「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」 に関するQ&A(事例集)

平成29年5月30 日
(令和6年12月一部改正)
個人情報保護委員会
厚生労働省

pdf版はこちら (PDF : 735KB)リンク先PDFファイルを別ウィンドウで開きます

「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」に関するQ&A(事例集)
平成29年5月作成(令和6年12月一部改正)

FAQ検索リンク先コンテンツを別ウィンドウで開きます

【総論】

  • Q1 ガイダンスの趣旨、対象範囲等
  • Q2 用語の定義
  • Q3 本人の同意
  • Q4 個人情報を研究に利用する場合の取扱い
  • Q5 個人情報に関する相談体制
  • Q6 その他

【各論】

  • Q1 利用目的の特定等
  • Q2 利用目的の通知等
  • Q3 安全管理措置、従業者の監督及び委託先の監督
  • Q4 個人データの第三者提供
  • Q5 本人からの請求による保有個人データの開示
  • Q6  開示等の請求に応じる手続及び手数料

【総論】

【各論】

【凡例】
  • 「個人情報保護法」
    個人情報の保護に関する法律(平成15年法律第57号)
  • 「個人情報保護法施行令」
    個人情報の保護に関する法律施行令(平成15年政令第507号)
  • 「個人情報保護法施行規則」
    個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号)
  • 「ガイドライン(通則編)」
    個人情報の保護に関する法律についてのガイドライン(通則編)(平成28年個人情報保護委員会告示第6号)
  • 「ガイドライン(外国にある
    第三者への提供編)」
    個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)(平成28年個人情報保護委員会告示第7号)
  • 「ガイドライン(第三者提供
    時の確認・記録義務編)」
    個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)(平成28年個人情報保護委員会告示第8号)
  • 「ガイドライン(仮名加工情
    報・匿名加工情報編)」
    個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)(平成28年個人情報保護委員会告示第9号)
  • 「ガイドライン(認定個人情
    報保護団体編)」
    個人情報の保護に関する法律についてのガイドライン(認定個人情報保護団体編)(令和3年個人情報保護委員会告示第7号)
  • 「本ガイダンス」
    医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス(平成29年4月14日付け個情第534号・医政発0414第6号・薬生発0414第1号・老発0414第1号個人情報保護委員会事務局長・厚生労働省医政局長・医薬・生活衛生局長・老健局長通知別添)
  • 平成27年改正法
    個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年法律第65号)
  • 令和2年改正法 
    個人情報の保護に関する法律等の一部を改正する法律(令和2年法律第44号)
  • 令和3年改正法 
    デジタル社会の形成を図るための関係法律の整備に関する法律(令和3年法律第37号)

【総論】

<ガイダンスの趣旨、対象範囲等>
Q1-1

「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」とガイドラインの違いは何でしょうか。

A1-1
「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」は、個人情報保護法に沿って医療介護の現場の実務に当てはめた際の詳細な留意点・事例をまとめた内容であり、その考え方をより明確にするため、ルールや規律を定めるガイドラインとは区別し、ガイダンスと整理しています。
Q1-2

個人情報保護法では、個人情報取扱事業者としてどのようなことに取り組むことが定められていますか。

A1-2

医療・介護関係事業者における個人情報の取扱いについては、法令上大きく分けて次の取組が必要となります。

マル1 個人情報の取得・利用
(例)利用目的を特定して、その範囲内で利用する
利用目的を通知又は公表する
② 個人データの保管
(例)漏えい、滅失又は毀損(以下「漏えい等」という。)が生じないよう、安全に管理する
従業員・委託先にも安全管理を徹底する
③ 個人データの第三者提供
(例)第三者に提供する場合は、あらかじめ本人の同意を得る
第三者に提供した場合・第三者から提供を受けた場合は、原則一定事項を記録する
④ 保有個人データに関する開示請求等への対応
(例)本人から開示等の請求があった場合は、これに対応する
苦情等に適切・迅速に対応する

一方、個人情報の保護に関する考え方は、社会情勢や患者・利用者等の意識の変化に対応して変化していくものと考えられます。このため、各事業者においては、本ガイダンスの趣旨を踏まえた個人情報の適切な取扱いに取り組むとともに、引き続き不断の検証と改善が求められるものと考えます。

Q1-3

国や独立行政法人、地方公共団体が設置する医療機関や介護施設は、本ガイダンスの対象にはならないのですか。

A1-3

本ガイダンスは、医療機関等や介護関係事業者であって、個人情報保護法第4章(個人情報取扱事業者等の義務等)に規定する民間部門における規律の全部又は一部の適用を受ける者を対象としています。

民間部門における規律の全部又は一部の適用を受ける者には、以下の者を含みます(参照:本ガイダンスp2、p15~17)。

  • ○ 独立行政法人等(独立行政法人通則法(平成11年法律第103号)第2条第1項に規定する独立行政法人及び個人情報保護法別表第1に掲げる法人をいう。以下同じ。)のうち個人情報保護法別表第2に掲げる次の法人
    • 沖縄科学技術大学院大学学園
    • 国立研究開発法人
    • 国立大学法人
    • 大学共同利用機関法人
    • 独立行政法人国立病院機構
    • 独立行政法人地域医療機能推進機構
    • 福島国際研究教育機構
    • 放送大学学園
  • ○ 地方独立行政法人(地方独立行政法人法(平成15年法律第118号)第2条第1項に規定する地方独立行政法人をいう。以下同じ。)のうち同法第21条第1号に掲げる業務(試験研究等)を主たる目的とするもの又は同条第2号(大学等の設置及び管理)若しくは第3号チ(病院事業の経営)に掲げる業務を目的とするもの
  • ○ 地方公共団体の機関(議会を除く。以下同じ。)(病院若しくは診療所又は大学の運営の業務に限る。)
  • ○ 独立行政法人労働者健康安全機構(病院の運営の業務に限る。)

よって、独立行政法人国立病院機構、国立大学法人、地方公共団体の機関、地方独立行政法人等が運営する医療機関など、上記に含まれる者については、本ガイダンスの対象となります。

一方、医療機関等又は介護関係事業者であって、民間部門における規律の適用を受けない者(例えば、県立の特別養護老人ホームなど、地方公共団体が設置する介護施設)も、医療・介護分野における個人情報保護の精神は設立主体を問わず同一であることから、これらの事業者も本ガイダンスに十分配慮していただくことが望ましいと考えます(参照:本ガイダンスp2)。

Q1-4

医療機関等において通常の診療だけではなく、健康相談業務も行っている場合、健康相談業務に係る記録についても本ガイダンスの対象になりますか。

A1-4

相談者の病歴や身体状況、病状、治療等について記録を保存しているのであれば、個人情報に該当します。よって、個人情報の取扱い、特に要配慮個人情報の取扱いについては個人情報保護法やガイドライン(通則編)、本ガイダンスを踏まえた取扱いが必要です。

Q1-5

本ガイダンスの対象となる「介護関係事業者」に含まれる事業者の範囲を教えて下さい。

A1-5

本ガイダンスの対象となる「介護関係事業者」とは、介護保険制度によるサービスを提供する事業者だけでなく、高齢者福祉サービス事業を行う者は広く含まれます。具体的には、特別養護老人ホームなどの介護保険施設や、訪問介護事業所などの居宅サービス事業を行う者、居宅介護支援事業を行う者だけでなく、介護保険の指定を受けずに有料老人ホームを経営する者や、養護老人ホーム、ケアハウス等も、広く「介護関係事業者」に該当し、本ガイダンスを守っていただくことが必要です。

Q1-6

本ガイダンスの他に、ガイドライン(通則編)、ガイドライン(外国にある第三者への提供編)、ガイドライン(第三者提供時の確認・記録義務編)、ガイドライン(仮名加工情報・匿名加工情報編)、ガイドライン(認定個人情報保護団体編)も定められているようですが、医療・介護関係事業者は、どちらを参照すべきなのでしょうか。

A1-6

本ガイダンスの他に、ガイドライン(通則編)、ガイドライン(外国にある第三者への提供編)、ガイドライン(第三者提供時の確認・記録義務編)、ガイドライン(仮名加工情報・匿名加工情報編)及びガイドライン(認定個人情報保護団体編)が定められています。本ガイダンスは、ガイドライン(通則編)を基礎とし、医療・介護関係事業者における実例に照らし、具体的な留意点・事例等を示したものです。医療・介護関係事業者における個人情報の適正な取扱いについては、基本的な内容は本ガイダンスを参照いただければ足りるものと考えますが、本ガイダンスに記載のない事項については、上記の各ガイドラインを参照いただくこととなります。

<用語の定義>
Q2-1

「個人情報」「個人データ」「保有個人データ」とは、どのようなものですか。

A2-1

「個人情報」「個人データ」「保有個人データ」の定義についてはそれぞれ以下のとおりとなっています(参照:本ガイダンスp7、p19、p20)。これらの用語は、個人情報保護法における個人情報取扱事業者の義務等の規定で使い分けられていますので、具体的な義務等に応じた取扱いが必要となります。

①個人情報

「個人情報」とは、生存する「個人に関する情報」であって、当該情報に含まれる氏名、生年月日、その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)、又は個人識別符号が含まれるものをいいます。

この「個人に関する情報」とは、氏名、住所、性別、生年月日、顔画像等個人を識別する情報に限られず、ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているか否かを問いません。

また、個人情報保護法では、死者に関する情報は対象ではありませんが、死者に関する情報が同時に遺族等の生存する個人に関する情報でもある場合には、当該生存する個人に関する情報となり法律の対象となります。

本ガイダンスは、医療・介護関係事業者が保有する医療・介護関係の個人情報を対象とするものであり、診療録等の形態に整理されておらず、メモ等に記載されている情報であっても、特定の個人を識別することができる場合には、個人情報に該当します。

②個人データ

「個人データ」とは、「個人情報データベース等」を構成する個人情報をいいます。

この「個人情報データベース等」とは、特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した個人情報を含む情報の集合体、又はコンピュータを用いていない場合であっても、紙面で処理した個人情報を 一定の規則(例えば、五十音順、生年月日順など)に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているものをいいます。

したがって、診療録等の診療記録や介護関係記録については、通常、媒体の如何にかかわらず、体系的に整理され、特定の個人情報を容易に検索できる状態で保有していることから、「個人データ」に該当します。

③保有個人データ

「保有個人データ」とは、個人データのうち、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有するものをいいます。したがって、委託を受けて取り扱っている個人データや、個人情報のうち体系的に整理されていないものについては、「保有個人データ」には該当しません。

Q2-2

「個人情報」とは、具体的にどのようなものがありますか。

A2-2

医療・介護関係事業者が保有している個人情報には様々なものがありますが、具体的には、以下のようなものがあります。

  • 患者・利用者の情報
  • 医師、歯科医師、薬剤師、看護師、介護職員、事務職員等の従業者の情報
  • 仕入先業者等の従業者の情報 など

なお、診療録や介護関係記録に患者・利用者の情報のほか、患者・利用者の家族に関する情報が記載されている場合、その家族の個人情報を保有していることになります。

※ このうち、従業者の情報については、ガイドライン(通則編)及び「雇用管理分野における個人情報のうち健康情報を取り扱うに当たっての留意事項について」(平成29年5月29日付け個情第749号・基発0529第3号個人情報保護委員会事務局長・厚生労働省労働基準局長通知)を参照してください。

Q2-3

医療・介護関係事業者において取り扱う「個人識別符号」には、具体的にどのようなものがありますか。

A2-3

「個人識別符号」とは、その情報単体から特定の個人を識別することができるものとして個人情報保護法施行令で定められた文字、番号、記号その他の符号をいい、これに該当するものが含まれる情報は個人情報となります。

医療・介護関係事業者が取り扱う「個人識別符号」の具体的な内容として は、例えば細胞から採取されたデオキシリボ核酸(別名DNA)を構成する塩基の配列(※)、健康保険法(大正11年法律第70号)に基づく保険者番号及び被保険者等記号・番号、介護保険法(平成9年第123号)に基づく被保険者証の番号及び保険者番号などがあります。

なお、上記の保険者番号及び被保険者等記号・番号や、被保険者証の番号及び保険者番号については、それぞれこれらの記号、番号等が全て含まれる情報が、個人識別符号に該当します。

※ ガイドライン(通則編)においては、「細胞から採取されたデオキシリボ核酸(別名DNA)を構成する塩基の配列」のうち、個人識別符号に該当するものは、「ゲノムデータ(細胞から採取されたデオキシリボ核酸(別名DNA)を構成する塩基の配列を文字列で表記したもの)のうち、全核ゲノムシークエンスデータ、全エクソームシークエンスデータ、全ゲノム一塩基多型(single nucleotide polymorphism: SNP)データ、互いに独立な40箇所以上のSNPから構成されるシークエンスデータ、9座位以上の4塩基単位の繰り返し配列(short tandem repeat:STR) 等の遺伝型情報により本人を認証することができるようにしたもの」とされている。

Q2-4

医療・介護関係事業者において取り扱う「要配慮個人情報」には、具体的にどのようなものがありますか。

A2-4

「要配慮個人情報」とは、不当な差別や偏見その他不利益が生じないようにその取扱いに特に配慮を要するものとして個人情報保護法第2条第3項、個人情報保護法施行令第2条及び個人情報保護法施行規則第5条で定める記述等が含まれる個人情報をいいます。要配慮個人情報の取得や個人データの第三者提供に当たっては、原則として、あらかじめ本人の同意を得る必要があります。また、要配慮個人情報である個人データについては、個人情報保護法第27条第2項の規定による第三者提供(オプトアウトによる第三者提供)は認められておりません。

医療・介護関係事業者が取り扱う「要配慮個人情報」の具体的な内容としては、診療録等の診療記録や介護関係記録に記載された病歴、診療や調剤の過程で、患者の身体状況、病状、治療等について、医療従事者が知り得た診療情報や調剤情報、健康診断の結果及び保健指導の内容、障害(身体障害、知的障害、精神障害等)の事実、犯罪により害を被った事実などがあります。

Q2-5

平成27年改正法の施行(平成29年5月30日)前に取得した個人情報であって、施行後に要配慮個人情報に該当することとなった場合、改めて取得について本人同意を得る必要がありますか。

A2-5

平成27年改正法の施行前に適法に取得した個人情報が施行後に要配慮個人情報に該当したとしても、改めて取得のための本人同意を得る必要はありません。

Q2-6

平成27年改正法の施行(平成29年5月30日)前に取得した個人情報であって、施行後に要配慮個人情報に該当することとなり、当該情報について、新たに第三者提供をする場合には本人同意を得る必要がありますか。

A2-6

個人データの第三者提供については、要配慮個人情報に係るものか否かを問わず、原則として本人の同意が必要です。

なお、平成27年改正法の施行後に要配慮個人情報である個人データに該当することとなった場合、施行後はオプトアウトによる第三者提供は認められません。

Q2-7

死亡した個人の情報については、「個人情報」に該当せず、個人情報保護法の対象にはなりませんが、どのように取り扱うべきですか。

A2-7

本ガイダンスでは、患者・利用者が死亡した後においても、事業者が当該患者・利用者の情報を保存している場合には、情報の漏えい等の防止のため、生存する個人の情報と同様の安全管理措置を講ずるよう求めています(参照:本ガ イダンスp3)。

また、患者・利用者が死亡した際に、遺族に対して診療情報・介護関係記録を提供する場合には、厚生労働省において作成した「診療情報の提供等に関する指針」(「診療情報の提供等に関する指針の策定について」(平成15年9月12日付け医政発0912001号厚生労働省医政局長通知)別添)の「9遺族に対する診療情報の提供」の取扱いに従って提供を行うことを求めています(参照:本ガイダンスp4)。

Q2-8

取り扱う個人情報の数が少ない小規模の医療・介護関係事業者は、個人情報保護法の対象外ですか。

A2-8

平成27年改正法の施行前の個人情報保護法では、取り扱う個人データの数が過去6月間に一度も5,000件を超えたことがない小規模事業者は、個人情報取扱事業者としての義務等は課せられないこととなっていましたが、法改正に伴い、当該規定は廃止されました。取り扱う個人情報の数にかかわらず、全ての個人情報取扱事業者及び行政機関等が、原則として個人情報保護法の適用対象となります。

Q2-9

例えば、医療機関で保存している院内処方箋について、インデックス等を付けずに段ボール箱に入れて保存しており、容易に検索することができない場合、個人データに該当しないと考えてよいですか。

A2-9

処方箋は医療法(昭和23年法律第205号)により2年間の保存義務が課せられていますが(医療法第21条第1項第9号、医療法施行規則(昭和23年厚生省令第50号)第20条第10号)、このように医療機関において保存すべき文書については、必要な場合に利用できるよう、適切に整理しておく必要があります。このため、処方箋は容易に検索可能な形で保存しておく必要があり、そのようにした上で、「個人データ」として取り扱うことになります。

Q2-10

遺族への開示については「診療情報の提供等に関する指針」に従って開示を行うこととされていますが、薬局の場合も当該指針に従って、遺族へ開示すればよいのでしょうか。

A2-10

薬局において、遺族から死亡した患者に関する診療情報の開示の請求があった場合には、病院等と同様に、「診療情報の提供等に関する指針」に従って遺族へ開示してください。

Q2-11

氏名等の特定の個人を識別することができる記述等を削除した情報は、個人情報に該当しますか。

A2-11

生存する個人に関する情報を取り扱うに当たっては、個人情報保護法における個人情報、仮名加工情報、匿名加工情報等の区分に応じて取り扱う必要があります。個人情報に含まれる氏名等の特定の個人を識別することができる記述等を削除してそれ単体では特定の個人を識別することができないように加工した場合や、顔写真について、一定のマスキングを行ってそれ単体では特定の個人を識別することができないよう加工した場合でも、他の情報と容易に照合することができ、それにより特定の個人(患者・利用者等)を識別することができる場合には、当該情報と合わせて全体として個人情報に該当します。

<本人の同意>
Q3-1

本人の同意を得る場合には、文書で同意を得る必要がありますか。

A3-1

医療機関等については、本人の同意を得る方法について法令上の規定はありません。このため、文書による方法のほか、口頭、電話による方法なども認められます。同意を求める内容や緊急性などを勘案し、それぞれの場面に適切な方法で同意を得るべきと考えます。

介護関係事業者については、介護保険法に基づく指定基準により、サービス担当者会議等において利用者又は家族の個人情報を使用する場合は、利用者又は家族から文書による同意を得ておく必要があることに留意が必要です(参照:本ガイダンスp50)。

<個人情報を研究に利用する場合の取扱い>
Q4-1

患者・利用者の個人情報を研究に利用する場合、本人の同意が必要ですか。

A4-1

令和3年改正法の施行により、大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者(学術研究機関等)が学術研究の用に供する目的で個人情報を取り扱う場合にも、個人情報保護法が適用されることとなりました。その上で、利用目的による制限(同法第18条第1項)、要配慮個人情報の取得制限(同法第20条第2項)、第三者提供の制限(同法第27条第1項)等については、学術研究目的で個人情報を取り扱う一定の場合に関し、個人の権利利益を不当に侵害するおそれがある場合を除き、例外規定が設けられています。

また、こうした例外規定の適用を受けない場合であっても、公衆衛生の向上に特に資するものであって、本人の同意を得ることが困難であるときには、本人の同意を得ることなく、利用目的の達成に必要な範囲を超えた個人情報の取扱いや、個人データの第三者提供が許容されるものとされています(参照:本ガイダンスp27、p47、「「個人情報の保護に関する法律についてのガイドライン」に関するQ&A」のQ2-15、Q7-24、Q7-25)。

ただし、医学研究分野に関しては、「人を対象とする生命科学・医学系研究に関する倫理指針」(令和3年文部科学省・厚生労働省・経済産業省告示第1号)など本ガイダンスの別表5に掲げるような医学研究分野に関する指針が策定されており、これらの指針に該当する研究は、当該指針の内容に従う必要があります。これらの指針において、研究を実施するに当たり、原則としてインフォームド・コンセント(同意)を得る必要があるとされていますが、一定の条件を付してインフォームド・コンセントを必ずしも要しない場合についても規定しています。

Q4-2

患者の紹介元の医師から、研究のみの目的で利用するため、紹介患者の診療情報等を提供してほしいとの依頼があった場合は、どのように対応すればよいでしょうか。

A4-2

通常、医療機関等において、患者の診療情報等は個人データに該当すると考えられるところ、個人データに該当する診療情報等の第三者提供及び目的外利用に当たっては、原則として本人の同意が必要です。また、医療機関等において第三者提供に当たり黙示の同意が得られていると考えられるのは、本人への医療の提供のために必要な範囲に限られます(参照:本ガイダンスp48、p49)。もっとも、学術研究に関する例外規定、公衆衛生に関する例外規定等の個人情報保護法第27条第1項各号に定める例外規定に該当する場合には、本人の同意を得ずに、診療情報等の第三者提供を行うことができます。

また、医学研究分野の場合、「人を対象とする生命科学・医学系研究に関する倫理指針」など本ガイダンスの別表5に掲げるような医学研究分野に関する指針が策定されており、これらの指針に該当する研究であれば、診療情報等を提供する医師についても、当該指針が適用されます。これらの指針において、研究を実施するに当たっての手続が定められており、原則としてインフォームド・コンセント(同意)を得る必要があることについてはA4-1のとおりです。なお、「人を対象とする生命科学・医学研究に関する倫理指針」において、研究目的での個人データの第三者提供については、黙示の同意は認められていないことに留意する必要があります。

<個人情報に関する相談体制>
Q5-1

個人情報に関する相談体制はどのようにすべきでしょうか。

A5-1

個人情報保護法第40条では、医療・介護関係事業者は個人情報の取扱いに関して患者・利用者等から苦情の申出があった場合、適切かつ迅速な対応に努めなければならず、そのために必要な体制の整備に努めなければならないとされています。

また、個人情報の取扱いに関して、本ガイダンスでは、患者・利用者等が疑問に感じた内容を、いつでも、気軽に問合せできる窓口機能等を確保することが重要であるとしています(参照:本ガイダンスp4)。

Q5-2

相談体制を整備するにあたり、具体的な留意点としてはどのような点が挙げられますか。

A5-2

患者・利用者等が利用しやすいように配慮することが重要です。このため、医療・介護関係事業者の規模等に応じ、

  • ① 相談窓口について院内掲示等により広報し、医療・介護関係事業者として患者・利用者等からの相談や苦情を受け付けていることを広く周知すること
  • ② 専用の相談スペースを確保するなど相談しやすい環境や雰囲気を作ること
  • ③ 担当職員に個人情報に関する知識や事業者内の規則を十分理解させるとともに、相談内容の守秘義務を徹底するなど、窓口の利用に伴う患者・利用者等の不安が生じないようにすること

などに配慮する必要があります。

Q5-3

既存の医療安全に関する相談窓口が、個人情報に関する相談窓口を兼ねることは認められますか。

A5-3

既存の患者相談窓口が個人情報に関する相談機能を兼ねることでも問題ありません。その場合、対応する職員には、個人情報の取扱いについても十分な知識を有することが必要です。

Q5-4

現在の職員体制等では、全診療時間帯で相談窓口を開設することが困難です。特定の曜日、時間帯のみ開設することでよいですか。また、独立した窓口を設置する必要がありますか。

A5-4

患者・利用者等が利用しやすいという観点からは、患者・利用者等が希望する日時に相談できる体制を確保することが望ましいです。

しかし、医療・介護関係事業者の規模や職員体制等を勘案し、特定の曜日、時間帯のみに相談窓口が開設されることもやむを得ないと考えます。この場合、できるだけ患者・利用者等が相談しやすいよう配慮する観点から、週により開設する曜日や時間帯を変化させる方法も考えられます。

また、専用の相談窓口を設置する方法のほかに、受付・会計等の窓口において、相談の窓口機能を持たせることでも構いませんが、その場合にも、Q5-2を参考に、患者・利用者等が相談しやすい体制を整備する必要があります。

Q5-5

小規模な医療・介護関係事業者でも個人情報に関する相談窓口を設置する必要がありますか。認定個人情報保護団体等が開設する相談窓口を案内することで代用できませんか。

A5-5

個人情報保護法第40条では、「個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなればならない。」とされており、患者からの相談や苦情等があった場合は、まず、医療・介護関係事業者が自ら対応する必要があります。

また、患者・利用者等からの問合せにどのように対応すべきか疑問を生じた場合等には、認定個人情報保護団体や個人情報保護委員会の個人情報保護法相談ダイヤル等に照会するなどして、曖昧な回答をしないことが重要です。

Q5-6

相談窓口の業務を担当する職員への教育等はどのようにすればよいでしょうか。

A5-6

相談窓口の職員は、個人情報保護に関して十分な知識を有するとともに、相談・苦情の内容を外部の人や他の職員に漏えいしないよう、高いモラルが求められます。

このため、担当職員に対し、業務の重要性や個人情報保護の取扱いに係る知識・技術を高めるための教育研修の実施(認定個人情報保護団体や行政が行う研修等への参加を含む。)を行うなど、個人情報の保護が徹底されるよう配慮する必要があります。

Q5-7

本ガイダンスp4で「個人情報の利用目的の説明や窓口機能等の整備、開示の請求を受け付ける方法を定める場合等に当たっては、障害のある患者・利用者等にも配慮する必要がある。」とされていますが、どのようなことをすればよいですか。

A5-7

例えば、聴覚障害者のために手話や筆談による説明を行ったり、視覚障害者のために点字の説明書を提供したりすることが考えられます。なお、これらの取組は、すべての医療・介護関係事業者が事前にすべて準備しなければならないものではなく、患者・利用者等からの求めに応じ、地域のボランティア等の協力を得るなどしつつ、ニーズに応じた対応を図っていくことが求められます。

<その他>
Q6-1

医療・介護関係事業者が個人情報取扱事業者としての義務規定に違反した場合はどのような罰則があるのでしょうか。

A6-1

個人情報取扱事業者が個人情報を不適切に取り扱う事例等があったときには、個人情報保護委員会は個人情報取扱事業者に対して、①個人情報の取扱いに関する報告の徴収及び立入検査(個人情報保護法第146条第1項)、指導及び助言(同法第147条)、②個人情報取扱事業者が一定の義務に違反した場合における、違反行為を是正するための必要な措置に係る勧告(同法第148条第1項)、命令(同法第148条第2項又は第3項)を行う場合があります。このとき、個人情報取扱事業者が、①個人情報保護委員会の命令(同法第148条第2項又は第3項)に違反した場合、②個人情報保護委員会からの報告徴収(同法第146条第1項)に対して報告をせず、又は虚偽報告をした場合、立入検査を拒んだ場合には、個人情報取扱事業者に対して罰則が科される可能性があります(同法第178条・第182条)。

※ 個人情報保護法第150条第1項の規定に基づき、同法第146条第1項の規定による権限が個人情報保護委員会から事業所管大臣に委任された場合には、厚生労働大臣が報告徴収及び立入検査を行うことがあります。

さらに、同法第170条及び個人情報保護法施行令第40条において、同法第146条第1項に規定する個人情報保護委員会の権限が同法第150条第1項の規定により事業所管大臣に委任された場合において、個人情報取扱事業者が行う事業であって事業所管大臣が所管するものについての報告徴収及び立入検査に係る権限に属する事務の全部又は一部が、他の法令の規定により地方公共団体の長その他の執行機関が行うこととされているときは、当該地方公共団体の長等が行うことがあります。

なお、令和6年3月時点において、同法第150条第1項に基づく厚生労働大臣への権限委任は行われていません。

Q6-2

漏えい等が発生した場合や、従業者が個人情報データベース等を不正な利益を図る目的で第三者に提供した場合に、個人情報取扱事業者や従業者は個人情報保護法に基づきいかなる責任を負うのでしょうか。

A6-2

個人情報保護法上、個人情報取扱事業者は、その取り扱う個人データの安全管理のために必要かつ適切な措置を講じる必要があり(同法第23条)、また、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行う必要があります(同法第24条)。このため、漏えい等が発生した場合、個人情報取扱事業者は、これらの義務違反を問われる可能性があります。

また、個人情報取扱事業者若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものを含む。)を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、同法第179条により刑事罰(1年以下の懲役又は50万円以下の罰金)が科される可能性があります。

従業者は、医師等の医療従事者については刑法(明治40年法律第45号)や各資格法で規定されている守秘義務違反に、介護関係事業者の従業者については介護保険関係法令で規定されている守秘義務違反に、また、資格を有しない従業者についても、業務の内容によっては(不妊手術、精神保健、感染症など)関係法律により規定されている守秘義務違反に問われる可能性があります。

なお、漏えい等により権利を侵害された者から民事上の責任を問われる可能性もあります。

Q6-3

個人情報保護法が施行されることにより、紙媒体の診療録が使用できなくなったり、診療録の記載方法が定められたり(日本語での記載が義務づけられる等)することはありますか。

A6-3

個人情報保護法の施行により、紙の診療録が使えなくなったり、診療録の記載方法が定められるものではありません。ただし、診療録など保有個人データに該当するものについては、開示の請求があった場合に原則として開示する必要がありますし、良質かつ適切な医療を提供する観点からは、他の医療従事者等にとっても読みやすい内容となるよう心がけるべきと考えます。

なお、「診療情報の提供等に関する指針」では、診療記録の開示の際、患者等が補足的な説明を求めたときは、医療従事者等はできる限り速やかにこれに応じなければならず、この場合にあっては、担当の医師等が説明を行うことが望ましいとされています。

Q6-4

個人情報保護法に基づき、医療・介護関係事業者に対して指導監督等を行うのは、どこの行政機関となるのでしょうか。

A6-4

個人情報保護委員会が、個人情報保護法第146条から第148条までの規定に基づき、個人情報取扱事業者である医療・介護関係事業者に対し「報告徴収」、「立入検査」、「指導・助言」、「勧告」及び「命令」を行うことになります。また、同法第150条第1項の規定に基づき、同法第146条第1項の規定による権限が個人情報保護委員会から事業所管大臣に委任された場合には、厚生労働省又は地方公共団体が報告徴収及び立入検査を行うことがあります。

なお、令和6年3月時点において、同法第150条第1項に基づく厚生労働大臣への権限委任は行われていません。

【各論】

<利用目的の特定等>
Q1-1

実習のために看護師養成所等の学生を受け入れる場合、実習を行うに当たり、患者の同意は必要でしょうか。

A1-1

医療機関等については、実習を行うに当たり患者等の個人情報を利用する場合には、あらかじめ院内掲示等により利用目的を公表しておくか、個人情報を利用する段階で当該利用目的について患者本人から同意を得る必要があります。なお、実習を行う際には、事前に十分かつ分かり易い説明を行った上で同意を得る必要があり、その同意を患者・家族と文書で取り交わすことが望ましいと考えています。

介護関係事業者については、介護保険法に基づく指定基準により、サービス担当者会議等において利用者又は家族の個人情報を使用する場合は、利用者又は家族から文書による同意を得ることとされていることを踏まえ、実習の学生の受入れのように第三者に個人情報を提供する場合には、あらかじめ文書により利用者又は家族の同意を得ておく必要があります(参照:本ガイダンスp50)。

<利用目的の通知等>
Q2-1

本ガイダンスの別表2の「患者への医療の提供に必要な利用目的」や「介護サービスの利用者への介護の提供に必要な利用目的」は、個人情報保護法第21条第4項第4号の「取得の状況からみて利用目的が明らかであると認められる場合」に該当すると考えられるので、このような利用目的は本人に通知又は公表しなくてもよいのではないでしょうか。

A2-1

医療・介護関係事業者においては、本ガイダンスの別表2に示すように、患者・利用者に関する情報を様々な目的で利用します。別表2に掲げる内容には、「取得の状況からみて利用目的が明らかである」と考えられる事項もありますが、本ガイダンスでは、患者・利用者等に利用目的を分かりやすく示す観点から、このような利用目的についても院内掲示等により公表することを求めています(参照:本ガイダンスp31)。

また、医療機関等において、黙示の同意に基づき他の医療機関等に対し個人データを提供する場合は、あらかじめ院内掲示等により、その利用目的や、あらかじめ本人の明確な同意を得るよう求めることができること等について公表することが前提となっています(参照:本ガイダンスp48~50)。

なお、介護関係事業者において、サービス担当者会議等に使用するために他の介護関係事業者に情報提供を行う場合は、介護保険法に基づく指定基準により、事業所内への掲示によるのではなく、サービス利用開始時に適切に利用者から文書による同意を得ておく必要があることに留意が必要です(参照:本ガイダンスp50)。

Q2-2

利用目的の公表に当たっては、診療録、看護記録、ケアプラン等の書類の種類ごとに利用目的を特定して公表しなければならないのでしょうか。

A2-2

個人情報保護法では、医療・介護関係事業者が個人情報を取り扱うに当たっては、利用目的を特定することとされています。医療・介護関係事業者は、本ガイダンスの別表2を参考として、通常必要な利用目的を特定することとされており、書類の種類ごとに利用目的を特定することまでは必ずしも求められていません。

Q2-3

特定した利用目的は、院内掲示等により公表することで十分でしょうか。

A2-3

特定した利用目的を院内掲示等により公表する場合には、単に公表しておくだけではなく、患者・利用者等が十分理解できるよう受付時に注意を促したり、必要に応じて受付後に改めて説明を行ったりするほか、患者・利用者等の希望があれば詳細な説明や当該内容を記載した書面の交付を行うなど、医療・介護関係事業者において個々の患者のニーズに適切に対応していくことが求められます(参照:本ガイダンスp31)。

Q2-4

患者から、院内掲示した利用目的のうち、一部の利用目的には同意できないという申出がありました。これを理由として診療しない場合、医師法(昭和23年法律第201号)第19条の応招義務違反となるのでしょうか。

A2-4

患者の個人情報の利用目的には、患者の診療に必要な事項や医療機関の経営改善に資する事項など様々な項目があります。このため、患者から利用目的の一部に同意しない旨の申出があった場合、医療機関はできるだけ患者の希望を尊重した対応をとることが望まれます。一方、医療機関が最善の取組を行ったとしても、当該利用目的で利用しなければ、診療に支障が生じることが想定される場合には、その状況について患者に十分に説明し、患者の判断によることになります。

なお、医師の応招義務については、個別の事例に応じて判断が異なるものであり、これらの要件を総合的に勘案して判断されることになります。

Q2-5

本人から病歴等の要配慮個人情報を聞き取る場合、別途、その取得について本人の同意をとらなければならないのでしょうか。

A2-5

要配慮個人情報を取得する場合には、原則として、あらかじめ本人の同意を得る必要があります。

一方で、医療機関の受付等で診療を希望する患者は、傷病の回復等を目的としており、医療機関は患者の傷病の回復等を目的としてより適切な医療が提供できるように治療に取り組むとともに、その費用を公的医療保険に請求する必要が生じます。良質で適正な医療の提供を受けるためには、また公的医療保険の扶助を受けるためには、医療機関等が患者の要配慮個人情報を含めた個人情報を取得することは不可欠です。

このため、例えば、患者が医療機関の受付等で、問診票に患者自身の身体状況や病状などを記載し、個人番号カード(マイナンバーカード)又は資格確認書とともに受診を申し出ることは、患者自身が自己の要配慮個人情報を含めた個人情報を医療機関等に取得されることを前提としていると考えられるため、医療機関等が要配慮個人情報を書面又は口頭等により本人から適正に直接取得する場合は、患者の当該行為をもって、当該医療機関等が当該情報を取得することについて本人の同意があったものと解されます(参照:本ガイダンスp33)。

Q2-6

意識不明の患者が搬送された場合、付き添っていた家族から本人の病歴等を聞き取ることはできますか。

A2-6

要配慮個人情報を取得する場合には、原則として、あらかじめ本人の同意を得る必要がありますが、個人情報保護法第20条第2項各号に定める場合は、本人の同意を得る必要はありません。急病その他の事態が生じ、患者本人に対して適切な処置を行うために本人の病歴等の取得が必要なときに、本人が意識不明であれば、「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」(同法第20条第2項第2号)に該当するため、医師や看護師などの医療従事者は、本人の同意を得ることなく、本人の病歴等を家族から聴取することができます(参照:本ガイダンスp34)。

なお、この場合、本人の意識が回復した後に、家族等から取得した情報の内容とその相手について本人に説明することになります(参照:本ガイダンスp23、p24)。

Q2-7

患者の診療記録や調剤録等を他の医療機関等から取得する場合、改めて本人から同意を得る必要がありますか。

A2-7

医療機関等が要配慮個人情報を第三者提供の方法により取得した場合、提供元が個人情報保護法第20条第2項及び第27条第1項の規定に基づいて本人から必要な同意(要配慮個人情報の取得及び第三者提供に関する同意)を取得していることが前提となるため、提供を受けた当該医療機関等が、改めて本人から同法第20条第2項の規定に基づく同意を得る必要はないものと解されます(参照:本ガイダンスp33)。

Q2-8

患者の診療記録等を他の医療機関等へ提供する場合、改めて本人から同意を得る必要がありますか。

A2-8

他の医療機関等への情報の提供のうち、患者の傷病の回復等を含めた患者への医療の提供に必要であり、かつ、個人情報の利用目的として院内掲示等により明示されている場合は、原則として黙示の同意が得られているものと考えられます。

なお、傷病の内容によっては、患者の傷病の回復等を目的とした場合であっても、個人データを第三者提供する場合は、あらかじめ本人の明確な同意を得るよう求められる場合も考えられ、その場合、医療機関等は、本人の意思に応じた対応を行う必要があります(参照:ガイダンスp48)。

<安全管理措置、従業者の監督及び委託先の監督>
Q3-1

適切な安全管理措置を行うためには、個人データに該当する文書等は鍵のかかる場所へ保管しなければならないのでしょうか。

A3-1

個人データを含む書類の管理方法は、医療・介護関係事業者の規模や従業者の数などによって様々であると考えられ、すべての医療・介護関係事業者において、鍵のかかる場所への保管が義務づけられているわけではありません。一方、当該事業者によっては、施錠だけではなく ICカードによる入室システム等の導入が必要と考えられる場合もあります。このため、医療・介護関係事業者において、自らの事業規模や現在の個人情報の取扱い方を踏まえ、個人データの種類に応じて、適切な管理方法を検討し、適切な安全管理措置を講ずる必要があります。

Q3-2

個人情報をコンピュータに入力するに当たり、入力者の記録を保存しておく必要はあるでしょうか。

A3-2

個人情報保護法令及び本ガイダンスにおいては、個人情報の入力者を記録しておくことは求めていません。医療・介護関係事業者において、安全管理措置の一環として入力者の記録が必要と判断する場合には、当該記録を保存することも考えられます。

Q3-3

本ガイダンスp40に記載されている、「医療情報システムの安全管理に関するガイドライン」に基づき安全管理措置を行う際の留意点はあるでしょうか。

A3-3

「医療情報システムの安全管理に関するガイドライン」は、本ガイダンスと対になるものですが、個人情報保護は決して情報システムに関わる対策だけで達成されるものではありません。したがって、「医療情報システムの安全管理に関するガイドライン」を使用する場合、情報システムの担当者であっても、本ガイダンスの内容を十分理解し、情報システムに関わらない部分でも個人情報保護に関する対策が達成されていることを確認することが必要です。

Q3-4

個人データが取り扱われる業務を委託する場合、委託先の事業者名や委託先の責任者の氏名等を公表すべきですか。

A3-4

本ガイダンスでは、利用目的を院内掲示等により公表するに当たり、個人データの取扱いに係わる業務を委託している場合には、その旨を公表することを求めています(参照:本ガイダンス別表2)。具体的には個別の事例に応じて対応が異なりますので、医療・介護関係事業者において検討した上で判断すべきですが、委託する業務の内容により、患者・利用者等の関心が高い分野については、委託先の事業者名をあわせて公表することも考えられます。

なお、委託先の事業者の担当者名、責任者名等については、当該本人の個人情報になりますので、それらを公表等する場合には、本人の同意を得るなどの対応も必要になります。

Q3-5

現行の業者との委託契約には、個人情報の取扱いに関する項目が含まれていません。個人情報保護法の全面施行に当たり、現契約を解消して、新しい契約を締結し直す必要がありますか。

A3-5

個人情報の取扱いに関する事項を含んだ内容で改めて契約する方法もありますが、現行の契約において、「業務の適正な執行を図る」といった類の規定がある場合には、その「適正な執行」の一環として個人情報の適切な取扱いが含まれることを確認し、具体的な取扱い等を明確化するために確認書など補足の取り決め文書を作成するなどの方法も可能と考えられます。

なお、今後、新規に契約を締結する場合には、個人情報の取扱いについて、より具体的な取り決めが行われることが望ましいと考えます。

Q3-6

清掃業務等、個人データを直接取り扱わない業務を委託している場合は、委託契約書に個人情報の取扱いに関する事項を記載する必要はないと考えてよいですか。

A3-6

医療・介護関係事業者の施設内には様々な個人情報があります。このため、通常は個人データを直接取り扱わない業務であっても、個人情報に接する可能性に配慮する必要があると考えます。

業務委託に当たり、委託契約書に個人情報の取扱いに関する事項をどのように記載するかについては、委託する業務の内容や当該事業者における個人情報の管理の現状などを勘案し、医療・介護関係事業者において適切な方法を検討した上で判断することが必要です。

また、契約書に記載すべき事項や具体的な記載内容についても、医療・介護関係事業者において委託先事業者とも相談しながら実効性のある適切な内容を定めることが望まれます。

Q3-7

医療・介護関係事業者において漏えい等が発生した場合、どのように対応すればよいでしょうか。

A3-7

医療・介護関係事業者は、漏えい等又はそのおそれのある事案(以下「漏えい等事案」という。)が発生した場合には、漏えい等事案の内容等に応じて、以下の各事項について迅速かつ適切に必要な措置を講ずる必要があります。

  • ① 事業者内部における報告及び被害の拡大防止

    責任ある立場の者に直ちに報告するとともに、漏えい等事案による被害が発覚時よりも拡大しないよう必要な措置を講ずる必要があります。

  • ② 事実関係の調査及び原因の究明

    漏えい等事案の事実関係の調査及び原因の究明に必要な措置を講ずる必要があります。

  • ③ 影響範囲の特定

    上記②で把握した事実関係による影響範囲の特定のために必要な措置を講ずる必要があります。

  • ④ 再発防止策の検討及び実施

    上記②の結果を踏まえ、漏えい等事案の再発防止策の検討及び実施に必要な措置を講ずる必要があります。

  • ⑤ 個人情報保護委員会への報告及び本人への通知

    漏えい等事案が、要配慮個人情報が含まれる個人データの漏えい等であるなど、個人情報保護法施行規則第7条各号に定める事態に該当する場合には、個人情報保護法第26条第1項及び同施行規則第8条に従って個人情報保護委員会に報告し、また、同法第26条第2項及び同施行規則第10条に従って本人に通知等をする必要があります。

また、要配慮個人情報が含まれる個人データの漏えい等に限らず、医療機関等においてコンピュータウイルスの感染などによるサイバー攻撃を受けた疑いがある場合にあっては、厚生労働省が策定している「医療情報システムの安全管理に関するガイドライン」に基づき、速やかに当該医療機関等から厚生労働省医政局特定医薬品開発支援・医療情報担当参事官室に連絡する必要があります。

Q3-8

委託先において漏えい等が発生した場合、どのように対応すればよいでしょうか。

A3-8

個人データの取扱いを委託している場合において、委託先で漏えい等事案が発生した場合には、委託先から速やかに報告を受け、医療・介護関係事業者としても、事業者内における漏えい等事案発生時の対応と同様に、迅速かつ適切に対応することが必要です。このためには、業務を委託する際に、委託先において漏えい等事案が発生した場合における委託先と医療・介護関係事業者との間の報告連絡体制を整備しておくことが必要です。

個人情報保護委員会への報告については、原則として委託元と委託先の双方が報告する義務を負います。この場合、委託元及び委託先の連名で報告することができます。なお、委託先は、個人情報保護法第26条第1項ただし書及び個人情報保護法施行規則第9条に従って、報告義務を負っている委託元に当該事態が発生したことを通知した場合には、報告義務を免除されます。

なお、医療・介護関係事業者としては、当該漏えい等事案が発生した原因を調査した上で、必要に応じて委託先に対して改善を求める等の適切な措置を講ずることも必要です。

Q3-9

薬局において、処方箋の記載内容について疑義照会を行うために、処方箋を医療機関にファックスで送信しようとしたところ、誤って別の医療機関に送信してしまいましたが、どのように対処すればよいでしょうか。

A3-9

個別の事例に応じて判断は異なりますが、誤送信が判明した場合には、まず、送信先に連絡して当該情報を廃棄してもらうなどの対応が必要と考えます。

Q3-10

外来患者を氏名で呼び出したり、病室における入院患者の氏名を掲示したりする場合の留意点は何ですか。ナースステーション内における入院患者の氏名の掲示についてはどうですか。

A3-10

患者の氏名は、個人を識別できる情報であり、「個人情報」に該当します。このため、患者から、他の患者に聞こえるような氏名による呼び出しをやめて欲しい旨の要望があった場合には、医療機関は、誠実に対応する必要があります。

一方、患者の氏名の呼び出しや掲示が、患者の取り違え防止や、入院患者にとっての自分の病室の確認、あるいは見舞いに来た人等の便宜に資する面もあります。また、自分の氏名等を別の患者等に聞かれることについて、どのように受け止めるかは、患者の考え方や年齢、通院・入院の原因となる傷病の種類等によって様々です。ナースステーション内の掲示についても、基本的な考え方は同じであり、看護を的確に実施していくために必要な氏名の掲示等が禁止されるわけではありません。ただし、看護職員からは見易く通路からは見えにくい位置に掲示することが可能であれば、そうした配慮も必要です。

こうしたことを踏まえ、医療機関では、患者本人の希望を踏まえ、個人情報の保護も含めた適切な医療を行うという観点に立って、対応可能な方法をとることが必要です。

Q3-11

入院患者・入所者の知り合いと名乗る人が面会に見えたときに病室を教えることは問題となりませんか。

A3-11

患者・利用者の氏名は、個人を識別できる情報であり、「個人情報」に該当します。このため、入院患者・入所者から、面会者等の外部からの問合せへの回答をやめて欲しい旨の要望があった場合には、医療・介護関係事業者は、誠実に対応する必要があります。

例えば、入院患者・入所者から特段の申し出がない場合で、その人が入院・入所していることを前提に面会に見えていることが確認できるときに、院内の案内として教えることは問題とならないと思われますが、入院・入所の有無を含めた問合せに答えることについては問題となる可能性があります。

また、医療・介護関係事業者における対応については、職員によって対応が異なることがないよう、統一的な取扱いを定めておくことも必要であり、本件については、あらかじめ、入院患者・入所者に対して面会の問合せに答えていいか確認しておくことが望ましいと考えます。

<個人データの第三者提供>
Q4-1

患者・利用者の病状等をその家族等に説明する際に留意すべきことは何ですか。

A4-1

医療機関等においては、患者への医療の提供に際して、家族等への病状の説明を行うことは、患者への医療の提供のために通常必要な範囲の利用目的と考えられ、院内掲示等で公表し、患者から明示的に留保の意思表示がなければ、患者の黙示の同意があったものと考えられます(参照:本ガイダンス p48、p49)。

医療・介護サービスを提供するに当たり、患者・利用者の病状等によっては、第三者である家族等に病状等の説明が必要な場合もあります。この場合、患者・利用者本人に対して、説明を行う対象者の範囲、説明の方法や時期等について、あらかじめ確認しておくなど、できる限り患者・利用者本人の意思に配慮する必要があります(参照:本ガイダンスp23、p24)。

なお、本人の同意を得ることができない場合であっても、本人又は家族等の生命、身体又は財産の保護のために必要がある場合には、家族等へ説明することは可能です(個人情報保護法第27条第1項第2号に該当)。

Q4-2

傷病の種類によっては、本人に病名等を告知する前に家族に相談する場合が考えられますが、どのような配慮が必要ですか。

A4-2

診療録等に記載された患者の診断結果等については、患者の個人データですので、当該情報を第三者(家族も含みます。)に提供する場合、原則として本人の同意が必要です。ただし、人の生命、身体又は財産の保護のために必要がある場合で、本人の同意を得ることが困難であるときには、本人の同意を得ずに第三者に提供することができます。このため、症状や予後、治療経過等について患者に対して十分な説明をしたとしても、患者本人に重大な心理的影響を与え、その後の治療効果等に悪影響を及ぼす場合等には、本人に説明する前に(本人の同意なく)家族へ説明することが可能です。

ただし、このような場合に該当するかどうかについては、患者本人との関係でも慎重な判断が求められます。本ガイダンスにおいて、そうした観点から、患者本人からの診療情報等(保有個人データ)の開示の請求に対して、開示しないと判断する場合には、院内に設置する検討委員会等において開示の可否を検討することを求めていることにもご留意いただきながら、本人や家族への病状等の説明について、慎重に判断いただく必要があります(参照:本ガイダンスp79)。

なお、患者・利用者本人から、病状等の説明を行う対象者の範囲、説明の方法や時期等についての要望があった場合は、できる限り患者・利用者本人の意思に配慮する必要があります。

Q4-3

未成年の患者から、妊娠、薬物の乱用、自殺未遂等に関して親に秘密にしてほしい旨の依頼があった場合、医師は親に説明してはいけないのですか。逆に、親から問われた場合に、未成年の患者との信頼関係を重視して、親に情報を告げないことは可能ですか。

A4-3

患者本人から、家族等へ病状等の説明をしないよう求められた場合であっても、本人又は家族等の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難である場合には、(第三者である)家族等へ説明することは可能です(個人情報保護法第27条第1項第2号に該当)。

また、法定代理人である親から、未成年の患者を代理して、当該患者の診療情報等(保有個人データ)の開示の請求があった場合は、原則として患者本人に対し開示を行う旨の説明を行った後、親に対して開示を行う必要があります(参照:本ガイダンスp73)。もっとも、開示することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合には、当該保有個人データの全部又は一部を開示しないことができます。したがって、医師は、かかる場合には、親から開示を請求された場合でも、患者本人の保有個人データを開示しない選択を行うことが可能です。

具体的には、個々の事例に応じて判断が異なるものですが、患者の状態などを踏まえて対応することになります。

Q4-4

弁護士会から過去に診療を行った患者に関する照会があった場合、本人の同意を得ずに回答してよいでしょうか。

A4-4

弁護士は、弁護士法(昭和24年法律第205号)第23条の2に基づき、受任している事件に関して、所属する弁護士会を通して公務所又は公私の団体に照会して必要な事項の報告を求めることができるとされています。したがって、弁護士会への回答に当たっては、「法令に基づく場合」に相当するため、本人の同意を得ずに個人データの第三者提供を行うことができます。ただし、回答するか否かについては個別の事例ごとに判断する必要があります。

Q4-5

薬剤師が、調剤した薬剤に関して患者の家族に情報提供を行う場合、本人の同意を得なくても情報提供できるのでしょうか。

A4-5

薬剤師法(昭和35年法律第146号)では、患者又は現に看護に当たっている者に対して調剤した薬剤に関する情報提供を行うことが義務づけられていますので(同法第25条の2)、その範囲であれば、第三者提供の例外規定のうち「法令に基づく場合」として(個人情報保護法第27条第1項第1号)、本人の同意を得ることなく情報提供が可能です。

Q4-6

民間保険会社等から医療機関に対して、患者の治療結果等に関する照会があった際、民間保険会社等が患者本人から取得した「同意書」を提示した場合は、回答に当たり、本人の同意が得られていると判断してよいのでしょうか。

A4-6

個人データの第三者提供に当たっては、個人データを保有し、第三者提供を行う個人情報取扱事業者である医療機関が、原則として本人の同意を得る義務を負います。このため、民間保険会社から照会があった際に、本人の「同意書」を提出した場合であっても、医療機関は、通常、当該同意書の内容について本人の意思を確認する必要があります。

これは、本人が、同意書に署名する際に提供してよいと考えていたものの、その後、考えが変わっている場合もあり得るからです。このため、医療機関が民間保険会社に第三者提供を行う際に、提供する個人データの範囲(いつからいつまでの時期の情報を提供するのか、診療録の要約等を作成するのか、検査結果のデータも提供するのか、など)や、どのような形態で提供するかなどについて、具体的に説明し本人の意思を確認する必要があると考えます。

なお、上記の第三者提供の場合のほか、民間保険会社等から、患者本人の委任に基づき、当該患者の保有個人データの開示の請求を行い得る代理人として開示の請求があった場合の取扱いについては、本ガイダンスp79の、本人の意思の確認に関する記載を参照してください。

Q4-7

医療機関と薬局の間で患者の薬剤服用歴などの情報交換を行う場合も、本ガイダンスに記載された条件を満たせば、患者の黙示の同意が得られていると考えてよいのでしょうか。

A4-7

医療機関と薬局間における薬剤服用歴などの情報交換は、患者へ医療を提供する上で通常行われることと考えられます。当該事例は、本ガイダンスp49の「他の医療機関等との連携を図ること」や「他の医療機関等からの照会があった場合にこれに応じること」に該当しますので、これらの利用目的を掲示して、患者から明示的に留保の意思表示がなければ、患者の黙示の同意があったものとして取り扱うことは可能です。

Q4-8

本ガイダンスp51の「当該事業者の職員を対象とした研修での利用」の場合、既に利用目的として研修に使用することを院内掲示等により公表していれば、改めて本人の同意を得る必要はないと考えてよいのでしょうか。

A4-8

医療・介護関係事業者内部の利用であり、利用目的が既に公表されていれば、改めて本人の同意を得る必要はありません。ただし、公表された利用目的の範囲内であっても、できる限り氏名等を消去するなど、必要最小限の利用とすることが望ましいです。

Q4-9

医療機関の職員を対象とした症例検討会(職員の知識や技能の向上を目的とするもの)を実施する際、当該医療機関以外の施設の職員から参加希望がありました。既に、利用目的として「院内で行う症例検討会への利用」を公表していますが、この場合は、症例検討会で利用する症例の患者から第三者提供の同意を得る必要があるのでしょうか。

A4-9

医療・介護関係事業者の職員以外の者が症例検討会に参加する場合には、当該検討会で利用する患者の個人データを「第三者提供」することになるため、原則として、あらかじめ患者本人から同意を得る必要があります。

なお、個人情報を加工して匿名加工情報を作成し、症例検討会で匿名加工情報を利用するのであれば、匿名加工情報は「個人情報」に該当しないことから、本人の同意を得る必要はありません。

Q4-10

病診連携の一環として、紹介を受けた患者の診療情報、検査結果、所見等について、紹介元医療機関に対して情報提供を行っていますが、実施に当たっての留意点は何ですか。

A4-10

紹介元医療機関に対する患者への医療の提供のために必要な情報提供は、「他の医療機関等との連携を図ること」に該当し、本ガイダンスp48、p49に示す院内掲示を行っている場合には、本人の黙示の同意が得られているものと考えます(当該内容の利用目的を院内掲示していない場合には本人の同意を得ることが必要です。)。

なお、情報提供の方法については、書類の郵送、電子ディスクの郵送、通信回線による電子送信等、様々な方法が考えられますが、いずれの場合でも安全管理措置の徹底が必要です。

Q4-11

医薬品の副作用発生時における行政機関への報告や、製薬企業が実施する医薬品の製造販売後調査に協力する際の製薬企業への情報提供に当たっては、患者の情報をどの程度記載できるのでしょうか。

A4-11

行政機関への副作用報告や、製薬企業が行う医薬品の適正使用のために必要な情報収集への協力については、医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律(昭和35年法律第145号)に基づく義務等となっていますので(同法第68条の10第2項、第68条の2の6第2項)、医療機関等では、「法令に基づく場合」として、本人の同意を得ずに第三者提供を行うことが可能です。

行政機関への副作用報告に当たっては、報告様式(「医薬品安全性情報報告書」等)に従って記載してください。

また、製薬企業が行う製造販売後調査についても製薬企業が定める様式に従って情報提供してください。通常、製薬企業では、患者の氏名の報告を不要とするなど、特定の個人を識別できない形での情報提供を求めていることから、このような場合には、必要とされていない情報まで提供することがないよう留意してください。

Q4-12

学校医として生徒の健康診断を行った場合、診断結果を学校に提出することは第三者提供に該当するのでしょうか。

A4-12

学校医は、学校保健安全法(昭和33年法律第56号)に基づき各学校(学校教育法(昭和22年法律第26号)第1条に定める学校)に置かれ、学校の職員として健康診断を行うこととなります。このため、学校に診断結果を提出することは事業者内での利用であり、第三者提供には該当しません。

なお、専修学校については、生徒に健康診断を行う必要があり、学校医に相当する医師を置くことが望ましいとされていますが、必ず置かれているわけではありません。このため、専修学校で学校医に相当する医師が置かれていない場合は、外部の医療機関に健康診断を委託することとなります。この場合、委託を受けた医療機関が専修学校に診断結果を提出することについては、本ガイダンスp50の③と同様に、生徒の黙示の同意が得られているものと考えられます。

Q4-13

がん検診の2次検診機関として患者の精密検査を行った場合、1次検診機関から、精密検査結果の提供を求められることがありますが、患者の精密検査結果を提供する場合には、患者の同意を得る必要があるのでしょうか。

A4-13

がん検診については、がん検診全体の精度管理のために、1次検診機関においては、必要に応じ、精密検査の結果等を記録することとされており、2次検診機関は、1次検診機関から、患者の精密検査結果を提供するよう依頼を受けることがあります。

その際に、2次検診機関において、患者に対し、1次検診機関に精密検査結果を提供する旨の同意を得ることは、その性質上、患者の強い不安を招きやすく、また、同意が得られた患者のみ精密検査結果を提供することはがん検診全体の制度管理に影響を与えることが考えられます。

このため、がん検診の精度管理のために、2次検診機関が、1次検診機関に患者の精密検査結果を提供することは、個人情報保護法第27条第1項第3号(公衆衛生の向上のために特に必要がある場合であって、本人の同意を得ることが困難であるとき)に該当し、あらかじめ患者の同意を得る必要はありません。

Q4-14

介護保険施設の入所者が、他の介護保険施設に移動する際に、移動先の施設の求めに応じて入所者の個人情報の提供を行う場合は、本人の同意は必要なのでしょうか。

A4-14

特別養護老人ホーム、介護老人保健施設及び介護医療院については、「指定介護老人福祉施設の人員、設備及び運営に関する基準(平成11年厚生省令第39号)」などそれぞれの指定基準において、「居宅介護支援事業者等に対して、入所者に関する情報を提供する際には、あらかじめ文書により入所者の同意を得ておかなければならない。」とされています(例:指定介護老人福祉施設の人員、設備及び運営に関する基準第30条第3項)。

このため、移動先の施設から、利用者の心身の状況等の個人情報を求められた場合については、指定基準に基づいて、あらかじめ文書により入所者の同意を得る必要があります。

Q4-15

ホームページや機関誌に、行事などにおける利用者の写真を掲載する場合、本人の同意を得る必要はありますか。また、介護保険施設内に写真を展示する場合はどうでしょうか。

A4-15

写真についても、個人を識別できるものであれば個人情報に当たります。したがって、ホームページや機関誌への掲載、施設内への展示等を通じ、当該写真を第三者の閲覧に供するに際しては、原則として本人の同意を得る必要があります。

Q4-16

高齢者虐待事例の解決に当たって、担当ケアマネジャーなどの関係機関に高齢者の個人情報を提供する場合、高齢者本人の同意を得ることが難しいケースがありますが、高齢者本人の同意が得られないと情報提供はできないのでしょうか。

A4-16

高齢者虐待については、市町村、担当ケアマネジャーや介護サービス事業者が十分に連携して解決に当たることが必要です。事案によっては高齢者本人の同意を得ることが困難なケースが考えられますが、高齢者本人の生命、身体又は財産の保護のために必要である場合は、個人情報保護法第27条第1項第2号(人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき)に該当するものとして、高齢者本人の同意が得られなくても、関係機関に情報提供を行うことが可能です。

Q4-17

大規模災害や事故等で、意識不明で身元の確認ができない多数の患者が複数の医療機関に分散して搬送されている場合に、患者の家族又は関係者と称する人から、患者が搬送されているかという電話での問合せがありました。相手が家族等であるか十分に確認できないのですが、患者の存否情報を回答してもよいでしょうか。

A4-17

患者が意識不明であれば、本人の同意を得ることが困難な場合に該当します。また、個人情報保護法第27条第1項第2号の「人の生命、身体又は財産の保護のために必要がある場合」の「人」には、患者本人だけではなく、第三者である患者の家族や職場の人等も含まれます。

このため、このような場合は、第三者提供の例外に該当し、本人の同意を得ずに存否情報等を回答することができ得ると考えられるので、災害の規模等を勘案して、本人の安否を家族等の関係者に迅速に伝えることによる本人や家族等の生命、身体又は財産の保護に資するような情報提供を行うべきと考えます。

なお、「本人の同意を得ることが困難な場合」については、本人が意識不明である場合等のほか、医療機関としての通常の体制と比較して、非常に多数の傷病者が一時に搬送され、家族等からの問合せに迅速に対応するためには、本人の同意を得るための作業を行うことが著しく不合理と考えられる場合も含まれるものと考えます。

Q4-18

上記の状況で、患者の家族等である可能性のある電話の相手から、患者の容態等についての問合せがあれば、どの範囲まで回答すべきでしょうか。

A4-18

電話による問合せで、相手と患者との関係が十分に確認できない場合には、存否情報や怪我の程度等の情報提供に限定することも考えられますし、相手が患者の特徴を具体的に説明できるなど相手が患者の家族等であると確認できる場合には、より詳細な情報提供を行うことも可能と考えます(参照:本ガイダンスp23、p24)。

Q4-19

上記の方法により連絡のついた家族等から、意識不明である患者の既往歴、治療歴等を聴取することは問題ありませんか。

A4-19

患者が意識不明である場合に、家族等から当該患者の治療のために必要な既往歴、治療歴等の要配慮個人情報を取得する場合は、「人の生命、 身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」(個人情報保護法第20条第1項第2号)に該当するため、患者本人の同意を得ることなく、当該情報を取得することが可能ですので、問題ありません。この場合、本人の意識が回復した後に、家族等から取得した情報の内容とその相手について本人に説明することになります(参照:本ガイダンスp23、p24)。

Q4-20

Q4-17のような状況において、報道機関や地方公共団体等から身元不明の患者に関する問合せがあった場合、当該患者の情報を提供することはできますか。

A4-20

報道機関や地方公共団体等を経由して、身元不明の患者に関する情報が広く提供されることにより、家族等がより早く患者を探しあてることが可能になると判断できる場合には、A4-17のように「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」に該当するので、医療機関は、存否確認に必要な範囲で、意識不明である患者の同意を得ることなく患者の情報を提供することが可能と考えられます。具体的な対応については、個々の事例に応じて医療機関が判断する必要があります。

Q4-21

病院に勤務している医師が退職し診療所を開業することになり、当該医師から、開業の挨拶をしたいので自分が診察を行っている患者の氏名や住所を教えてほしいと言われました。当該医師に患者の氏名等を提供してよいでしょうか。

A4-21

診療録等に記載された情報は、個人情報取扱事業者である病院が管理しているものであり、これを退職した医師に提供することは、個人データの(事業者である病院から医師個人に対する)第三者提供に該当します。したがって、医師に氏名、住所等を提供する場合には、あらかじめ患者本人の同意を得る必要があり、同意を得た範囲の患者の個人データについては、医師に提供することは可能です。

なお、引き続き当該医師の診療を希望する患者の利便を図るため、病院から、医師の退職時期、新しく着任する医師の紹介、当該医師の受診継続を希望する場合の連絡先等を連絡することは、患者の診療の継続に資するものと考えられます。このため、病院が医師に患者の個人データを提供するのでなく、病院が直接患者に対して、退職医師の診療所開業についての情報提供を行うことは可能です。このような情報提供を行う場合には、①病院の業務として行うこと、②連絡した内容が第三者に分からないよう封書等を利用すること(家族等への情報提供の範囲などに条件を付している患者については特に配慮すること)、等の配慮が必要と考えます。

Q4-22

市役所から、介護保険の手続きのため、主治医の意見書の提出を求められました。患者の同意を得ずに、意見書を提出してよいでしょうか。

A4-22

介護保険法第27条第3項において、市町村は、要介護認定の申請書が提出されたときは、当該申請に係る被保険者の主治の医師に対し、当該被保険者の身体上又は精神上の障害の原因である疾病又は負傷の状況等につき意見を求めるものとされています。このため、個人情報保護法第27条第1項第1号に定める第三者提供の制限の例外である「法令に基づく場合」に該当するので、本人の同意を得ずに市役所へ意見書の提出を行うことができます。

Q4-23

学校で怪我をした生徒に担任の教師が付き添って来ました。本ガイダンスp46には、「学校からの照会には回答してはならない」とありますが、保護者の同意書等がなければ担任の教師に怪我の状態などを説明してはいけないのでしょうか。

A4-23

個人情報保護法では、「あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。」とされており、怪我の症状を担任の教師に説明することは、第三者提供に該当します。

質問のケースにあてはめると、「本人」というのは生徒のことであり、保護者ではありません(保護者は未成年である子供の代理人にはなります。)。そして、質問のケースについては、本ガイダンスp46において、保険会社や職場からの照会と並べて記述している「学校からの照会」一般の回答ではなく、 p50に掲載している、「本人の同意が得られていると考えられる場合」の一例である「家族等への病状説明」の記述が参考になります。

すなわち、生徒が付き添ってきた教師の同席を拒まないのであれば、生徒本人と担任の教師を同席させて怪我の状態や治療の進め方等について説明を行うことができると考えます。

同席して説明を受けなかった場合に、後から担任の教師が医療機関に問い合わせるのは、「学校からの照会」一般の考え方に戻りますので、本人の同意がなければ回答してはならないことになります。

ただし、怪我の原因となった事故の再発防止や、再発した際の応急処置等に有効であり、学校側に必要な情報を伝えておくべき場合は、「人の生命、身体の保護のために必要がある場合」に該当し、仮に当該生徒本人の同意が得られない場合であっても、必要な範囲で担任の教師に情報提供できる場合があると考えます。

Q4-24

警察や検察等の捜査機関からの照会や事情聴取に関して、「第三者提供の制限の例外」に該当する場合には、どのようなものがあるでしょうか。

A4-24

警察や検察等の捜査機関の行う刑事訴訟法(昭和23年法律第131号)第197条第2項に基づく照会(同法第507条に基づく照会も同様)は、相手方に報告すべき義務を課すものと解されている上、警察や検察等の捜査機関の行う任意捜査も、これへの協力は任意であるものの、法令上の具体的な根拠に基づいて行われるものであり、いずれも第三者提供の制限の例外である個人情報保護法第27条第1項第1号の「法令に基づく場合」に該当すると解されています。

また、個別の犯罪捜査以外でも、例えば、災害発生時等に警察が負傷者の住所、氏名や傷の程度等を照会する場合等公共の安全と秩序の維持の観点から照会する場合は、同法第27条第1項第4号の「国の機関が法令で定める事務を遂行することに対して協力する必要がある場合」で、「本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき」に該当すると考えられます。

Q4-25

警察や検察等の捜査機関から患者の状況について照会や事情聴取があった場合、患者本人の同意を得ずに回答できるのでしょうか。個人情報保護法の施行を機に警察等からの照会等に対する取扱いを変えた方がよいですか。

A4-25

刑事訴訟法第197条第2項又は第507条に基づく警察や検察等の捜査機関からの照会や事情聴取は、個人情報保護法第27条第1項第1号の「法令に基づく場合」に該当し、患者本人の同意を得ずに回答しても同法違反とはなりません。また、災害発生時等における照会については同法第27条第1項第4号に該当すると考えられることから、これらに関する取扱いを変更する必要はなく、従来どおりの対応が可能と考えます。

なお、上記照会や事情聴取により求められた患者の状況その他の医療情報を患者本人の同意なく提供することが民法上の不法行為を構成することは、通常は考えにくいと思われます。もっとも、求められた情報以外の情報を提供した場合には、損害賠償を請求されるおそれも否定できません。照会や事情聴取に応じ警察や検察等の捜査機関に対し個人情報を提供する場合には、当該情報提供を求めた捜査官の役職、氏名を確認するとともに、その求めに応じ提供したことを後日説明できるようにしておくことが必要と思われます。

Q4-26

警察等から、警察等が取り扱う死体の死因又は身元の調査等に関する法律(平成24年法律第34号)第4条第3項の規定に基づき、死者の生前の診療情報等の提供の依頼があった場合、遺族の同意を得ずに回答できるのでしょうか。

A4-26

死者に関する情報は、個人情報保護法に規定する「個人情報」には該当しませんが、遺族等の生存する個人に関する情報でもある場合は当該生存する個人に関する情報となるため、個人情報保護法等を踏まえた取扱いが必要です。また、本ガイダンスでは、「患者・利用者が死亡した後においても、医療・介護関係事業者等が当該患者・利用者の情報を保存している場合には、漏えい、滅失又は毀損の防止のため、個人情報と同等の安全管理措置を講ずるものとする。」と規定しています(参照:本ガイダンスp3)。

しかし、警察等が取り扱う死体の死因又は身元の調査等に関する法律第4条第3項の規定に基づく警察署長からの死者の診療情報等に関する情報提供の依頼は、個人情報保護法第27条第1項第1号の「法令に基づく場合」に該当するため、遺族の同意がなくとも、その情報を提供することが可能です。

Q4-27

医療機関の廃止等の理由により、別の医療機関が業務を承継することになりましたが、診療録等の個人データを提供する際に、患者の同意が必要なのでしょうか。

A4-27

本件のような場合は、「合併その他の事由による事業の承継に伴って個人データが提供される場合」(個人情報保護法第27条第5項第2号) であり、承継先の医療機関は第三者に該当しないので、患者の同意がなくても提供可能です。

Q4-28

医療法第6条の6第1項の規定に基づく麻酔科標榜許可に係る申請を行おうとしている医師から、過去に実施した麻酔記録や手術記録の書類の提供を求められましたが、対象となった患者の同意を得た上で提供する必要があるのでしょうか。

A4-28

麻酔科標榜許可に係る申請では、申請する医師に対して麻酔記録や手術記録の提出を求めておりますが(医療法施行規則第1条の10第3項)、申請書の提出に当たって必要な場合には、当該医師が現に勤務し、又は過去に勤務していた医療機関に対し、これらの書類の提出を求めることができるとされており(同条第6項)、この場合、個人情報保護法第27条第1項第1号の「法令に基づく場合」に該当しますので、患者の同意を得なくても提供可能です。

なお、麻酔記録や手術記録には、「患者の氏名等麻酔記録又は手術記録をそれぞれ識別できる情報」が記載されている必要がありますが(医療法施行規則第1条の10第4項第3号、同条第5項第2号)、当該情報は、患者の氏名のほか、患者の登録番号等、医療機関において識別することのできる情報を指します。

Q4-29

生活保護法(昭和25年法律第144号)に基づき行われる、指定医療機関による福祉事務所への被保護者に係る病状報告とはどのようなものですか。また、被保護者本人の同意を得なくても、回答することは可能でしょうか。

A4-29

福祉事務所が、現に生活保護の医療扶助を受給している者について、その

  • 稼働能力の有無や程度の判定
  • 医療扶助等生活保護費の給付の必要性や程度の判定

等、生活保護の決定・実施及び自立の助長のために必要な医学的所見を指定医療機関に対して求める調査において、指定医療機関が行う報告のことをいいます。

この指定医療機関が行う病状報告は、生活保護法第50条及び指定医療機関医療担当規程(平成26年厚生労働省告示第437号)第7条に基づくものであり、指定医療機関は福祉事務所からの調査に応じる義務があるものであって、第三者提供の例外規定のうち「法令に基づく場合」に該当するので(個人情報保護法第27条第1項第1号)、医療機関は本人の同意を得ずに当該調査に対して回答することが可能です。

Q4-30

自殺未遂者が救命救急センターに搬送された際、自殺未遂者の再度の自殺を防ぐ等のため、救命救急センターから関係機関等へ自殺未遂者の個人情報を提供してよいでしょうか。

A4-30

本人の同意があれば、関係機関等へ情報提供して差し支えありませんが、本人の同意がない場合であっても、再度自殺をする蓋然性が極めて高いなど生命の保護のために必要であって、本人の同意を得ることが困難である場合(本人に同意を求めても同意しない場合、本人に同意を求めること自体が困難な場合など)には、関係機関等へ情報提供しても差し支えありません。ただし、必要とされる情報の範囲に限って提供しなければなりません(参照:本ガイダンスp46、p47)。

Q4-31

診療情報等の個人データの保存を外国の事業者に委託することはできますか。

A4-31

診療情報の外部保存を行う場合には、厚生労働省において策定している「医療情報システムの安全管理に関するガイドライン」によることとされています。

当該ガイドラインにおいては、外部の事業者との契約に基づいて医療情報を外部保存する場合、「保存された情報を格納する情報機器等が、国内法の適用を受けることを確認すること」を求めています。また、当該事業者においては、総務省・経済産業省が定めた「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」を遵守する必要があります。

Q4-32

医療・介護関係事業者において、確認・記録義務が適用されないのは、どのような場合でしょうか。

A4-32

個人データの第三者提供について適正な取扱いが確保されるよう、個人データを第三者提供する場合及び第三者から個人データを受領した場合には、一定事項を確認・記録する必要があります。

ただし、国の機関、地方公共団体、独立行政法人等(国立大学法人や独立行政法人国立病院機構など、個人情報保護法別表第2に掲げる法人を除く。)及び地方独立行政法人(地方独立行政法人法第21条第1号に掲げる業務を主たる目的とするもの又は同条第2号若しくは第3号(チに係る部分に限る。)に掲げる業務を目的とするものを除く。)へ提供する場合(個人情報保護法第16条第2項各号に該当)、法令に基づいて個人データを提供する場合(同法第27条第1項1号に該当)、検体検査業務の委託その他の業務委託の場合(同法第27条第5項第1号に該当)、他の医療機関、介護サービス事業者等と連携する場合(本人に代わって提供)、家族等へ病状説明を行う場合(本人と一体と評価できる関係にある者に提供)などの場合については、確認・記録義務が適用されないこととなっています。

<本人からの請求による保有個人データの開示>
Q5-1

診療録には、患者について客観的な検査をしたデータもあれば、それに対して医師が行った判断や評価も書かれています。つまり、診療録は、当該診療録を作成した医師の側からみると、自分が行った判断や評価を書いているので、医師の個人情報とも言うことができますか。

A5-1

診療録等に記載されている情報の中には、患者と医師等双方の個人情報という二面性を持っている部分があります。しかし、そもそも診療録全体が患者の保有個人データであることから、患者本人から開示の請求がある場合に、その二面性があることを理由に、診療録の全部又は一部を開示しないことはできません(参照:本ガイダンスp72、p73)。

Q5-2

保有個人データの開示に当たっては、どのような方法で開示すべきでしょうか。

A5-2

令和2年改正法の施行により、個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの開示の請求を受けたときは、本人に対し、電磁的記録の提供による方法、書面の交付による方法その他当該個人情報取扱事業者の定める方法のうち本人が請求した方法(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)により、遅滞なく、当該保有個人データを開示することとなりました。

なお、「診療情報の提供等に関する指針」では、診療記録の開示の際、患者等が補足的な説明を求めたときは、医療従事者等はできる限り速やかにこれに応じなければならず、この場合にあっては、担当の医師等が説明を行うことが望ましいとされています。

<開示等の請求に応じる手続及び手数料>
Q6-1

患者から電子カルテを対象とする保有個人データの開示の請求を受けた場合、医療機関等は、当該請求に対応するに当たって、どのような点に留意する必要がありますか。

A6-1

医療・介護関係事業者は、保有個人データの開示等の請求等を受けた場合には、本人に対し、当該請求等の対象となる保有個人データ等を特定するに足りる事項の提示を求めることができますが、この場合には、本人が容易かつ的確に開示等の請求等を行うことができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければなりません(個人情報保護法第37条第2項)。

いわゆる電子カルテに関しては、例えば、①電子カルテに係るシステムが医師等による加筆修正の履歴を記録する機能を有している場合における当該履歴に関する情報や、②電子カルテに係るシステムが個々の電子カルテにいわゆる付箋を付す機能を有している場合における当該付箋に記録された情報も、保有個人データの開示等の請求等の対象になり得ます。

したがって、上記のいずれかの機能を有するシステムを利用している医療機関等は、患者から電子カルテを対象とする保有個人データの開示の請求を受けた場合には、必要に応じて、当該患者に対し、これらの情報を保有していること等を説明した上で、当該請求の対象にこれらの情報が含まれるかを確認するなど、適切な対応を行うことが求められます。

Q6-2

患者・利用者の代理人から、患者・利用者本人の委任状を提出の上、保有個人データの開示の請求があった場合は、本人の意思が明らかであるとみなしてよいでしょうか。

A6-2

個人情報保護法及び個人情報保護法施行令においては、法定代理人 や本人が委任した代理人が開示等の請求をすることができるとされています。本ガイダンスでは、このような代理人による開示等の請求があった場合につ いて、当該代理人の請求が本人の意思によるものであるかを慎重に確認することを求めています。

このため、本人の委任状が提出された場合であっても、開示の請求を行った者及び開示する保有個人データの範囲等について、本人の意思を確認する必要があります(参照:本ガイダンスp79)。

Q6-3

保有個人データの開示にあたり、費用として請求出来る妥当な金額はいくらでしょうか。

A6-3

個人情報保護法では、実費を勘案して合理的と認められる範囲内であれば手数料を徴収できることとされています。具体的な金額は、個別の事例に応じて判断が異なるものであると考えます。