「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」 に関するQ&A(事例集)

平成29年5月30 日
個人情報保護委員会事務局
厚生労働省

「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」に関するQ&A(事例集
平成29年5月作成(令和2年10月一部改正)

pdf版はこちら (PDF : 397KB)リンク先PDFファイルを別ウィンドウで開きます

FAQ検索

【総論】

  • Q1 ガイダンスの趣旨、対象範囲等
  • Q2 用語の定義
  • Q3 本人の同意
  • Q4 個人情報を研究に利用する場合の取扱い
  • Q5 個人情報に関する相談体制
  • Q6 その他

【各論】

  • Q1 利用目的の特定等
  • Q2 利用目的の通知等
  • Q3 安全管理措置、従業者の監督及び委託先の監督
  • Q4 個人データの第三者提供
  • Q5 本人からの請求による保有個人データの開示
  • Q6 開示等の請求に応じる手続及び手数料

【総論】

【各論】

【総論】

<ガイダンスの趣旨、対象範囲等>
Q1-1

「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」と本ガイダンスの違いは何でしょうか。

A1-1
「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」は、個人情報保護法に沿って医療介護の現場の実務に当てはめた際の詳細な留意点・事例をまとめた内容であり、その考え方をより明確とするため、ルールや規律を定めるガイドラインとは区別し、ガイダンスと整理しています。
Q1-2

個人情報保護法では、個人情報取扱事業者としてどのようなことに取り組むことが定められていますか。

A1-2

医療・介護関係事業者における個人情報の取扱いについては、法令上大きく分けて次の取組が必要となります。

① 個人情報の取得・利用
(例)利用目的を特定して、その範囲内で利用する利用目的を通知又は公表する
② 個人データの保管
(例)漏えい等が生じないよう、安全に管理する従業員・委託先にも安全管理を徹底する
③ 個人データの第三者提供
(例)第三者に提供する場合は、あらかじめ本人の同意を得る第三者に提供した場合・第三者から提供を受けた場合は、原則一定事項を記録する
④ 保有個人データに関する開示請求等への対応
(例)本人から開示等の請求があった場合は、これに対応する苦情等に適切・迅速に対応する

一方、個人情報の保護に関する考え方は、社会情勢や患者・利用者等の意識の変化に対応して変化していくものと考えられます。このため、各事業者においては、ガイダンスの趣旨を踏まえた個人情報の適切な取扱いに取り組むとともに、引き続き不断の検証と改善が求められるものと考えます。

Q1-3

国や独立行政法人、自治体が設置する医療機関や介護施設は、このガイダンスの対象にはならないのですか。

A1-3

国の行政機関については「行政機関の保有する個人情報の保護に関する法律」、国立病院機構など独立行政法人については「独立行政法人等の保有する個人情報の保護に関する法律」、県立病院や県立の特別養護老人ホームなど自治体の医療機関や介護施設については各自治体の条例がそれぞれ適用されます。

これらの医療機関や介護施設については個人情報保護法や本ガイダンスの直接の対象には当たりませんが、医療・介護分野における個人情報保護の精神や考え方は設立主体を問わず同一であることから、これらの事業者も本ガイダンスに十分配慮していただくことが望ましいと考えます。(参照:ガイダンスp2)

Q1-4

医療機関等において通常の診療だけではなく、健康相談業務も行っている場合、健康相談業務に係る記録についてもガイダンスの対象になるのでしょうか。

A1-4

相談者の病歴や身体状況、病状、治療等について記録を保存しているのであれば、個人情報に該当します。よって、個人情報の取扱い、特に要配慮個人情報の取扱いについては個人情報保護法や個人情報の保護に関する法律についてのガイドライン(通則編)、ガイダンスを踏まえた取扱いが必要です。

Q1-5

本ガイダンスの対象となる「介護関係事業者」に含まれる事業者の範囲を教えて下さい。

A1-5

本ガイダンスの対象となる「介護関係事業者」とは、介護保険制度によるサービスを提供する事業者だけでなく、高齢者福祉サービス事業を行う者は広く含まれます。具体的には、特別養護老人ホームなどの介護保険施設や、訪問介護事業所などの居宅サービス事業を行う者、居宅介護支援事業を行う者だけでなく、介護保険の指定を受けずに有料老人ホームを経営する者や、養護老人ホーム、ケアハウス等も、広く「介護関係事業者」に該当し、本ガイダンスを守っていただくことが必要です。

Q1-6

本ガイダンスの他に、個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編、匿名加工情報編)も定められているようですが、医療・介護関係事業者は、どちらを参照すべきなのでしょうか。

A1-6

本ガイダンスの他に、個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)が定められています。本ガイダンスは、個人情報の保護に関する法律についてのガイドライン(通則編)を基礎とし、医療・介護関係事業者における実例に照らし、具体的な留意点・事例等を示したものです。医療・介護関係事業者における個人情報の適正な取扱いについては、基本的な内容は本ガイダンスをご参照いただければ足りるものと考えますが、本ガイダンスに記載のない事項については、上記の各ガイドラインをご参照いただくこととなります。

<用語の定義>
Q2-1

「個人情報」「個人データ」「保有個人データ」とは、どのようなものですか。

A2-1

「個人情報」「個人データ」「保有個人データ」の定義についてはそれぞれ以下のとおりとなっています(参照:ガイダンスp6、p12、p13)。

これらの用語は、個人情報保護法における個人情報取扱事業者の義務等の規定で使い分けられていますので、具体的な義務等に応じた取扱いが必要となります。

①個人情報

「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日、その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)、又は個人識別符号が含まれるものをいいます。

この「個人に関する情報」とは、氏名、性別、生年月日、顔画像等個人を識別する情報に限られず、個人の身体、財産、職種、肩書き等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているか否かを問いません。

また、個人情報保護法では、死者に関する情報は対象ではありませんが、死者に関する情報が同時に遺族等の生存する個人に関する情報でもある場合には、当該生存する個人に関する情報となり法律の対象となります。

本ガイダンスは、医療・介護関係事業者が保有する医療・介護関係の個人情報を対象とするものであり、診療録等の形態に整理されていない場合でも、患者の氏名等が書かれたメモ等であれば個人情報に該当します。

②個人データ

「個人データ」とは、「個人情報データベース等」を構成する個人情報をいいます。 この「個人情報データベース等」とは、特定の個人情報をコンピュータを用い て検索することができるように体系的に構成した個人情報を含む情報の集合体、又はコンピュータを用いていない場合であっても、紙面で処理した個人情報を 一定の規則(例えば、五十音順、生年月日順など)に従って整理・分類し、特定 の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他 人によっても容易に検索可能な状態においているものをいいます。

したがって、診療録等の診療記録や介護関係記録については、通常、媒体の如何にかかわらず、体系的に整理され、特定の個人情報を容易に検索できる状態で保有していることから、「個人データ」に該当します。

③保有個人データ

「保有個人データ」とは、個人データのうち、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有するものをいいます。したがって、委託を受けて取り扱っている個人データや、個人情報のうち体系的に整理されていないものについては、「保有個人データ」には該当しません。

Q2-2

「個人情報」とは、具体的にどのようなものがありますか。

A2-2

医療・介護関係事業者が保有している個人情報には様々なものがありますが、具体的には、以下のようなものがあります。

  • 患者・利用者の情報
  • 医師、歯科医師、薬剤師、看護師、介護職員、事務職員等の従業者の情報
  • 仕入先業者等の従業者の情報 など

なお、診療録や介護関係記録に患者・利用者の情報のほか、患者・利用者の家族に関する情報が記載されている場合、その家族の個人情報を保有していることになります。

※このうち、従業者の情報については、個人情報の保護に関する法律についてのガイドライン(通則編)及び「雇用管理分野における個人情報のうち健康情報を取り扱うに当たっての留意事項について」(平成29年5月29日通達)を参照してください。

Q2-3

医療・介護関係事業者が取り扱う「個人識別符号」には、具体的にどのようなものがありますか。

A2-3

「個人識別符号」とは、その情報単体から特定の個人を識別することができるものとして政令で定められた文字、番号、記号その他の符号をい い、これに該当するものが含まれる情報は個人情報となります。

医療・介護関係事業者が取り扱う「個人識別符号」の具体的な内容として は、例えば細胞から採取されたデオキシリボ核酸(別名DNA)を構成する塩基の配列(※)、に基づく保険者番号や被保険者等記号・番号、介護保険法に基づく被保険者証の記号、番号及び保険者番号などがあります。

なお、上記の保険者番号及び被保険者等記号・番号や、被保険者証の記号、番号及び保険者番号については、それぞれこれらの記号、番号等が全て含まれる情報が、個人識別符号に該当します。

※個人情報の保護に関する法律についてのガイドライン(通則編)においては、「細胞から採取されたデオキシリボ核酸(別名DNA)を構成する塩基の配列」のうち、個人識別符号に該当するものは、ゲノムデータ(細胞から採取されたデオキシリボ核酸(別名DNA)を構成する塩基の配列を文字列で表記したもの)のうち、全核ゲノムシークエンスデータ、全エクソームシークエンスデータ、全ゲノム一塩基多型(single nucleotide polymorphism: SNP)データ、互いに独立な40箇所以上のSNPから構成されるシークエンスデータ、9座位以上の4塩基単位の繰り返し配列(short tandem repeat:STR) 等の遺伝型情報により本人を認証することができるようにしたもの」とされている。

Q2-4

医療・介護関係事業者において取り扱う「要配慮個人情報」には、具体的にどのようなものがありますか。

A2-4

「要配慮個人情報」とは、不当な差別や偏見その他不利益が生じないようにその取扱いに特に配慮を要するものとして法律、政令及び規則で定める記述が含まれる個人情報をいいます。要配慮個人情報の取得や第三者提供には、原則として本人の同意が必要であり、法第23条第2項の規定による第三者提供(オプトアウトによる第三者提供)は認められておりません。

医療・介護関係事業者が取り扱う「要配慮個人情報」の具体的な内容としては、診療録等の診療記録や介護関係記録に記載された病歴、診療や調剤の過程で、患者の身体状況、病状、治療等について、医療従事者が知り得た診療情報や調剤情報、健康診断の結果及び保健指導の内容、障害(身体障害、知的障 害、精神障害等)の事実、犯罪により害を被った事実などがあります。

Q2-5

平成 27 年改正の施行(平成 29 年5月 30 日)前に取得した個人情報であって、施行後に要配慮個人情報に該当することとなった場合、改めて取得について本人同意を得る必要がありますか。

A2-5

平成27 年改正の施行前に適法に取得した個人情報が施行後に要配慮個人情報に該当したとしても、改めて取得のための本人同意を得る必要はありません。

Q2-6

平成 27 年改正の施行(平成 29 年5月 30 日)前に取得した個人情報であって、施行後に要配慮個人情報に該当することとなり、当該情報につい て、新たに第三者提供をする場合には本人同意を得る必要がありますか。

A2-6

個人データの第三者提供については、要配慮個人情報に係るものか否かを問わず、原則として本人の同意が必要です。

なお、平成27 年改正の施行後に要配慮個人情報に該当することとなった場合、施行後はオプトアウトによる第三者提供は認められません。

Q2-7

死亡した個人の情報については、「個人情報」に該当せず、個人情報保護法の対象にはなりませんが、どのように取り扱うべきですか。

A2-7

本ガイダンスでは、患者・利用者が死亡した後においても、事業者が 当該患者・利用者の情報を保存している場合には、情報の漏えい等の防止のため、生存する個人の情報と同様の安全管理措置を講ずるよう求めています(参照:ガ イダンスp2)。

また、患者・利用者が死亡した際に、遺族に対して診療情報・介護関係記録を提供する場合には、厚生労働省において平成15年9月に作成した「診療情報の提供等に関する指針」の「9 遺族に対する診療情報の提供」の取扱いに従って提供を行うことを求めています(参照:ガイダンスp4)。

Q2-8

取り扱う個人情報の数が少ない小規模の医療・介護関係事業者は、個人情報保護法の対象外ですか。

A2-8

改正前の個人情報保護法では、取り扱う個人データの数が過去6か月間に一度も 5000件を超えたことがない小規模事業者は、個人情報事業者としての義務等は課せられないこととなっていましたが、法改正に伴い、当該規定は廃止されました。したがって、取り扱う個人データの数にかかわらず、個人情報データベース等を事業の用に供する全ての個人情報取扱事業者(個人情報保護法第2条第5項に掲げるものを除く。)が、個人情報保護法の対象となります。

Q2-9

例えば、医療機関で保存している院内処方せんについて、インデックス等を付けずに段ボール箱に入れて保存しており、容易に検索することができない場合、個人データに該当しないと考えていいですか。

A2-9

処方せんは医療法により2年間の保存義務が課せられていますが (医療法第21条第1項第9号、医療法施行規則第20条第10号)、このように医療機関において保存すべき文書については、必要な場合に利用できるよう、適切に整理しておく必要があります。このため、処方せんは容易に検索可能な形で保存しておく必要があり、そのようにした上で、「個人データ」として取り扱うことになります。

Q2-10

遺族への開示については「診療情報の提供等に関する指針」に従って開示を行うこととされていますが、薬局の場合も当該指針に従って、遺族へ開示すればよろしいのでしょうか。

A2-10

薬局において、遺族から死亡した患者に関する診療情報の開示の請求があった場合には、病院等と同様に、「診療情報の提供等に関する指針」に従って遺族へ開示してください。

Q2-11

「匿名化」された情報は、個人情報に該当しますか。

A2-11

「個人情報の匿名化」は法律上の用語ではなく、従来から医療・介護の実務においてそのような取扱いがされてきたところであり、本ガイダンスにおいては、医療・介護関係事業者の個人情報の取扱いにおける「個人情報の匿名化」の考え方について示しています。

ただし、個人情報から氏名等の特定の個人を識別することができる情報を削除したとしても、医療・介護関係事業者内で得られる他の情報と照合することにより、特定の患者・利用者等を識別することができる場合には、その情報は個人情報に該当する場合があります。このため、個人情報に該当するか否かについては、情報を保有する医療・介護関係事業者において個別の事例に応じて判断することとなりますが、判断に迷う場合には、個人情報保護法上、同法第76条の適用を受ける場合(大学病院等における学術研究目的での利用について通知・公表している場合等)を除き、個人情報に該当するものとして取り扱うことが望ましいと考えられます。

Q2-12

「匿名化」された情報と「匿名加工情報」との違いは何でしょうか。

A2-12

「匿名化」は、個人情報から、氏名、生年月日、住所、個人識別符号等、個人を識別することができる情報を取り除くことですが、症例や事例により、匿名化を行ってもなお特定の個人が識別できる場合には個人情報に該当することもあり得ます。他方、「匿名加工情報」については、個人情報を個人情報の区分に応じて定められた措置を講じて特定の個人を識別することができないように加工して得られる個人に関する情報であって、当該個人情報を復元して特定の個人を再識別することができないようにしたものであり、個人情報保護委員会規則で定める基準に従って加工する必要があります。(「個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)」(平成2 8年個人情報保護委員会告示第9号)参照)

<本人の同意>
Q3-1

本人の同意を得る場合には、文書で同意を得る必要がありますか。

A3-1

医療機関等については、本人の同意を得る方法について法令上の規定はありません。このため、文書による方法のほか、口頭、電話による方法なども認められます。このため、同意を求める内容や緊急性などを勘案し、それぞれの場面に適切な方法で同意を得るべきと考えます。

介護関係事業者については、介護保険法に基づく指定基準により、サービス担当者会議等において利用者または家族の個人情報を使用する場合は、利用者及び家族から文書による同意を得ておく必要があることに留意が必要です。(参照:ガイダンスp35)

Q3-2

ガイダンスp10で、症例を学会で発表したりする場合、「症例や事例により十分な匿名化が困難な場合」には本人の同意が必要とされています が、どのような場合のことでしょうか。

A3-2

症例や事例によっては、患者の数が少ない場合や顔写真を添付する場合など、氏名等を消去しても特定の個人を識別できてしまう場合もあります。このような場合、当該症例等は「個人情報」に該当しますので、学会での発表等に当たっては(第三者提供に該当しますので)本人の同意が必要となるということです。

なお、大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者が学術研究の用に供する目的で個人情報等を取り扱う場合は、個人情報保護法の適用を受けません。ただし、当該学会発表等が学術研究の一環として行われる場合には、学会等関係団体が定める指針に従うこととなります(個人情報保護法第76条第3項)。

<個人情報を研究に利用する場合の取扱い>
Q4-1

患者・利用者の個人情報を研究に利用する場合、匿名化する場合であっても、本人の同意が必要ですか。

A4-1

大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者が学術研究の用に供する目的で個人情報等を取り扱う場合は、個人情報保護法の適用を受けません。

ただし、医学研究分野に関しては、「人を対象とする医学系研究に関する倫理指針」などガイダンスの別表5に掲げる3つの医学研究に関する指針が策定されており、これらの指針に該当する研究は、当該指針の内容に従う必要があります。これらの指針において、研究を実施するに当たり、原則としてインフォームド・コンセント(同意)を得る必要があるとされていますが、一定の条件を付してインフォームド・コンセントを必ずしも要しない場合についても規定しています。

Q4-2

個人情報保護法では、学術研究を目的とする機関やそこに属する者等が学術研究の用に供する目的で個人情報を取り扱う場合は、個人情報取扱事業者の義務等が課せられないとされていますが、大学病院(又は大学病院の医師)が取得した個人情報については、本人の同意を得ずに研究に利用して良いのでしょうか。

A4-2

大学病院(又は大学病院の医師)(注:個人情報保護法の適用に基づきここでは私立大学をいいます。)、その他の学術研究を目的とする機関若しくは団体又はそれらに属する者が学術研究に供する目的で個人情報等を取り扱う場合には、個人情報保護法における個人情報取扱事業者の義務等が課せられないとされています。

ただし、医学研究分野に関しては、「人を対象とする医学系研究に関する倫理指針」などガイダンスの別表5に掲げる3つの医学研究に関する指針が策定されており、これらの指針に該当する研究は、当該指針の内容に従って手続きを行う必要があり、原則としてインフォームド・コンセント(同意)を得る必要があることについてはA4―1のとおりです。

Q4-3

患者の紹介元の医師から、研究のみの目的で利用するため、紹介患者の診療情報等を提供してほしいとの依頼があった場合は、どのように対応すればよいでしょうか。

A4-3

患者の診療情報等は個人データに該当するため、第三者提供及び利用目的の変更に当たっては、原則として本人の同意が必要です。また、第三者提供に当たり黙示の同意が得られていると考えられるのは、本人への医療の提供のために必要な範囲に限られます(参照:ガイダンスp34~35)。したがって、大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者が学術研究の用に供する目的以外で個人情報を取り扱う場合は、原則として、本人の同意を得る必要があります。

また、医学研究分野の場合、「人を対象とする医学系研究に関する倫理指針」などガイダンスの別表5に掲げる3つの医学研究に関する指針が策定されており、これらの指針に該当する研究であれば、診療情報等を提供する医師についても、当該指針が適用されます。これらの指針において、研究を実施するに当たっての手続きが定められており、原則としてインフォームド・コンセント(同意)を得る必要があることについてはA4-1のとおりです。

<個人情報に関する相談体制>
Q5-1

個人情報に関する相談体制はどのようにすべきでしょうか。

A5-1

個人情報保護法第35条では、医療・介護関係事業者は個人情報の取扱いに関して患者・利用者等から苦情の申し出があった場合、適切かつ迅速な対応に努めなければならず、そのために必要な体制の整備に努めなければならないとされています。

また、個人情報の取扱いに関して、本ガイダンスでは、患者・利用者等が疑問に感じた内容を、いつでも、気軽に問合せできる窓口機能等を確保することが重要であるとしています。(参照:ガイダンスp3)

Q5-2

相談体制を整備するにあたり、具体的な留意点としてはどのような点が挙げられますか。

A5-2

患者・利用者等が利用しやすいように配慮することが重要です。このため、医療・介護関係事業者の規模等に応じ、

  • ①相談窓口について院内掲示等により広報し、医療・介護関係事業者として患者・利用者等からの相談や苦情を受け付けていることを広く周知すること
  • ②専用の相談スペースを確保するなど相談しやすい環境や雰囲気を作ること
  • ③担当職員に個人情報に関する知識や事業者内の規則を十分理解させるとともに、相談内容の守秘義務を徹底するなど、窓口の利用に伴う患者・利用者等の不安が生じないようにすることなどに配慮する必要があります。
Q5-3

既存の医療安全に関する相談窓口が、個人情報に関する相談窓口を兼ねることは認められますか。

A5-3

既存の患者相談窓口が個人情報に関する相談機能を兼ねることでも問題ありません。その場合、対応する職員には、個人情報の取扱いについても十分な知識を有することが必要です。

Q5-4

現在の職員体制等では、全診療時間帯で相談窓口を開設することが困難です。特定の曜日、時間帯のみ開設することで良いですか。また、独立した窓口を設置する必要がありますか。

A5-4

患者・利用者等が利用しやすいという観点からは、患者・利用者等が希望する日時に相談できる体制を確保することが望ましいです。

しかし、医療・介護関係事業者の規模や職員体制等を勘案し、特定の曜日、時間帯のみに相談窓口が開設されることもやむを得ないと考えます。この場合、できるだけ患者・利用者等が相談しやすいよう配慮する観点から、週により開設する曜日や時間帯を変化させる方法も考えられます。

また、専用の相談窓口を設置する方法のほかに、受付・会計等の窓口において、相談の窓口機能を持たせることでも構いませんが、その場合にも、Q5-2を参考に、患者・利用者等が相談しやすい体制を整備する必要があります。

Q5-5

小規模な医療・介護関係事業者でも個人情報に関する相談窓口を設置する必要がありますか。認定個人情報保護団体等が開設する相談窓口を案内することで代用できませんか。

A5-5

個人情報保護法第35条では、「個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなればならない」とされており、患者からの相談や苦情等があった場合は、まず、医療・介護関係事業者が自ら対応する必要があります。

また、患者・利用者等からの問合せにどのように対応すべきか疑問を生じた場合等には、認定個人情報保護団体や個人情報保護委員会の窓口等に照会するなどして、曖昧な回答をしないことが重要です。

Q5-6

相談窓口の業務を担当する職員への教育等はどのようにすれば良いでしょうか。

A5-6

相談窓口の職員は、個人情報保護に関して十分な知識を有するとともに、相談・苦情の内容を外部の人や他の職員に漏えいしないよう、高いモラルが求められます。

このため、担当職員に対し、業務の重要性や個人情報保護の取扱いに係る知識・技術を高めるための教育研修の実施(認定個人情報保護団体や行政が行う研修等への参加を含む。)を行うなど、個人情報の保護が徹底されるよう配慮する必要があります。

Q5-7

ガイダンスp3で「個人情報の利用目的の説明や窓口機能等の整備、開示の請求を受け付ける方法を定める場合等に当たっては、障害のある患者・利用者等にも配慮する必要がある。」とされていますが、どのようなことをすればよいのですか。

A5-7

例えば、聴覚障害者のために手話や筆談による説明を行ったり、視覚障害者のために点字の説明書を提供することが考えられます。なお、これらの取組は、すべての医療・介護関係事業者が事前にすべて準備しなければならないものではなく、患者・利用者等からの求めに応じ、地域のボランティア等の協力を得るなどしつつ、ニーズに応じた対応を図っていくことが求められます。

<その他>
Q6-1

医療・介護関係事業者が個人情報取扱事業者としての義務規定に違反した場合はどのような罰則があるのでしょうか。

A6-1

個人情報取扱事業者が個人情報を不適切に取り扱う事例等があったときには、個人情報保護委員会は個人情報取扱事業者に対して、①個人情報の取扱いに関する報告の徴収及び立入検査(個人情報保護法第40条第1項)、指導及び助言(同法第41条)、②個人情報取扱事業者が一定の義務に違反した場合における、違反行為を是正するための必要な措置に係る勧告(同法第42条第1 項)、命令(同法第42条第2項又は第3項)、を行う場合があります。このとき、個人情報取扱事業者が、①個人情報保護委員会の命令(同法第42条第2項又は第3項)に違反した場合、②個人情報保護委員会からの報告徴収(同法第4 0条第1項)に対して報告をせず、又は虚偽報告をした場合、立入検査を拒んだ場合には、個人情報取扱事業者に対して罰則が科せられることになっています
(同法第84条・第85条)。

※個人情報保護法第44条第1項の規定に基づき、同法第40条第1項の規定による権限が個人情報保護委員会から事業所管大臣に委任された場合には、厚生労働大臣が報告徴収及び立入検査を行うことがあります。

さらに、同法第77条及び個人情報の保護に関する法律施行令第21条において、同法第40条第1項に規定する個人情報保護委員会の権限が同法第44 条第1項の規定により事業所管大臣に委任された場合において、個人情報取扱事業者が行う事業であって事業所管大臣が所管するものについての報告徴収及び立入検査に係る権限に属する事務の全部又は一部が、他の法令の規定により地方公共団体の長その他の執行機関が行うこととされているときは、当該地方公共団体の長等が行うことがあります。

Q6-2

仮に個人データの漏えいが発生した場合、従業者も個人情報保護法に基づき罰せられるのでしょうか。

A6-2

個人情報保護法では、個人情報取扱事業者に対する義務等が課せられていますので、個人データの漏えいが発生した場合には、事業者における安全管理措置や従業者への監督が義務が適切に行われていなかったのではないかということで責任を負う可能性があります。

また、個人情報取扱事業者若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものを含む。)を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、同法第83条により刑事罰(1年以下の懲役又は5 0万円以下の罰金)が科される可能性があります。

従業者に対しては、医師等の医療従事者については刑法や各資格法で規定されている守秘義務違反に、介護関係事業者の従業者については介護保険関係法令で規定されている守秘義務違反に、また、資格を有しない従業者についても、業務の内容によっては(不妊手術、精神保健、感染症など)関係法律により規定されている守秘義務違反に問われる可能性があります。

なお、漏えい等により権利を侵害された者から民事上の責任を問われる可能性もあります。

Q6-3

個人情報保護法が施行されることにより、紙媒体の診療録が使用できなくなったり、診療録の記載方法が定められたり(日本語での記載が義務づけられる等)することはありますか。

A6-3

個人情報保護法の施行により、紙の診療録が使えなくなったり、診療録の記載方法が定められるものではありません。ただし、診療録など保有個人データに該当するものについては、開示の請求があった場合に原則として開示する必要がありますし、良質かつ適切な医療を提供する観点からは、他の医療従事者等にとっても読みやすい内容となるよう心がけるべきと考えます。

なお、「診療情報の提供等に関する指針」では、診療記録の開示の際、患者等が補足的な説明を求めたときは、医療従事者等はできる限り速やかにこれに応じなければならず、この場合にあっては、担当の医師等が説明を行うことが望ましいとされています。

Q6-4

個人情報保護法に基づき、医療・介護関係事業者に対して指導監督等を行うのは、どこの行政機関となるのでしょうか。

A6-4

個人情報保護委員会が、個人情報保護法第40条から第42条の規定に基づき、個人情報取扱事業者である医療・介護関係事業者に対し「報告徴収」、「立入検査」、「指導・助言」、「勧告」及び「命令」を行うことになります。また、同法第44条第1項の規定に基づき、同法第40条第1項の規定による権限が個人情報保護委員会から事業所管大臣に委任された場合には、厚生労働省又は地方公共団体が報告徴収及び立入検査を行うことがあります。

【各論】

<利用目的の特定等>
Q1-1

実習のために看護師養成所等の学生を受け入れる場合、実習を行うに当たり、患者の同意は必要でしょうか。

A1-1

医療機関等については、実習を行うに当たり患者等の個人情報を利用する場合には、あらかじめ院内掲示等により利用目的を公表しておくか、個人情報を利用する段階で当該利用目的について患者本人から同意を得る必要があります。なお、実習を行う際には、事前に十分かつ分かり易い説明を行った上で同意を得る必要があり、その同意を患者・家族と文書で取り交わすことが望ましいと考えています。

介護関係事業者については、介護保険法に基づく指定基準により、サービス担当者会議等において利用者又は家族の個人情報を使用する場合は、利用者及び家族から文書による同意を得ることとされていることを踏まえ、実習の学生の受け入れのように第三者に個人情報を提供する場合には、あらかじめ文書により利用者又は家族の同意を得ておく必要があります。(参照:ガイダンスp35)

<利用目的の通知等>
Q2-1

別表2の「患者への医療の提供に必要な利用目的」や「介護サービスの利用者への介護の提供に必要な利用目的」は、個人情報保護法第18条第4 項第4号の「取得の状況からみて利用目的が明らかであると認められる場合」に該当すると考えられるので、このような利用目的は本人に通知又は公表しなくてもいいのではないでしょうか。

A2-1

医療・介護関係事業者においては、本ガイダンスの別表2に示すように、患者・利用者に関する情報を様々な目的で利用します。別表2に掲げる内容には、取得の状況からみて明らかな利用目的と考えられる事項もありますが、本ガイダンスでは、患者・利用者等に利用目的をわかりやすく示す観点から、このような利用目的についても院内掲示等により公表することを求めています(参照:ガイダンスp21)。

また、医療機関等において、他の医療機関等へ黙示による同意に基づき情報提供を行う場合には、あらかじめ院内掲示等により、その利用目的や、あらかじめ本人の明確な同意を得るよう求めることができること等について公表することが前提となっています。(参照:ガイダンスp33~35)

なお、介護関係事業者において、サービス担当者会議等に使用するために他の介護関係事業者に情報提供を行う場合は、介護保険法に基づく指定基準により、事業所内への掲示によるのではなく、サービス利用開始時に適切に利用者から文書による同意を得ておく必要があることに留意が必要です。(参照:ガイダンスp35)

Q2-2

利用目的の公表に当たっては、診療録、看護記録、ケアプラン等の書類の種類ごとに利用目的を特定して公表しなければならないのでしょうか。

A2-2

個人情報保護法では、医療・介護関係事業者が個人情報を取り扱うに当たっては、利用目的を特定することとされています。医療・介護関係事業者は、本ガイダンスの別表2を参考として、通常必要な利用目的を特定することとされており、書類の種類ごとに利用目的を特定するものではありません。

Q2-3

特定した利用目的は、院内掲示等により公表することで十分でしょうか。

A2-3

特定した利用目的を院内掲示等により公表する場合には、単に公表しておくだけではなく、患者・利用者等が十分理解できるよう受付時に注意を促したり、必要に応じて受付後に改めて説明を行ったりするほか、患者・利用者等の希望があれば詳細な説明や当該内容を記載した書面の交付を行うなど、医療・介護関係事業者において個々の患者のニーズに適切に対応していくことが求められます(参照:ガイダンスp21)。

Q2-4

患者から、院内掲示した利用目的のうち、一部の利用目的には同意できないという申出がありました。これを理由として診療しない場合、医師法第19条の応招義務違反となるのでしょうか。

A2-4

患者の個人情報の利用目的には、患者の診療に必要な事項や医療機関の経営改善に資する事項など様々な項目があります。このため、患者から利用目的の一部に同意しない旨の申出があった場合、医療機関はできるだけ患者の希望を尊重した対応をとることが望まれます。一方、医療機関が最善の取組を行ったとしても当該利用目的を利用しなければ、診療に支障が生じることが想定される場合には、その状況について患者に十分に説明し、患者の判断によることになります。

なお、医師の応招義務については、個別の事例に応じて判断が異なるものであり、これらの要件を総合的に勘案して判断されることになります。

Q2-5

本人から病歴等の要配慮個人情報を聞き取る場合、別途、その取得について本人の同意をとらなければならないのでしょうか。

A2-5

要配慮個人情報を取得する時は、原則としてあらかじめ本人の同意を得る必要があります。一方で、医療機関の受付等で診療を希望する患者は、傷病の回復等を目的としており、医療機関は患者の傷病の回復等を目的としてより適切な医療が提供できるように治療に取り組むとともに、その費用を公的医療保険に請求する必要が生じます。良質で適正な医療の提供を受けるためには、また公的医療保険の扶助を受けるためには、医療機関等が患者の要配慮個人情報を含めた個人情報を取得することは不可欠です。

このため、例えば、患者が医療機関の受付等で、問診票に患者自身の身体状況や病状などを記載し、保険証とともに受診を申し出ることは、患者自身が自己の要配慮個人情報を含めた個人情報を医療機関等に取得されることを前提としていると考えられるため、医療機関等が要配慮個人情報を書面又は口頭等により本人から適正に直接取得する場合は、患者の当該行為をもって、当該医療機関等が当該情報を取得することについて本人の同意があったものと解されます。(参照:ガイダンスp23)

Q2-6

意識不明の患者が搬送された場合、付き添っていた家族から本人の病歴等を聞き取ることはできますか。

A2-6

要配慮個人情報を取得する場合は、原則として本人から同意を得なければなりませんが、個人情報保護法第17条第2項各号に定める場合は、本人の同意を得る必要はありません。急病その他の事態が生じたときに、患者が意識不明であれば、本人の同意を得ることは困難な場合に該当するため、本人の病歴等を医師や看護師などの医療従事者が家族から聴取する場合は、同法第17条第2項第2号に該当します。(参照:ガイダンスp23)

なお、この場合、本人の意識が回復した後に、家族等から取得した情報の内容とその相手について本人に説明することになります。(参照:ガイダンスp14)

Q2-7

患者の診療記録や調剤記録等を他の医療機関等から取得する場合、改めて本人から同意を得る必要がありますか。

A2-7

医療機関等が要配慮個人情報を第三者提供の方法により取得した場合、提供元が個人情報保護法第17条第2項及び第23条第1項の規定に基づいて本人から必要な同意(要配慮個人情報の取得及び第三者提供に関する同 意)を取得していることが前提となるため、提供を受けた当該医療機関等が、改めて本人から同法第17条第2項の規定に基づく同意を得る必要はないものと解されます。(参照:ガイダンスp23)

Q2-8

患者の診療記録等を他の医療機関等へ提供する場合、改めて本人から同意を得る必要がありますか。

A2-8

他の医療機関等への情報の提供のうち、患者の傷病の回復等を含めた患者への医療の提供に必要であり、かつ、個人情報の利用目的として院内掲示等により明示されている場合は、原則として黙示による同意が得られているものと考えられます。なお、傷病の内容によっては、患者の傷病の回復等を目的とした場合であっても、個人データを第三者提供する場合は、あらかじめ本人の明確な同意を得るよう求められる場合も考えられ、その場合、医療機関等は、本人の意思に応じた対応を行う必要があります。(参照:ガイダンスp3 4)

<安全管理措置、従業者の監督及び委託先の監督>
Q3-1

適切な安全管理措置を行うためには、個人データに該当する文書等は鍵のかかる場所へ保管しなければならないのでしょうか。

A3-1

個人データを含む書類の管理方法は、医療・介護関係事業者の規模や従業者の数などによって様々であると考えられ、すべての医療・介護関係事業者において、鍵のかかる場所への保管が義務づけられているわけではありません。

一方、当該事業者によっては、施錠だけではなく ICカードによる入室システム等の導入が必要と考えられる場合もあります。このため、医療・介護関係事業者において、自らの事業規模や現在の個人情報の取扱い方を踏まえ、個人データの種類に応じて、適切な管理方法を検討し、適切な安全管理措置を講ずる必要があります。

Q3-2

個人情報をコンピュータに入力するに当たり、入力者の記録を保存しておく必要はあるでしょうか。

A3-2

個人情報保護法令及び本ガイダンスにおいては、個人情報の入力者を記録しておくことは求めていません。医療・介護関係事業者において、安全管理措置の一環として入力者の記録が必要と判断する場合には、当該記録を保存することも考えられます。

Q3-3

ガイダンスp29に記載されている、「医療情報システムの安全管理に関するガイドライン」に基づき安全管理措置を行う際の留意点はあるでしょうか。

A3-3

「医療情報システムの安全管理に関するガイドライン」は、本ガイダンス(医療・介護関係事業者における個人情報の適切な取扱いに関するガイダン ス)と対になるものですが、個人情報保護は決して情報システムにかかわる対策 だけで達成されるものではありません。したがって、「医療情報システムの安全 管理に関するガイドライン」を使用する場合、情報システムの担当者であっても、本ガイダンスの内容を十分理解し、情報システムにかかわらない部分でも個人 情報保護に関する対策が達成されていることを確認することが必要です。

Q3-4

個人データが取り扱われる業務を委託する場合、委託先の事業者名や委託先の責任者の氏名等を公表すべきですか。

A3-4

本ガイダンスでは、利用目的を院内掲示等により公表するに当たり、個人データの取扱いに係わる業務を委託している場合には、その旨を公表することを求めています(参照:ガイダンス別表2)。具体的には個別の事例に応じて対応が異なりますので、医療・介護関係事業者において検討した上で判断すべきですが、委託する業務の内容により、患者・利用者等の関心が高い分野については、委託先の事業者名をあわせて公表することも考えられます。

なお、委託先の事業者の担当者名、責任者名等については、当該本人の個人情報になりますので、それらを公表等する場合には、本人の同意を得るなどの対応も必要になります。

Q3-5

現行の業者との委託契約には、個人情報の取扱いに関する項目が含まれていません。個人情報保護法の全面施行に当たり、現契約を解消して、新しい契約を締結し直す必要がありますか。

A3-5

個人情報の取扱いに関する事項を含んだ内容で改めて契約する方法もありますが、現行の契約において、「業務の適正な執行を図る」といった類の規定がある場合には、その「適正な執行」の一環として個人情報の適切な取扱いが含まれることを確認し、具体的な取扱い等を明確化するために確認書など補足の取り決め文書を作成するなどの方法も可能と考えられます。

なお、今後、新規に契約を締結する場合には、個人情報の取扱いについて、より具体的な取り決めが行われることが望ましいと考えます。

Q3-6

清掃業務等、個人データを直接取り扱わない業務を委託している場合は、委託契約書に個人情報の取扱いに関する事項を記載する必要はないと考えてよいですか。

A3-6

医療・介護関係事業者の施設内には様々な個人情報があります。このため、通常は個人データを直接取り扱わない業務であっても、個人情報に接する可能性に配慮する必要があると考えます。

業務委託に当たり、委託契約書に個人情報の取扱いに関する事項をどのように記載するかについては、委託する業務の内容や当該事業者における個人情報の管理の現状などを勘案し、医療・介護関係事業者において適切な方法を検討した上で判断することが必要です。

また、契約書に記載すべき事項や具体的な記載内容についても、医療・介護関係事業者において委託先事業者とも相談しながら実効性のある適切な内容を定めることが望まれます。

Q3-7

医療・介護関係事業者において個人データが漏えいしてしまった場合の対応はどのようにすればよいでしょうか。

A3-7

医療・介護関係事業者において個人データの漏えい等の事故が発生した場合には、「個人データの漏えい等の事案が発生した場合等の対応について」(平成29年個人情報保護委員会告示第1号)に基づき、迅速かつ適切に対応する必要があります。

まず、事故を発見した者が事業者内の責任者等に速やかに報告するとともに、事業者内で事故の原因を調査し、影響範囲を特定して引き続き漏えい等が起きる可能性があれば、これ以上事故が起こらないよう至急対処する必要があります。また、関係する患者・利用者等に対して事故に関する説明を行うとともに、個人情報保護委員会(ただし、個人情報保護法第47条第1項に規定する認定個人情報保護団体の対象事業者である医療・介護関係事業者は、所属の認定個人情報保護団体)に報告する必要があります。さらに、このような漏えい等の事故が今後発生しないよう、再発防止策を講ずる必要があります。

Q3-8

委託先において個人データが漏えいしてしまった場合の対応はどのようにすればよいでしょうか。

A3-8

委託先において個人データの漏えい等の事故が発生した場合には、委託先から速やかに報告を受け、医療・介護関係事業者としても事業者内における事故発生時の対応と同様に、「個人データの漏えい等の事案が発生した場合等の対応について(平成29年個人情報保護委員会告示第1号)に基づき、迅速かつ適切に対応することが必要です。このためには、業務を委託する際に、委託先において個人データの漏えい等の事故が発生した場合における委託先と医療・介護関係事業者との間の報告連絡体制を整備しておくことが必要です。

なお、医療・介護関係事業者としては、当該事故が発生した原因を調査した上で、必要に応じて委託先に対して改善を求める等の適切な措置を講ずることも必要です。

Q3-9

薬局において、処方せんの記載内容について疑義照会を行うために、処方せんを医療機関にファックスで送信しようとしたところ、誤って別の医療機関に送付してしまいましたが、どのように対処すればよろしいでしょうか。個人情報保護法が全面施行されることにより、処方せんをファックスで送信することはできなくなるのでしょうか。

A3-9

処方せんを交付した医師等に疑義照会を行うためにファクシミリで処方せんを送信することは、個人情報保護法や本ガイダンスで禁止されていません。個別の事例に応じて判断は異なりますが、誤送信が判明した場合には、まず、送信先に連絡して当該情報を廃棄してもらうなどの対応が必要と考えます。

Q3-10

外来患者を氏名で呼び出したり、病室における入院患者の氏名を掲示したりする場合の留意点は何ですか。ナースステーション内における入院患者の氏名の掲示についてはどうですか。

A3-10

患者の氏名は、個人を識別できる情報であり、「個人情報」に該当します。このため、患者から、他の患者に聞こえるような氏名による呼び出しをやめて欲しい旨の要望があった場合には、医療機関は、誠実に対応する必要があります。

一方、患者の氏名の呼び出しや掲示が、患者の取り違え防止や、入院患者にとっての自分の病室の確認、あるいは見舞いに来た人等の便宜に資する面もあります。また、自分の氏名等を別の患者等に聞かれることについて、どのように受け止めるかは、患者の考え方や年齢、通院・入院の原因となる傷病の種類等によって様々です。ナースステーション内の掲示についても、基本的な考え方は同じであり、看護を的確に実施していくために必要な氏名の掲示等が禁止されるわけではありません。ただし、看護職員からは見易く通路からは見えにくい位置に掲示することが可能であれば、そうした配慮も必要です。

こうしたことを踏まえ、医療機関では、患者本人の希望を踏まえ、個人情報の保護も含めた適切な医療を行うという観点に立って、対応可能な方法をとることが必要です。

Q3-11

入院患者・入所者の知り合いと名乗る人が面会に見えたときに病室を教えることは問題となりませんか。

A3-11

患者・利用者の氏名は、個人を識別できる情報であり、「個人情報」に該当します。このため、入院患者・入所者から、面会者等の外部からの問合せへの回答をやめて欲しい旨の要望があった場合には、医療・介護関係事業者は、誠実に対応する必要があります。

例えば、入院患者・入所者から特段の申し出がない場合で、その人が入院・入所していることを前提に面会に見えていることが確認できるときに、院内の案内として教えることは問題とならないと思われますが、入院・入所の有無を含めた問合せに答えることについては問題となる可能性があります。

また、医療・介護関係事業者における対応については、職員によって対応が異なることがないよう、統一的な取扱いを定めておくことも必要であり、本件については、あらかじめ、入院患者・入所者に対して面会の問合せに答えていいか確認しておくことが望ましいと考えます。

<個人データの第三者提供>
Q4-1

患者・利用者の病状等をその家族等に説明する際に留意すべきことは何ですか。

A4-1

医療機関等においては、患者への医療の提供に際して、家族等への病状の説明を行うことは、患者への医療の提供のために通常必要な範囲の利用目的と考えられ、院内掲示等で公表し、患者から明示的に留保の意思表示がなければ、患者の黙示による同意があったものと考えられます。(参照:ガイダンスp34)

医療・介護サービスを提供するに当たり、患者・利用者の病状等によっては、第三者である家族等に病状等の説明が必要な場合もあります。この場合、患者・利用者本人に対して、説明を行う対象者の範囲、説明の方法や時期等について、あらかじめ確認しておくなど、できる限り患者・利用者本人の意思に配慮する必要があります(参照:ガイダンスp15)。

なお、本人の同意が得られない場合であっても、医師が、本人又は家族等の生命、身体又は財産の保護のために必要であると判断する場合であれば、家族等へ説明することは可能です(個人情報保護法第23条第1項第2号に該当)。

Q4-2

傷病の種類によっては、本人に病名等を告知する前に家族に相談する場合が考えられますが、どのような配慮が必要ですか。

A4-2

診療録等に記載された患者の診断結果等については、患者の個人データですので、当該情報を第三者(家族も含みます)に提供する場合、原則とし て本人の同意が必要です。ただし、人の生命等の保護のために必要がある場合で、本人の同意を得ることが困難であるときには、本人の同意を得ずに第三者提供 が可能です。このため、症状や予後、治療経過等について患者に対して十分な説 明をしたとしても、患者本人に重大な心理的影響を与え、その後の治療効果等に 悪影響を及ぼす場合等で、医師が必要と認めるときには、本人に説明する前に (本人の同意なく)家族へ説明することが可能です。

ただし、この場合、法の基本的な考え方である自己情報コントロール権の例外となるので、慎重な判断が求められます。このことを踏まえ、本ガイダンスでは、本人から診療情報等(保有個人データ)の開示の請求に対して、開示しないと判断する場合には、院内に設置する検討委員会等において開示の可否を検討することを求めています(参照:ガイダンスp60)。

なお、患者・利用者本人から、病状等の説明を行う対象者の範囲、説明の方法や時期等についての要望があった場合は、できる限り患者・利用者本人の意思に配慮する必要があります。

Q4-3

未成年の患者から、妊娠、薬物の乱用、自殺未遂等に関して親に秘密にしてほしい旨の依頼があった場合、医師は親に説明してはいけないのです か。逆に、親から問われた場合に、未成年の患者との信頼関係を重視して、親に情報を告げないことは可能ですか。

A4-3

患者本人が、家族等へ病状等の説明をしないよう求められた場合であっても、医師が、本人又は家族等の生命、身体又は財産の保護のために必要であると判断する場合であれば、(第三者である)家族等へ説明することは可能です(個人情報保護法第23条第1項第2号に該当)。

一方で、未成年だから何でも親が代理できるわけでもありません。親が、法定代理人だといって子供の個人情報の開示を請求してきても、開示についての代理権が与えられているか、本人(子供)に確認する必要があります(参照:ガイダンスp55)。したがって、親に問われても告げない選択も医師には可能です。

具体的には、個々の事例に応じて判断が異なるものですが、患者の状態などを踏まえ、これまでどおり、親に告げるも告げないも、医師が判断して対応することになります。

Q4-4

弁護士会から過去に診療を行った患者に関する照会があった場合、本人の同意を得ずに回答してよいでしょうか。

A4-4

弁護士は、弁護士法第23条の2に基づき、受任している事件に関して、所属する弁護士会を通して公務所又は公私の団体に照会して必要な事項の報告を求めることができるとされています。したがって、弁護士会への回答に当たっては、「法令に基づく場合」に相当するため、本人の同意を得ずに個人データの第三者提供を行うことができます。ただし、回答するか否かについては個別の事例ごとに判断する必要があります。

Q4-5

薬剤師が、調剤した薬剤に関して患者の家族に情報提供を行う場合、本人の同意を得なくても情報提供できるのでしょうか。

A4-5

薬剤師法では、患者又は現に看護に当たっている者に対して調剤した薬剤に関する情報提供を行うことが義務づけられていますので、その範囲であれば、第三者提供の例外規定のうち「法令に基づく場合」として(個人情報保護法第23条第1項第1号)、本人の同意を得ることなく情報提供が可能です。

Q4-6

民間保険会社等から医療機関に対して、患者の治療結果等に関する照会があった際、民間保険会社等が患者本人から取得した「同意書」を提示した場合は、回答に当たり、本人の同意が得られていると判断して良いのでしょうか。

A4-6

個人データの第三者提供に当たっては、個人データを保有し、第三者提供を行う個人情報取扱事業者である医療機関が、本人の同意を得る必要があります。このため、民間保険会社から照会があった際に、本人の「同意書」を提出した場合であっても、医療機関は、当該同意書の内容について本人の意思を確認する必要があります。

これは、本人が、同意書に署名する際に提供して良いと考えていたものの、その後、考えが変わっている場合もあり得るからです。このため、医療機関が民間保険会社に第三者提供を行う際に、提供する個人データの範囲(いつからいつまでの時期の情報を提供するのか、診療録の要約等を作成するのか、検査結果のデータも提供するのか、など)や、どのような形態で提供するかなどについて、具体的に説明し本人の意思を確認する必要があると考えます。

なお、開示の請求を行い得る代理人として、当該患者の保有個人データの開示の請求があった場合の取扱いについては、本ガイダンス60ページの、本人の意思の確認に関する記載を参照してください。

Q4-7

医療機関と薬局の間で患者の薬剤服用歴などの情報交換を行う場合も、ガイダンスに記載された条件を満たせば、患者の黙示による同意が得られていると考えてよろしいのでしょうか。

A4-7

医療機関と薬局間における薬剤服用歴などの情報交換は、患者へ医療を提供する上で通常行われることと考えられます。当該事例は、本ガイダンスp34の「他の医療機関等との連携を図ること」や「他の医療機関等からの照会があった場合にこれに応じること」に該当しますので、これらの利用目的を掲示して、患者から明示的に留保の意思表示がなければ、患者の黙示による同意があったものとして取り扱うことは可能です。

Q4-8

ガイダンスp36の「当該事業者の職員を対象とした研修での利用」の場合、既に利用目的として研修に使用することが院内掲示等により公表していれば、あらためて本人の同意を得る必要はないと考えて良いのでしょうか。

A4-8

医療・介護関係事業者内部の利用であり、利用目的が既に公表されていれば、あらためて本人の同意を得る必要はありません。ただし、公表された利用目的の範囲内であっても、できる限り氏名等を消去するなど、必要最小限の利用とすることが望ましいです。

Q4-9

医療機関の職員を対象とした症例研究会(職員の知識や技能の向上を目的とするもの)を実施する際、当該医療機関以外の施設の職員から参加希望がありました。既に、利用目的として「院内で行う症例研究会への利用」を公表していますが、この場合は、症例研究会で利用する症例の患者から第三者提供の同意を得る必要があるのでしょうか。

A4-9

医療・介護関係事業者の職員以外の者が症例研究会に参加する場合には、当該研究会で利用する患者の個人情報を「第三者提供」することになるため、あらかじめ患者本人から同意を得る必要があります。

なお、患者に係る識別可能な情報(他の情報と容易に照合することができ、そ れにより特定の個人を識別することができることとなるものを含む。)を消去し、個人を識別できない状態で利用するのであれば「個人情報」に該当しないことか ら、本人の同意を得ることなく症例研究に利用することができます。

Q4-10

病診連携の一環として、紹介を受けた患者の診療情報、検査結果、所見等を紹介元医療機関に対して情報提供を行っていますが、実施に当たっての留意点は何ですか。

A4-10

紹介元医療機関に対する患者への医療の提供のために必要な情報提供は、「他の医療機関等との連携を図ること」に該当し、本ガイダンス34ページに示す院内掲示を行っている場合には、本人の黙示による同意が得られているものと考えます(当該内容の利用目的を院内掲示していない場合には本人の同意を得ることが必要です)。

なお、情報提供の方法は、書類の郵送、電子ディスクの郵送、通信回線による電子送信等、様々な方法が考えられますが、いずれの場合でも安全管理措置の徹底が必要です。

Q4-11

医薬品の副作用発生時における行政機関への報告や、製薬企業が実施する医薬品の製造販売後調査に協力する際の製薬企業への情報提供に当たっては、患者の情報をどの程度記載できるのでしょうか。

A4-11

行政機関への副作用報告や、製薬企業が行う医薬品の適正使用のために必要な情報収集への協力については、医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律に基づく義務等となっていますので、医療機関等では、「法令に基づく場合」として、本人の同意を得ずに第三者提供を行うことが可能です。

行政機関への副作用報告に当たっては、報告様式(「医薬品安全性情報報告書」等)に従って記載してください。

また、製薬企業が行う製造販売後調査についても製薬企業が定める様式に従って情報提供してください。通常、製薬企業では、患者の氏名の報告を不要とするなど、特定の個人を識別できない形での情報提供を求めていることから、このような場合には、必要とされていない情報まで提供することがないよう留意してください。

Q4-12

学校医として生徒の健康診断を行った場合、診断結果を学校に提出することは第三者提供に該当するのでしょうか。

A4-12

学校医は、学校保健安全法に基づき各学校(学校教育法第1条に定める学校)に置かれ、学校の職員として健康診断を行うこととなります。このため、学校に診断結果を提出することは事業者内での利用であり、第三者提供には該当しません。

なお、専修学校については、生徒に健康診断を行う必要があり、学校医に相当する医師を置くことが望ましいとされていますが、必ず置かれているわけではありません。このため、専修学校で学校医に相当する医師がおかれていない場合は、外部の医療機関に健康診断を委託することとなります。この場合、委託を受けた医療機関が専修学校に診断結果を提出することについては、本ガイダンスp35の③と同様に、生徒の黙示的な同意が得られているものと考えられます。

Q4-13

がん検診の2次検診機関として患者の精密検査を行った場合、1次検診機関から、精密検査結果の提供を求められることがありますが、患者の精密検査結果を提供する場合には、患者の同意を得る必要があるのでしょうか。

A4-13

がん検診については、がん検診全体の精度管理のために、1次検診機関においては、必要に応じ、精密検査の結果等を記録することとされており、2次検診機関は、1次検診機関から、患者の精密検査結果を提供するよう依頼を受けることがあります。

その際に、2次検診機関において、患者に対し、1次検診機関に精密検査結果を提供する旨の同意を得ることは、その性質上、患者の強い不安を招きやすく、また、同意が得られた患者のみ精密検査結果を提供することはがん検診全体の制度管理に影響を与えることが考えられます。

このため、がん検診の精度管理のために、2次検診機関が、1次検診機関に患者の精密検査結果を提供することは、個人情報保護法第23条第1項第3号(公衆衛生の向上のために特に必要がある場合であって、本人の同意を得ることが困難であるとき)に該当し、あらかじめ患者の同意を得る必要はありません。

Q4-14

介護保険施設の入所者が、他の介護保険施設に移動する際に、移動先の施設の求めに応じて入所者の個人情報の提供を行う場合は、本人の同意は必要なのでしょうか。

A4-14

特別養護老人ホーム、介護老人保健施設及び介護療養型医療施設については、「指定介護老人福祉施設の人員、設備及び運営に関する基準」などそれぞれの指定基準において、「居宅介護支援事業者等に対して、入所者に関する情報を提供する際には、あらかじめ文書により入所者の同意を得ておかなければならない。」とされています。(例:指定介護老人福祉施設の人員、設備及び運営に関する基準第30条第3項)

このため、移動先の施設から、利用者の心身の状況等の個人情報を求められた場合については、指定基準に基づいて、あらかじめ文書により入所者の同意を得る必要があります。

Q4-15

ホームページや機関誌に、行事などにおける利用者の写真を掲載する場合、本人の同意を得る必要はありますか。また、介護保険施設内に写真を展示する場合はどうでしょうか。

A4-15

写真についても、個人を識別できるものであれば個人情報に当たります。したがって、ホームページや機関誌への掲載、施設内への展示等を通じ、当該写真を第三者の閲覧に供するに際しては、本人の同意を得る必要があります。

Q4-16

高齢者虐待事例の解決に当たって、担当ケアマネジャーなどの関係機関に高齢者の個人情報を提供する場合、高齢者本人の同意を得ることが難しいケースがありますが、高齢者本人の同意が得られないと情報提供はできないのでしょうか。

A4-16

高齢者虐待については、市町村、担当ケアマネジャーや介護サービス事業者が十分に連携して解決に当たることが必要です。事案によっては高齢者本人の同意を得ることが困難なケースが考えられますが、高齢者本人の生命、身体、財産の保護のために必要である場合は、個人情報保護法第23条第1項第2号(人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき)に該当するものとして、高齢者本人の同意が得られなくても、関係機関に情報提供を行うことが可能です。

Q4-17

大規模災害や事故等で、意識不明で身元の確認できない多数の患者が複数の医療機関に分散して搬送されている場合に、患者の家族又は関係者と称する人から、患者が搬送されているかという電話での問合せがありまし た。相手が家族等であるか十分に確認できないのですが、患者の存否情報を回答してもよいでしょうか。

A4-17

患者が意識不明であれば、本人の同意を得ることは困難な場合に該当します。また、個人情報保護法第23条第1項第2号の「人の生命、身体又は財産の保護のために必要がある場合」の「人」には、患者本人だけではなく、第三者である患者の家族や職場の人等も含まれます。

このため、このような場合は、第三者提供の例外に該当し、本人の同意を得ずに存否情報等を回答することができ得ると考えられるので、災害の規模等を勘案して、本人の安否を家族等の関係者に迅速に伝えることによる本人や家族等の安心や生命、身体又は財産の保護等に資するような情報提供を行うべきと考えます。

なお、「本人の同意を得ることが困難な場合」については、本人が意識不明である場合等のほか、医療機関としての通常の体制と比較して、非常に多数の傷病者が一時に搬送され、家族等からの問合せに迅速に対応するためには、本人の同意を得るための作業を行うことが著しく不合理と考えられる場合も含まれるものと考えます。

Q4-18

上記の状況で、患者の家族等である可能性のある電話の相手から、患者の容態等についての問合せがあれば、どの範囲まで回答すべきでしょうか。

A4-18

電話による問合せで、相手と患者との関係が十分に確認できない場合には、存否情報やけがの程度等の情報提供に限定することも考えられますし、相手が患者の特徴を具体的に説明できるなど相手が患者の家族等であると確認できる場合には、より詳細な情報提供を行うことも可能と考えます。(参照: ガイダンスp14)

Q4-19

上記の方法により連絡のついた家族等から、意識不明である患者の既往歴、治療歴等を聴取することは問題ありませんか。

A4-19

治療のために必要な既往歴、治療歴等の情報を家族から取得することは、個人情報の適正な取得であり、問題ありません。この場合、本人の意識が回復した後に、家族等から取得した情報の内容とその相手について本人に説明することになります。(参照:ガイダンスp14)

Q4-20

Q4-17のような状況において、報道機関や地方公共団体等から身元不明の患者に関する問合せがあった場合、当該患者の情報を提供することはできますか。

A4-20

報道機関や地方公共団体等を経由して、身元不明の患者に関する情報が広く提供されることにより、家族等がより早く患者を探しあてることが可能になると判断できる場合には、A4-17のように「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」に該当するので、医療機関は、存否確認に必要な範囲で、意識不明である患者の同意を得ることなく患者の情報を提供することが可能と考えられます。具体的な対応については、個々の事例に応じて医療機関が判断する必要があります。

Q4-21

病院に勤務している医師が退職し診療所を開業することになり、当該医師から、開業の挨拶をしたいので自分が診察を行っている患者の氏名や住所を教えてほしいと言われました。当該医師に患者の氏名等を提供して良いでしょうか。

A4-21

診療録等に記載された情報は、個人情報取扱事業者である病院が管理しているものであり、これを退職した医師に提供することは、個人データの(事業者である病院から医師個人に対する)第三者提供に該当します。したがって、医師に氏名、住所等を提供する場合には、あらかじめ患者本人の同意を得る必要があり、同意を得た範囲の患者の個人データについては、医師に提供することは可能です。

なお、引き続き当該医師の診療を希望する患者の利便を図るため、病院から、医師の退職時期、新しく着任する医師の紹介、当該医師の受診継続を希望する場合の連絡先等を連絡することは、患者の診療の継続に資するものと考えられます。このため、病院が医師に患者の個人データを提供するのでなく、病院が直接患者に対して、退職医師の診療所開業についての情報提供を行うことは可能です。このような情報提供を行う場合には、①病院の業務として行うこと、②連絡した内容が第三者にわからないよう封書等を利用すること(家族等への情報提供の範囲などに条件を付している患者については特に配慮するこ と)、等の配慮が必要と考えます。

Q4-22

市役所から、介護保険の手続きのため、主治医の診断書の提出を求められました。患者の同意を得ずに、診断書を提出して良いでしょうか。

A4-22

介護保険法第27条第6項において、市町村は、要介護認定の申請書が提出されたときは、当該申請に係る被保険者の主治の医師に対し、当該被保険者の身体上又は精神上の障害の原因である疾病又は負傷の状況等につき意見を求めるものとされています。このため、個人情報保護法第23条第1項第1号に定める第三者提供の制限の例外である「法令に基づく場合」に該当するので、本人の同意を得ずに市役所へ診断書の提出を行うことができます。

Q4-23

学校で怪我をした生徒に担任の教師が付き添って来ました。ガイダンス3 2ページには、「学校からの照会には回答してはならない」とあります が、保護者の同意書等がなければ担任の教師に怪我の状態などを説明してはいけないのでしょうか。

A4-23

個人情報保護法では、「あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない」とされており、怪我の症状を担任の教師に説明することは、第三者提供に該当します。

質問のケースにあてはめると、「本人」というのは生徒のことであり、保護者ではありません。(保護者は未成年である子供の代理人にはなります。)そして、質問のケースについては、本ガイダンス32ページにおいて、保険会社や職場からの照会と並べて記述している「学校からの照会」一般の回答ではなく、同35 ページに掲載している、「本人の同意が得られていると考えられる場合」の一例である「家族等への病状説明」の記述が参考になります。

すなわち、生徒が付き添ってきた教師の同席を拒まないのであれば、生徒本人と担任の教師を同席させて怪我の状態や治療の進め方等について説明を行うことができると考えます。

同席して説明を受けなかった場合に、後から担任の教師が医療機関に問い合わせるのは、「学校からの照会」一般の考え方に戻りますので、本人の同意がなければ回答してはならないことになります。

ただし、怪我の原因となった事故の再発防止や、再発した際の応急処置等に有効であり、学校側に必要な情報を伝えておくべきと医師が判断できる場合は、「人の生命、身体の保護のために必要がある場合」に該当し、仮に当該生徒本人の同意が得られない場合であっても、必要な範囲で担任の教師に情報提供できると考えます。

Q4-24

警察や検察等捜査機関からの照会や事情聴取に関して、「第三者提供の制限の例外」に該当する場合には、どのようなものがあるでしょうか。

A4-24

警察や検察等の捜査機関の行う刑事訴訟法第197条第2項に基づく照会(同法第507条に基づく照会も同様)は、相手方に報告すべき義務を課すものと解されている上、警察や検察等の捜査機関の行う任意捜査も、これへの協力は任意であるものの、法令上の具体的な根拠に基づいて行われるものであり、いずれも第三者提供の制限の例外である個人情報保護法第23条第1項第1号の「法令に基づく場合」に該当すると解されています。

また、個別の犯罪捜査以外でも、例えば、災害発生時等に警察が負傷者の住所、氏名や傷の程度等を照会する場合等公共の安全と秩序の維持の観点から照会する場合は、同法第23条第1項第4号の「国の機関が法令で定める事務を遂行することに対して協力する必要がある場合」で、「本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき」に該当すると考えられます。

Q4-25

警察や検察等捜査機関から患者の状況について照会や事情聴取があった場合、患者本人の同意を得ずに回答できるのでしょうか。個人情報保護法の施行を機に警察等からの照会等に対する取扱いを変えた方がいいですか。

A4-25

警察や検察等捜査機関からの照会や事情聴取は、個人情報保護法第23条第1項第1号の「法令に基づく場合」に該当し、患者本人の同意を得ずに回答しても同法違反とはなりません。また、災害発生時等における照会については同法第23条第1項第4号に該当すると考えられることから、これらに関する取扱いを変更する必要はなく、従来どおりの対応が可能と考えます。

なお,上記照会や事情聴取により求められた患者の状況その他の医療情報を患者本人の同意なく提供することが民法上の不法行為を構成することは、通常は考えにくいと思われます。もっとも、求められた情報以外の情報を提供した場合には、損害賠償を請求されるおそれも否定できません。照会や事情聴取に応じ警察や検察等捜査機関に対し個人情報を提供する場合には、当該情報提供を求めた捜査官の役職、氏名を確認するとともに、その求めに応じ提供したことを後日説明できるようにしておくことが必要と思われます。

Q4-26

警察等から、警察等が取り扱う死体の死因又は身元の調査等に関する法律第4条第3項の規定に基づき、死者の生前の診療情報等の提供の依頼があった場合、遺族の同意を得ずに回答できるのでしょうか。

A4-26

死者に関する情報は、個人情報保護法に規定する「個人情報」には該当しませんが、遺族等の生存する個人に関する情報でもある場合は当該生存する個人に関する情報となるため、個人情報保護法等を踏まえた取扱いが必要です。また、本ガイダンスでは、「患者・利用者が死亡した後においても、医療・介護関係事業者等が当該患者・利用者の情報を保存している場合には、漏えい、滅失又はき損等の防止のため、個人情報と同等の安全管理措置を講ずるものとする」と規定しております。

しかし、警察等が取り扱う死体の死因又は身元の調査等に関する法律第4条第3項の規定に基づく警察署長からの死者の診療情報等に関する情報提供の依頼は、個人情報保護法第23条第1項第1号の「法令に基づく場合」に該当するため、遺族の同意がなくとも、その情報を提供することが可能です。

Q4-27

医療機関の廃止等の理由により、別の医療機関が業務を承継することになりましたが、診療録等の個人データを提供する際に、患者の同意が必要なのでしょうか。

A4-27

本件のような場合は、「合併その他の事由による事業の承継に伴って個人データが提供される場合」(個人情報保護法第23条第5項第2号) であり、承継先の医療機関は第三者に該当しないので、患者の同意がなくても提供可能です。

Q4-28

医療法第6条の6第1項の規定に基づく麻酔科標榜許可に係る申請を行おうとしている医師から、過去に実施した麻酔記録や手術記録の書類の提供を求められましたが、対象となった患者の同意を得た上で提供する必要があるのでしょうか。

A4-28

麻酔科標榜許可に係る申請では、申請する医師に対して麻酔記録や手術記録の提出を求めておりますが(医療法施行規則第1条の10第3項)、申請書の提出に当たって必要な場合には、当該医師が現に勤務し、又は過去に勤務していた医療機関に対し、これらの書類の提出を求めることができるとされており(同条第6項)、この場合、個人情報保護法第23条第1項第1号の「法令に基づく場合」に該当しますので、患者の同意を得なくても提供可能です。

なお、麻酔記録や手術記録には「患者に関する情報」が記載されている必要がありますが、当該情報は、患者の氏名のほか、患者の登録番号等、医療機関において識別することのできる情報を指します。

Q4-29

生活保護法に基づき行われる、指定医療機関による都道府県・市町村への被保護者に係る病状調査とはどのようなものですか。また、本人の同意を得なくても、回答することは可能でしょうか。

A4-29

福祉事務所が指定医療機関に対し、現に生活保護を受給している者について、その

  • 稼働能力の有無や程度の判定
  • 医療扶助等生活保護費の給付の必要性や程度の判定

等、生活保護の決定・実施及び自立の助長・指導のために必要な医学的所見を求める調査のことをいいます。

この病状調査は、生活保護法第50条及び指定医療機関医療担当規程第7条に基づくものであり、指定医療機関はこれに応じる義務があるものであって、第三者提供の例外規定のうち「法令に基づく場合」に該当するので(個人情報保護法第23条第1項第1号)、医療機関は本人の同意を得ずに当該調査に対して回答することが可能です。

Q4-30

自殺未遂者が救命救急センターに搬送された際、自殺未遂者の再度の自殺を防ぐ等のため、救命救急センターから関係機関等へ自殺未遂者の個人情報を提供して良いでしょうか。

A4-30

本人の同意があれば、関係機関等へ情報提供して差し支えありませんが、本人の同意がない場合であっても、再度自殺をする蓋然性が極めて高いなど生命の保護のために必要であって、本人の同意を得ることが困難である場合(本人に同意を求めても同意しない場合、本人に同意を求めること自体が困難な場合など)には、関係機関等へ情報提供しても差し支えありません。ただし、必要とされる情報の範囲に限って提供しなければなりません。(参照: ガイダンスp43~51)

Q4-31

診療情報等の個人データの保存を外国の事業者に委託することはできますか。

A4-31

診療情報の外部保存を行う場合には、「医療情報システムの安全管理に関するガイドライン」(平成17年3月31日医政発第0331009 号・薬食発第0331020号・保発0331005号)によることとされています。

当該ガイドラインにおいては、経済産業省が定めた「医療情報を受託管理する情報処理事業者向けガイドライン」及び総務省が定めた「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」に準拠することが定められており、それぞれ「扱う情報として、法令により作成や保存が定められている文書を含む場合には、医療情報システム及び医療情報が国内法の執行が及ぶ範囲にあることを確実とすることが必要である」、「ASP・SaaSサービスの提供に用いるアプリケーション、プラットフォーム、サーバ・ストレージなどは国内法の適用が及ぶ場所に設置すること」とされています。

Q4-32

医療・介護関係事業者において、確認・記録義務が適用されないのは、どのような場合でしょうか。

A4-32

個人データの第三者提供について適正な取扱いが確保されるよ う、個人データを第三者提供する場合及び第三者から個人データを受領した場合には、一定事項を確認・記録する必要があります。

ただし、国、地方公共団体、独立行政法人等へ提供する場合(個人情報保護法第2条第5項各号に該当)、法令に基づいて個人データを提供する場合(同法第23条第1項1号に該当)、検体検査業務の委託その他の業務委託の場合(同法第23条第5項第1号に該当)、他の医療機関、介護サービス事業者等と連携する場合(本人に代わって提供)、家族等へ病状説明を行う場合(本人と一体と評価できる関係にある者に提供)などの場合については、確認・記録義務が適用されないこととなっています。

<本人からの請求による保有個人データの開示>
Q5-1

診療録には、患者について客観的な検査をしたデータもあれば、それに対して医師が行った判断や評価も書かれています。つまり、診療録は、当該診療録を作成した医師の側からみると、自分が行った判断や評価を書いているので、医師の個人情報とも言うことができるのではないですか。

A5-1

診療録等に記載されている情報の中には、患者と医師等双方の個人情報という二面性を持っている部分があります。しかし、そもそも診療録全体が患者の保有個人データであることから、患者本人から開示の請求がある場合に、その二面性があることを理由に、診療録の全部又は一部を開示しないことはできません。(参照:ガイダンスp55)

Q5-2

患者・利用者の代理人から、患者・利用者本人の委任状を提出の上、保有個人データの開示の請求があった場合は、本人の意思が明らかであると見なしてよいでしょうか。

A5-2

個人情報保護法及び政令においては、法定代理人や本人が委任した代理人が開示等の請求をすることができるとされています。本ガイダンスでは、このような代理人による開示等の請求があった場合について、当該代理人の請求が本人の意思によるものであるか慎重に確認することを求めています。

このため、本人の委任状が提出された場合であっても、開示の請求を行った者及び開示する保有個人データの範囲等について、本人の意思を確認する必要があります(参照:ガイダンスp60)。

Q5-3

保有個人データの開示に当たっては、どのような方法で開示すべきでしょうか。

A5-3

開示の方法は、書面の交付又は請求を行った者が同意した方法によることとされていますので、書面によるほか、開示の請求を行った方と相談した上で、開示の方法を定めることも可能です。

なお、「診療情報の提供等に関する指針」では、診療記録の開示の際、患者等が補足的な説明を求めたときは、医療従事者等はできる限り速やかにこれに応じなければならず、この場合にあっては、担当の医師等が説明を行うことが望ましいとされています。

<開示等の請求に応じる手続及び手数料>
Q6-1

保有個人データの開示にあたり、費用として請求出来る妥当な金額はいくらでしょうか。

A6-1

個人情報保護法では、実費を勘案して合理的と認められる範囲内であれば手数料を徴収できることとされています。具体的な金額は、個別の事例に応じて判断が異なるものであると考えます。