執筆:弁護士 宮田 智昭(メディカル・ビューティー・ヘルスケアチーム)
1.はじめに
現在、新型コロナウイルス感染症の影響により、ITツールの導入による業務効率化や生産性向上の動きが拡大していますが、この流れは、医療の領域でも進んでいます。
このいわゆる医療DXの流れは、今後の医療の在り方を大きく変えるものとして期待されていますが、電子カルテは、この医療DXにおいて重要な要素の1つと言われています。
2.電子カルテの現状
電子カルテは、物理的な保管・情報検索の手間を省ける、他サービスとの連携により情報共有がスムーズに進む、場所的制約を受けずにいつでも情報にアクセスできる、等のメリットがあるものとして評価されています。それだけではなく、医療・介護現場の情報の利活用の推進や、個々人が自身の医療に関わる情報を記録・把握し、自身の健康増進等に活用するしくみの推進(PHR、Personal Health Record)等を目指す「データヘルス改革」が提唱されている現在、電子カルテは、このような次世代の医療インフラの基盤となるものとして位置づけられます。
しかしながら、厚生労働省の調査によると、現在国内の電子カルテの普及率は平成29年時点で一般病院は46.7%、一般診療所は41.6%と半数以上の医療機関がいまだに紙カルテを利用しています。
上記の医療DXの流れがあるとはいえ、これまでの長い紙カルテ文化という背景や、電子カルテの導入には大きな費用面のコストがかかるだけでなく、ITへのリテラシーも要求される等、導入にあたってのハードルは決して低いものではありません。上記厚生労働省による調査結果からもうかがえるように、電子カルテを導入している多くは大規模の病院であり、医療DXは医療機関の規模によって浸透度に差があるのが現状といえるかと思います。
とはいえ、少子高齢化に伴う医療・介護サービスの担い手の減少が進む中、医療や介護現場において、サービスの質の維持・向上や効率化が求められる現在、医療情報の電子化、さらにはその共有のしくみは、これからの医療を支える重要な要素になると予想されます。
この観点からすると、今後の医療の変化に備えるために、これからの医療インフラの基盤となりうる電子カルテに関わるルールを抑えておくことは有用と思われます。そこで次の3では、医療機関が電子カルテを導入する際に参考となるガイドラインをご紹介したいと思います。
3.電子カルテを導入する際に参照するべきガイドライン
電子カルテは言うまでもなく患者の健康情報を記録するものであるため、法的な観点では、当該情報をどのように管理し保護すべきか、が重要な問題となります。
厚生労働省では、このような観点から、電子的な医療情報の取扱いに関し、医療機関向けに技術的及び運用管理上の考え方を示した「医療情報システムの安全管理に関するガイドライン」(以下、「本ガイドライン」といいます。)という文書を公表しているほか、個人情報保護の観点からは、「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」という文書を公表しています。
医療機関が電子カルテを導入しようとする際には、上記のガイドラインを参考に患者の医療情報を適切に管理・保護する仕組みを構築する必要があります。
本稿では、上記のうち、電子カルテを導入する際に医療機関がどのような法的責任を負うのかという観点から、本ガイドラインの記載事項のうち、「4 電子的な医療情報を扱う際の責任のあり方」に示される事項をまとめております。
※なお、事業者向けのガイドラインとしては、総務省・経産省が公表する「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」があります。こちらについては弊所の別の記事(前編・後編)において解説していますので、ぜひご参照ください。)。
4.電子的な医療情報を扱う際の責任の在り方
⑴ 総論
医療機関が患者の医療情報を扱う際の法的責任については、主だったものとして下記のようなものがあります。
上記の法的責任は医療機関を対象に及ぶものであるところ、電子化された医療情報が医療機関等の施設内にとどまって存在するのではなく、ネットワークを用いた交換、共有、委託等が考えられる状況下では、上記のような管理責任は当該医療機関だけでなく、情報処理事業者や、電気通信事業者等にもまたがるようになります。
本ガイドラインでは、そのような場合における関係者間での責任の在り方について、(ⅰ)医療機関等の管理者の情報保護責任の内容と範囲と、(ⅱ)他の医療機関等や事業者に情報処理の委託や第三者提供をした場合の2つに分けて、責任分界が記載されています。
⑵ (ⅰ)医療機関等の管理者の情報保護責任について
まず(ⅰ)についてですが、医療機関等の管理者が医療情報を適切に管理するための善管注意義務を果たすための責任としては、通常の運用時における医療情報保護の体制を構築し管理する責任(「通常運用における責任」)と、医療情報について何らかの不都合な事態(典型的には情報漏えい)が生じた場合に対処をすべき責任(「事後責任」)とがあるとされています。
これらをまとめますと、下表のとおりになります。
⑶ (ⅱ)委託と第三者提供における責任分界
次に(ⅱ)についてですが、医療情報を外部の医療機関等や事業者に伝送する場合、個人情報保護法上、その形態には委託(第三者委託)と第三者提供の2種類があります。以下では、それぞれの形態における医療機関等の管理者の情報保護責任のあり方について、前記の責任の分類に従ってまとめています。
ア 委託における責任分界
委託の場合、管理責任の主体はあくまでも医療機関等の管理者となります。医療機関等の管理者は、患者に対する関係では、受託する事業者の助けを借りながら、上記「通常運用における責任について」及び「事後責任について」に記載の義務を負うこととなります。
そのため、医療機関は、受託する事業者との契約において受託する事業者の義務について明記することが重要となります。本ガイドラインでは、この観点から医療機関等の管理者が責任を果たすために必要な、受託する事業者との契約の原則が記載されていますが、これらをまとめると下表のとおりとなります。
イ 第三者提供における責任分界
第三者提供が行われた場合については、適切な第三者提供がなされる限り、(ⅰ)提供された後の情報保護責任は、医療機関等の管理者ではなく、提供を受けた第三者が負うことになります。もっとも、医療情報が電子化され、ネットワーク等を通じて情報が提供される場合、(ⅱ)医療機関等と第三者との間に、情報処理関連事業者が介在することがあります。
そこで以下では、上記(ⅰ)と(ⅱ)のそれぞれの場合ごとに、本ガイドラインにおいて記載される責任主体と留意点について下表にまとめています。
本ガイドライン第4章では、上記の整理をベースにしつつ、地域医療連携で患者情報を交換する場合等の具体的なケースに沿った考え方も示されています。より具体的なケースに即して検討する場合にはぜひ本ガイドライン上の詳細をご覧いただければと思います。
5.終わりに
以上、本稿では本ガイドラインをもとに、電子カルテをめぐる法的責任についてご紹介しました。
上記のほかにも、本ガイドラインには、医療情報システムの安全管理の方法(本ガイドライン第6章)、電子保存の際に求められる事項(本ガイドライン第7章)等電子カルテの導入の際に確認しておくべき事項が記載されていますが、本ガイドラインは現在改定が検討されているため(改定に関する議論状況はこちらをご参照ください)、今後の動向にも注視する必要があります。
以上
監修
弁護士 早崎 智久
(スタートアップの創業時からIPO以降までの全般のサポート、大手企業の新規事業のアドバイスまでの幅広い分野で、これまでに多数の対応経験。 特に、GVA法律事務所において、医療・美容・ヘルスケアチームのリーダーとして、レギュレーションを踏まえた新規ビジネスのデザイン、景表法・薬機法・健康増進法などの各種広告規制への対応、医療情報に関する体制の整備などが専門。)
