当該保有個人データを開示しなければならない。また、当該本人が識別される保有個人データが存在しないときにその旨知らせることとする。ただし、開示することにより、法第２５条第１項の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
・	II１．に記したとおり、例えば診療録の情報の中には、患者の保有個人データであって、診察した医師の保有個人データでもあるという二面性を持つ部分が含まれるものの、そもそも診療録全体が患者の保有個人データであることから、患者本人から開示の求めがある場合に、その二面性があることを理由に全部又は一部を開示しないことはできない。ただし、法第２５条第１項の各号のいずれかに該当する場合には、法に従い、その全部又は一部を開示しないことができる。
・	開示の方法は、書面の交付又は求めを行った者が同意した方法による。
・	医療・介護関係事業者は、求められた保有個人データの全部又は一部について開示しない旨を決定したときは、本人に対し、遅滞なく、その旨を通知しなければならない。また、本人に通知する場合には、本人に対してその理由を説明するよう努めなければならない（III１０．参照）。
・	他の法令の規定により、保有個人データの開示について定めがある場合には、当該法令の規定によるものとする。

・	法定代理人等、開示の求めを行い得る者から開示の求めがあった場合、原則として患者・利用者本人に対し保有個人データの開示を行う旨の説明を行った後、法定代理人等に対して開示を行うものとする。
・	医療・介護関係事業者は、保有個人データの全部又は一部について開示しない旨決定した場合、本人に対するその理由の説明に当たっては、文書により示すことを基本とする。また、苦情処理の体制についても併せて説明することが望ましい。

・	医療・介護関係事業者は、訂正等、利用停止等又は第三者への提供の停止が求められた保有個人データの全部又は一部について、これらの措置を行わない旨決定した場合、本人に対するその理由の説明に当たっては、文書により示すことを基本とする。その際は、苦情処理の体制についても併せて説明することが望ましい。
・	保有個人データの訂正等にあたっては、訂正した者、内容、日時等が分かるように行われなければならない。
・	保有個人データの字句などを不当に変える改ざんは、行ってはならない。

・	医療・介護関係事業者は、本人から求められた保有個人データの利用目的の通知、開示、訂正等、利用停止等において、その措置をとらない旨又はその措置と異なる措置をとる旨本人に通知する場合は、本人に対して、その理由を説明するよう努めなければならない。
・	医療・介護関係事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。また、医療・介護関係事業者は、苦情の適切かつ迅速な処理を行うにあたり、苦情処理窓口の設置や苦情処理の手順を定めるなど必要な体制の整備に努めなければならない。

・	医療・介護関係事業者は、本人に対して理由を説明する際には、文書により示すことを基本とする。その際は、苦情処理の体制についても併せて説明することが望ましい。
・	医療・介護関係事業者は、患者・利用者等からの苦情処理にあたり、専用の窓口の設置や主治医等の担当スタッフ以外の職員による相談体制を確保するなど、患者・利用者等が相談を行いやすい環境の整備に努める。
・	医療・介護関係事業者は、当該施設における患者・利用者等からの苦情処理体制等について院内や事業所内等への掲示やホームページへの掲載等を行うことで患者・利用者等に対して周知を図るとともに、地方公共団体、地域の医師会や国民健康保険団体連合会等が開設する医療や介護に関する相談窓口等についても患者・利用者等に対して周知することが望ましい。