【法の規定により遵守すべき事項】

・医療・介護関係事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいもの(要配慮個人情報が含まれる個人データの漏えい等)が生じたときは、当該事態が生じた旨を個人情報保護委員会に報告するとともに、本人への通知を行わなければならない。具体的な例としては以下のとおりである。

(例)

・病院における患者の診療情報や調剤情報を含む個人データを記録したUSBメモリーを紛失した場合

・従業員の健康診断等の結果を含む個人データが漏えいした場合

・報告及び通知の対象となる事態、報告及び通知の方法等については、通則ガイドラインも参照のこと。

・個人データの取扱いを委託している場合においては、委託元と委託先の双方が個人データを取り扱っていることになるため、報告対象事態に該当する場合には、原則として委託元と委託先の双方が報告する義務を負う。

この場合、委託元及び委託先の連名で報告することができる。なお、委託先が、報告義務を負っている委託元に当該事態が発生したことを通知したときは、委託先は報告義務を免除される。

【その他の事項】

・要配慮個人情報が含まれる個人データの漏えい等に限らず、医療機関等においてコンピュータウイルスの感染などによるサイバー攻撃を受けた疑いがある場合にあっては、「医療機関等におけるサイバーセキュリティ対策の強化について」(平成30年10月29日医政総発1029第1号・医政地発1029第3号・医政研発1029第1号)により、直ちに医療情報システムの保守会社等に連絡の上、当該サイバー攻撃により医療情報システムに障害が発生し、個人情報の漏洩や医療提供体制に支障が生じる又はそのおそれがある事案であると判断された場合には、速やかに当該医療機関等から厚生労働省医政局研究開発振興課医療技術情報推進室に連絡すること。

9．個人データの第三者提供(法第27条)

(1)　第三者提供の取扱い

医療・介護関係事業者は、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならないとされており、次のような場合には、本人の同意を得る必要がある。

(例)

・民間保険会社からの照会

患者が民間の生命保険に加入しようとする場合、生命保険会社から患者の健康状態等について照会があった場合、患者の同意を得ずに患者の現在の健康状態や既往歴等を回答してはならない。

交通事故によるけがの治療を行っている患者に関して、保険会社から損害保険金の支払いの審査のために必要であるとして症状に関する照会があった場合、患者の同意を得ずに患者の症状等を回答してはならない。

・職場からの照会

職場の上司等から、社員の病状に関する問合せがあったり、休職中の社員の職場復帰の見込みに関する問合せがあった場合、患者の同意を得ずに患者の病状や回復の見込み等を回答してはならない。

・学校からの照会

学校の教職員等から、児童・生徒の健康状態に関する問合せがあったり、休学中の児童・生徒の復学の見込みに関する問合せがあった場合、患者の同意を得ずに患者の健康状態や回復の見込み等を回答してはならない。

・マーケティング等を目的とする会社等からの照会

健康食品の販売を目的とする会社から、高血圧の患者の存在の有無について照会された場合や要件に該当する患者を紹介して欲しい旨の依頼があった場合、患者の同意を得ずに患者の有無や該当する患者の氏名・住所等を回答してはならない。

(2)　第三者提供の例外

ただし、次に掲げる場合については、本人の同意を得る必要はない。

①法令に基づく場合

医療法に基づく立入検査、介護保険法に基づく不正受給者に係る市町村への通知、児童虐待の防止等に関する法律に基づく児童虐待に係る通告等、法令に基づいて個人情報を利用する場合であり、医療機関等の通常の業務で想定される主な事例は別表3のとおりである。(Ⅳ3．(2)①参照)

②人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき

(例)

・意識不明で身元不明の患者について、関係機関へ照会したり、家族又は関係者等からの安否確認に対して必要な情報提供を行う場合

・意識不明の患者の病状や重度の認知症の高齢者の状況を家族等に説明する場合

・大規模災害、感染症等で医療機関に非常に多数の傷病者が一時に搬送され、家族等からの問合せに迅速に対応するためには、本人の同意を得るための作業を行うことが著しく不合理である場合

※なお、「本人の同意を得ることが困難であるとき」には、本人同意を求めても同意しない場合、本人に同意を求める手続を経るまでもなく本人の同意を得ることができない場合等が含まれるものである。

③公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき

(例)

・健康増進法に基づく地域がん登録事業による国又は地方公共団体への情報提供

・がん検診の精度管理のための地方公共団体又は地方公共団体から委託を受けた検診機関に対する精密検査結果の情報提供

・児童虐待事例についての関係機関との情報交換

・医療安全の向上のため、院内で発生した医療事故等に関する国、地方公共団体又は第三者機関等への情報提供のうち、氏名等の情報が含まれる場合

・感染症患者への対応に当たって、他の患者等への感染を防ぐため、家族等濃厚接触者の迅速な把握のために他の医療機関等に対して必要な個人情報を迅速に共有することが非常に重要な場合であって、本人の同意を得ることが困難であるとき

・医療機関が以前治療を行った患者の臨床症例に係る個人データを、症例研究のために他の医療機関に提供し、当該他の医療機関を受診する不特定多数の患者に対してより優れた医療サービスを提供できるようになること等により、公衆衛生の向上に特に資する場合であって、本人の転居により有効な連絡先を保有しておらず本人からの同意取得が困難であるとき

・医療機関が保有する患者の臨床症例に係る個人データを、有効な治療方法や薬剤が十分にない疾病等に関する疾病メカニズムの解明を目的とした研究のために製薬企業に提供し、その結果が広く共有・活用されていくことで、医学、薬学等の発展や医療水準の向上に寄与し、公衆衛生の向上に特に資することが期待される場合であって、本人の転居により有効な連絡先を保有しておらず本人からの同意取得が困難であるとき

④国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

(例)

・統計法第2条第7項の規定に定める一般統計調査に協力する場合

・災害発生時に警察が負傷者の住所、氏名や傷の程度等を照会する場合等、公共の安全と秩序の維持の観点から照会する場合

⑤学術研究機関等が学術研究目的で個人データを提供する場合であり、かつ、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ない場合(個人の権利利益を不当に侵害するおそれがある場合を除く。)

(例)

・顔面の皮膚病に関する医学論文において、症例に言及する場合であって、写真全体にモザイク処理を施す等の対応をすることにより当該論文による研究成果の公表の目的が達せられなくなるとき

⑥学術研究機関等が個人データを提供する場合であり、かつ、当該学術研究機関等と共同して学術研究を行う第三者(学術研究機関等であるか否かを問わない)に当該個人データを学術研究目的で提供する必要がある場合(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)

⑦学術研究機関等が個人データの第三者提供を受ける場合であり、かつ、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要がある場合(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)

(3)　本人の同意が得られていると考えられる場合

医療機関の受付等で診療を希望する患者は、傷病の回復等を目的としている。一方、医療機関等は、患者の傷病の回復等を目的として、より適切な医療が提供できるよう治療に取り組むとともに、必要に応じて他の医療機関と連携を図ったり、当該傷病を専門とする他の医療機関の医師等に指導、助言等を求めることも日常的に行われる。

また、その費用を公的医療保険に請求する場合等、患者の傷病の回復等そのものが目的ではないが、医療の提供には必要な利用目的として提供する場合もある。このため、第三者への情報の提供のうち、患者の傷病の回復等を含めた患者への医療の提供に必要であり、かつ、個人情報の利用目的として院内掲示等により明示されている場合は、原則として黙示による同意が得られているものと考えられる。

なお、傷病の内容によっては、患者の傷病の回復等を目的とした場合であっても、個人データを第三者提供する場合は、あらかじめ本人の明確な同意を得るよう求めがある場合も考えられ、その場合、医療機関等は、本人の意思に応じた対応を行う必要がある。

①患者への医療の提供のために通常必要な範囲の利用目的について、院内掲示等で公表しておくことによりあらかじめ黙示の同意を得る場合

医療機関の受付等で、診療を希望する患者から個人情報を取得した場合、それらが患者自身の医療サービスの提供のために利用されることは明らかである。このため、院内掲示等により公表して、患者に提供する医療サービスに関する利用目的について患者から明示的に留保の意思表示がなければ、患者の黙示による同意があったものと考えられる。(Ⅳ5．参照)

また、

(ア)　患者への医療の提供のため、他の医療機関等との連携を図ること

(イ)　患者への医療の提供のため、外部の医師等の意見・助言を求めること

(ウ)　患者への医療の提供のため、他の医療機関等からの照会があった場合にこれに応じること

(エ)　患者への医療の提供に際して、家族等への病状の説明を行うこと

等が利用目的として特定されている場合は、これらについても患者の同意があったものと考えられる。

②この場合であっても、黙示の同意があったと考えられる範囲は、患者のための医療サービスの提供に必要な利用の範囲であり、別表2の「患者への医療の提供に必要な利用目的」を参考に各医療機関等が示した利用目的に限られるものとする。

なお、院内掲示等においては、

(ア)　患者は、医療機関等が示す利用目的の中で同意しがたいものがある場合には、その事項について、あらかじめ本人の明確な同意を得るよう医療機関等に求めることができること。

(イ)　患者が、(ア)の意思表示を行わない場合は、公表された利用目的について患者の同意が得られたものとすること。

(ウ)　同意及び留保は、その後、患者からの申出により、いつでも変更することが可能であること。

をあわせて掲示するものとする。

※上記①の(ア)～(エ)の具体例

(例)

・他の医療機関宛に発行した紹介状等を本人が持参する場合

医療機関等において他の医療機関等への紹介状、処方せん等を発行し、当該書面を本人が他の医療機関等に持参した場合、当該第三者提供については、本人の同意があったものと考えられ、当該書面の内容に関し、医療機関等との間での情報交換を行うことについて同意が得られたものと考えられる。

・他の医療機関等からの照会に回答する場合

診療所Aを過去に受診したことのある患者が、病院Bにおいて現に受診中の場合で、病院Bから診療所Aに対し過去の診察結果等について照会があった場合、病院Bの担当医師等が受診中の患者から同意を得ていることが確認できれば、診療所Aは自らが保有する診療情報の病院Bへの提供について、患者の同意が得られたものと考えられる。

なお、地域医療情報連携ネットワークにおいて、医療機関が保存及び管理等を行う診療情報等を、他の医療機関からの照会を受けて、直接第三者提供する場合(医療機関から地域医療情報連携ネットワークの運営主体に対して診療情報等の保存及び管理等の取扱いを委託している場合において、当該地域医療情報連携ネットワークの運営主体を介して、他の医療機関からの照会を受けて、診療情報等を第三者提供する場合を含む。)については、「地域医療情報連携ネットワークにおける同意取得方法の例について」(令和2年3月31日付け厚生労働省医政局総務課事務連絡)による。

・家族等への病状説明

病態等について、本人と家族等に対し同時に説明を行う場合には、明示的に本人の同意を得なくても、その本人と同時に説明を受ける家族等に対する診療情報の提供について、本人の同意が得られたものと考えられる。

同様に、児童・生徒の治療に教職員が付き添ってきた場合についても、児童・生徒本人が教職員の同席を拒まないのであれば、本人と教職員を同席させて、治療内容等について説明を行うことができると考えられる。

③医療機関等が、労働安全衛生法第66条、健康保険法第150条、国民健康保険法第82条又は高齢者の医療の確保に関する法律第20条、第24条若しくは第125条により、事業者又は保険者が行う健康診断等を受託した場合、その結果である労働者等の個人データを委託元である当該事業者又は保険者に対して提供することについて、本人の同意が得られていると考えられる。

④介護関係事業者については、介護保険法に基づく指定基準において、サービス担当者会議等で利用者の個人情報を用いる場合には利用者の同意を、利用者の家族の個人情報を用いる場合には家族の同意を、あらかじめ文書により得ておかなければならないとされていることを踏まえ、事業所内への掲示によるのではなく、サービス利用開始時に適切に利用者から文書により同意を得ておくことが必要である。

(4)　「第三者」に該当しない場合

①他の事業者等への情報提供であるが、「第三者」に該当しない場合

法第27条第5項各号に掲げる場合の当該個人データの提供を受ける者については、第三者に該当せず、本人の同意を得ずに情報の提供を行うことができる。医療・介護関係事業者における具体的事例は以下のとおりである。

・検査等の業務を委託する場合

・外部監査機関への情報提供((公益財団法人)日本医療機能評価機構が行う病院機能評価等)

・個人データを特定の者との間で共同して利用するとして、あらかじめ本人に通知等している場合

※個人データの共同での利用における留意事項

病院と訪問看護ステーションが共同で医療サービスを提供している場合など、あらかじめ個人データを特定の者との間で共同して利用することが予定されている場合、(ア)共同して利用される個人データの項目、(イ)共同利用者の範囲(個別列挙されているか、本人から見てその範囲が明確となるように特定されている必要がある)、(ウ)利用する者の利用目的、(エ)当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名をあらかじめ本人に通知し、又は本人が容易に知り得る状態においておくとともに、共同して利用することを明らかにしている場合には、当該共同利用者は第三者に該当しない。

この場合、(ア)、(イ)については変更することができず、(ウ)、(エ)については、本人が想定することが困難でない範囲内で変更することができ、変更する場合は、本人に通知又は本人の容易に知り得る状態におかなければならない。

②同一事業者内における情報提供であり、第三者に該当しない場合

同一事業者内で情報提供する場合は、当該個人データを第三者に提供したことにはならないので、本人の同意を得ずに情報の提供を行うことができる。医療・介護関係事業者における具体的事例は以下のとおりである。

・病院内の他の診療科との連携など当該医療・介護関係事業者内部における情報の交換

・同一事業者が開設する複数の施設間における情報の交換

・当該事業者の職員を対象とした研修での利用(ただし、第三者提供に該当しない場合であっても、当該利用目的が院内掲示等により公表されていない場合には、具体的な利用方法について本人の同意を得るか(Ⅳ3．参照)、個人が特定されないよう、匿名加工情報又は仮名加工情報に加工する必要がある(Ⅱ4．及びⅡ5．参照)。なお、法別表第二に掲げる法人については、匿名加工情報取扱事業者等の義務に関する規定(法第4章第4節)の適用が除外され(法第58条関係)、匿名加工情報の取扱いについて独立行政法人等による取扱いとみなして公的部門における規律(法第5章第5節)が適用される(法第123条関係)。)

・当該事業者内で経営分析を行うための情報の交換

(5)　その他留意事項

・他の事業者への情報提供に関する留意事項

第三者提供を行う場合のほか、他の事業者への情報提供であっても、①法令に基づく場合など第三者提供の例外に該当する場合、②「第三者」に該当しない場合、③個人が特定されないように、匿名加工情報に加工して情報提供する場合などにおいては、本来必要とされる情報の範囲に限って提供すべきであり、情報提供する上で必要とされていない事項についてまで他の事業者に提供することがないようにすべきである。

特に、医療事故発生直後にマスコミへの公表を行う場合等については、本人の同意を得る必要がある。

(適切ではない例)

・医師及び薬剤師が製薬企業のMR(医薬品情報担当者)、医薬品卸業者のMS(医薬品販売担当者)等との間で医薬品の投薬効果などについて情報交換を行う場合に、必要でない氏名等の情報を削除せずに提供すること。

【法の規定により遵守すべき事項等】

・医療・介護関係事業者においては、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。なお、(2)の本人の同意を得る必要がない場合に該当する場合には、本人の同意を得る必要はない。

・個人データの第三者提供について本人の同意があった場合で、その後、本人から第三者提供の範囲の一部についての同意を取り消す旨の申出があった場合は、その後の個人データの取扱いについては、本人の同意のあった範囲に限定して取り扱うものとする。

【その他の事項】

・第三者提供に該当しない情報提供が行われる場合であっても、院内や事業所内等への掲示、ホームページ等により情報提供先をできるだけ明らかにするとともに、患者・利用者等からの問合せがあった場合に回答できる体制を確保する。

・例えば、業務委託の場合、当該医療・介護関係事業者において委託している業務の内容、委託先事業者、委託先事業者との間での個人情報の取扱いに関する取り決めの内容等について公開することが考えられる。

10．外国にある第三者への提供の制限(法第28条)

詳細は、別途定める「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」(平成28年個人情報保護委員会告示第7号)を参照のこと。

【法の規定により遵守すべき事項等】

・医療・介護関係事業者が、法第28条の規定に基づき、外国にある第三者に個人データを提供する場合には、法第27条第1項各号(※)に定める場合を除き、外国にある第三者へ提供することについて本人の同意を得なければならない。

・ただし、次の①又は②のいずれかに該当する場合は、国内と同様に法第27条第1項柱書の規定に基づく本人同意による第三者提供、又は同条第5項に基づく委託、共同利用による提供が可能である。

①外国にある第三者が、日本と同等の水準にあると認められる個人情報保護制度を有している国として規則で定める国にある場合

②外国にある第三者が、個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制として規則で定める基準に適合する体制を整備している場合

(※)法第27条第1項各号

・法令に基づいて個人データを提供する場合(第1号関係)

・人(法人を含む。)の生命、身体又は財産といった具体的な権利利益が侵害されるおそれがあり、これを保護するために個人データの提供が必要であり、かつ、本人の同意を得ることが困難である場合(第2号関係)

・公衆衛生の向上又は心身の発展途上にある児童の健全な育成のために特に必要な場合であり、かつ、本人の同意を得ることが困難である場合(第3号関係)

・国の機関等が法令の定める事務を実施する上で、民間企業等の協力を得る必要がある場合であって、協力する民間企業等が当該国の機関等に個人データを提供することについて、本人の同意を得ることが当該事務の遂行に支障を及ぼすおそれがある場合(第4号関係)

・学術研究機関等が学術研究目的で個人データを提供する場合であり、かつ、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ない場合(個人の権利利益を不当に侵害するおそれがある場合を除く。)(第5号関係)

・学術研究機関等が個人データを提供する場合であり、かつ、当該学術研究機関等と共同して学術研究を行う第三者(学術研究機関等であるか否かを問わない)に当該個人データを学術研究目的で提供する必要がある場合(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(第6号関係)

・学術研究機関等が個人データの第三者提供を受ける場合であり、かつ、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要がある場合(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(第7号関係)

・上記②個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制の基準については、規則第16条に規定されている。

・「適切かつ合理的な方法」は、個々の事例ごとに判断されるべきであるが、個人データの提供先である外国にある第三者が、我が国の個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずることを担保することができる方法である必要がある。例えば、次の事例が該当する。

(例)

・外国にある事業者に個人データの取扱いを委託する場合

提供元及び提供先間の契約、確認書、覚書等

・契約等に法第4章第1節に関する全ての事項を規定しなければならないものではなく、実質的に適切かつ合理的な方法により、措置の実施が確保されていればよい。なお、典型的な事例として日本にある事業者が、外国にある事業者に個人データの取扱いを委託する場合を挙げ、外国にある第三者又は提供元である日本にある事業者が講ずべき措置の具体例を示すこととする。

・利用目的の特定(法第17条の趣旨に沿った措置)

(例)委託契約において、外国にある事業者による利用目的を特定する。

・利用目的による制限(法第18条の趣旨に沿った措置)

(例)委託契約において、委託の内容として、外国にある事業者による利用目的の範囲内での事務処理を規定する。

・不適正な利用の禁止(法第19条の趣旨に沿った措置)

(例)委託契約により外国にある事業者による違法又は不当な行為を助長し、又は誘発するおそれがある方法による利用を禁止する。

・適正な取得(法第20条第1項の趣旨に沿った措置)

(例)外国にある事業者が委託契約に基づいて適切に個人データを取得していることが自明であれば、不正の手段による取得ではない。

・取得に際しての利用目的の通知(法第21条の趣旨に沿った措置)

(例)日本にある事業者から患者に対して利用目的の通知等をする。(利用目的の範囲を別表2で示し、院内掲示等での公表で差し支えない)

・データ内容の正確性の確保等(法第22条の趣旨に沿った措置)

(例)委託契約によりデータ内容の正確性の確保等について規定するか、又は、データ内容の正確性の確保等に係る責任を個人データの提供元たる事業者が負うこととする。

・安全管理措置(法第23条の趣旨に沿った措置)

(例)委託契約により外国にある事業者が安全管理措置を講ずる旨を規定する。

・従業者の監督(法第24条の趣旨に沿った措置)

(例)委託契約により外国にある事業者の従業者の監督に係る措置を規定する。

・委託先の監督(法第25条の趣旨に沿った措置)

(例)委託契約により外国にある事業者の再委託先の監督に係る措置を規定する。

・漏えい等の報告等(法第26条の趣旨に沿った措置)

(例)委託契約により、外国にある事業者において法第26条第1項に定める報告対象事態が発生した場合に、日本にある個人情報取扱事業者が個人情報保護委員会への報告及び本人通知に係る措置を講ずることについて明確にする。

・第三者提供の制限(法第27条の趣旨に沿った措置)

(例)委託契約により外国にある事業者からの個人データの第三者提供を禁止する。

・外国にある第三者への提供の制限(法第28条の趣旨に沿った措置)

(例)委託契約により外国にある事業者からの個人データの第三者提供を禁止する。

・保有個人データに関する事項の公表等(法第32条の趣旨に沿った措置)

(例)提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、日本にある個人情報取扱事業者が保有個人データに関する事項の公表等に係る義務を履行することについて明確にする。なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。

・開示(法第33条の趣旨に沿った措置)

(例)提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、日本にある個人情報取扱事業者が開示に係る義務を履行することについて明確にする。なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。

・訂正等(法第34条の趣旨に沿った措置)

(例)提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、日本にある個人情報取扱事業者が訂正等に係る義務を履行することについて明確にする。なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。

・利用停止等(法第35条の趣旨に沿った措置)

(例)提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、日本にある個人情報取扱事業者が利用停止等に係る義務を履行することについて明確にする。なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。

・理由の説明(法第36条の趣旨に沿った措置)

(例)提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、日本にある個人情報取扱事業者が理由の説明に係る義務を履行することについて明確にする。なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。

・開示等の請求等に応じる手続(法第37条の趣旨に沿った措置)

(例)提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、日本にある個人情報取扱事業者が開示等の請求等に応じる手続を履行することについて明確にする。なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。

・手数料(法第38条の趣旨に沿った措置)

(例)提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、日本にある個人情報取扱事業者が手数料に係る措置を履行することについて明確にする。なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。

・個人情報取扱事業者による苦情の処理(法第40条の趣旨に沿った措置)

(例)提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、日本にある個人情報取扱事業者が法第40条に係る義務を履行することについて明確にする。なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。

11．第三者提供に係る記録の作成等(法第29条)

詳細は、別途定める「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」(平成28年個人情報保護委員会告示第8号)を参照のこと。

(1)　記録義務が適用されない場合

以下の場合には記録義務が適用されない。

①第三者が法第16条第2項各号に掲げる者である場合

以下の1)から4)までに掲げる者との間で個人データの授受を行う場合、記録義務は適用されない。

1)　国の機関(法第16条第2項第1号関係)

2)　地方公共団体(法第16条第2項第2号関係)

3)　独立行政法人等(独立行政法人通則法(平成11年法律第103号)第2条第1項に規定する独立行政法人及び法別表第1に掲げる法人(法別表第2に掲げる法人を除く。)をいう。)(法第16条第2項第3号関係)

4)　地方独立行政法人(地方独立行政法人法(平成15年法律第118号)第2条第1項に規定する地方独立行政法人をいう。)(法第16条第2項第4号関係)

②法第27条第1項各号に該当する場合(Ⅳ9．(2)参照)

個人データが転々流通することは想定されにくいことに鑑み、記録義務は適用されない。

1)　法令に基づいて個人データを提供する場合(第1号関係)

(例)

・審査支払機関へのレセプトの提出

2)　人(法人を含む。)の生命、身体又は財産といった具体的な権利利益が侵害されるおそれがあり、これを保護するために個人データの提供が必要であり、かつ、本人の同意を得ることが困難である場合(第2号関係)

3)　公衆衛生の向上又は心身の発展途上にある児童の健全な育成のために特に必要な場合であり、かつ、本人の同意を得ることが困難である場合(第3号関係)

4)　国の機関等が法令の定める事務を実施する上で、民間企業等の協力を得る必要がある場合であって、協力する民間企業等が当該国の機関等に個人データを提供することについて、本人の同意を得ることが当該事務の遂行に支障を及ぼすおそれがある場合(第4号関係)

5)　当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)(第5号関係)

6)　当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データを学術研究目的で提供する必要があるとき(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該第三者が共同して学術研究を行う場合に限る。)(第6号関係)

7)　当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(第7号関係)

③法第27条第5項各号に該当する場合(Ⅳ9．(4)参照)

「第三者に該当しないものとする」とされていることに鑑み、記録義務は適用されない。

1)　個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合(法第27条第5項第1号関係)

(例)

・検体検査業務の委託その他の業務委託

・保険事務の委託

・事業者等からの委託を受けて健康診断等を行った場合における、事業者等へのその結果の通知

・医療機関等の管理運営業務のうち、外部監査機関への情報提供

2)　合併その他の事由による事業の承継に伴って個人データが提供される場合(法第27条第5項第2号関係)

3)　特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき(法第27条第5項第3号関係)

④本人に代わって提供している場合

医療・介護関係事業者が患者・利用者本人からの委託等に基づき当該本人の個人データを第三者提供する場合は、当該個人情報取扱事業者は「本人に代わって」個人データの提供をしているものである。

したがって、この場合の第三者提供については、記録義務は適用されない。

(例)

医療機関等が患者等に提供する医療サービスのうち、

・他の病院、診療所、助産所、薬局、訪問看護ステーション、介護サービス事業者等との連携

・他の医療機関等からの照会への回答

・患者の診療等に当たり、外部の医師等の意見・助言を求める場合

・審査支払機関又は保険者からの照会への回答

・医師賠償責任保険などに係る、医療に関する専門の団体、保険会社等への相談又は届出等

⑤本人と一体と評価できる関係にある者に提供する場合

本人の代理人又は家族等、本人と一体と評価できる関係にある者に提供する場合、本人側に対する提供とみなし、記録義務は適用されない。

(例)

・家族等への病状説明

【法の規定により遵守すべき事項等】

(2)　記録義務の適用

(1)に記載したいずれの場合にも該当しない場合で、医療・介護関係事業者が個人データを第三者に提供したときは、法令に定める記録の作成及びその記録を保存しなければならない。

①記録を作成する方法など

1)　記録を作成する媒体

医療・介護関係事業者は、記録を、文書、電磁的記録又はマイクロフィルムを用いて作成しなければならない。

2)　記録を作成する方法

医療・介護関係事業者は、原則として、個人データの授受の都度、速やかに記録を作成しなければならない。

3)　一括して記録を作成する方法

一定の期間内に特定の事業者との間で継続的に又は反復して個人データを授受する場合は、個々の授受に係る記録を作成する代わりに、一括して記録を作成することができる。

4)　契約書等の代替手段による方法

医療・介護関係事業者が、本人に対する物品又は役務の提供に係る契約を締結し、その契約の履行に伴って、契約の相手方を本人とする個人データを医療・介護関係事業者から第三者に提供する場合は、その提供の際に作成した契約書その他の書面をもって個人データの流通を追跡することが可能であるから当該契約書その他の書面をもって記録とすることができる。

5)　代行により記録を作成する方法

提供者、受領者のいずれも記録の作成方法、保存期間は同一であることに鑑みて受領者は提供者の記録義務の全部又は一部を代替して行うことができる(提供者と受領者の記録事項の相違については留意する必要がある。)。なお、この場合であっても、提供者及び受領者は自己の義務が免責されるわけではないことから、実質的に自ら記録作成義務を果たしているものと同等の体制を構築しなければならない。

②記録事項

1)　提供者の記録事項

医療・介護関係事業者が、本人の同意に基づき個人データの第三者提供を行う場合は、次の項目を記録しなければならない。

・本人同意を得ている旨

・第三者の氏名又は名称その他の当該第三者を特定できる事項

・個人データによって識別される本人の氏名その他の当該本人を特定できる事項

・個人データの項目

③記録事項の省略

複数回にわたって同一「本人」の個人データの授受をする場合において、同一の内容である事項を重複して記録する必要はない。既に「11．(2)記録義務の適用」に規定する方法により作成した記録(現に保存している場合に限る。)に記録された事項と内容が同一であるものについては、当該事項の記録を省略することができる。

④保存期間

医療・介護関係事業者は、作成した記録を規則で定める期間保存しなければならない。保存期間は記録の作成方法によって異なるので留意が必要である。

12．第三者提供を受ける際の確認等(法第30条)

詳細は、別途定める「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」(平成28年個人情報保護委員会告示第8号)を参照のこと。

(1)　確認・記録義務が適用されない場合

11．第三者提供に係る記録の作成等(法第29条)の場合と同様、①第三者が法第16条第2項各号に掲げる者である場合、②法第27条第1項各号に該当する場合(Ⅳ9．(2)参照)、③法第27条第5項各号に該当する場合(Ⅳ9．(4)参照)、④本人に代わって提供された個人データを受ける場合、⑤本人と一体と評価できる関係にある者に該当する場合は、確認・記録義務は適用されない。なお、具体的事例は、11．(1)を参照のこと。

加えて、以下の場合においても確認・記録義務は適用されない。

⑥受領者にとって個人データに該当しない場合

提供者にとって個人データに該当するが受領者にとって個人データに該当しない情報を受領した場合は、確認・記録義務は適用されない。

⑦受領者にとって個人情報に該当しない場合

次の事例のように、提供者にとって個人データに該当する場合であっても、受領者にとっては「個人情報」に該当しない(当然に個人データにも該当しない。)情報を受領した場合は、確認・記録義務は適用されない。

【受領者にとって個人情報に該当しない事例】

(例)

・提供者が氏名を削除するなどして個人を特定できないようにしたデータの提供を受けた場合

・提供者で管理しているID番号のみが付されたデータの提供を受けた場合

【法の規定により遵守すべき事項等】

(2)　確認義務の適用

医療・介護関係事業者は第三者から個人データの提供を受ける際は、当該第三者に対して、次のとおり確認を行わなければならない。

①確認方法

1)　第三者の氏名及び住所並びに法人にあっては、その代表者の氏名

2)　第三者による個人データの取得の経緯

3)　法の遵守状況【その他の事項】

医療・介護関係事業者が、他の事業者から個人データの提供を受ける際には、当該事業者の法の遵守状況(例えば、利用目的、開示手続、問合せ・苦情の受付窓口の公表、オプトアウトによる第三者提供により個人データの提供を受ける際には当該事業者の届出事項が個人情報保護委員会により公表されている旨など)についても確認することが望ましい。

②既に確認を行った第三者に対する確認方法

複数回にわたって同一「本人」の個人データの授受をする場合において、同一の内容である事項を重複して確認する合理性はないため、既に「①確認方法」に規定する方法により確認を行い、「12．(3)記録義務」に規定する方法により作成し、かつ、その時点において保存している記録に記録された事項と内容が同一であるものについては、当該事項の確認を省略することができる。

(3)　記録義務の適用

また、医療・介護関係事業者は、第三者から個人データの提供を受けたときは法令に定める記録を作成し、かつ、その記録を保存しなければならない。

①記録を作成する方法など

1)　記録を作成する媒体

医療・介護関係事業者は、記録を、文書、電磁的記録又はマイクロフィルムを用いて作成しなければならない。

2)　記録を作成する方法

医療・介護関係事業者は、原則として、個人データの授受の都度、速やかに記録を作成しなければならない。

3)　一括して記録を作成する方法

一定の期間内に特定の事業者との間で継続的に又は反復して個人データを授受する場合は、個々の授受に係る記録を作成する代わりに、一括して記録を作成することができる。

4)　契約書等の代替手段による方法

医療・介護関係事業者が、本人に対する物品又は役務の提供に係る契約を締結し、その契約の履行に伴って、契約の相手方を本人とする個人データを第三者から提供を受ける場合は、その提供の際に作成した契約書その他の書面をもって個人データの流通を追跡することが可能であるから当該契約書その他の書面をもって記録とすることができる。

5)　代行により記録を作成する方法

提供者、受領者のいずれも記録の作成方法、保存期間は同一であることに鑑みて提供者は受領者の記録義務の全部又は一部を代替して行うことができる(提供者と受領者の記録事項の相違については留意する必要がある。)。なお、この場合であっても、提供者及び受領者は自己の義務が免責されるわけではないことから、実質的に自ら記録作成義務を果たしているものと同等の体制を構築しなければならない。

②記録事項

1)　受領者の記録事項

医療・介護関係事業者が、本人の同意に基づき個人データの第三者提供を受ける場合は、次の項目を記録しなければならない。

・本人同意を得ている旨

・第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名

・第三者による当該個人データの取得の経緯

・個人データによって識別される本人の氏名その他の当該本人を特定できる事項

・個人データの項目

③記録事項の省略

複数回にわたって同一「本人」の個人データの授受をする場合において、同一の内容である事項を重複して記録する必要はない。既に「12．(3)記録義務の適用」に規定する方法により作成した記録(現に保存している場合に限る。)に記録された事項と内容が同一であるものについては、当該事項の記録を省略することができる。

④保存期間

医療・介護関係事業者は、作成した記録を規則で定める期間保存しなければならない。保存期間は記録の作成方法によって異なるので留意が必要である。

13．保有個人データに関する事項の公表等(法第32条)

【法の規定により遵守すべき事項】

・医療・介護関係事業者は、保有個人データに関し、(ア)当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名、(イ)全ての保有個人データの利用目的(法第21条第4項第1号から第3号までに規定された例外の場合を除く。)、(ウ)保有個人データの利用目的の通知、開示、訂正、利用停止等の手続の方法、及び保有個人データの利用目的の通知又は開示に係る手数料の額、(エ)法第23条の規定により保有個人データの安全管理のために講じた措置、(オ)苦情の申出先等について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。

・(エ)に関し、医療・介護関係事業者は、Ⅳ7．に掲げる安全管理措置等を講じていることについて、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。

・医療・介護関係事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、上記の措置により利用目的が明らかになっている場合及び法第21条第4項第1号から第3号までの例外に相当する場合を除き、遅滞なく通知しなければならない。

・医療・介護関係事業者は、利用目的の通知をしない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

・法施行前から保有している個人情報についても同様の取扱いを行う。

【その他の事項】

・医療・介護関係事業者は、保有個人データについて、その利用目的、開示、訂正、利用停止等の手続の方法及び利用目的の通知又は開示に係る手数料の額、苦情の申出先等について、少なくとも院内や事業者内等への掲示、さらにホームページ等によりできるだけ明らかにするとともに、患者・利用者等からの要望により書面を交付したり、問合せがあった場合に具体的内容について回答できる体制を確保する。

【法別表第二に掲げる法人等に関する適用関係】

・法別表第二に掲げる法人については、法第32条の適用が除外され(法第58条関係)、個人情報の取扱いについて独立行政法人等による取扱いとみなして公的部門における規律(法第75条)が適用される(法第123条関係)。

14．本人からの請求による保有個人データ等の開示(法第33条)

(1)　開示の原則

医療・介護関係事業者は、本人から、当該本人が識別される保有個人データ及び第三者提供記録(以下「保有個人データ等」という。)の開示の請求を受けたときは、本人に対し、電磁的記録の提供による方法、書面の交付による方法等により、遅滞なく、当該保有個人データ等を開示しなければならない。

(2)　開示の例外

開示することで、法第33条第2項(同条第5項において準用する場合を含む。)各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。具体的事例は以下のとおりである。

(例)

・患者・利用者の状況等について、家族や患者・利用者の関係者が医療・介護サービス従事者に情報提供を行っている場合に、これらの者の同意を得ずに患者・利用者自身に当該情報を提供することにより、患者・利用者と家族や患者・利用者の関係者との人間関係が悪化するなど、これらの者の利益を害するおそれがある場合

・症状や予後、治療経過等について患者に対して十分な説明をしたとしても、患者本人に重大な心理的影響を与え、その後の治療効果等に悪影響を及ぼす場合

※個々の事例への適用については個別具体的に慎重に判断することが必要である。また、保有個人データである診療情報の開示に当たっては、「診療情報の提供等に関する指針」の内容にも配慮する必要がある。

【法の規定により遵守すべき事項等】

・医療・介護関係事業者は、本人から、当該本人が識別される保有個人データ等の開示の請求を受けたときは、本人に対し、遅滞なく、当該保有個人データ等を開示しなければならない。また、当該本人が識別される保有個人データ等が存在しないときにその旨知らせることとする。ただし、開示することにより、法第33条第2項各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。

・Ⅱ1．に記したとおり、例えば診療録の情報の中には、患者の保有個人データであって、当該診療録を作成した医師の保有個人データでもあるという二面性を持つ部分が含まれるものの、そもそも診療録全体が患者の保有個人データであることから、患者本人から開示の請求がある場合に、その二面性があることを理由に全部又は一部を開示しないことはできない。ただし、法第33条第2項各号のいずれかに該当する場合には、法に従い、その全部又は一部を開示しないことができる。

・開示の方法は、電磁的記録の提供による方法、書面の交付による方法その他当該個人情報取扱事業者の定める方法のうち本人が請求した方法(当該方法による開示に多額の費用を要する場合その他の当該方法によることが困難な場合である場合にあっては、書面の交付による方法)による。

・医療・介護関係事業者は、請求を受けた保有個人データ等の全部又は一部について開示しない旨を決定したときは、本人に対し、遅滞なく、その旨を通知しなければならない。

また、本人に通知する場合には、本人に対してその理由を説明するよう努めなければならない(Ⅳ17．参照)。

・他の法令の規定により、保有個人データ等の開示について定めがある場合には、当該法令の規定によるものとする。

【その他の事項】

・法定代理人等、開示の請求を行い得る者から開示の請求があった場合、原則として患者・利用者本人に対し保有個人データ等の開示を行う旨の説明を行った後、法定代理人等に対して開示を行うものとする。

・医療・介護関係事業者は、保有個人データ等の全部又は一部について開示しない旨決定した場合、本人に対するその理由の説明に当たっては、文書により示すことを基本とする。また、苦情への対応を行う体制についても併せて説明することが望ましい。

【法別表第二に掲げる法人に関する適用関係】

・法別表第二に掲げる法人については、法第33条の適用が除外され(法第58条関係)、個人情報の取扱いについて独立行政法人等による取扱いとみなして公的部門における規律(法第5章第4節第1款)が適用される(法第123条関係)。

15．訂正及び利用停止(法第34条、第35条)

【法の規定により遵守すべき事項等】

・医療・介護関係事業者は、法第34条第2項又は第35条第2項、第4項若しくは第6項の規定に基づき、本人から、保有個人データの訂正等、利用停止等、第三者への提供の停止の請求を受けた場合で、それらの請求が適正であると認められるときは、これらの措置を行わなければならない。

・ただし、利用停止等及び第三者への提供の停止については、利用停止等に多額の費用を要する場合など当該措置を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

・なお、以下の場合については、これらの措置を行う必要はない。

①訂正等の請求があった場合であっても、(ア)利用目的から見て訂正等が必要でない場合、(イ)誤りである指摘が正しくない場合又は(ウ)訂正等の対象が事実でなく評価に関する情報である場合

②利用停止等、第三者への提供の停止の請求があった場合であっても、手続違反等の指摘が正しくない場合

・医療・介護関係事業者は、上記の措置を行ったとき、又は行わない旨を決定したときは、本人に対し、遅滞なく、その旨を通知しなければならない。また、本人に通知する場合には、本人に対してその理由を説明するよう努めなければならない(Ⅳ17．参照)。

【その他の事項】

・医療・介護関係事業者は、訂正等、利用停止等又は第三者への提供の停止の請求を受けた保有個人データの全部又は一部について、これらの措置を行わない旨決定した場合、本人に対するその理由の説明に当たっては、文書により示すことを基本とする。その際は、苦情への対応を行う体制についても併せて説明をすることが望ましい。

・保有個人データの訂正等にあたっては、訂正した者、内容、日時等が分かるように行われなければならない。

・保有個人データの字句などを不当に変える改ざんは、行ってはならない。

【法別表第二に掲げる法人に関する適用関係】

・法別表第二に掲げる法人については、法第34条及び第35条の適用が除外され(法第58条関係)、個人情報の取扱いについて独立行政法人等による取扱いとみなして公的部門における規律(法第5章第4節第2款及び第3款)が適用される(法第123条関係)。

16．開示等の請求等に応じる手続及び手数料(法第37条、第38条)

(1)　開示等を行う情報の特定

医療・介護関係事業者は、本人に対し、開示等の請求等に関して、その対象となる保有個人データ等を特定するに足りる事項の提示を求めることができるが、この場合には、本人が容易かつ的確に開示等の請求等をすることができるよう、当該保有個人データ等の特定に資する情報の提供その他本人の利便を考慮した措置をとらなければならない。

また、保有個人データ等の開示等については、本人の請求等により、保有個人データ等の全体又は一部が対象となるが、当該本人の保有個人データ等が多岐にわたる、データ量が膨大であるなど、全体の開示等が困難又は非効率な場合、医療・介護関係事業者は、本人が開示等の請求等を行う情報の範囲を特定するのに参考となる情報(過去の受診の状況、病態の変化等)を提供するなど、本人の利便を考慮した支援を行うものとする。

(2)　代理人による開示等の請求等

保有個人データ等の開示等については、本人のほか、①未成年者又は成年被後見人の法定代理人、②開示等の請求等をすることにつき本人が委託した代理人により行うことができる。

【法の規定により遵守すべき事項等】

・医療・介護関係事業者は、保有個人データ等の開示等の請求等に関し、本人に過重な負担を課すものとならない範囲において、以下の事項について、その請求を受け付ける方法を定めることができる。

(ア)　開示等の請求等の受付先

(イ)　開示等の請求等に際して提出すべき書面の様式、その他の開示等の請求等の受付方法

(ウ)　開示等の請求等をする者が本人又はその代理人であることの確認の方法

(エ)　保有個人データ等の利用目的の通知、又は保有個人データ等の開示をする際に徴収する手数料の徴収方法

・医療・介護関係事業者は、本人に対し、開示等の請求等に関して、その対象となる保有個人データ等を特定するに足りる事項の提示を求めることができるが、この場合には、本人が容易かつ的確に開示等の請求等をすることができるよう、当該保有個人データ等の特定に資する情報の提供その他本人の利便を考慮した措置をとらなければならない。

・保有個人データ等の開示等の請求等は、本人のほか、未成年者又は成年被後見人の法定代理人、当該請求等をすることにつき本人が委任した代理人によってすることができる。

・医療・介護関係事業者は、保有個人データ等の利用目的の通知を求められたとき、又は保有個人データ等の開示を請求されたときは、当該措置の実施に関し、手数料を徴収することができ、その際には実費を勘案して合理的であると認められる範囲内において、手数料の額を定めなければならない。

【その他の事項】

・医療・介護関係事業者は、以下の点に留意しつつ、保有個人データ等の開示等の手続を定めることが望ましい。

―開示等の請求等の方法は書面によることが望ましいが、患者・利用者等の自由な請求を阻害しないため、開示等の請求等に係る書面に理由欄を設けることなどにより開示等を請求する理由の記載を要求すること及び開示等を請求する理由を尋ねることは不適切である。

―開示等を請求する者が本人(又はその代理人)であることを確認する。

―開示等の請求等があった場合、主治医等の担当スタッフの意見を聴いた上で、速やかに保有個人データ等の開示等をするか否か等を決定し、これを開示の請求等を行った者に通知する。

―保有個人データ等の開示に当たり、法第28条第2項各号に該当する可能性がある場合には、開示の可否について検討するために設置した検討委員会等において検討した上で、速やかに開示の可否を決定することが望ましい。

―保有個人データ等の開示を行う場合には、日常の医療・介護サービス提供への影響等も考慮し、本人に過重な負担を課すものとならない範囲で、日時、場所、方法等を指定することができる。

・代理人等、開示の請求等を行い得る者から開示の請求等があった場合、原則として患者・利用者本人に対し保有個人データ等の開示を行う旨の説明を行った後、開示の請求等を行った者に対して開示を行うものとする。

・代理人等からの請求等があった場合で、①本人による具体的意思を把握できない包括的な委任に基づく請求、②開示等の請求が行われる相当以前に行われた委任に基づく請求が行われた場合には、本人への説明に際し、開示の請求等を行った者及び開示する保有個人データ等の内容について十分説明し、本人の意思を確認するとともに代理人の請求の適正性、開示の範囲等について本人の意思を踏まえた対応を行うものとする。

【法別表第二に掲げる法人に関する適用関係】

・法別表第二に掲げる法人については、法第37条及び第38条の適用が除外され(法第58条関係)、個人情報の取扱いについて独立行政法人等による取扱いとみなして公的部門における規律(法第5章第4節)が適用される(法第123条関係)。

17．理由の説明、事前の請求、苦情の対応(法第36条、第39条～第40条)

【法の規定により遵守すべき事項等】

・医療・介護関係事業者は、本人から求められた保有個人データ等の利用目的の通知、又は本人から請求された開示、訂正等、利用停止等において、その措置をとらない旨又はその措置と異なる措置をとる旨本人に通知する場合は、本人に対して、その理由を説明するよう努めなければならない。

・医療・介護関係事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な対応に努めなければならない。また、医療・介護関係事業者は、苦情の適切かつ迅速な対応を行うにあたり、苦情への対応を行う窓口機能等の整備や苦情への対応の手順を定めるなど必要な体制の整備に努めなければならない。

【その他の事項】

・医療・介護関係事業者は、本人に対して理由を説明する際には、文書により示すことを基本とする。その際は、苦情への対応を行う体制についても併せて説明することが望ましい。

・医療・介護関係事業者は、患者・利用者等からの苦情対応にあたり、専用の窓口の設置や主治医等の担当スタッフ以外の職員による相談体制を確保するなど、患者・利用者等が相談を行いやすい環境の整備に努める。

・医療・介護関係事業者は、当該施設における患者・利用者等からの苦情への対応を行う体制等について院内や事業所内等への掲示やホームページへの掲載等を行うことで患者・利用者等に対して周知を図るとともに、地方公共団体、地域の医師会や国民健康保険団体連合会等が開設する医療や介護に関する相談窓口等についても患者・利用者等に対して周知することが望ましい。

【法別表第二に掲げる法人に関する適用関係】

・法別表第二に掲げる法人については、法第36条及び第39条の適用が除外され(法第58条関係)、個人情報の取扱いについて独立行政法人等による取扱いとみなして公的部門における規律(法第5章第4節)が適用される(法第123条関係)。

Ⅴ　ガイダンスの見直し等

1．必要に応じた見直し

個人情報の保護に関する考え方は、社会情勢や国民の意識の変化に対応して変化していくものと考えられる。このため、法及び本ガイダンスや「診療情報の提供等に関する指針」の運用状況等も踏まえながら、本ガイダンスについても必要に応じ検討及び見直しを行うものとする。

2．本ガイダンスを補完する事例集の作成・公開

個人情報保護委員会及び厚生労働省は、医療・介護関係事業者における個人情報の保護を推進し、医療・介護関係事業者における円滑な対応が図られるよう、本ガイダンスを補完する事例集を作成し、個人情報保護委員会及び厚生労働省のホームページにおいて公表する。

※「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」に関するQ＆A

(医療機関等(医療従事者を含む))

1　病院・診療所

・　診療録【医師法第24条、歯科医師法第23条】

・　処方せん【医師法第22条、歯科医師法第21条、医療法施行規則第20条、第21条の5、第22条の3、第22条の7】

・　麻酔記録【医療法施行規則第1条の10】

・　助産録【保健師助産師看護師法第42条】

・　救急救命処置録【救急救命士法第46条】

・　照射録【診療放射線技師法第28条】

・　診療に関する諸記録

①　病院の場合　処方せん(再掲)、手術記録、看護記録、検査所見記録、エックス線写真、入院診療計画書【医療法施行規則第20条】

②　地域医療支援病院及び特定機能病院の場合　上記①に加え、紹介状、退院した患者に係る入院期間中の診療経過の要約【医療法施行規則第21条の5、第22条の3】

③　臨床研究中核病院の場合　上記①に加え、研究対象者に対する医薬品等の投与及び診療により得られたデータその他の記録【医療法施行規則第22条の7】

・　歯科衛生士業務記録【歯科衛生士法施行規則第18条】

・　歯科技工指示書【歯科技工士法第18条、第19条】

2　助産所

・　助産録【保健師助産師看護師法第42条】

3　薬局

・　処方せん(調剤した旨等の記入)【薬剤師法第26条、第27条】

・　調剤録【薬剤師法第28条】

4　衛生検査所

・　委託検査管理台帳、検査結果報告台帳、苦情処理台帳【臨床検査技師等に関する法律施行規則第12条第1項第16号、第12条の3】

5　指定訪問看護事業者

・　訪問看護計画書【指定訪問看護の事業の人員及び運営に関する基準第17条第1項】

・　訪問看護報告書【指定訪問看護の事業の人員及び運営に関する基準第17条第3項】

6　歯科技工所

・　歯科技工指示書【歯科技工士法第18条、第19条】

(介護関係事業者)※保存が想定されている記録も含む

1　指定訪問介護事業者

・　居宅サービス計画(通称：ケアプラン)【指定居宅サービス等の事業の人員、設備及び運営に関する基準第16条】

・　サービスの提供の記録(通称：ケア記録、介護日誌、業務日誌)【指定居宅サービス等の事業の人員、設備及び運営に関する基準第19条】

・　訪問介護計画【指定居宅サービス等の事業の人員、設備及び運営に関する基準第24条第1項】

・　苦情の内容等の記録【指定居宅サービス等の事業の人員、設備及び運営に関する基準第36条第2項】

2　指定通所介護事業者

・　居宅サービス計画(通称：ケアプラン)【指定居宅サービス等の事業の人員、設備及び運営に関する基準第105条(準用：第16条)】

・　サービスの提供の記録(通称：ケア記録、介護日誌、業務日誌)【指定居宅サービス等の事業の人員、設備及び運営に関する基準第105条(準用：第19条)】

・　通所介護計画【指定居宅サービス等の事業の人員、設備及び運営に関する基準第99条第1項】

・　苦情の内容等の記録【指定居宅サービス等の事業の人員、設備及び運営に関する基準第105条(準用：第36条第2項)】

3　特別養護老人ホーム

・　行った具体的な処遇の内容等の記録【特別養護老人ホームの設備及び運営に関する基準第9条第2項第2号】

・　入所者の処遇に関する計画【特別養護老人ホームの設備及び運営に関する基準第14条第1項】

・　身体的拘束等に係る記録【特別養護老人ホームの設備及び運営に関する基準第15条第5項】

・　苦情の内容等の記録【特別養護老人ホームの設備及び運営に関する基準第29条第2項】

(医療機関等の場合)