はじめに

 2017年5月30日、改正個人情報保護法が全面施行されました。今回の改正内容は多岐にわたり、同法の施行以来、12年ぶりの大幅改正となっています。日々、患者等の秘匿性の高い個人情報を取扱う診療機関においては、他の事業者以上に適正な情報管理が求められます。今号では、法改正のポイントを中心に、診療機関における個人情報の取扱いの留意点について解説します。

個人情報取扱者に求められる義務等

 個人情報保護法(以下「保護法」という。)には、個人情報を取扱う事業者(個人情報取扱事業者)が守るべきルールや違反した場合の罰則などについて規定されています。従来「個人情報取扱事業者」とは、「識別される特定の個人の数の合計が過去6ヶ月以内のいずれの日においても5,000を超える事業者」が対象となり、いわゆる「小規模事業者」は対象外となっていました。しかし、今回の改正でこの「5,000人要件」が撤廃され、原則すべての事業者がその対象となりました。

 事業者の義務について、主に以下の場面におけるルールを明文化しています。

  1.個人情報を取得・利用するときのルール

  2.個人情報の保管に関するルール

  3.個人情報を第三者に提供するときのルール

  4.本人から情報開示を求められたときのルール

 例えば、個人情報の取得・利用に際しては、あらかじめ「個人情報を利用する目的」を定めて公表しておく必要があります。取得した個人情報は目的の範囲内で利用することとなり、これを別の目的で利用する場合には本人の同意を得る必要があります。

 また、個人情報の保管にあたっては、まず具体的な安全管理措置(記録を鍵のかかる引き出しで管理、パソコンにパスワードの設定、ウィルス対策ソフトの導入など)を取る必要があります。その上で、保管している情報を常に最新の状態に維持することに努め(データのアップデート、不要になったデータの消去など)、従業員や委託会社に対する適切な監督を行う必要があります。

 これらの義務に違反した事業者は、6ヶ月以下の懲役又は30万円以下の罰金に処せられます。診療機関においては、これらの実質的な罰則以上に、コンプライアンス違反に対する関係者からの信頼の低下といった事態を避けなければなりません。

「個人情報」とは

 そもそも「個人情報」とはどの範囲を指すものでしょうか。今回の改正により、個人情報の定義が明確化されました。

「個人情報の定義」

 生存する個人に関する情報で、以下のいずれかに該当するもの。

  1.当該情報に含まれる氏名、生年月日その他の記述等(文書・図面・電磁的記録・音声・動作)

    により特定の個人を識別できるもの

  2.「個人識別符号」が含まれるもの

「個人識別符号」とは、例えばDNA、声紋、手指の静脈などの各人の身体の一部の特徴を変換した符号や、諸々のサービスの利用のために対象者毎に割り振られる符号(旅券番号、基礎年金番号、免許証番号、マイナンバーなど)を指します。

 なお、診療機関等に関しては、厚生労働省の個人情報保護委員会が定める「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス(2017年4月14日)」により、診療録、処方箋、紹介状、看護記録、ケアプランなどがこれらに該当するものとして例示されています。また「死者に関する情報」に関しても、それが同時に「遺族に関する情報」になり得る場合は、生存者の情報として同様に取扱うこととされています。

「要配慮個人情報」の新設

 2017年の法改正では、新たに「要配慮個人情報」の規定が新設されました。以下に関する記述を含む個人情報は、本人に対する不当な差別や偏見その他の不利益が生じないよう、その取扱いには特に配慮をすべきとされています。

  1.身体障害、知的障害、精神障害(発達障害を含む。)その他規則で定める心身の機能障害に関する内容

  2.医師その他医療に関連する職務に従事する者により行われた健康診断その他の検査の結果に関する内容

  3.健康診断等の結果に基づき、又は疾病・負傷・心身の変化を理由とする医師等による診療若しくは調剤等に関する内容

  (※法に定める全5項目のうち医療等に関連する3項目を要約し抜粋)

 診療機関は、上記に関する記録を取扱う可能性が極めて高いため、特に注意が必要となります。これらの要配慮個人情報については、その「取得・利用」や「第三者への提供」の場面において、原則として本人同意が必要となり、目的を定めその範囲内での利用であったとしても、無断での取得・利用、第三者への提供は認められません。

ビッグデータ時代に備えた管理体制を

 今回ご紹介した内容は、主に診療機関の現場を意識したものとなっています。この他にも全業種で共通する内容(個人情報保護委員会の新設による監督権限の一元化など)がいくつかあるため、関係通知を確認いただくことをお勧めします。

 昨今ではICTの利活用により業務効率化・生産性向上が求められています。急速に進展するビックデータ時代において情報管理の重要性は高まり、経営課題の一つとなりつつあります。

 今回の改正を契機に、今一度、院内の情報管理体制について見直すとともに、今後の適正な運用に取り組んでいただければ幸いです。