執筆:弁護士 宮田 智昭 (メディカル・ビューティー・ヘルスケアチーム)
『電子カルテをめぐる法的問題について(第1回)―医療情報システムの安全管理に関するガイドライン―』はこちらから
『電子カルテをめぐる法的問題について(第2回)―医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス(1)―』はこちらから
『電子カルテをめぐる法的問題について(第3回)―医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス(2)―』はこちらから
1.はじめに
本連載では、医療DXにおいて重要な要素の1つとされる電子カルテに関する法的問題についてご紹介しています。本連載の第2回からは、令和4年4月1日から改正施行された個人情報保護法(以下、「法」といいます。)に対応する「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」(以下、「本ガイダンス」といいます。)に焦点を当てており、前回の第3回では、個人情報保護法上、医療・介護関係事業者が遵守すべき義務のうち「利用目的の特定等」、「不適正な利用の禁止」、「利用目的の通知等」について触れました。
そこで、第4回となる今回は、上記義務のうち、「個人情報の適正な取得、個人データ内容の正確性の確保」、「安全管理措置、従業者の監督及び委託先の監督」に関する内容をご紹介したいと思います。
なお、以下では、個人情報保護法を「法」と、個人情報保護法施行令を「令」と、個人情報保護法施行規則を「規則」と略記します。
2.個人情報の適正な取得、個人データ内容の正確性の確保(法第20条、第22条)
⑴ 条文
ア 個人情報の適正な取得に関する条文(個人情報保護法第20条関連)
(適正な取得)
法第二十条
個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
2 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意 を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
五 当該個人情報取扱事業者が学術研究機関等である場合であって、当該要配慮個人情報を学術研究目的で取り扱う必要があるとき(当該要配慮個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
六 学術研究機関等から当該要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で取得する必要があるとき(当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該学術研究機関等が共同して学術研究を行う場合に限る。)。
七 当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関等、第五十七条第一項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合
八 その他前各号に掲げる場合に準ずるものとして政令で定める場合
規則第六条
法第二十条第二項第七号の個人情報保護委員会規則で定める者は、次の各号のいずれかに該当する者とする。
一 外国政府、外国の政府機関、外国の地方公共団体又は国際機関
二 外国において法第十六条第八項に規定する学術研究機関等に相当する者
三 外国において法第五十七条第一項各号に掲げる者に相当する者
令第九条
法第二十条第二項第八号の政令で定める場合は、次に掲げる場合とする。
一 本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
二 法第二十七条第五項各号(法第四十一条第六項の規定により読み替えて適用する場合及び法第四十二条第二項において読み替えて準用する場合を含む。)に掲げる場合において、個人データである要配慮個人情報の提供を受けるとき。
イ 個人データ内容の正確性の確保に関する条文(個人情報保護法第22条関連)
(データ内容の正確性の確保等)
法第二十二条
個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。
⑵ 基本的な遵守事項
上記条文との関係では、特に「個人情報の適正な取得」のルールとの関係で、以下の事項を遵守する必要があるとされています。
・ 医療・介護関係事業者は、偽りその他不正の手段により個人情報を取得してはならない。
・ 診療等のために必要な過去の受診歴等については、真に必要な範囲について、本人から直接取得するほか、第三者提供について本人の同意を得た者(本人の黙示の同意が得られていると考えられる者を含む。)から取得することを原則とする。ただし、本人以外の家族等から取得することが診療上又は適切な介護サービスの提供上やむを得ない場合はこの限りでない。
・ 親の同意なく、十分な判断能力を有していない子どもから家族の個人情報を取得してはならない。ただし、当該子どもの診療上、家族等の個人情報の取得が必要な場合で、当該家族等から個人情報を取得することが困難な場合はこの限りでない。
⑶ 要配慮個人情報の取得時における本人の同意について(原則)
基本的な遵守事項は上記⑵のとおりですが、法第20条については、要配慮個人情報の取得時における本人の同意取得のルール(同条第2項)の理解が重要となります。
同項では、要配慮個人情報を取得するに当たっては原則として本人の同意が必要となると定められているところ、これについては、実務的な側面から以下のように解釈されています。
なお、要配慮個人情報の具体的内容については本連載第2回をご参照ください。
・ 患者が医療機関の受付等で、問診票に患者自身の身体状況や病状などを記載し、保険証とともに受診を申し出ることによって、医療機関等が要配慮個人情報を書面又は口頭等により本人から適正に直接取得する場合は、患者の当該行為をもって、当該医療機関等が当該情報を取得することについて本人の同意があったものと解される(患者自身が自己の要配慮個人情報を含めた個人情報を医療機関等に取得されることを前提としていると考えられるため)。
・ 医療機関等が要配慮個人情報を第三者提供の方法により取得した場合、提供を受けた当該医療機関等が、改めて本人から法第20条第2項の規定に基づく同意を得る必要はないものと解される(提供元が法第20条第2項及び第27条第1項の規定に基づいて本人から必要な同意(要配慮個人情報の取得及び第三者提供に関する同意)を取得していることが前提となるため)
⑷ 要配慮個人情報の取得時における本人の同意について(例外)
要配慮個人情報を取得する際は本人の同意の取得が原則として必要となりますが、法第20条第2項各号に定める場合には、例外的に本人の同意取得は不要となります。
この例外に該当する例としては、以下のようなものが挙げられます。
なお、上記例外のほか、要配慮個人情報を、法第27条第5項各号に定める委託、事業承継又は共同利用により取得する場合は、あらかじめ本人の同意を得る必要はありません。
⑸ その他遵守が望まれる事項等
上記のほか、法第20条・法第22条関連で遵守が望まれる事項としては以下が挙げられます。
・ 第三者提供により個人情報を取得する場合には、提供元の法の遵守状況を確認するとともに、実際に個人情報を取得する際には、当該個人情報の取得方法等を確認するよう努めなければならない。なお、当該個人情報が適法に取得されたことが確認できない場合は、偽りその他不正の手段により取得されたものである可能性もあることから、その取得を自粛することを含め、慎重に対応することが望ましい。
・ 第三者提供により他の医療・介護関係事業者から個人情報を取得したとき、当該個人情報の内容に疑義が生じた場合には、記載内容の事実に関して本人又は情報の提供を行った者に確認をとる。
・ 医療・介護関係事業者は、個人データの内容の正確性、最新性を確保するため、個人情報保護の推進を図るための部署や委員会等において、具体的なルールを策定したり、技術水準向上のための研究の開催などを行うことが望ましい。
3.安全管理措置、従業者の監督及び委託先の監督(法第23条~第25条)
⑴ 条文
(安全管理措置)
法第二十三条
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
(従業者の監督)
法第二十四条
個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
(委託先の監督)
法第二十五条
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
⑵ 安全管理措置について
上記のように、法第23条・法第24条から、医療・介護関係事業者は、個人データの安全管理のために、組織的、人的、物理的、及び技術的安全管理措置等を講じた上で、当該措置の遵守のために、従業者(※)に対し、必要かつ適切な監督をする必要があります。
※ 従業者とは、医療資格者のみならず、当該事業者の指揮命令を受けて業務に従事する者全てを含むものであり、また、雇用関係のある者のみならず、理事、派遣労働者等も含むものとされています。
具体的には、以下のような取り組みを参考に必要な措置を行うものとされています。
1.個人情報保護に関する規程の整備、公表
・ 保有個人データの開示手順を定めた規程その他個人情報保護に関する規程を整備し、苦情への対応を行う体制も含めて、院内や事業所内等への掲示やホームページへの掲載を行うなど、患者・利用者等に対して周知徹底を図る。
・ 個人データを取り扱う情報システムの安全管理措置に関する規程等についても同様に整備を行う。
2.個人情報保護推進のための組織体制等の整備
・ 従業者の責任体制の明確化を図り、具体的な取組を進めるため、医療における個人情報保護に関し十分な知識を有する管理者、監督者等(例えば、役員などの組織横断的な監督が可能な者)を定める。又は個人情報保護の推進を図るための部署、若しくは委員会等を設置する。
・ 個人データの安全管理措置について定期的に自己評価を行い、見直しや改善を行うべき事項について適切な改善を行う。
3.個人データの漏えい等の問題が発生した場合等における報告連絡体制の整備
・ 個人データの漏えい等の事故が発生した場合若しくは発生の可能性が高いと判断した場合、個人データの取扱いに関する規程等に違反している事実が生じた場合、又は兆候が高いと判断した場合における責任者等への報告連絡体制の整備を行う。
・ 個人データの漏えい等の情報は、苦情等の一環として、外部から報告される場合も想定されることから、苦情への対応を行う体制との連携も図る。
4.雇用契約時における個人情報保護に関する規程の整備
・ 雇用契約や就業規則において、就業期間中はもとより離職後も含めた守秘義務を課すなど従業者の個人情報保護に関する規程を整備し、徹底を図る。なお、特に、医師等の医療資格者や介護サービスの従事者については、刑法、関係資格法又は介護保険法に基づく指定基準により守秘義務規定等が設けられており(本ガイダンス別表4)、その遵守を徹底する。
5.従業者に対する教育研修の実施
・ 従業者に対する教育研修の実施等により、個人データを実際の業務で取り扱うこととなる従業者の啓発を図り、従業者の個人情報保護意識を徹底する。
・ 派遣労働者についても、個人情報の取扱いに係る教育研修の実施に配慮する必要がある。
6.物理的安全管理措置
・ 個人データの盗難・紛失等を防止するため、以下のような物理的安全管理措置を行う。
- 入退館(室)管理の実施
- 盗難等に対する予防対策の実施(例えば、カメラによる撮影や作業への立会い等による記録又はモニタリングの実施、記録機能を持つ媒体の持込み・持出しの禁止又は検査の実施等)
- 機器、装置等の固定など物理的な保護
・ 不正な操作を防ぐため、業務上の必要性に基づき、以下のように、個人データを取り扱う端末に付与する機能を限定する。
- スマートフォン、パソコン等の記録機能を有する機器の接続の制限及び機器の更新への対応
7.技術的安全管理措置
・ 個人データの盗難・紛失等を防止するため、個人データを取り扱う情報システムについて以下のような技術的安全管理措置を行う。
- 個人データに対するアクセス管理(IDやパスワード等による認証(※)、各職員の業務内容に応じて業務上必要な範囲にのみアクセスできるようなシステム構成の採用等)
※認証については、認証の3要素である「記憶」、「生体情報」、「物理媒体」のうち、2つの独立した要素を組み合わせて認証を行う方式(二要素認証)を採用することが望ましい。
- 個人データに対するアクセス記録の保存
- 不正が疑われる異常な記録の存否の定期的な確認
- 個人データに対するファイアウォールの設置
- 情報システムへの外部からのアクセス状況の監視及び当該監視システムの動作の定期的な確認
- ソフトウェアに関する脆弱性対策(セキュリティパッチの適用、当該情報システム固有の脆弱性の発見及びその修正等)
8.個人データの保存
・ 個人データを長期にわたって保存する場合には、保存媒体の劣化防止など個人データが消失しないよう適切に保存する。
・ 個人データの保存に当たっては、本人からの照会等に対応する場合など必要なときに迅速に対応できるよう、インデックスの整備など検索可能な状態で保存しておく。
9.不要となった個人データの廃棄、消去
・ 不要となった個人データを廃棄する場合には、焼却や溶解など、個人データを復元不可能な形にして廃棄する。
・ 個人データを取り扱った情報機器を廃棄する場合は、記憶装置内の個人データを復元不可能な形に消去して廃棄する。
・ これらの廃棄業務を委託する場合には、個人データの取扱いについても委託契約において明確に定める。
⑶ 業務を委託する場合の取扱い
検査や診療報酬又は介護報酬の請求に係る事務等個人データの取扱いの全部又は一部を委託する場合には、上記のような安全管理措置を遵守させるよう受託者に対し、必要かつ適切な監督をしなければなりません。
ここで、「必要かつ適切な監督」には、委託契約において委託者である事業者が定める安全管理措置の内容を契約に盛り込み受託者の義務とするほか、業務が適切に行われていることを定期的に確認することなども含まれるとされています。
また、業務が再委託された場合で、再委託先が不適切な取扱いを行ったことにより、問題が生じた場合は、医療・介護関係事業者や再委託した事業者が責めを負うこともあり得るため、再委託を行う場合には、再委託先への監督体制の構築も必要となります。
以下、業務を委託する場合の留意事項として指摘されている事項をご紹介します。
・ 個人情報を適切に取り扱っている事業者を委託先(受託者)として選定する(受託者の安全管理措置が、少なくとも法第23条で求められるものと同等であることを確認するため、上記(2)の項目が、委託する業務内容に応じて確実に実施されることについて、受託者の体制、規程等の確認に加え、必要に応じて個人データを取り扱う場所に赴き、又はこれに代わる合理的な方法により確認を行った上で、個人情報保護に関する管理者、監督者等が、適切に評価することが望ましい。)。
・ 契約において、個人情報の適切な取扱いに関する内容を盛り込む(委託期間中のほか、委託終了後の個人データの取扱いも含む。)。
・ 受託者が、委託を受けた業務の一部を再委託することを予定している場合は、再委託を受ける事業者の選定において個人情報を適切に取り扱っている事業者が選定されるとともに、再委託先事業者が個人情報を適切に取り扱っていることが確認できるよう契約において配慮する(再委託の可否及び医療・介護関係事業者への文書による事前報告又は承認手続を求める等の事項を定めることが望ましい。)。
・ 受託者が個人情報を適切に取り扱っていることを定期的に確認する。
・ 受託者が再委託を行おうとする場合は、医療・介護関係事業者は委託を行う場合と同様、再委託の相手方、再委託する業務内容及び再委託先の個人データの取扱方法等について、受託者に事前報告又は承認手続を求めること、直接又は受託者を通じて定期的に監査を実施すること等により、受託者が再委託先に対して法第25条に基づく委託先の監督を適切に果たすこと、再委託先が法第23条に基づく安全管理措置を講ずることを十分に確認することが望ましい。再委託先が再々委託を行う場合以降も、再委託を行う場合と同様とする。
・ 受託者における個人情報の取扱いに疑義が生じた場合(患者・利用者等からの申出があり、確認の必要があると考えられる場合を含む。)には、受託者に対し、説明を求め、必要に応じ改善を求める等適切な措置をとる。
4.終わりに
以上、今回は本ガイダンスをもとに、個人情報保護法上、医療・介護関係事業者が遵守すべき義務のうち、「個人情報の適正な取得、個人データ内容の正確性の確保」、「安全管理措置、従業者の監督及び委託先の監督」に関する内容を整理しました。
次回は、今回の内容をもとに、引き続き本ガイダンスの内容について整理していきたいと思いますので、ご関心のある方はぜひご覧ください。
『電子カルテをめぐる法的問題について(第1回)―医療情報システムの安全管理に関するガイドライン―』はこちらから
『電子カルテをめぐる法的問題について(第2回)―医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス(1)―』はこちらから
『電子カルテをめぐる法的問題について(第3回)―医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス(2)―』はこちらから
監修
弁護士 早崎 智久
(スタートアップの創業時からIPO以降までの全般のサポート、大手企業の新規事業のアドバイスまでの幅広い分野で、これまでに多数の対応経験。 特に、GVA法律事務所において、医療・美容・ヘルスケアチームのリーダーとして、レギュレーションを踏まえた新規ビジネスのデザイン、景表法・薬機法・健康増進法などの各種広告規制への対応、医療情報に関する体制の整備などが専門。)
