アクセシビリティ閲覧支援ツール

添付一覧

添付画像はありません

○医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンスについて(通知)

(平成29年4月14日)

(/個情第534号/医政発0414第6号/薬生発0414第1号/老発0414第1号/)

(各都道府県知事あて個人情報保護委員会事務局長、厚生労働省医政局長、厚生労働省医薬・生活衛生局長、厚生労働省老健局長通知)

(公印省略)

医療・介護関係事業者における個人情報の適正な取扱いを支援するために、「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」(平成16年12月24日付け医政発第1224001号・薬食発第1224002号・老発第1224002号厚生労働省医政局長・医薬食品局長・老健局長通知別添。以下「ガイドライン」という。)を作成し、その周知を図ってきたところです。

今般、個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年法律第65号。以下「改正個人情報保護法等」という。)が全面施行されることに伴い、「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」を別添のとおり定めましたので、貴職におかれましては、貴管内の関係機関・関係団体等に対する周知等よろしくお取り計らい願います。

また、貴管内の保健所設置市、特別区等に対しても、併せて周知願います。

なお、本ガイダンスは、改正個人情報保護法等の施行の日(平成29年5月30日)から適用することとし、ガイドラインは平成29年5月29日をもって廃止します。

別添

医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス

平成29年4月14日

(令和2年10月一部改正)

個人情報保護委員会

厚生労働省

目次

Ⅰ 本ガイダンスの趣旨、目的、基本的考え方

1.本ガイダンスの趣旨

2.本ガイダンスの構成及び基本的考え方

3.本ガイダンスの対象となる「医療・介護関係事業者」の範囲

4.本ガイダンスの対象となる「個人情報」の範囲

5.個人情報保護委員会の権限行使との関係

6.医療・介護関係事業者が行う措置の透明性の確保と対外的明確化

7.責任体制の明確化と患者・利用者窓口の設置等

8.遺族への診療情報の提供の取扱い

9.個人情報が研究に活用される場合の取扱い

10.遺伝情報を診療に活用する場合の取扱い

11.他の法令等との関係

12.認定個人情報保護団体における取組

Ⅱ 用語の定義等

1.個人情報(法第2条第1項)

2.個人識別符号(法第2条第2項)

3.要配慮個人情報(法第2条第3項)

4.個人情報の匿名化

5.匿名加工情報(法第2条第9項)

6.個人情報データベース等(法第2条第4項)、個人データ(法第2条第6項)、保有個人データ(法第2条第7項)

7.本人の同意

8.家族等への病状説明

Ⅲ 医療・介護関係事業者の義務等

1.利用目的の特定等(法第15条、第16条)

2.利用目的の通知等(法第18条)

3.個人情報の適正な取得、個人データ内容の正確性の確保(法第17条、第19条)

4.安全管理措置、従業者の監督及び委託先の監督(法第20条~第22条)

5.個人データの第三者提供(法第23条)

6.外国にある第三者への提供の制限(法第24条)

7.第三者提供に係る記録の作成等(法第25条)

8.第三者提供を受ける際の確認等(法第26条)

9.保有個人データに関する事項の公表等(法第27条)

10.本人からの請求による保有個人データの開示(法第28条)

11.訂正及び利用停止(法第29条、第30条)

12.開示等の請求等に応じる手続及び手数料(法第32条、第33条)

13.理由の説明、事前の請求、苦情の対応(法第31条、第34条~第35条)

Ⅳ ガイダンスの見直し等

1.必要に応じた見直し

2.本ガイダンスを補完する事例集の作成・公開

別表1 医療・介護関係法令において医療・介護関係事業者に作成・保存が義務づけられている記録例

別表2 医療・介護関係事業者の通常の業務で想定される利用目的

別表3 医療・介護関連事業者の通常の業務で想定される主な事例(法令に基づく場合)

別表4 医療関係資格、介護サービス従業者等に係る守秘義務等

別表5 医学研究分野における関連指針

別表6 UNESCO国際宣言等

Ⅰ 本ガイダンスの趣旨、目的、基本的考え方

1.本ガイダンスの趣旨

本ガイダンスは、「個人情報の保護に関する法律」(平成15年法律第57号。以下「法」という。)を踏まえ、「個人情報の保護に関する法律についてのガイドライン(通則編)」(平成28年個人情報保護委員会告示第6号。以下「通則ガイドライン」という。)を基礎とし、法第6条及び第8条の規定に基づき、法の対象となる病院、診療所、薬局、介護保険法に規定する居宅サービス事業を行う者等の事業者等が行う個人情報の適正な取扱いの確保に関する活動を支援するための具体的な留意点・事例等を示すものである。

なお、本ガイダンスは医療・介護関係事業者における実例に照らした内容であるため、本ガイダンスに記載のない事項及び関係条文については通則ガイドライン、「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」(平成28年個人情報保護委員会告示第7号)、「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」(平成28年個人情報保護委員会告示第8号)及び「個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)」(平成28年個人情報保護委員会告示第9号)をそれぞれ参照されたい。

2.本ガイダンスの構成及び基本的考え方

個人情報の取扱いについては、法第3条において、「個人情報が、個人の人格尊重の理念の下に慎重に取り扱われるべきものである」とされていることを踏まえ、個人情報を取り扱う全ての者は、その目的や様態を問わず、個人情報の性格と重要性を十分認識し、その適正な取扱いを図らなければならない。

医療分野は、個人情報の性質や利用方法等から、法第6条の規定に基づく特に適正な取扱いの厳格な実施を確保する必要がある分野の一つであることから、各医療機関等における積極的な取組が求められる。

また、介護分野においても、介護関係事業者は、多数の利用者やその家族について、他人が容易には知り得ないような個人情報を詳細に知りうる立場にあり、医療分野と同様に個人情報の適正な取扱いが求められる分野と考えられる。

このことを踏まえ、本ガイダンスでは、法の趣旨を踏まえ医療・介護関係事業者における個人情報の適正な取扱いが確保されるよう、遵守すべき事項及び遵守することが望ましい事項をできる限り具体的に示しており、各医療・介護関係事業者においては、法令、「個人情報の保護に関する基本方針」(平成16年4月2日閣議決定。以下「基本方針」という。)及び本ガイダンスの趣旨を踏まえ、個人情報の適正な取扱いに取り組む必要がある。

具体的には、医療・介護関係事業者は、本ガイダンスの【法の規定により遵守すべき事項等】のうち、「しなければならない」等と記載された事項については、法の規定により厳格に遵守することが求められる。また、【その他の事項】については、法に基づく義務等ではないが、達成できるよう努めることが求められる。

3.本ガイダンスの対象となる「医療・介護関係事業者」の範囲

本ガイダンスが対象としている事業者の範囲は、①病院、診療所、助産所、薬局、訪問看護ステーション等の患者に対し直接医療を提供する事業者(以下「医療機関等」という。)、②介護保険法に規定する居宅サービス事業、介護予防サービス事業、地域密着型サービス事業、地域密着型介護予防サービス事業、居宅介護支援事業、介護予防支援事業、及び介護保険施設を経営する事業、老人福祉法に規定する老人居宅生活支援事業及び老人福祉施設を経営する事業その他高齢者福祉サービス事業を行う者(以下「介護関係事業者」という。)であり、いずれについても、個人情報保護に関する他の法律や条例が適用される、国、地方公共団体、独立行政法人等が設置するものを除く。ただし、医療・介護分野における個人情報保護の精神は同一であることから、これらの事業者も本ガイダンスに十分配慮することが望ましい。

なお、検体検査、患者等や介護サービス利用者への食事の提供、施設の清掃、医療事務の業務など、医療・介護関係事業者から委託を受けた業務を遂行する事業者においては、本ガイダンスのⅢ4.に沿って適切な安全管理措置を講ずることが求められるとともに、当該委託を行う医療・介護関係事業者は、業務の委託に当たり、本ガイダンスの趣旨を理解し、本ガイダンスに沿った対応を行う事業者を委託先として選定するとともに委託先事業者における個人情報の取扱いについて定期的に確認を行い、適切な運用が行われていることを確認する等の措置を講ずる必要がある。

4.本ガイダンスの対象となる「個人情報」の範囲

法令上「個人情報」とは、生存する個人に関する情報であり、個人情報取扱事業者の義務等の対象となるのは、生存する個人に関する情報に限定されている。本ガイダンスは、医療・介護関係事業者が保有する生存する個人に関する情報のうち、医療・介護関係の情報を対象とするものであり、また、診療録等の形態に整理されていない場合でも個人情報に該当する。

なお、当該患者・利用者が死亡した後においても、医療・介護関係事業者が当該患者・利用者の情報を保存している場合には、漏えい、滅失又はき損等の防止のため、個人情報と同等の安全管理措置を講ずるものとする。

5.個人情報保護委員会の権限行使との関係

本ガイダンス中、【法の規定により遵守すべき事項等】に記載された内容のうち、医療・介護関係事業者の義務とされている内容を個人情報取扱事業者としての義務を負う医療・介護関係事業者が遵守しない場合、個人情報保護委員会は、法第40条から第42条までの規定に基づき、「報告徴収」、「立入検査」、「指導・助言」、「勧告」及び「命令」を行うことがある。

また、法第44条第1項の規定に基づき、法第40条第1項の規定による権限が個人情報保護委員会から事業所管大臣に委任された場合には、厚生労働大臣が報告徴収及び立入検査を行うことがある。

さらに、法第77条及び「個人情報の保護に関する法律施行令」(平成15年12月10日政令第507号。以下「令」という。)第21条において、法第40条第1項に規定する個人情報保護委員会の権限及び法第44条第1項の規定により事業所管大臣に委任された権限に属する事務は、個人情報取扱事業者が行う事業であって事業所管大臣が所管するものについての報告徴収及び立入検査に係る権限に属する事務の全部又は一部が、他の法令の規定により地方公共団体の長その他の執行機関が行うこととされているときは、当該地方公共団体の長等が法に基づく報告徴収及び立入検査を行うことがある。

6.医療・介護関係事業者が行う措置の透明性の確保と対外的明確化

法第3条では、個人の人格尊重の理念の下に個人情報を慎重に扱うべきことが指摘されている。

医療・介護関係事業者は、個人情報保護に関する考え方や方針に関する宣言(いわゆる、プライバシーポリシー、プライバシーステートメント等)及び個人情報の取扱いに関する明確かつ適正な規則を策定し、それらを対外的に公表することが求められる。また、患者等から当該本人の個人情報がどのように取り扱われているか等について知りたいという求めがあった場合は、当該規則に基づき、迅速に情報提供を行う等必要な措置を行うものとする。

個人情報保護に関する考え方や方針に関する宣言の内容としては、医療・介護関係事業者が個人の人格尊重の理念の下に個人情報を取り扱うこと及び関係法令及び本ガイダンス等を遵守すること等、個人情報の取扱いに関する規則においては、個人情報に係る安全管理措置の概要、本人等からの開示等の手続、第三者提供の取扱い、苦情への対応等について具体的に定めることが考えられる。

なお、利用目的等を広く公表することについては、以下のような趣旨があることに留意すべきである。

①医療・介護関係事業者で個人情報が利用される意義について患者・利用者等の理解を得ること。

②医療・介護関係事業者において、法を遵守し、個人情報保護のため積極的に取り組んでいる姿勢を対外的に明らかにすること。

7.責任体制の明確化と患者・利用者窓口の設置等

医療・介護関係事業者は、個人情報の適正な取扱いを推進し、漏えい等の問題に対処する体制を整備する必要がある。このため、個人情報の取扱いに関し、専門性と指導性を有し、事業者の全体を統括する組織体制・責任体制を構築し、規則の策定や安全管理措置の計画立案等を効果的に実施できる体制を構築するものとする。

また、患者・利用者等に対しては、受付時、利用開始時に個人情報の利用目的を説明するなど、必要に応じて分かりやすい説明を行う必要があるが、加えて、患者・利用者等が疑問に感じた内容を、いつでも、気軽に問合せできる窓口機能等を確保することが重要である。また、患者・利用者等の相談は、医療・介護サービスの内容とも関連している場合が多いことから、個人情報の取扱いに関し患者・利用者等からの相談や苦情への対応等を行う窓口機能等を整備するとともに、その窓口がサービスの提供に関する相談機能とも有機的に連携した対応が行える体制とするなど、患者・利用者等の立場に立った対応を行う必要がある。

なお、個人情報の利用目的の説明や窓口機能等の整備、開示の請求を受け付ける方法を定める場合等に当たっては、障害のある患者・利用者等にも配慮する必要がある。

8.遺族への診療情報の提供の取扱い

法は、OECD8原則の趣旨を踏まえ、生存する個人の情報を適用対象とし、個人情報の目的外利用や第三者提供に当たっては本人の同意を得ることを原則としており、死者の情報は原則として個人情報とならないことから、法及び本ガイダンスの対象とはならない。しかし、患者・利用者が死亡した際に、遺族から診療経過、診療情報や介護関係の諸記録について照会が行われた場合、医療・介護関係事業者は、患者・利用者本人の生前の意思、名誉等を十分に尊重しつつ、特段の配慮が求められる。このため、患者・利用者が死亡した際の遺族に対する診療情報の提供については、「診療情報の提供等に関する指針」(「診療情報の提供等に関する指針の策定について」(平成15年9月12日医政発第0912001号))の9において定められている取扱いに従って、医療・介護関係事業者は、同指針の規定により遺族に対して診療情報・介護関係の記録の提供を行うものとする。

9.個人情報が研究に活用される場合の取扱い

近年の科学技術の高度化に伴い、研究において個人の診療情報等や要介護認定情報等を利用する場合が増加しているほか、患者・利用者への診療や介護と並行して研究が進められる場合もある。

法第76条第1項においては、憲法上の基本的人権である「学問の自由」の保障への配慮から、大学その他の学術研究を目的とする機関等が、学術研究の用に供する目的をその全部又は一部として個人情報を取り扱う場合については、法による義務等の規定は適用しないこととされている。従って、この場合には法の運用指針としての本ガイダンスは適用されるものではないが、これらの場合においても、法第76条第3項により、当該機関等は、自主的に個人情報の適正な取扱いを確保するための措置を講ずることが求められており、これに当たっては、医学研究分野の関連指針(別表5参照)とともに本ガイダンスの内容についても留意することが期待される。

なお、治験及び製造販売後臨床試験における個人情報の取扱いについては、本ガイダンスのほか、医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律(昭和35年法律第145号。以下「医薬品医療機器等法」という。)及び関係法令(「医薬品の臨床試験の実施の基準に関する省令」(平成9年厚生省令第28号)等)の規定や、関係団体等が定める指針に従うものとする。また、医療機関等が自ら研究を実施する場合、企業若しくは研究機関から研究を受託して若しくは共同で実施する場合又は他の研究機関からの求めに応じて研究のために情報提供する場合における個人情報の取扱いについては、本ガイダンスのほか、別表5に掲げる医学研究分野における関連指針や、関係団体等が定める指針に従うものとする。

10.遺伝情報を診療に活用する場合の取扱い

遺伝学的検査等により得られた遺伝情報については、本人の遺伝子・染色体の変化に基づく体質、疾病の発症等に関する情報が含まれるほか、その血縁者に関わる情報でもあり、その情報は生涯変化しないものであることから、これが漏えいした場合には、本人及び血縁者が被る被害及び苦痛は大きなものとなるおそれがある。したがって、遺伝学的検査等により得られた遺伝情報の取扱いについては、UNESCO国際宣言等(別表6参照)、別表5に掲げる指針及び関係団体等が定める指針を参考とし、特に留意する必要がある。

また、検査の実施に同意している場合においても、その検査結果が示す意味を正確に理解することが困難であったり、疾病の将来予測性に対してどのように対処すればよいかなど、本人及び家族等が大きな不安を持つ場合が多い。したがって、医療機関等が、遺伝学的検査を行う場合には、臨床遺伝学の専門的知識を持つ者により、遺伝カウンセリングを実施するなど、本人及び家族等の心理的社会的支援を行う必要がある。

11.他の法令等との関係

医療・介護関係事業者は、個人情報の取扱いにあたり、法、基本方針及び本ガイダンスに示す項目のほか、個人情報保護又は守秘義務に関する他の法令等(刑法、関係資格法、介護保険法等)の規定を遵守しなければならない。

また、病院等の管理者の監督義務(医療法第15条)や業務委託(医療法第15条の2等)に係る規定、介護関係事業者における個人情報保護に係る規定等を遵守しなければならない。

また、医療分野については、すでに「診療情報の提供等に関する指針」が定められている。これは、インフォームド・コンセントの理念等を踏まえ、医療従事者等が診療情報を積極的に提供することにより、医療従事者と患者等とのより良い信頼関係を構築することを目的としており、この目的のため、患者等からの求めにより個人情報である診療情報を開示する場合は、同指針の内容に従うものとする。

12.認定個人情報保護団体における取組

法第47条においては、個人情報取扱事業者等の個人情報等の適正な取扱いの確保を目的とする業務を行う法人等は個人情報保護委員会の認定を受けて認定個人情報保護団体となることができることとされている。認定個人情報保護団体となる医療・介護関係の団体等は、傘下の医療・介護関係事業者を対象に、個人情報保護に係る普及・啓発を推進するほか、法の趣旨に沿った指針等を自主的なルールとして定めたり、個人情報の取扱いに関する患者・利用者等のための相談窓口を開設するなど、積極的な取組を行うことが期待されている。

Ⅱ 用語の定義等

1.個人情報(法第2条第1項)

(定義)

法第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、電磁的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)

二 個人識別符号が含まれるもの

「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日、その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができるものを含む。)、又は個人識別符号が含まれるものをいう。「個人に関する情報」は、氏名、性別、生年月日、顔画像等個人を識別する情報に限られず、個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているか否かを問わない。

また、例えば診療録には、患者について客観的な検査をしたデータもあれば、それに対して医師が行った判断や評価も書かれている。これら全体が患者個人に関する情報に当たるものであるが、あわせて、当該診療録を作成した医師の側からみると、自分が行った判断や評価を書いているものであるので、医師個人に関する情報とも言うことができる。したがって、診療録等に記載されている情報の中には、患者と医師等双方の個人情報という二面性を持っている部分もあることに留意が必要である。

なお、死者に関する情報が、同時に、遺族等の生存する個人に関する情報でもある場合には、当該生存する個人に関する情報となる。

本ガイダンスは、医療・介護関係事業者が保有する医療・介護関係個人情報を対象とするものであり、診療録等の形態に整理されていない場合でも個人情報に該当する。

(例) 下記については、記載された氏名、生年月日、その他の記述等により特定の個人を識別することができることから、個人情報に該当する。

(医療・介護関係法令において医療・介護関係事業者に作成・保存が義務づけられている記録例は別表1参照)

○医療機関等における個人情報の例

診療録、処方せん、手術記録、助産録、看護記録、検査所見記録、エックス線写真、紹介状、退院した患者に係る入院期間中の診療経過の要約、調剤録 等

○介護関係事業者における個人情報の例

ケアプラン、介護サービス提供にかかる計画、提供したサービス内容等の記録、事故の状況等の記録 等

2.個人識別符号(法第2条第2項)

(定義)

法第二条

2 この法律において「個人識別符号」とは、次の各号にいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。

一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの

二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの

令第一条 個人情報の保護に関する法律(以下「法」という。)第二条第二項の政令で定める文字、番号、記号その他の符号は、次に掲げるものとする。

一 次に掲げる身体の特徴のいずれかを電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、特定の個人を識別するに足りるものとして個人情報保護委員会規則で定める基準に適合するもの

イ 細胞から採取されたデオキシリボ核酸(別名DNA)を構成する塩基の配列

ロ~ト (略)

二~六 (略)

七 次に掲げる証明書にその発行を受ける者ごとに異なるものとなるように記載された個人情報保護委員会規則で定める文字、番号、記号その他の符号

イ 国民健康保険法(昭和33年法律第192号)第九条第二項の被保険者証

ロ 高齢者の医療の確保に関する法律(昭和57年法律第80号)第五十四条第三項の被保険者証

ハ 介護保険法(平成9年法律第123号)第十二条第三項の被保険者証

八 その他前各号に準ずるものとして個人情報保護委員会規則で定める文字、番号、記号その他の符号

規則第二条 個人情報の保護に関する法律施行令(以下「令」という。)第一条第一号の個人情報保護委員会規則で定める基準は、特定の個人を識別することができる水準が確保されるよう、適切な範囲を適切な手法により電子計算機の用に供するために変換することとする。

規則第三条 令第一条第七号の個人情報保護委員会規則で定める文字、番号、記号その他の符号は、次の各号に掲げる証明書ごとに、それぞれ当該各号に定めるものとする。

一 令第一条第七号イに掲げる証明書 国民健康保険法(昭和33年法律第192号)第百十一条の二第一項に規定する保険者番号及び被保険者記号・番号

二 令第一条第七号ロに掲げる証明書 高齢者の医療の確保に関する法律(昭和57年法律第80号)第百六十一条の二第一項に規定する保険者番号及び被保険者番号

三 令第一条第七号ハに掲げる証明書 同号ハに掲げる証明書の番号及び保険者番号

規則第四条 令第一条第八号の個人情報保護委員会規則で定める文字、番号、記号その他の符号は、次に掲げるものとする。

一 健康保険法(大正11年法律第70号)第三条第十一項に規定する保険者番号及び同条第十二項に規定する被保険者等記号・番号

二 船員保険法(昭和14年法律第73号)第二条第十項に規定する保険者番号及び同条第十一項に規定する被保険者等記号・番号

三~四 (略)

五 私立学校教職員共済法(昭和28年法律第245号)第四十五条第一項に規定する保険者番号及び加入者等記号・番号

六 国家公務員共済組合法(昭和33年法律第128号)第百十二条の二第一項に規定する保険者番号及び組合員等記号・番号

七 地方公務員等共済組合法(昭和37年法律第152号)第百四十四条の二十四の二第一項に規定する保険者番号及び組合員等記号・番号

八~九 (略)

「個人識別符号」とは、当該情報単体から特定の個人を識別できるものとして令に定められた文字、番号、記号その他の符号をいい、これに該当するものが含まれる情報は個人情報となる。

具体的な内容は、令第1条及び個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号。以下「規則」という。)第2条から第4条までに定められており、例えば、細胞から採取されたデオキシリボ核酸(別名DNA)を構成する塩基の配列、健康保険法に基づく保険者番号や被保険者等記号・番号などが該当する。

したがって、当該保険者番号及び被保険者番号・記号のいずれもが含まれる情報は、個人情報となる。

3.要配慮個人情報(法第2条第3項)

(定義)

法第二条

3 この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。

令第二条 法第二条第三項の政令で定める記述等は、次に掲げる事項のいずれかを内容とする記述等(本人の病歴又は犯罪の経歴に該当するものを除く。)とする。

一 身体障害、知的障害、精神障害(発達障害を含む。)その他の個人情報保護委員会規則で定める心身の機能の障害があること。

二 本人に対して医師その他医療に関連する職務に従事する者(次号において「医師等」という。)により行われた疾病の予防及び早期発見のための健康診断その他の検査(同号において「健康診断等」という。)の結果

三 健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと。

四 本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと。

五 本人を少年法(昭和23年法律第168号)第三条第一項に規定する少年又はその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと。

規則第五条 令第二条第一号の個人情報保護委員会規則で定める心身の機能の障害は、次に掲げる障害とする。

一 身体障害者福祉法(昭和24年法律第283号)別表に掲げる身体上の障害

二 知的障害者福祉法(昭和35年法律第37号)にいう知的障害

三 精神保健及び精神障害者福祉に関する法律(昭和25年法律第123号)にいう精神障害(発達障害者支援法(平成16年法律第167号)第二条第一項に規定する発達障害を含み、前号に掲げるものを除く。)

四 治療方法が確立していない疾病その他の特殊の疾病であって障害者の日常生活及び社会生活を総合的に支援するための法律(平成17年法律第123号)第四条第一項の政令で定めるものによる障害の程度が同項の厚生労働大臣が定める程度であるもの

「要配慮個人情報」とは、不当な差別や偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして法第2条第3項、令第2条及び規則第5条で定める記述等が含まれる個人情報をいう。なお、医療機関等及び介護関係事業者において想定される要配慮個人情報に該当する情報とは、診療録等の診療記録や介護関係記録に記載された病歴、診療や調剤の過程で、患者の身体状況、病状、治療等について、医療従事者が知り得た診療情報や調剤情報、健康診断の結果及び保健指導の内容、障害(身体障害、知的障害、精神障害等)の事実、犯罪により害を被った事実等が挙げられる。

なお、要配慮個人情報の取得や第三者提供には、原則として本人同意が必要であり、法第23条第2項の規定による第三者提供(オプトアウトによる第三者提供)は認められていないので、注意が必要である。

4.個人情報の匿名化

当該個人情報から、当該情報に含まれる氏名、生年月日、住所、個人識別符号等、個人を識別する情報を取り除くことで、特定の個人を識別できないようにすることをいう。顔写真については、一般的には目の部分にマスキングすることで特定の個人を識別できないと考えられる。なお、必要な場合には、その人と関わりのない符号又は番号を付すこともある。

このような処理を行っても、事業者内で医療・介護関係個人情報を利用する場合は、事業者内で得られる他の情報や匿名化に際して付された符号又は番号と個人情報との対応表等と照合することで特定の患者・利用者等が識別されることも考えられる。法においては、「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」についても個人情報に含まれるものとされており、匿名化に当たっては、当該情報の利用目的や利用者等を勘案した処理を行う必要があり、あわせて、本人の同意を得るなどの対応も考慮する必要がある。

また、特定の患者・利用者の症例や事例を学会で発表したり、学会誌で報告したりする場合等は、氏名、生年月日、住所、個人識別符号等を消去することで匿名化されると考えられるが、症例や事例により十分な匿名化が困難な場合は、本人の同意を得なければならない。

なお、このような学会での発表等のために用いられる特定の患者の症例等の匿名化は、匿名加工情報(Ⅱ5.参照)とは定義や取扱いのルールが異なるので留意が必要である。

さらに当該発表等が研究の一環として行われる場合にはⅠ9.に示す取扱いによるものとし、学会等関係団体が定める指針に従うものとする。

5.匿名加工情報(法第2条第9項)

(定義)

法第二条

9 この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。

一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

10 この法律において「匿名加工情報取扱事業者」とは、匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第三十六条第一項において「匿名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、第五項各号に掲げる者を除く。

令第六条 法第二条第十項の政令で定めるものは、これに含まれる匿名加工情報を一定の規則に従って整理することにより特定の匿名加工情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するものをいう。

「匿名加工情報」とは、個人情報を個人情報の区分に応じて定められた措置を講じて特定の個人を識別することができないように加工して得られる個人に関する情報であって、当該個人情報を復元して特定の個人を再識別することができないようにしたものをいう。

個人情報から匿名加工情報を作成する場合には、規則で定める基準に従って加工する等一定の制限を受けることとなる。

匿名加工情報の加工基準及び匿名加工情報取扱事業者の定義等については、別途定める「個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)」(平成28年個人情報保護委員会告示第9号)を参照のこと。

6.個人情報データベース等(法第2条第4項)、個人データ(法第2条第6項)、保有個人データ(法第2条第7項)

(定義)

法第二条

4 この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。

一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの

二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの

令第三条 法第二条第四項の利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものは、次の各号のいずれにも該当するものとする。

一 不特定かつ多数の者に販売することを目的として発行されたものであって、かつ、その発行が法又は法に基づく命令の規定に違反して行われたものでないこと。

二 不特定かつ多数の者により随時に購入することができ、又はできたものであること。

三 生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであること。

2 法第二条第四項第二号の政令で定めるものは、これに含まれる個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するものをいう。

「個人情報データベース等」とは、特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した個人情報を含む情報の集合体、又はコンピュータを用いていない場合であっても、紙面で処理した個人情報を一定の規則(例えば、五十音順、生年月日順など)に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているものをいう。なお、個人情報データベース等に該当しないものとしては、市販の電話帳や住宅地図などが該当するが、詳細は「通則ガイドライン」を参照されたい。

(定義)

法第二条

6 この法律において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。

「個人データ」とは、「個人情報データベース等」を構成する個人情報をいう。

(定義)

法第二条

7 この法律において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は一年以内の政令で定める期間以内に消去することとなるもの以外のものをいう。

令第四条 法第二条第七項の政令で定めるものは、次に掲げるものとする。

一 当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの

二 当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの

三 当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの

四 当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの

令第五条 法第二条第七項の政令で定める期間は、六月とする。

「保有個人データ」とは、個人データのうち、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有するものをいう。ただし、①その存否が明らかになることにより、公益その他の利益が害されるもの、②6ヶ月以内に消去する(更新することは除く。)こととなるものは除く。

診療録等の診療記録や介護関係記録については、媒体の如何にかかわらず個人データに該当する。

また、検査等の目的で、患者から血液等の検体を採取した場合、それらは個人情報に該当し、利用目的の特定等(Ⅲ1.参照)、利用目的の通知等(Ⅲ2.参照)等の対象となることから、患者の同意を得ずに、特定された利用目的の達成に必要な範囲を超えて検体を取り扱ってはならない。また、これらの検査結果については、診療録等と同様に検索可能な状態として保存されることから、個人データに該当し、第三者提供(Ⅲ5.参照)や開示(Ⅲ10.参照)の対象となる。

7.本人の同意

「本人の同意」とは、本人の個人情報が、個人情報取扱事業者によって示された取扱方法で取り扱われることを承諾する旨の当該本人の意思表示をいう(当該本人であることを確認できていることが前提となる。)。

また、「本人の同意を得(る)」とは、本人の承諾する旨の意思表示を当該個人情報取扱事業者が認識することをいい、事業の性質及び個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければならない。

なお、個人情報の取扱いに関して同意したことによって生ずる結果について、未成年者、成年被後見人、被保佐人及び被補助人が判断できる能力を有していないなどの場合は、親権者や法定代理人等から同意を得る必要がある。

【本人の同意を得ている事例】

事例1) 本人からの同意する旨の口頭による意思表示

事例2) 本人からの同意する旨の書面(電磁的記録を含む。)の受領

事例3) 本人からの同意する旨のメールの受信

事例4) 本人による同意する旨の確認欄へのチェック

事例5) 本人による同意する旨のホームページ上のボタンのクリック

事例6) 本人による同意する旨の音声入力、タッチパネルへのタッチ、ボタンやスイッチ等による入力

法は、個人情報の目的外利用や個人データの第三者提供の場合には、原則として本人の同意を得ることを求めている。これは、法の基本となるOECD8原則のうち、利用制限の原則の考え方の現れであるが、医療機関等については、患者に適切な医療サービスを提供する目的のために、当該医療機関等において、通常必要と考えられる個人情報の利用範囲を施設内への掲示(院内掲示)により明らかにしておき、患者側から特段明確な反対・留保の意思表示がない場合には、これらの範囲内での個人情報の利用について同意が得られているものと考えられる。(Ⅲ5.(3)(4)参照)

また、患者・利用者が、意識不明ではないものの、本人の意思を明確に確認できない状態の場合については、意識の回復にあわせて、速やかに本人への説明を行い本人の同意を得るものとする。

なお、これらの場合において患者・利用者の理解力、判断力などに応じて、可能な限り患者・利用者本人に通知し、同意を得るよう努めることが重要である。

医療・介護関係事業者が要配慮個人情報を書面又は口頭等により本人から適正に直接取得する場合は、本人が当該情報を提供したことをもって、当該医療・介護関係事業者が当該情報を取得することについて本人の同意があったものと解される。(Ⅲ3.参照)

8.家族等への病状説明

法においては、個人データを第三者提供する場合には、あらかじめ本人の同意を得ることを原則としている。一方、病態によっては、治療等を進めるに当たり、本人だけでなく家族等の同意を得る必要がある場合もある。家族等への病状説明については、「患者(利用者)への医療(介護)の提供に必要な利用目的(Ⅲ1.(1)参照)と考えらえるが、本人以外の者に病状説明を行う場合は、本人に対し、あらかじめ病状説明を行う家族等の対象者を確認し、同意を得ることが望ましい。この際、本人から申出がある場合には、治療の実施等に支障を生じない範囲において、現実に患者(利用者)の世話をしている親族及びこれに準ずる者を説明を行う対象に加えたり、家族の特定の人を限定するなどの取扱いとすることができる。

一方、意識不明の患者の病状や重度の認知症の高齢者の状況を家族等に説明する場合は、本人の同意を得ずに第三者提供できる場合と考えられる(Ⅲ5.(2)②参照)。この場合、医療・介護関係事業者において、本人の家族等であることを確認した上で、治療等を行うに当たり必要な範囲で、情報提供を行うとともに、本人の過去の病歴、治療歴等について情報の取得を行う。本人の意識が回復した際には、速やかに、提供及び取得した個人情報の内容とその相手について本人に説明するとともに、本人からの申出があった場合、取得した個人情報の内容の訂正等、病状の説明を行う家族等の対象者の変更等を行う。

なお、患者の判断能力に疑義がある場合は、意識不明の患者と同様の対応を行うとともに、判断能力の回復にあわせて、速やかに本人への説明を行い本人の同意を得るものとする。

Ⅲ 医療・介護関係事業者の義務等

1.利用目的の特定等(法第15条、第16条)

(利用目的の特定)

法第十五条 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。

2 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。

(利用目的による制限)

法第十六条 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。

2 個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。

3 前二項の規定は、次に掲げる場合については、適用しない。

一 法令に基づく場合

二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

(1) 利用目的の特定及び制限

医療・介護関係事業者が医療・介護サービスを希望する患者・利用者から個人情報を取得する場合、当該個人情報を患者・利用者に対する医療・介護サービスの提供、医療・介護保険事務、入退院等の病棟管理などで利用することは患者・利用者にとって明らかと考えらえる。

これら以外で個人情報を利用する場合は、患者・利用者にとって必ずしも明らかな利用目的とはいえない。この場合は、個人情報を取得するに当たって明確に当該利用目的の公表等の措置が講じられなければならない。(Ⅲ2.参照)

医療・介護関係事業者の通常の業務で想定される利用目的は別表2に例示されるものであり、医療・介護関係事業者は、これらを参考として、自らの業務に照らして通常必要とされるものを特定して公表(院内掲示等)しなければならない。(Ⅲ2.参照)

また、別表2に掲げる利用目的の範囲については、法第15条第2項に定める利用目的の変更を行うことができると考えられる。ただし、変更された利用目的については、本人へ通知又は公表しなければならない。(Ⅲ2.参照)

(2) 利用目的による制限の例外

医療・介護関係事業者は、あらかじめ本人の同意を得ないで法第15条の規定により特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならないが(法第16条第1項)、同条第3項に掲げる場合については、本人の同意を得る必要はない。具体的な例としては以下のとおりである。

①法令に基づく場合

医療法に基づく立入検査、介護保険法に基づく不正受給者に係る市町村への通知、児童虐待の防止等に関する法律に基づく児童虐待に係る通告等、法令に基づいて個人情報を利用する場合であり、医療・介護関係事業者の通常の業務で想定される主な事例は別表3のとおりである。

根拠となる法令の規定としては、刑事訴訟法第197条第2項に基づく照会、地方税法第72条の63(個人の事業税に関する調査に係る質問検査権、各種税法に類似の規定あり)等がある。

警察や検察等の捜査機関の行う刑事訴訟法第197条第2項に基づく照会(同法第507条に基づく照会も同様)は、相手方に報告すべき義務を課すものと解されている上、警察や検察等の捜査機関の行う任意捜査も、これへの協力は任意であるものの、法令上の具体的な根拠に基づいて行われるものであり、いずれも「法令に基づく場合」に該当すると解されている。

②人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき

(例)

・意識不明で身元不明の患者について、関係機関へ照会したり、家族又は関係者等からの安否確認に対して必要な情報提供を行う場合

・意識不明の患者の病状や重度の認知症の高齢者の状況を家族等に説明する場合

・大規模災害等で医療機関に非常に多数の傷病者が一時に搬送され、家族等からの問合せに迅速に対応するためには、本人の同意を得るための作業を行うことが著しく不合理である場合

③公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき

(例)

・健康増進法に基づく地域がん登録事業による国又は地方公共団体への情報提供

・がん検診の精度管理のための地方公共団体又は地方公共団体から委託を受けた検診機関に対する精密検査結果の情報提供

・児童虐待事例についての関係機関との情報交換

・医療安全の向上のため、院内で発生した医療事故等に関する国、地方公共団体又は第三者機関等への情報提供のうち、氏名等の情報が含まれる場合

④国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

(例)

・統計法第2条第7項の規定に定める一般統計調査に協力する場合

・災害発生時に警察が負傷者の住所、氏名や傷の程度等を照会する場合等、公共の安全と秩序の維持の観点から照会する場合

【法の規定により遵守すべき事項等】

・医療・介護関係事業者は、個人情報を取り扱うに当たって、その利用目的をできる限り特定しなければならない。

・医療・介護関係事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。

・医療・介護関係事業者は、あらかじめ本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。なお、本人の同意を得るために個人情報を利用すること(同意を得るために患者・利用者の連絡先を利用して電話をかける場合など)、個人情報を匿名化するために個人情報に加工を行うことは差し支えない。

・個人情報を取得する時点で、本人の同意があったにもかかわらず、その後、本人から利用目的の一部についての同意を取り消す旨の申出があった場合は、その後の個人情報の取扱いについては、本人の同意が取り消されなかった範囲に限定して取り扱う。

・医療・介護関係事業者は、合併その他の事由により他の事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。

・利用目的の制限の例外(法第16条第3項)に該当する場合は、本人の同意を得ずに個人情報を取り扱うことができる。

(利用目的を変更する場合の取扱いについてはⅢ2.を参照)

【その他の事項】

・利用目的の制限の例外に該当する「法令に基づく場合」等であっても、利用目的以外の目的で個人情報を取り扱う場合は、当該法令等の趣旨をふまえ、その取り扱う範囲を真に必要な範囲に限定することが求められる。

・患者が未成年者等の場合、法定代理人等の同意を得ることで足りるが、一定の判断能力を有する未成年者等については、法定代理人等の同意にあわせて本人の同意を得る。

・意識不明の患者や重度の認知症の高齢者などで法定代理人がいない場合で、緊急に診療が必要な場合については、上記(2)②に該当し、当該本人の個人情報を取り扱うことができる。

2.利用目的の通知等(法第18条)

(取得に際しての利用目的の通知等)

法第十八条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

2 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。

3 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。

4 前三項の規定は、次に掲げる場合については、適用しない。

一 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

二 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合

三 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。

四 取得の状況からみて利用目的が明らかであると認められる場合

【法の規定により遵守すべき事項等】

・医療・介護関係事業者は、個人情報を取得するに当たって、あらかじめその利用目的を公表しておくか、個人情報を取得した場合、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

・利用目的の公表方法としては、院内や事業所内等に掲示するとともに、可能な場合にはホームページへの掲載等の方法により、なるべく広く公表する必要がある。

・医療・介護関係事業者は、受付で患者に保険証を提出してもらう場合や問診票の記入を求める場合など、本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を院内掲示等により明示しなければならない。ただし、救急の患者で緊急の処置が必要な場合等は、この限りでない。

・医療・介護関係事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。

・取得の状況からみて利用目的が明らかであると認められる場合など利用目的の通知等の例外に該当する場合は、上記内容は適用しない。(「利用目的が明らか」な場合についてはⅢ1.(1)を参照)

【その他の事項】

・利用目的が、本規定の例外である「取得の状況からみて利用目的が明らかであると認められる場合」に該当する場合であっても、患者・利用者等に利用目的をわかりやすく示す観点から、利用目的の公表に当たっては、当該利用目的についても併せて記載する。

・院内や事業者内等への掲示に当たっては、受付の近くに当該内容を説明した表示を行い、初回の患者・利用者等に対しては、受付時や利用開始時において当該掲示についての注意を促す。

・初診時や入院・入所時等における説明だけでは、個人情報について十分な理解ができない患者・利用者も想定されることから、患者・利用者が落ち着いた時期に改めて説明を行ったり、診療計画書、療養生活の手引き、訪問介護計画等のサービス提供に係る計画等に個人情報に関する取扱いを記載するなど、患者・利用者が個人情報の利用目的を理解できるよう配慮する。

・患者・利用者等の希望がある場合、詳細の説明や当該内容を記載した書面の交付を行う。

3.個人情報の適正な取得、個人データ内容の正確性の確保(法第17条、第19条)

(適正な取得)

法第十七条 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。

2 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。

一 法令に基づく場合

二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき

三 公衆衛生の向上又は児童の健全な育成のために特に必要がある場合であって、本人の同意を得ることが困難であるとき

四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

五 当該要配慮個人情報が、本人、国の機関、地方公共団体、第七十六条第一項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合

六 その他前各号に掲げる場合に準ずるものとして政令で定める場合

規則第六条 法第十七条第二項第五号の個人情報保護委員会規則で定める者は、次の各号のいずれかに該当する者とする。

一 外国政府、外国の政府機関、外国の地方公共団体又は国際機関

二 外国において法第七十六条第一項各号に掲げる者に相当する者

令第七条 法第十七条第二項第六号の政令で定める場合は、次に掲げる場合とする。

一 本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合

二 法第二十三条第五項各号に掲げる場合において、個人データである要配慮個人情報の提供を受けるとき。

(データ内容の正確性の確保等)

法第十九条 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。

【法の規定により遵守すべき事項等】

・医療・介護関係事業者は、偽りその他の不正の手段により個人情報を取得してはならない。

・診療等のために必要な過去の受診歴等については、真に必要な範囲について、本人から直接取得するほか、第三者提供について本人の同意を得た者(Ⅲ5.(3)により本人の黙示の同意が得られていると考えられる者を含む。)から取得することを原則とする。ただし、本人以外の家族等から取得することが診療上又は適切な介護サービスの提供上やむを得ない場合はこの限りでない。

・親の同意なく、十分な判断能力を有していない子どもから家族の個人情報を取得してはならない。ただし、当該子どもの診療上、家族等の個人情報の取得が必要な場合で、当該家族等から個人情報を取得することが困難な場合はこの限りでない。

【要配慮個人情報の取得時における本人の同意について】

医療機関の受付等で診療を希望する患者は、傷病の回復等を目的としている。一方、医療機関等は、患者の傷病の回復等を目的として、より適切な医療が提供できるよう治療に取り組むとともに、その費用を公的医療保険に請求する必要が生じる。良質で適正な医療の提供を受けるためには、また公的医療保険の扶助を受けるためには、医療機関等が患者の要配慮個人情報を含めた個人情報を取得することは必要不可欠である。

このため、例えば、患者が医療機関の受付等で、問診票に患者自身の身体状況や病状などを記載し、保険証とともに受診を申し出ることは、患者自身が自己の要配慮個人情報を含めた個人情報を医療機関等に取得されることを前提としていると考えられるため、医療機関等が要配慮個人情報を書面又は口頭等により本人から適正に直接取得する場合は、患者の当該行為をもって、当該医療機関等が当該情報を取得することについて本人の同意があったものと解される。

また、医療機関等が要配慮個人情報を第三者提供の方法により取得した場合、提供元が法第17条第2項及び第23条第1項の規定に基づいて本人から必要な同意(要配慮個人情報の取得及び第三者提供に関する同意)を取得していることが前提となるため、提供を受けた当該医療機関等が、改めて本人から法第17条第2項の規定に基づく同意を得る必要はないものと解される。

・要配慮個人情報を取得する場合には、あらかじめ本人の同意を得なければならない。ただし、法第17条第2項各号に定める場合については、本人の同意を得る必要はない。

(例)

・急病その他の事態が生じたときに、本人の病歴等を医師や看護師などの医療従事者が家族から聴取する場合、法第17条第2項第2号に該当する。

・児童生徒の不登校や不良行為等について、児童相談所、学校、医療機関等の関係機関が連携して対応するために、医療機関等において、他の関係機関から当該児童生徒の保護事件に関する手続が行われた情報を取得する場合、法第17条第2項第3号に該当する。

・児童虐待のおそれのある家庭情報のうち被害を被った事実に係る情報を、児童相談所、警察、学校、病院等の関係機関が、他の関係機関から取得する場合、法第17条第2項第3号に該当する。

・医療機関等や介護関係事業者が警察の任意の求めに応じて要配慮個人情報に該当する個人情報を提出するために、当該個人情報を取得する場合、法第17条第2項第4号に該当する。

・身体の不自由な方が医療機関等を受診し、院内において情報共有するためにカルテ等に記録した場合(目視による取得)や、身体の不自由な方の様子が店舗に設置された防犯カメラに映りこんだ場合(撮影による取得)、法第17条第2項第6号、令第7条第1項に該当する。

・なお、要配慮個人情報を、法第23条第5項各号に定める委託、事業承継又は共同利用により取得する場合は、あらかじめ本人の同意を得る必要はない。

【法第17条第2項に違反している事例】

本人の同意を得ることなく、法第17条第2項第5号及び規則第6条で定める者以外がインターネット上で公開している情報から本人の信条や犯罪歴等に関する情報を取得し、既に保有している当該本人に関する情報の一部として自己のデータベース等に登録すること。

・医療・介護関係事業者は、適正な医療・介護サービスを提供するという利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない。

【その他の事項】

・第三者提供により個人情報を取得する場合には、提供元の法の遵守状況を確認するとともに、実際に個人情報を取得する際には、当該個人情報の取得方法等を確認するよう努めなければならない。なお、当該個人情報が適法に取得されたことが確認できない場合は、偽りその他不正の手段により取得されたものである可能性もあることから、その取得を自粛することを含め、慎重に対応することが望ましい。

・第三者提供により他の医療・介護関係事業者から個人情報を取得したとき、当該個人情報の内容に疑義が生じた場合には、記載内容の事実に関して本人又は情報の提供を行った者に確認をとる。

・医療・介護関係事業者は、個人データの内容の正確性、最新性を確保するため、Ⅲ4.(2)②に示す委員会等において、具体的なルールを策定したり、技術水準向上のための研究の開催などを行うことが望ましい。

4.安全管理措置、従業者の監督及び委託先の監督(法第20条~第22条)

(安全管理措置)

法第二十条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

(従業者の監督)

法第二十一条 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

(委託先の監督)

法第二十二条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

(1) 医療・介護関係事業者が講ずるべき安全管理措置等

①安全管理措置

医療・介護関係事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のため、組織的、人的、物理的、及び技術的安全管理措置等を講じなければならない。その際、本人の個人データが漏えい、滅失又はき損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個人データの取扱い状況等に起因するリスクに応じ、必要かつ適切な措置を講ずるものとする。なお、その際には、個人データを記憶した媒体の性質に応じた安全管理措置を講ずる。

②従業者の監督

医療・介護関係事業者は、①の安全管理措置を遵守させるよう、従業者に対し必要かつ適切な監督をしなければならない。なお、「従業者」とは、医療資格者のみならず、当該事業者の指揮命令を受けて業務に従事する者全てを含むものであり、また、雇用関係のある者のみならず、理事、派遣労働者等も含むものである。

医療法第15条では、病院等の管理者は、その病院等に勤務する医師等の従業者の監督義務が課せられている。(薬局や介護関係事業者についても、医薬品医療機器等法や介護保険法に基づく「指定居宅サービス等の事業の人員、設備及び運営に関する基準」、「指定介護予防サービス等の事業の人員、設備及び運営並びに指定介護予防サービス等に係る介護予防のための効果的な支援の方法に関する基準」、「指定地域密着型サービスの事業の人員、設備及び運営に関する基準」、「指定地域密着型介護予防サービスの事業の人員、設備及び運営並びに指定地域密着型介護予防サービスに係る介護予防のための効果的な支援の方法に関する基準」、「指定居宅介護支援等の事業の人員及び運営に関する基準」、「指定介護老人福祉施設の人員、設備及び運営に関する基準」、「介護老人保健施設の人員、施設及び設備並びに運営に関する基準」、「指定介護療養型医療施設の人員、設備及び運営に関する基準」及び「指定介護予防支援等の事業の人員及び運営並びに指定介護予防支援等に係る介護予防のための効果的な支援の方法に関する基準」(以下「指定基準」という。)等に同様の規定あり。)

(2) 安全管理措置として考えられる事項

医療・介護関係事業者は、その取り扱う個人データの重要性に鑑み、個人データの漏えい、滅失又はき損の防止その他の安全管理のため、その規模、従業者の様態等を勘案して、以下に示すような取組を参考に、必要な措置を行うものとする。

また、同一事業者が複数の施設を開設する場合、当該施設間の情報交換については第三者提供に該当しないが、各施設ごとに安全管理措置を講ずるなど、個人情報の利用目的を踏まえた個人情報の安全管理を行う。

①個人情報保護に関する規程の整備、公表

・医療・介護関係事業者は、保有個人データの開示手順を定めた規程その他個人情報保護に関する規程を整備し、苦情への対応を行う体制も含めて、院内や事業所内等への掲示やホームページへの掲載を行うなど、患者・利用者等に対して周知徹底を図る。

・また、個人データを取り扱う情報システムの安全管理措置に関する規程等についても同様に整備を行うこと。

②個人情報保護推進のための組織体制等の整備

・従業者の責任体制の明確化を図り、具体的な取組を進めるため、医療における個人情報保護に関し十分な知識を有する管理者、監督者等(例えば、役員などの組織横断的な監督が可能な者)を定める。又は個人情報保護の推進を図るための部署、若しくは委員会等を設置する。

・医療・介護関係事業所で行っている個人データの安全管理措置について定期的に自己評価を行い、見直しや改善を行うべき事項について適切な改善を行う。

③個人データの漏えい等の問題が発生した場合等における報告連絡体制の整備

・1)個人データの漏えい等の事故が発生した場合、又は発生の可能性が高いと判断した場合、2)個人データの取扱いに関する規程等に違反している事実が生じた場合、又は兆候が高いと判断した場合における責任者等への報告連絡体制の整備を行う。

・個人データの漏えい等の情報は、苦情等の一環として、外部から報告される場合も想定されることから、苦情への対応を行う体制との連携も図る。(Ⅲ13.参照)

④雇用契約時における個人情報保護に関する規程の整備

・雇用契約や就業規則において、就業期間中はもとより離職後も含めた守秘義務を課すなど従業者の個人情報保護に関する規程を整備し、徹底を図る。なお、特に、医師等の医療資格者や介護サービスの従事者については、刑法、関係資格法又は介護保険法に基づく指定基準により守秘義務規定等が設けられており(別表4)、その遵守を徹底する。

⑤従業者に対する教育研修の実施

・取り扱う個人データの適切な保護が確保されるよう、従業者に対する教育研修の実施等により、個人データを実際の業務で取り扱うこととなる従業者の啓発を図り、従業者の個人情報保護意識を徹底する。

・この際、派遣労働者についても、「派遣先が講ずべき措置に関する指針」(平成11年労働省告示第138号)において、「必要に応じた教育訓練に係る便宜を図るよう努めなければならない」とされていることを踏まえ、個人情報の取扱いに係る教育研修の実施に配慮する必要がある。

⑥物理的安全管理措置

・個人データの盗難・紛失等を防止するため、以下のような物理的安全管理措置を行う。

―入退館(室)管理の実施

―盗難等に対する予防対策の実施(例えば、カメラによる撮影や作業への立会い等による記録又はモニタリングの実施、記録機能を持つ媒体の持込み・持出しの禁止又は検査の実施等)

―機器、装置等の固定など物理的な保護

・不正な操作を防ぐため、業務上の必要性に基づき、以下のように、個人データを取り扱う端末に付与する機能を限定する。

―スマートフォン、パソコン等の記録機能を有する機器の接続の制限及び機器の更新への対応

⑦技術的安全管理措置

・個人データの盗難・紛失等を防止するため、個人データを取り扱う情報システムについて以下のような技術的安全管理措置を行う。

―個人データに対するアクセス管理(IDやパスワード等による認証、各職員の業務内容に応じて業務上必要な範囲にのみアクセスできるようなシステム構成の採用等)

―個人データに対するアクセス記録の保存

―不正が疑われる異常な記録の存否の定期的な確認

―個人データに対するファイアウォールの設置

―情報システムへの外部からのアクセス状況の監視及び当該監視システムの動作の定期的な確認

―ソフトウェアに関する脆弱性対策(セキュリティパッチの適用、当該情報システム固有の脆弱性の発見及びその修正等)

⑧個人データの保存

・個人データを長期にわたって保存する場合には、保存媒体の劣化防止など個人データが消失しないよう適切に保存する。

・個人データの保存に当たっては、本人からの照会等に対応する場合など必要なときに迅速に対応できるよう、インデックスの整備など検索可能な状態で保存しておく。

⑨不要となった個人データの廃棄、消去

・不要となった個人データを廃棄する場合には、焼却や溶解など、個人データを復元不可能な形にして廃棄する。

・個人データを取り扱った情報機器を廃棄する場合は、記憶装置内の個人データを復元不可能な形に消去して廃棄する。

・これらの廃棄業務を委託する場合には、個人データの取扱いについても委託契約において明確に定める。

(3) 業務を委託する場合の取扱い

①委託先の監督

医療・介護関係事業者は、検査や診療報酬又は介護報酬の請求に係る事務等個人データの取扱いの全部又は一部を委託する場合、法第20条に基づく安全管理措置を遵守させるよう受託者に対し、必要かつ適切な監督をしなければならない。

「必要かつ適切な監督」には、委託契約において委託者である事業者が定める安全管理措置の内容を契約に盛り込み受託者の義務とするほか、業務が適切に行われていることを定期的に確認することなども含まれる。

また、業務が再委託された場合で、再委託先が不適切な取扱いを行ったことにより、問題が生じた場合は、医療・介護関係事業者や再委託した事業者が責めを負うこともあり得る。

②業務を委託する場合の留意事項

医療・介護関係事業者は、個人データの取扱いの全部又は一部を委託する場合、以下の事項に留意すべきである。

・個人情報を適切に取り扱っている事業者を委託先(受託者)として選定する(受託者の安全管理措置が、少なくとも法第20条で求められるものと同等であることを確認するため、Ⅲ4.(2)の項目が、委託する業務内容に応じて確実に実施されることについて、受託者の体制、規程等の確認に加え、必要に応じて個人データを取り扱う場所に赴き、又はこれに代わる合理的な方法により確認を行った上で、個人情報保護に関する管理者、監督者等が、適切に評価することが望ましい。)。

・契約において、個人情報の適切な取扱いに関する内容を盛り込む(委託期間中のほか、委託終了後の個人データの取扱いも含む。)。

・受託者が、委託を受けた業務の一部を再委託することを予定している場合は、再委託を受ける事業者の選定において個人情報を適切に取り扱っている事業者が選定されるとともに、再委託先事業者が個人情報を適切に取り扱っていることが確認できるよう契約において配慮する(再委託の可否及び医療・介護関係事業者への文書による事前報告又は承認手続を求める等の事項を定めることが望ましい。)。

・受託者が個人情報を適切に取り扱っていることを定期的に確認する。

・受託者が再委託を行おうとする場合は、医療・介護関係事業者は委託を行う場合と同様、再委託の相手方、再委託する業務内容及び再委託先の個人データの取扱方法等について、受託者に事前報告又は承認手続を求めること、直接又は受託者を通じて定期的に監査を実施すること等により、受託者が再委託先に対して法第22条に基づく委託先の監督を適切に果たすこと、再委託先が法第20条に基づく安全管理措置を講ずることを十分に確認することが望ましい。再委託先が再々委託を行う場合以降も、再委託を行う場合と同様とする。

・受託者における個人情報の取扱いに疑義が生じた場合(患者・利用者等からの申出があり、確認の必要があると考えられる場合を含む。)には、受託者に対し、説明を求め、必要に応じ改善を求める等適切な措置をとる。

*医療機関等における業者委託に関する関連通知等

上記の留意事項のほか、委託する業務に応じ、関連する通知等を遵守する。

・「医療法の一部を改正する法律の一部の施行について」(平成5年2月15日健政発第98号)の「第3 業務委託に関する事項」

・「病院、診療所等の業務委託について」(平成5年2月15日指第14号)

(4) 医療情報システムの導入及びそれに伴う情報の外部保存を行う場合の取扱い

医療機関等及び医療情報を取り扱う介護関係事業者において、医療情報システムを導入したり、診療情報の外部保存を行う場合には、「医療情報システムの安全管理に関するガイドライン」(平成17年3月31日医政発第0331009号・薬食発第0331020号・保発第0331005号)によることとし、各医療機関等において運営及び委託等の取扱いについて安全性が確保されるよう規程を定め、実施するものとする。

(5) 個人データの漏えい等の問題が発生した場合における二次被害の防止等

医療・介護関係事業者において、個人データの漏えい等の問題が発生した場合には、二次被害の防止、類似事案の発生回避等の観点から、「個人データの漏えい等の事案が発生した場合等の対応について」(平成29年個人情報保護委員会告示第1号)に基づき、①事業者内部における報告及び被害の拡大防止、②事実関係の調査及び原因の究明、③影響範囲の特定、④再発防止策の検討及び実施、⑤影響を受ける可能性のある本人への連絡等、⑥事実関係及び再発防止策等の公表の必要な措置を講ずることが望ましい。

また、漏えい等事案が発覚した場合には、その事実関係及び再発防止策等について、個人情報保護委員会に対し、速やかに報告するよう努めるものとする。

ただし、法第47条第1項に規定する認定個人情報保護団体の対象事業者である医療・介護関係事業者は、所属の認定個人情報保護団体に速やかに報告するよう努めるものとする。

(6) その他

受付での呼び出しや、病室における患者の名札の掲示などについては、患者の取り違え防止など業務を適切に実施する上で必要と考えられるが、医療におけるプライバシー保護の重要性に鑑み、患者の希望に応じて一定の配慮をすることが望ましい。

【法の規定により遵守すべき事項等】

・医療・介護関係事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他個人データの安全管理のために必要かつ適切な措置を講じなければならない。

・医療・介護関係事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

・医療・介護関係事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

【その他の事項】

・医療・介護関係事業者は、安全管理措置に関する取組を一層推進するため、安全管理措置が適切であるかどうかを一定期間ごとに個人情報保護対策及び最新の技術動向を踏まえた情報セキュリティ対策に十分な知見を有する者に事業者内の対応を確認させるほか、必要に応じて外部の知見を有する者による確認を受けることで、改善を図ることが望ましい。

5.個人データの第三者提供(法第23条)

(第三者提供の制限)

法第二十三条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

一 法令に基づく場合

二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

2 個人情報取扱事業者は、第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。

一 第三者への提供を利用目的とすること。

二 第三者に提供される個人データの項目

三 第三者への提供の方法

四 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。

五 本人の求めを受け付ける方法

3 個人情報取扱事業者は、前項第二号、第三号又は第五号に掲げる事項を変更する場合は、変更する内容について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。

4 個人情報保護委員会は、第二項の規定による届出があったときは、個人情報保護委員会規則で定めるところにより、当該届出に係る事項を公表しなければならない。前項の規定による届出があったときも、同様とする。

5 次に掲げる場合において、当該個人データの提供を受ける者は、前各号の規定の適用については、第三者に該当しないものとする。

一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合

二 合併その他の事由による事業の承継に伴って個人データが提供される場合

三 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。

6 個人情報取扱事業者は、前項第三号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

(1) 第三者提供の取扱い

医療・介護関係事業者は、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならないとされており、次のような場合には、本人の同意を得る必要がある。

(例)

・民間保険会社からの照会

患者が民間の生命保険に加入しようとする場合、生命保険会社から患者の健康状態等について照会があった場合、患者の同意を得ずに患者の現在の健康状態や既往歴等を回答してはならない。

交通事故によるけがの治療を行っている患者に関して、保険会社から損害保険金の支払いの審査のために必要であるとして症状に関する照会があった場合、患者の同意を得ずに患者の症状等を回答してはならない。

・職場からの照会

職場の上司等から、社員の病状に関する問合せがあったり、休職中の社員の職場復帰の見込みに関する問合せがあった場合、患者の同意を得ずに患者の病状や回復の見込み等を回答してはならない。

・学校からの照会

学校の教職員等から、児童・生徒の健康状態に関する問合せがあったり、休学中の児童・生徒の復学の見込みに関する問合せがあった場合、患者の同意を得ずに患者の健康状態や回復の見込み等を回答してはならない。

・マーケティング等を目的とする会社等からの照会

健康食品の販売を目的とする会社から、高血圧の患者の存在の有無について照会された場合や要件に該当する患者を紹介して欲しい旨の依頼があった場合、患者の同意を得ずに患者の有無や該当する患者の氏名・住所等を回答してはならない。

(2) 第三者提供の例外

ただし、次に掲げる場合については、本人の同意を得る必要はない。

①法令に基づく場合

医療法に基づく立入検査、介護保険法に基づく不正受給者に係る市町村への通知、児童虐待の防止等に関する法律に基づく児童虐待に係る通告等、法令に基づいて個人情報を利用する場合であり、医療機関等の通常の業務で想定される主な事例は別表3のとおりである。(Ⅲ1.(2)①参照)

②人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき

(例)

・意識不明で身元不明の患者について、関係機関へ照会したり、家族又は関係者等からの安否確認に対して必要な情報提供を行う場合

・意識不明の患者の病状や重度の認知症の高齢者の状況を家族等に説明する場合

・大規模災害等で医療機関に非常に多数の傷病者が一時に搬送され、家族等からの問合せに迅速に対応するためには、本人の同意を得るための作業を行うことが著しく不合理である場合

※なお、「本人の同意を得ることが困難であるとき」には、本人同意を求めても同意しない場合、本人に同意を求める手続を経るまでもなく本人の同意を得ることができない場合等が含まれるものである。

③公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき

(例)

・健康増進法に基づく地域がん登録事業による国又は地方公共団体への情報提供

・がん検診の精度管理のための地方公共団体又は地方公共団体から委託を受けた検診機関に対する精密検査結果の情報提供

・児童虐待事例についての関係機関との情報交換

・医療安全の向上のため、院内で発生した医療事故等に関する国、地方公共団体又は第三者機関等への情報提供のうち、氏名等の情報が含まれる場合

④国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

(例)

・統計法第2条第7項の規定に定める一般統計調査に協力する場合

・災害発生時に警察が負傷者の住所、氏名や傷の程度等を照会する場合等、公共の安全と秩序の維持の観点から照会する場合

(3) 本人の同意が得られていると考えられる場合

医療機関の受付等で診療を希望する患者は、傷病の回復等を目的としている。一方、医療機関等は、患者の傷病の回復等を目的として、より適切な医療が提供できるよう治療に取り組むとともに、必要に応じて他の医療機関と連携を図ったり、当該傷病を専門とする他の医療機関の医師等に指導、助言等を求めることも日常的に行われる。また、その費用を公的医療保険に請求する場合等、患者の傷病の回復等そのものが目的ではないが、医療の提供には必要な利用目的として提供する場合もある。このため、第三者への情報の提供のうち、患者の傷病の回復等を含めた患者への医療の提供に必要であり、かつ、個人情報の利用目的として院内掲示等により明示されている場合は、原則として黙示による同意が得られているものと考えられる。

なお、傷病の内容によっては、患者の傷病の回復等を目的とした場合であっても、個人データを第三者提供する場合は、あらかじめ本人の明確な同意を得るよう求めがある場合も考えられ、その場合、医療機関等は、本人の意思に応じた対応を行う必要がある。

①患者への医療の提供のために通常必要な範囲の利用目的について、院内掲示等で公表しておくことによりあらかじめ黙示の同意を得る場合

医療機関の受付等で、診療を希望する患者から個人情報を取得した場合、それらが患者自身の医療サービスの提供のために利用されることは明らかである。このため、院内掲示等により公表して、患者に提供する医療サービスに関する利用目的について患者から明示的に留保の意思表示がなければ、患者の黙示による同意があったものと考えられる。(Ⅲ2.参照)

また、

(ア) 患者への医療の提供のため、他の医療機関等との連携を図ること

(イ) 患者への医療の提供のため、外部の医師等の意見・助言を求めること

(ウ) 患者への医療の提供のため、他の医療機関等からの照会があった場合にこれに応じること

(エ) 患者への医療の提供に際して、家族等への病状の説明を行うこと

等が利用目的として特定されている場合は、これらについても患者の同意があったものと考えられる。

②この場合であっても、黙示の同意があったと考えられる範囲は、患者のための医療サービスの提供に必要な利用の範囲であり、別表2の「患者への医療の提供に必要な利用目的」を参考に各医療機関等が示した利用目的に限られるものとする。

なお、院内掲示等においては、

(ア) 患者は、医療機関等が示す利用目的の中で同意しがたいものがある場合には、その事項について、あらかじめ本人の明確な同意を得るよう医療機関等に求めることができること。

(イ) 患者が、(ア)の意思表示を行わない場合は、公表された利用目的について患者の同意が得られたものとすること。

(ウ) 同意及び留保は、その後、患者からの申出により、いつでも変更することが可能であること。

をあわせて掲示するものとする。

※上記①の(ア)~(エ)の具体例

(例)

・他の医療機関宛に発行した紹介状等を本人が持参する場合

医療機関等において他の医療機関等への紹介状、処方せん等を発行し、当該書面を本人が他の医療機関等に持参した場合、当該第三者提供については、本人の同意があったものと考えられ、当該書面の内容に関し、医療機関等との間での情報交換を行うことについて同意が得られたものと考えられる。

・他の医療機関等からの照会に回答する場合

診療所Aを過去に受診したことのある患者が、病院Bにおいて現に受診中の場合で、病院Bから診療所Aに対し過去の診察結果等について照会があった場合、病院Bの担当医師等が受診中の患者から同意を得ていることが確認できれば、診療所Aは自らが保有する診療情報の病院Bへの提供について、患者の同意が得られたものと考えられる。

・家族等への病状説明

病態等について、本人と家族等に対し同時に説明を行う場合には、明示的に本人の同意を得なくても、その本人と同時に説明を受ける家族等に対する診療情報の提供について、本人の同意が得られたものと考えられる。

同様に、児童・生徒の治療に教職員が付き添ってきた場合についても、児童・生徒本人が教職員の同席を拒まないのであれば、本人と教職員を同席させて、治療内容等について説明を行うことができると考えられる。

③医療機関等が、労働安全衛生法第66条、健康保険法第150条、国民健康保険法第82条又は高齢者の医療の確保に関する法律第20条、第24条若しくは第125条により、事業者又は保険者が行う健康診断等を受託した場合、その結果である労働者等の個人データを委託元である当該事業者又は保険者に対して提供することについて、本人の同意が得られていると考えられる。

④介護関係事業者については、介護保険法に基づく指定基準において、サービス担当者会議等で利用者の個人情報を用いる場合には利用者の同意を、利用者の家族の個人情報を用いる場合には家族の同意を、あらかじめ文書により得ておかなければならないとされていることを踏まえ、事業所内への掲示によるのではなく、サービス利用開始時に適切に利用者から文書により同意を得ておくことが必要である。

(4) 「第三者」に該当しない場合

①他の事業者等への情報提供であるが、「第三者」に該当しない場合

法第23条第5項各号に掲げる場合の当該個人データの提供を受ける者については、第三者に該当せず、本人の同意を得ずに情報の提供を行うことができる。医療・介護関係事業者における具体的事例は以下のとおりである。

・検査等の業務を委託する場合

・外部監査機関への情報提供((公益財団法人)日本医療機能評価機構が行う病院機能評価等)

・個人データを特定の者との間で共同して利用するとして、あらかじめ本人に通知等している場合

※個人データの共同での利用における留意事項

病院と訪問看護ステーションが共同で医療サービスを提供している場合など、あらかじめ個人データを特定の者との間で共同して利用することが予定されている場合、(ア)共同して利用される個人データの項目、(イ)共同利用者の範囲(個別列挙されているか、本人から見てその範囲が明確となるように特定されている必要がある)、(ウ)利用する者の利用目的、(エ)当該個人データの管理について責任を有する者の氏名又は名称、をあらかじめ本人に通知し、又は本人が容易に知り得る状態においておくとともに、共同して利用することを明らかにしている場合には、当該共同利用者は第三者に該当しない。

この場合、(ア)、(イ)については変更することができず、(ウ)、(エ)については、本人が想定することが困難でない範囲内で変更することができ、変更する場合は、本人に通知又は本人の容易に知り得る状態におかなければならない。

②同一事業者内における情報提供であり、第三者に該当しない場合

同一事業者内で情報提供する場合は、当該個人データを第三者に提供したことにはならないので、本人の同意を得ずに情報の提供を行うことができる。医療・介護関係事業者における具体的事例は以下のとおりである。

・病院内の他の診療科との連携など当該医療・介護関係事業者内部における情報の交換

・同一事業者が開設する複数の施設間における情報の交換

・当該事業者の職員を対象とした研修での利用(ただし、第三者提供に該当しない場合であっても、当該利用目的が院内掲示等により公表されていない場合には、具体的な利用方法について本人の同意を得るか(Ⅲ1.参照)、個人が特定されないよう匿名化する必要がある(Ⅱ4.参照))

・当該事業者内で経営分析を行うための情報の交換

(5) その他留意事項

・他の事業者への情報提供に関する留意事項

第三者提供を行う場合のほか、他の事業者への情報提供であっても、①法令に基づく場合など第三者提供の例外に該当する場合、②「第三者」に該当しない場合、③個人が特定されないように匿名化して情報提供する場合などにおいては、本来必要とされる情報の範囲に限って提供すべきであり、情報提供する上で必要とされていない事項についてまで他の事業者に提供することがないようにすべきである。

特に、医療事故等に関する情報提供に当たっては、患者・利用者及び家族等の意思を踏まえ、報告において氏名等が必要とされる場合を除き匿名化(Ⅱ4.参照)を行う。また、医療事故発生直後にマスコミへの公表を行う場合等については、匿名化する場合であっても本人又は家族等の同意を得るよう努めるものとする。

(適切ではない例)

・医師及び薬剤師が製薬企業のMR(医薬品情報担当者)、医薬品卸業者のMS(医薬品販売担当者)等との間で医薬品の投薬効果などについて情報交換を行う場合に、必要でない氏名等の情報を削除せずに提供すること。

【法の規定により遵守すべき事項等】

・医療・介護関係事業者においては、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。なお、(2)の本人の同意を得る必要がない場合に該当する場合には、本人の同意を得る必要はない。

・個人データの第三者提供について本人の同意があった場合で、その後、本人から第三者提供の範囲の一部についての同意を取り消す旨の申出があった場合は、その後の個人データの取扱いについては、本人の同意のあった範囲に限定して取り扱うものとする。

【その他の事項】

・第三者提供に該当しない情報提供が行われる場合であっても、院内や事業所内等への掲示、ホームページ等により情報提供先をできるだけ明らかにするとともに、患者・利用者等からの問合せがあった場合に回答できる体制を確保する。

・例えば、業務委託の場合、当該医療・介護関係事業者において委託している業務の内容、委託先事業者、委託先事業者との間での個人情報の取扱いに関する取り決めの内容等について公開することが考えられる。

6.外国にある第三者への提供の制限(法第24条)

詳細は、別途定める「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」(平成28年個人情報保護委員会告示第7号)を参照のこと。