執筆:弁護士 宮田 智昭(メディカル・ビューティー・ヘルスケアチーム)
『電子カルテをめぐる法的問題について(第1回)―医療情報システムの安全管理に関するガイドライン―』はこちらから
『電子カルテをめぐる法的問題について(第2回)―医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス(1)―』はこちらから
1.はじめに
本連載では、医療DXにおいて重要な要素の1つとされる電子カルテに関する法的問題についてご紹介しています。前回の第2回からは、令和4年4月1日から改正施行される個人情報保護法(以下、「法」といいます。)に対応した「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」(以下、「本ガイダンス」といいます。)に焦点を当てて、本ガイダンスの位置づけと、個人情報保護法上の基礎概念について触れました。
そこで、第3回となる今回は、個人情報保護法上、医療・介護関係事業者が遵守すべき義務に焦点を当てて、これらのうち、「利用目的の特定等」「不適正な利用の禁止」「利用目的の通知等」に関する内容をご紹介したいと思います。
2.利用目的の特定等(法第17条、第18条)
⑴ 条文
(利用目的の特定)
第十七条
個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
2 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。
(利用目的による制限)
第十八条
個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
2 個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
3 前二項の規定は、次に掲げる場合については、適用しない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
五 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人情報を学術研究の用に供する目的(以下この章において「学術研究目的」という。)で取り扱う必要があるとき(当該個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
六 学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
⑵ 「個人情報取扱事業者」・「個人データ」・「本人の同意」
上記条文には「個人情報取扱事業者」、「個人データ」、「本人の同意」という概念が登場しますが、これらは、それぞれ下記のような意味と解釈されます。
ア 「個人情報取扱事業者」(法第16条第2項)
「個人情報取扱事業者」とは、個人情報データベース等(※)を事業の用に供している者のうち、国の機関、地方公共団体、独立行政法人等(法第2条第9項)及び地方独立行政法人(法第2条第10項)を除いた者をいいます(もっとも独立行政法人のうち、法別表第2に掲げられた国立大学法人、医療事業を行う独立行政法人等は上記の除外対象から外れるため、これらの法人等は個人情報取扱事業者に該当します。)。
なお、ここでいう「事業の用に供している」の「事業」とは、一定の目的をもって反復継続して遂行される同種の行為であって、かつ社会通念上事業と認められるものをいい、営利・非営利の別は問いません。
※個人情報データベース等(法第16条第1項、個人情報保護法施行令第第4条)
特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した個人情報を含む情報の集合体、又はコンピュータを用いていない場合であっても、紙面で処理した個人情報を一定の規則(例えば、五十音順、生年月日順など)に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているものをいいます。
イ 「個人データ」(法第16条第3項)
「個人データ」とは、「個人情報データベース等」を構成する個人情報をいいます。
該当例としては、診療録等の診療記録や介護関係記録、検査等の目的で採取した患者の血液等の検体の検査結果等が挙げられます。
ウ 「本人の同意」(法第18条第1項等)
「本人の同意」とは、本人の個人情報が、個人情報取扱事業者によって示された取扱方法で取り扱われることを承諾する旨の当該本人の意思表示をいいます(当該本人であることを確認できていることが前提となります。)。
また、「本人の同意を得(る)」とは、本人の承諾する旨の意思表示を当該個人情報取扱事業者が認識することをいい、事業の性質及び個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければならないとされています。
なお、個人情報の取扱いに関して同意したことによって生ずる結果について、未成年者、成年被後見人、被保佐人及び被補助人が判断できる能力を有していないなどの場合は、親権者や法定代理人等から同意を得る必要があります。
本人の同意を得ているとされる具体例は下記のとおりとなります。
・ 本人からの同意する旨の口頭による意思表示
・ 本人からの同意する旨の書面(電磁的記録を含む。)の受領
・ 本人からの同意する旨のメールの受信
・ 本人による同意する旨の確認欄へのチェック
・ 本人による同意する旨のホームページ上のボタンのクリック
・ 本人による同意する旨の音声入力、タッチパネルへのタッチ、ボタンやスイッチ等による入力
⑶ 利用目的の特定及び制限
医療・介護関係事業者が医療・介護サービスを希望する患者・利用者から個人情報を取得する場合、当該個人情報を患者・利用者に対する医療・介護サービスの提供、医療・介護保険事務、入退院等の病棟管理などで利用することは患者・利用者にとって明らかであると考えられます。
これら以外で個人情報を利用する場合は、患者・利用者にとって必ずしも明らかな利用目的とはいえません。この場合は、個人情報を取得するに当たって明確に当該利用目的の公表等の措置を講じる必要があります(詳細は、後述の「4」をご参照いただければと思いますが、例えば、院内や事業所内等に掲示するとともに、可能な場合にはホームページにも掲載するといった方法などが考えられます。)。
医療・介護関係事業者の通常の業務で想定される利用目的の例としては、本ガイダンス上で下記の表が示されています。医療・介護関係事業者は、これらを参考として、自らの業務に照らして通常必要とされるものを特定して公表(院内掲示等)する必要があります(詳細は、後述の「4」をご参照ください。)。
また、下表に掲げる利用目的の範囲については、法第17条第2項に定める利用目的の変更を行うことができると考えられます。ただし、変更された利用目的については、本人へ通知又は公表を行う必要があります(こちらも後述の「4」をご参照ください。)。
<具体例>
【医療機関等の場合】
【介護関係事業者の場合】
⑷ 利用目的による制限の例外
上記⑴に記載の条文のとおり、医療・介護関係事業者は、あらかじめ本人の同意を得ないで法第17条の規定により特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはなりませんが(法第18条第1項)、同条第3項に掲げる場合については、本人の同意を得る必要はありません。
この例外の具体例は以下のとおりとなります。
ア 法令に基づく場合
医療法に基づく立入検査、介護保険法に基づく不正受給者に係る市町村への通知、児童虐待の防止等に関する法律に基づく児童虐待に係る通告等、法令に基づいて個人情報を利用する場合を指します。医療・介護関係事業者の通常の業務で想定される主な事例については、本ガイダンス別表3に詳細の記載がありますので、ご参照ください。
イ 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
具体的には以下のような場合がこれに該当するとされています。
・ 意識不明で身元不明の患者について、関係機関へ照会したり、家族又は関係者等からの安否確認に対して必要な情報提供を行う場合
・ 意識不明の患者の病状や重度の認知症の高齢者の状況を家族等に説明する場合
・ 大規模災害等で医療機関に非常に多数の傷病者が一時に搬送され、家族等からの問合せに迅速に対応するためには、本人の同意を得るための作業を行うことが著しく不合理である場合
ウ 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
具体的には以下のような場合がこれに該当するとされています。
・ 健康増進法に基づく地域がん登録事業による国又は地方公共団体への情報提供
・ がん検診の精度管理のための地方公共団体又は地方公共団体から委託を受けた検診機関に対する精密検査結果の情報提供
・ 児童虐待事例についての関係機関との情報交換
・ 医療安全の向上のため、院内で発生した医療事故等に関する国、地方公共団体又は第三者機関等への情報提供のうち、氏名等の情報が含まれる場合
・ 医療機関が以前治療を行った患者の臨床症例に係る個人データを、症例研究のために他の医療機関に提供し、当該他の医療機関を受診する不特定多数の患者に対してより優れた医療サービスを提供できるようになること等により、公衆衛生の向上に特に資する場合であって、本人の転居により有効な連絡先を保有しておらず本人からの同意取得が困難であるとき
・ 医療機関が保有する患者の臨床症例に係る個人データを、有効な治療方法や薬剤が十分にない疾病等に関する疾病メカニズムの解明を目的とした研究のために製薬企業に提供し、その結果が広く共有・活用されていくことで、医学、薬学等の発展や医療水準の向上に寄与し、公衆衛生の向上に特に資する場合であって、本人の転居により有効な連絡先を保有しておらず本人からの同意取得が困難であるとき
エ 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
具体的には以下のような場合がこれに該当するとされています。
・ 統計法第2条第7項の規定に定める一般統計調査に協力する場合
・ 災害発生時に警察が負傷者の住所、氏名や傷の程度等を照会する場合等、公共の安全と秩序の維持の観点から照会する場合
オ 個人情報取扱事業者が学術研究機関等である場合であって、個人情報を学術研究の用に供する目的(以下「学術研究目的」という。)で取り扱う必要があるとき(当該個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)
カ 学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)
なお、上記オ及びカにいう「学術研究機関」とは、大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者をいいます(法大16条第8項)。
このうち、「大学その他の学術研究を目的とする機関若しくは団体」とは、国立・私立大学、公益法人等の研究所等の学術研究を主たる目的として活動する機関や「学会」をいい、「それらに属する者」とは、国立・私立大学の教員、公益法人等の研究所の研究員、学会の会員等をいいます。
なお、民間団体付属の研究機関等における研究活動についても、当該機関が学術研究を主たる目的とするものである場合には、「学術研究機関等」に該当します。
⑸ 小括
以上をまとめると以下のようになります。
ア 法の規定により遵守すべき事項等
・ 医療・介護関係事業者は、個人情報を取り扱うに当たって、その利用目的をできる限り特定しなければならない。
・ 医療・介護関係事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。
・ 医療・介護関係事業者は、あらかじめ本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。なお、本人の同意を得るために個人情報を利用すること(同意を得るために患者・利用者の連絡先を利用して電話をかける場合など)、個人情報を匿名加工情報及び仮名加工情報に加工することは差し支えない(※)。
・ 個人情報を取得する時点で、本人の同意があったにもかかわらず、その後、本人から利用目的の一部についての同意を取り消す旨の申出があった場合は、その後の個人情報の取扱いについては、本人の同意が取り消されなかった範囲に限定して取り扱う。
・ 医療・介護関係事業者は、合併その他の事由により他の事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
・ 利用目的の制限の例外(法第18条第3項)に該当する場合は、本人の同意を得ずに個人情報を取り扱うことができる。
※:ただし、法別表第二に掲げる法人については、匿名加工情報取扱事業者等の義務に関する規定(法第4章第4節)の適用が除外され(法第58条関係)、匿名加工情報の取扱いについて独立行政法人等による取扱いとみなして公的部門における規律(法第5章第5節等)が適用されます(法第123条関係)。
イ 法に基づく義務等ではないが、達成できるよう努めることが求められる事項
・ 利用目的の制限の例外に該当する「法令に基づく場合」等であっても、利用目的以外の目的で個人情報を取り扱う場合は、当該法令等の趣旨をふまえ、その取り扱う範囲を真に必要な範囲に限定することが求められる。
・ 患者が未成年者等の場合、法定代理人等の同意を得ることで足りるが、一定の判断能力を有する未成年者等については、法定代理人等の同意にあわせて本人の同意を得る。
・ 意識不明の患者や重度の認知症の高齢者などで法定代理人がいない場合で、緊急に診療が必要な場合については、上記(4)イに該当し、当該本人の個人情報を取り扱うことができる。
3.不適正な利用の禁止(法第19条)
⑴ 条文
(不適正な利用の禁止)
第十九条
個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。⑵ 具体的内容
医療・介護関係事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはなりません。
「違法又は不当な行為」とは、法その他の法令に違反する行為、及び直ちに違法とはいえないものの、法その他の法令の制度趣旨又は公序良俗に反する等、社会通念上適正とは認められない行為をいいます。
また、「おそれ」の有無は、個人情報取扱事業者による個人情報の利用が、違法又は不当な行為を助長又は誘発することについて、社会通念上蓋然性が認められるか否かにより判断されます。この判断に当たっては、個人情報の利用方法等の客観的な事情に加えて、個人情報の利用時点における医療・介護関係事業者の認識及び予見可能性も踏まえる必要があるとされています。例えば、医療・介護関係事業者が第三者に個人情報を提供した場合において、当該第三者が当該個人情報を違法な行為に用いた場合であっても、当該第三者が当該個人情報の取得目的を偽っていた等、当該個人情報の提供の時点において、提供した個人情報が違法に利用されることについて、当該医療・介護関係事業者が一般的な注意力をもってしても予見できない状況であった場合には、「おそれ」は認められないと解釈されます。
4.利用目的の通知等(法第21条)
⑴ 条文
(取得に際しての利用目的の通知等)
第二十一条
個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
2 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
3 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
4 前三項の規定は、次に掲げる場合については、適用しない。
一 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
二 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
三 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
四 取得の状況からみて利用目的が明らかであると認められる場合⑵ 法の規定により遵守すべき事項等
法第21条との関係で遵守が求められる事項は下記のとおりとなります。
・ 医療・介護関係事業者は、個人情報を取得するに当たって、あらかじめその利用目的を公表しておくか、個人情報を取得した場合、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
・ 利用目的の公表方法としては、院内や事業所内等に掲示するとともに、可能な場合にはホームページへの掲載等の方法により、なるべく広く公表する必要がある。
・ 医療・介護関係事業者は、 受付で患者に保険証を提出してもらう場合や問診票の記入を求める場合など、本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を院内掲示等により明示しなければならない。ただし、救急の患者で緊急の処置が必要な場合等は、この限りでない。
・ 医療・介護関係事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
・ 取得の状況からみて利用目的が明らかであると認められる場合など利用目的の通知等の例外に該当する場合は、上記内容は適用しない。(「利用目的が明らか」な場合については上記2(3)を参照。)
⑶ 法に基づく義務等ではないが、達成できるよう努めることが求められる事項
法的な義務ではないものの、上記⑵の事項のほか下記の事項の遵守も求められますので、併せてご参照ください。
・ 利用目的が、上記の「取得の状況からみて利用目的が明らかであると認められる場合」に該当する場合であっても、患者・利用者等に利用目的をわかりやすく示す観点から、利用目的の公表に当たっては、当該利用目的についても併せて記載する。
・ 院内や事業者内等への掲示に当たっては、受付の近くに当該内容を説明した表示を行い、初回の患者・利用者等に対しては、受付時や利用開始時において当該掲示についての注意を促す。
・ 初診時や入院・入所時等における説明だけでは、個人情報について十分な理解ができない患者・利用者も想定されることから、患者・利用者が落ち着いた時期に改めて説明を行ったり、診療計画書、療養生活の手引き、訪問介護計画等のサービス提供に係る計画等に個人情報に関する取扱いを記載するなど、患者・利用者が個人情報の利用目的を理解できるよう配慮する。
・ 患者・利用者等の希望がある場合、詳細の説明や当該内容を記載した書面の交付(電磁的方法による場合を含む。)を行う。
5.終わりに
以上、今回は本ガイダンスをもとに、個人情報保護法上、医療・介護関係事業者が遵守すべき義務のうち、「利用目的の特定等」、「不適正な利用の禁止」、「利用目的の通知等」に関する内容を整理しました。
次回は、今回の内容をもとに、「個人情報の適正な取得、個人データ内容の正確性の確保」、「安全管理措置、従業者の監督及び委託先の監督」等について整理していきたいと思いますので、ご関心のある方はぜひご覧いただければと思います。
監修
弁護士 早崎 智久
(スタートアップの創業時からIPO以降までの全般のサポート、大手企業の新規事業のアドバイスまでの幅広い分野で、これまでに多数の対応経験。 特に、GVA法律事務所において、医療・美容・ヘルスケアチームのリーダーとして、レギュレーションを踏まえた新規ビジネスのデザイン、景表法・薬機法・健康増進法などの各種広告規制への対応、医療情報に関する体制の整備などが専門。)
