平成 29 年4月14日
(令和6年3月 一部改正)
個人情報保護委員会
厚生労働省
PDF版
(PDF : 2470KB)
|(参考)令和6年3月 新旧対照表
(PDF : 1013KB)
]
目次
Ⅰ 本ガイダンスの趣旨、目的、基本的考え方
- 1.本ガイダンスの趣旨
- 2.本ガイダンスの構成及び基本的考え方
- 3.本ガイダンスの対象となる「医療・介護関係事業者」の範囲
- 4.本ガイダンスの対象となる「個人情報」の範囲
- 5.個人情報保護委員会の権限行使との関係
- 6.医療・介護関係事業者が行う措置の透明性の確保と対外的明確化
- 7.責任体制の明確化と患者・利用者窓口の設置等
- 8.遺族への診療情報の提供の取扱い
- 9.個人情報が研究に活用される場合の取扱い
- 10.遺伝情報を診療に活用する場合の取扱い
- 11.他の法令等との関係
- 12.認定個人情報保護団体における取組
Ⅱ 用語の定義等
Ⅲ 本ガイダンスの対象となる事業者の種別と法の適用関係
Ⅳ 医療・介護関係事業者の義務等
- 1.医療・介護関係事業者の義務等にかかる各種定義(法第16条)
- 2.医療・介護関係事業者における取組
- 3.利用目的の特定等(法第17条、第18条)
- 4.不適正な利用の禁止(法第19条)
- 5.利用目的の通知等(法第21条)
- 6.個人情報の適正な取得、個人データ内容の正確性の確保(法第20条、第22条)
- 7.安全管理措置、従業者の監督及び委託先の監督(法第23条~第25条)
- 8.漏えい等の報告等(法第26条)
- 9.個人データの第三者提供(法第27条)
- 10.外国にある第三者への提供の制限(法第28条)
- 11.第三者提供に係る記録の作成等(法第29条)
- 12.第三者提供を受ける際の確認等(法第30条)
- 13.保有個人データに関する事項の公表等(法第32条)
- 14.本人からの請求による保有個人データ等の開示(法第33条)
- 15.訂正及び利用停止(法第34条、第35条)
- 16.開示等の請求等に応じる手続及び手数料(法第37条、第38条)
- 17.理由の説明、事前の請求、苦情の対応(法第36条、第39条~第40条)
V ガイダンスの見直し等
- 1.必要に応じた見直し
- 2.本ガイダンスを補完する事例集の作成・公開
- 別表1医療・介護関係法令において医療・介護関係事業者に作成・保存が義務づけられている記録例
- 別表2医療・介護関係事業者の通常の業務で想定される利用目的
- 別表3医療・介護関連事業者の通常の業務で想定される主な事例(法令(条例を含む。)に基づく場合)
- 別表4医療関係資格、介護サービス従業者等に係る守秘義務等
- 別表5医学研究分野における関連指針
- 別表6UNESCO国際宣言等
Ⅰ 本ガイダンスの趣旨、目的、基本的考え方
1.本ガイダンスの趣旨
本ガイダンスは、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)を踏まえ、「個人情報の保護に関する法律についてのガイドライン(通則編)」(平成28年個人情報保護委員会告示第6号。以下「通則ガイドライン」という。)を基礎とし、法第6条及び第9条の規定に基づき、法の対象となる病院(医療法(昭和23年法律第205号)第1条の5第1項に規定する病院をいう。以下同じ。)、診療所(同条第2項に規定する診療所をいう。以下同じ。)、薬局(医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律(昭和35年法律第145号。以下「医薬品医療機器等法」という。)第2条第12項に規定する薬局をいう。以下同じ。)、介護保険法(平成9年法律第123号)に規定する居宅サービス事業を行う者等の事業者等が行う個人情報の適正な取扱いの確保に関する活動を支援するための具体的な留意点・事例等を示すものである。
なお、本ガイダンスは医療・介護関係事業者における実例に照らした内容であるため、本ガイダンスに記載のない事項及び関係条文については通則ガイドライン、「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」(平成28年個人情報保護委員会告示第7号)、「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」(平成28年個人情報保護委員会告示第8号) 「個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)」(平成28年個人情報保護委員会告示第9号。以下「仮名加工情報・匿名加工情報ガイドライン」という。)及び「個人情報の保護に関する法律についてのガイドライン(認定個人情報保護団体編)」(令和3年個人情報保護委員会告示第7号)をそれぞれ参照されたい。
2.本ガイダンスの構成及び基本的考え方
個人情報の取扱いについては、法第3条において、「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものである」とされていることを踏まえ、個人情報を取り扱う全ての者は、その目的や様態を問わず、個人情報の性格と重要性を十分認識し、その適正な取扱いを図らなければならない。
医療分野は、個人情報の性質や利用方法等から、法第6条の規定に基づく特に適正な取扱いの厳格な実施を確保する必要がある分野の一つであることから、各医療機関等における積極的な取組が求められる。
また、介護分野においても、介護関係事業者は、多数の利用者やその家族について、他人が容易には知り得ないような個人情報を詳細に知りうる立場にあり、医療分野と同様に個人情報の適正な取扱いが求められる分野と考えられる。
このことを踏まえ、本ガイダンスでは、法の趣旨を踏まえ医療・介護関係事業者における個人情報の適正な取扱いが確保されるよう、遵守すべき事項及び遵守することが望ましい事項をできる限り具体的に示しており、各医療・介護関係事業者においては、法令、「個人情報の保護に関する基本方針」(平成16年4月2日閣議決定。以下「基本方針」という。)及び本ガイダンスの趣旨を踏まえ、個人情報の適正な取扱いに取り組む必要がある。
具体的には、医療・介護関係事業者は、本ガイダンスの【法の規定により遵守すべき事項等】のうち、「しなければならない」等と記載された事項については、法の規定により厳格に遵守することが求められる。また、【その他の事項】については、法に基づく義務等ではないが、達成できるよう努めることが求められる。
3.本ガイダンスの対象となる「医療・介護関係事業者」の範囲
本ガイダンスが対象としている事業者の範囲は、①病院、診療所、助産所、薬局、訪問看護ステーション等の患者に対し直接医療を提供する事業者(以下「医療機関等」という。)、②介護保険法に規定する居宅サービス事業、介護予防サービス事業、地域密着型サービス事業、地域密着型介護予防サービス事業、居宅介護支援事業、介護予防支援事業及び介護保険施設を経営する事業並びに老人福祉法(昭和38年法律第133号)に規定する老人居宅生活支援事業及び老人福祉施設を経営する事業その他高齢者福祉サービス事業を行う者(以下「介護関係事業者」という。)であって、法第4章に規定する民間部門における規律の全部又は一部の適用を受ける者(※)である。ただし、医療機関等又は介護関係事業者であって、民間部門における規律の適用を受けない者も、医療・介護分野における個人情報保護の精神は同一であることから、本ガイダンスに十分配慮することが望ましい。
(※)民間部門における規律(法第4章)の全部又は一部の適用を受ける者には、以下の者を含む(詳細はⅢを参照)。
- 独立行政法人等(独立行政法人通則法(平成11年法律第103号)第2条第1項に規定する独立行政法人及び法別表第1に掲げる法人をいう。以下同じ。)のうち法別表第2に掲げる法人(以下「法別表第2法人」という。詳細はⅢを参照。)
- 地方独立行政法人(地方独立行政法人法(平成15年法律第118号)第2条第1項に規定する地方独立行政法人をいう。以下同じ。)のうち同法第21条第1号に掲げる業務(試験研究等)を主たる目的とするもの又は同条第2号(大学等の設置及び管理)若しくは第3号チ(病院事業の経営)に掲げる業務を目的とするもの(以下「病院経営等地方独立行政法人」という。)
- 地方公共団体の機関(議会を除く。以下同じ。)(病院若しくは診療所又は大学の運営の業務に限る。)
- 独立行政法人労働者健康安全機構(病院の運営の業務に限る。)
※ 民間部門における規律(法第4章)の全部又は一部の適用を受けない者にあっては、法第5章に規定する公的部門における規律の全部又は一部の適用を受けることとなるため、個人情報保護委員会が公表する公的部門ガイドライン等も参照する必要がある。詳細はIIIを参照されたい。
なお、検体検査、患者等や介護サービス利用者への食事の提供、施設の清掃、医療事務の業務など、医療・介護関係事業者から委託を受けた業務を遂行する事業者においては、本ガイダンスのIV7.に沿って適切な安全管理措置を講ずることが求められるとともに、当該委託を行う医療・介護関係事業者は、業務の委託に当たり、本ガイダンスの趣旨を理解し、本ガイダンスに沿った対応を行う事業者を委託先として選定するとともに、委託先事業者における個人情報の取扱いについて定期的に確認を行い、適切な運用が行われていることを確認する等の措置を講ずる必要がある。
4.本ガイダンスの対象となる「個人情報」の範囲
法令上「個人情報」とは、生存する個人に関する情報であり、個人情報取扱事業者の義務等の対象となるのは、生存する個人に関する情報に限定されている。本ガイダンスは、医療・介護関係事業者が保有する生存する個人に関する情報のうち、医療・介護関係の情報を対象とするものであり、また、診療録等の形態に整理されていない場合でも個人情報に該当する。
なお、当該患者・利用者が死亡した後においても、医療・介護関係事業者が当該患者・利用者の情報を保存している場合には、漏えい、滅失又は毀損の防止のため、個人情報と同等の安全管理措置を講ずるものとする。
5.個人情報保護委員会の権限行使との関係
本ガイダンス中、【法の規定により遵守すべき事項等】に記載された内容のうち、医療・介護関係事業者の義務とされている内容を個人情報取扱事業者としての義務を負う医療・介護関係事業者が遵守しない場合、個人情報保護委員会は、法第146条から第148条までの規定に基づき、「報告徴収」、「立入検査」、「指導・助言」、「勧告」及び「命令」を行うことがある。
また、法第150条第1項の規定に基づき、法第146条第1項の規定による権限が個人情報保護委員会から事業所管大臣である厚生労働大臣に委任された場合には、厚生労働大臣が報告徴収及び立入検査を行うことがある。
さらに、法第170条及び個人情報の保護に関する法律施行令(平成15年政令第507号。以下「令」という。)第40条において、法第146条第1項に規定する個人情報保護委員会の権限及び法第150条第1項の規定により事業所管大臣に委任された権限に属する事務は、個人情報取扱事業者が行う事業であって事業所管大臣が所管するものについての報告徴収及び立入検査に係る権限に属する事務の全部又は一部が、他の法令の規定により地方公共団体の長その他の執行機関が行うこととされているときは、当該地方公共団体の長等が法に基づく報告徴収及び立入検査を行うことがある。
6.医療・介護関係事業者が行う措置の透明性の確保と対外的明確化
法第3条では、個人の人格尊重の理念の下に個人情報を慎重に扱うべきことが指摘されている。
医療・介護関係事業者は、個人情報保護に関する考え方や方針に関する宣言(いわゆる、プライバシーポリシー、プライバシーステートメント等)及び個人情報の取扱いに関する明確かつ適正な規則を策定し、それらを対外的に公表することが求められる。また、患者等から当該本人の個人情報がどのように取り扱われているか等について知りたいという求めがあった場合は、当該規則に基づき、迅速に情報提供を行う等必要な措置を行うものとする。
個人情報保護に関する考え方や方針に関する宣言の内容としては、医療・介護関係事業者が個人の人格尊重の理念の下に個人情報を取り扱うこと及び関係法令及び本ガイダンス等を遵守すること等、個人情報の取扱いに関する規則においては、個人情報に係る安全管理措置の概要、本人等からの開示等の手続、第三者提供の取扱い、苦情への対応等について具体的に定めることが考えられる。
なお、利用目的等を広く公表することについては、以下のような趣旨があることに留意すべきである。
- ①医療・介護関係事業者で個人情報が利用される意義について患者・利用者等の理解を得ること。
- ②医療・介護関係事業者において、法を遵守し、個人情報保護のため積極的に取り組んでいる姿勢を対外的に明らかにすること。
7.責任体制の明確化と患者・利用者窓口の設置等
医療・介護関係事業者は、個人情報の適正な取扱いを推進し、漏えい等の問題に対処する体制を整備する必要がある。このため、個人情報の取扱いに関し、専門性と指導性を有し、事業者の全体を統括する組織体制・責任体制を構築し、規則の策定や安全管理措置の計画立案等を効果的に実施できる体制を構築するものとする。
また、患者・利用者等に対しては、受付時、利用開始時に個人情報の利用目的を説明するなど、必要に応じて分かりやすい説明を行う必要があるが、加えて、患者・利用者等が疑問に感じた内容を、いつでも、気軽に問合せできる窓口機能等を確保することが重要である。また、患者・利用者等の相談は、医療・介護サービスの内容とも関連している場合が多いことから、個人情報の取扱いに関し患者・利用者等からの相談や苦情への対応等を行う窓口機能等を整備するとともに、その窓口がサービスの提供に関する相談機能とも有機的に連携した対応が行える体制とするなど、患者・利用者等の立場に立った対応を行う必要がある。
なお、個人情報の利用目的の説明や窓口機能等の整備、開示の請求を受け付ける方法を定める場合等に当たっては、障害のある患者・利用者等にも配慮する必要がある。
8.遺族への診療情報の提供の取扱い
法は、OECD8原則の趣旨を踏まえ、生存する個人の情報を適用対象とし、個人情報の目的外利用や第三者提供に当たっては本人の同意を得ることを原則としており、死者の情報は原則として個人情報とならないことから、法及び本ガイダンスの対象とはならない。しかし、患者・利用者が死亡した際に、遺族から診療経過、診療情報や介護関係の諸記録について照会が行われた場合、医療・介護関係事業者は、患者・利用者本人の生前の意思、名誉等を十分に尊重しつつ、特段の配慮が求められる。このため、患者・利用者が死亡した際の遺族に対する診療情報の提供については、「診療情報の提供等に関する指針」(「診療情報の提供等に関する指針の策定について」(平成15年9月12日医政発第0912001号))の9において定められている取扱いに従って、医療・介護関係事業者は、同指針の規定により遺族に対して診療情報・介護関係の記録の提供を行うものとする。
9.個人情報が研究に活用される場合の取扱い
近年の科学技術の高度化に伴い、研究において個人の診療情報等や要介護認定情報等を利用する場合が増加しているほか、患者・利用者への診療や介護と並行して研究が進められる場合もある。
法及び本ガイダンスは、原則として、大学その他の学術研究を目的とする機関等が、学術研究の用に供する目的をその全部又は一部として個人情報を取り扱う場合にも適用される。もっとも、法は、利用目的による制限(法第18条)、要配慮個人情報の取得制限(法第20条第2項)、個人データの第三者提供の制限(法第27条)等の一部の規定については、憲法上の基本的人権である「学問の自由」の保障への配慮から、学術研究目的で個人情報を取り扱う一定の場合に関し、個人の権利利益を不当に侵害するおそれがある場合を除き、例外規定を置いている(IV参照)。これらの例外規定が適用される場合においても、学術研究機関等は、法第59条により、自主的に個人情報の適正な取扱いを確保するための措置を講ずることが求められており、これに当たっては、医学研究分野の関連指針(別表5参照)とともに本ガイダンスの内容についても留意することが期待される。
なお、治験及び製造販売後臨床試験における個人情報の取扱いについては、本ガイダンスのほか、医薬品医療機器等法及び関係法令(医薬品の臨床試験の実施の基準に関する省令(平成9年厚生省令第28号)等)の規定や、関係団体等が定める指針に従うものとする。また、医療機関等が自ら研究を実施する場合、企業若しくは研究機関から研究を受託して若しくは共同で実施する場合又は他の研究機関からの求めに応じて研究のために情報提供する場合における個人情報の取扱いについては、本ガイダンスのほか、別表5に掲げる医学研究分野における関連指針や、関係団体等が定める指針に従うものとする。
10.遺伝情報を診療に活用する場合の取扱い
遺伝学的検査等により得られた遺伝情報については、本人の遺伝子・染色体の変化に基づく体質、疾病の発症等に関する情報が含まれるほか、その血縁者に関わる情報でもあり、その情報は生涯変化しないものであることから、これが漏えいした場合には、本人及び血縁者が被る被害及び苦痛は大きなものとなるおそれがある。したがって、遺伝学的検査等により得られた遺伝情報の取扱いについては、UNESCO 国際宣言等(別表6参照)、別表5に掲げる指針及び関係団体等が定める指針を参考とし、特に留意する必要がある。
また、検査の実施に同意している場合においても、その検査結果が示す意味を正確に理解することが困難であったり、疾病の将来予測性に対してどのように対処すればよいかなど、本人及び家族等が大きな不安を持つ場合が多い。したがって、医療機関等が、遺伝学的検査を行う場合には、臨床遺伝学の専門的知識を持つ者により、遺伝カウンセリングを実施するなど、本人及び家族等の心理的社会的支援を行う必要がある。
11.他の法令等との関係
医療・介護関係事業者は、個人情報の取扱いにあたり、法、基本方針及び本ガイダンスに示す項目のほか、個人情報保護又は守秘義務に関する他の法令等(刑法、関係資格法、介護保険法等)の規定を遵守しなければならない。 また、病院等の管理者の監督義務(医療法第15条)や業務委託(医療法第15条の3等)に係る規定、介護関係事業者における個人情報保護に係る規定等を遵守しなければならない。
また、医療分野については、すでに「診療情報の提供等に関する指針」が定められている。これは、インフォームド・コンセントの理念等を踏まえ、医療従事者等が診療情報を積極的に提供することにより、医療従事者と患者等とのより良い信頼関係を構築することを目的としており、この目的のため、患者等からの求めにより個人情報である診療情報を開示する場合は、同指針の内容に従うものとする。
12.認定個人情報保護団体における取組
法第47条においては、個人情報取扱事業者等の個人情報等の適正な取扱いの確保を目的とする業務を行う法人等は個人情報保護委員会の認定を受けて認定個人情報保護団体となることができることとされている。認定個人情報保護団体となる医療・介護関係の団体等は、傘下の医療・介護関係事業者を対象に、個人情報保護に係る普及・啓発を推進するほか、法の趣旨に沿った指針等を自主的なルールとして定めたり、個人情報の取扱いに関する患者・利用者等のための相談窓口を開設するなど、積極的な取組を行うことが期待されている。
Ⅱ 用語の定義等
1.個人情報(法第2条第1項)
- 法第二条
- この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
- 一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
- 二 個人識別符号が含まれるもの
「個人情報」とは、生存する「個人に関する情報」であって、当該情報に含まれる氏名、生年月日、その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができるものを含む。)又は個人識別符号が含まれるものをいう。「個人に関する情報」は、氏名、住所、性別、生年月日、顔画像等個人を識別する情報に限られず、ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているか否かを問わない。
また、例えば診療録には、患者について客観的な検査をしたデータもあれば、それに対して医師が行った判断や評価も書かれている。これら全体が患者個人に関する情報に当たるものであるが、あわせて、当該診療録を作成した医師の側からみると、自分が行った判断や評価を書いているものであるので、医師個人に関する情報とも言うことができる。したがって、診療録等に記載されている情報の中には、患者と医師等双方の個人情報という二面性を持っている部分もあることに留意が必要である。
なお、死者に関する情報が、同時に、遺族等の生存する個人に関する情報でもある場合には、当該生存する個人に関する情報となる。
本ガイダンスは、医療・介護関係事業者が保有する医療・介護関係個人情報を対象とするものであり、診療録等の形態に整理されていない場合でも個人情報に該当する。
- (例)下記については、記載された氏名、生年月日、その他の記述等により特定の個人を識別することができることから、個人情報に該当する。
(医療・介護関係法令において医療・介護関係事業者に作成・保存が義務づけられている記録例は別表1参照) -
- ○医療機関等における個人情報の例
- 診療録、処方箋、手術記録、助産録、看護記録、検査所見記録、エックス線写真、紹介状、退院した患者に係る入院期間中の診療経過の要約、調剤録 等
- ○介護関係事業者における個人情報の例
- ケアプラン、介護サービス提供にかかる計画、提供したサービス内容等の記録、事故の状況等の記録 等
2.個人識別符号(法第2条第2項)
(定義)
- 法第二条
-
- この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。
- 一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
- 二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
- この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。
- 令第一条
-
個人情報の保護に関する法律(以下「法」という。)第二条第二項の政令で定める文字、番号、記号その他の符号は、次に掲げるものとする。
-
- 一 次に掲げる身体の特徴のいずれかを電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、特定の個人を識別するに足りるものとして個人情報保護委員会規則で定める基準に適合するもの
- イ 細胞から採取されたデオキシリボ核酸(別名DNA)を構成する塩基の配列
- ロ~ト(略)
- 二~六(略)
- 七 次に掲げる証明書にその発行を受ける者ごとに異なるものとなるように記載された個人情報保護委員会規則で定める文字、番号、記号その他の符号
- イ 国民健康保険法(昭和33年法律第192号)第九条第二項の被保険者証
- ロ 高齢者の医療の確保に関する法律(昭和57年法律第80号)第五十四条第三項の被保険者証
- ハ 介護保険法(平成9年法律第123号)第十二条第三項の被保険者証
- 八 その他前各号に準ずるものとして個人情報保護委員会規則で定める文字、番号、記号その他の符号
- 一 次に掲げる身体の特徴のいずれかを電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、特定の個人を識別するに足りるものとして個人情報保護委員会規則で定める基準に適合するもの
- 規則第二条
-
個人情報の保護に関する法律施行令(以下「令」という。)第一条第一号の個人情報保護委員会規則で定める基準は、特定の個人を識別することができる水準が確保されるよう、適切な範囲を適切な手法により電子計算機の用に供するために変換することとする。
- 規則第三条
-
令第一条第七号の個人情報保護委員会規則で定める文字、番号、記号その他の符号は、次の各号に掲げる証明書ごとに、それぞれ当該各号に定めるものとする。
- 一 令第一条第七号イに掲げる証明書 国民健康保険法(昭和33年法律第192号)第百十一条の二第一項に規定する保険者番号及び被保険者記号・番号
- 二 令第一条第七号ロに掲げる証明書 高齢者の医療の確保に関する法律(昭和57年法律第80号)第百六十一条の二第一項に規定する保険者番号及び被保険者番号
- 三 令第一条第七号ハに掲げる証明書 同号ハに掲げる証明書の番号及び保険者番号
- 規則第四条
-
令第一条第八号の個人情報保護委員会規則で定める文字、番号、記号その他の符号は、次に掲げるものとする。
- 一 健康保険法(大正11年法律第70号)第三条第十一項に規定する保険者番号及び同条第十二項に規定する被保険者等記号・番号
- 二 船員保険法(昭和14年法律第73号)第二条第十項に規定する保険者番号及び同条第十一項に規定する被保険者等記号・番号
- 三~四 (略)
- 五 私立学校教職員共済法(昭和28年法律第245号)第四十五条第一項に規定する保険者番号及び加入者等記号・番号
- 六 国家公務員共済組合法(昭和33年法律第128号)第百十二条の二第一項に規定する保険者番号及び組合員等記号・番号
- 七 地方公務員等共済組合法(昭和37年法律第152号)第百四十四条の二十四の二第一項に規定する保険者番号及び組合員等記号・番号
- 八~九 (略)
「個人識別符号」とは、当該情報単体から特定の個人を識別できるものとして令に定められた文字、番号、記号その他の符号をいい、これに該当するものが含まれる情報は個人情報となる。
具体的な内容は、令第1条及び個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号。以下「規則」という。)第2条から第4条までに定められており、例えば、細胞から採取されたデオキシリボ核酸(別名DNA)を構成する塩基の配列、健康保険法に基づく保険者番号や被保険者等記号・番号などが該当する。
したがって、当該保険者番号及び被保険者番号・記号のいずれもが含まれる情報は、個人情報となる。
3.要配慮個人情報(法第2条第3項)
- 法第二条
-
- この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。
- 令第二条
-
法第二条第三項の政令で定める記述等は、次に掲げる事項のいずれかを内容とする記述等(本人の病歴又は犯罪の経歴に該当するものを除く。)とする。
-
- 一 身体障害、知的障害、精神障害(発達障害を含む。)その他の個人情報保護委員会規則で定める心身の機能の障害があること。
- 二 本人に対して医師その他医療に関連する職務に従事する者(次号において「医師等」という。)により行われた疾病の予防及び早期発見のための健康診断その他の検査(同号において「健康診断等」という。)の結果。
- 三 健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと。
- 四 本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと。
- 五 本人を少年法(昭和23年法律第168号)第三条第一項に規定する少年又はその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと。
- 規則第五条
-
令第二条第一号の個人情報保護委員会規則で定める心身の機能の障害は、次に掲げる障害とする。
-
- 一 身体障害者福祉法(昭和24年法律第283号)別表に掲げる身体上の障害
- 二 知的障害者福祉法(昭和35年法律第37号)にいう知的障害
- 三 精神保健及び精神障害者福祉に関する法律(昭和25年法律第123号)にいう精神障害(発達障害者支援法(平成16年法律第167号)第二条第一項に規定する発達障害を含み、前号に掲げるものを除く。)
- 四 治療方法が確立していない疾病その他の特殊の疾病であって障害者の日常生活及び社会生活を総合的に支援するための法律(平成17年法律第123号)第四条第一項の政令で定めるものによる障害の程度が同項の主務大臣が定める程度であるもの
「要配慮個人情報」とは、不当な差別や偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして法第2条第3項、令第2条及び規則第5条で定める記述等が含まれる個人情報をいう。なお、医療機関等及び介護関係事業者において想定される要配慮個人情報に該当する情報とは、診療録等の診療記録や介護関係記録に記載された病歴、診療や調剤の過程で、患者の身体状況、病状、治療等について、医療従事者が知り得た診療情報や調剤情報、健康診断の結果及び保健指導の内容、障害(身体障害、知的障害、精神障害等)の事実、犯罪により害を被った事実等が挙げられる。
なお、要配慮個人情報の取得や個人データの第三者提供には、原則として本人同意が必要である。また、要配慮個人情報である個人データについては、法第27条第2項の規定による第三者提供(オプトアウトによる第三者提供)は認められていないので、注意が必要である。
4.仮名加工情報(法第2条第5項)
(定義)
- 法第二条
-
- この法律において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。
- 一 第一項第一号に該当する個人情報当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
- 二 第一項第二号に該当する個人情報当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
- この法律において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。
「仮名加工情報」とは、個人情報を個人情報の区分に応じて定められた措置を講じて他の情報と照合しない限り特定の個人を識別することができないように加工して得られる個人に関する情報をいう。
仮名加工情報の加工基準等については、仮名加工情報・匿名加工情報ガイドラインを参照のこと。
5.匿名加工情報(法第2条第6項)
(定義)
- 法第二条
-
- この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
- 一 第一項第一号に該当する個人情報当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
- 二 第一項第二号に該当する個人情報当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
- この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
「匿名加工情報」とは、個人情報を個人情報の区分に応じて定められた措置を講じて特定の個人を識別することができないように加工して得られる個人に関する情報であって、当該個人情報を復元して特定の個人を再識別することができないようにしたものをいう。
匿名加工情報を作成するため、個人情報から、当該情報に含まれる氏名、生年月日、住所等の、特定の個人を識別する情報を取り除く場合や、顔写真について、一定のマスキングを行って特定の個人を識別できないよう加工する場合でも、当該個人情報を規則で定める基準に従って加工しておらず、当該個人情報を復元することができる場合には、匿名加工情報に該当しないため、注意が必要である。
匿名加工情報の加工基準等については、仮名加工情報・匿名加工情報ガイドラインを参照のこと。
なお、法別表第2法人及び病院経営等地方独立行政法人については、匿名加工情報取扱事業者等の義務に関する規定(法第4章第4節)の適用が除外され(法第58条第1項関係)、匿名加工情報の取扱いについて独立行政法人等又は地方独立行政法人による取扱いとみなして公的部門における規律(法第5章第5節)が適用される(法第125条第2項関係)。
Ⅲ 本ガイダンスの対象となる事業者の種別と法の適用関係
(適用の特例)
- 法第五十八条
- 個人情報取扱事業者又は匿名加工情報取扱事業者のうち次に掲げる者については、第三十二条から第三十九条まで及び第四節の規定は、適用しない。
- 一 別表第二に掲げる法人
- 二 地方独立行政法人のうち地方独立行政法人法第二十一条第一号に掲げる業務を主たる目的とするもの又は同条第二号若しくは第三号(チに係る部分に限る。)に掲げる業務を目的とするもの
- 次の各号に掲げる者が行う当該各号に定める業務における個人情報、仮名加工情報又は個人関連情報の取扱いについては、個人情報取扱事業者、仮名加工情報取扱事業者又は個人関連情報取扱事業者による個人情報、仮名加工情報又は個人関連情報の取扱いとみなして、この章(第三十二条から第三十九条まで及び第四節を除く。)及び第六章から第八章までの規定を適用する。
- 一 地方公共団体の機関医療法(昭和二十三年法律第二百五号)第一条の五第一項に規定する病院(次号において「病院」という。)及び同条第二項に規定する診療所並びに学校教育法(昭和二十二年法律第二十六号)第一条に規定する大学の運営
- 二 独立行政法人労働者健康安全機構病院の運営
(安全管理措置)
- 法第六十六条
- 行政機関の長等は、保有個人情報の漏えい、滅失又は毀損の防止その他の保有個人情報の安全管理のために必要かつ適切な措置を講じなければならない。
- 前項の規定は、次の各号に掲げる者が当該各号に定める業務を行う場合における個人情報の取扱いについて準用する。
- 一 (略)
- 二 指定管理者(地方自治法(昭和二十二年法律第六十七号)第二百四十四条の二第三項に規定する指定管理者をいう。) 公の施設(同法第二百四十四条第一項に規定する公の施設をいう。)の管理の業務
- 三 第五十八条第一項各号に掲げる者法令に基づき行う業務であって政令で定めるもの
- 四 第五十八条第二項各号に掲げる者 同項各号に定める業務のうち法令に基づき行う業務であって政令で定めるもの
- 五 (略)
- 前項の規定は、次の各号に掲げる者が当該各号に定める業務を行う場合における個人情報の取扱いについて準用する。
(適用の特例)
- 法第百二十五条
- 第五十八条第二項各号に掲げる者が行う当該各号に定める業務における個人情報、仮名加工情報又は個人関連情報の取扱いについては、この章(第一節、第六十六条第二項(第四号及び第五号(同項第四号に係る部分に限る。)に係る部分に限る。)において準用する同条第一項、第七十五条、前二節、前条第二項及び第百二十七条を除く。)の規定、第百七十六条及び第百八十条の規定(これらの規定のうち第六十六条第二項第四号及び第五号(同項第四号に係る部分に限る。)に定める業務に係る部分を除く。)並びに第百八十一条の規定は、適用しない。
- 第五十八条第一項各号に掲げる者による個人情報又は匿名加工情報の取扱いについては、同項第一号に掲げる者を独立行政法人等と、同項第二号に掲げる者を地方独立行政法人と、それぞれみなして、第一節、第七十五条、前二節、前条第二項、第百二十七条及び次章から第八章まで(第百七十六条、第百八十条及び第百八十一条を除く。)の規定を適用する。
- (略)
(安全管理措置を講ずべき業務)
- 令第十九条
- 法第六十六条第二項第三号の政令で定める業務は、次に掲げる業務とする。
- 一 国立研究開発法人情報通信研究機構法(平成十一年法律第百六十二号)第十九条、国立研究開発法人新エネルギー・産業技術総合開発機構法(平成十四年法律第百四十五号)第十八条、国立研究開発法人医薬基盤・健康・栄養研究所法(平成十六年法律第百三十五号)第十六条又は国立研究開発法人日本医療研究開発機構法(平成二十六年法律第四十九号)第十七条の三において準用する補助金等に係る予算の執行の適正化に関する法律(昭和三十年法律第百七十九号)の規定に基づき行う業務
- 二~五 (略)
- 六 心神喪失等の状態で重大な他害行為を行った者の医療及び観察等に関する法律(平成十五年法律第百十号)第二条第四項に規定する指定入院医療機関として同法の規定に基づき行う業務
- 七 がん登録等の推進に関する法律(平成二十五年法律第百十一号)第二十三条第一項の規定に基づき行う業務
- 八 法第五十八条第一項第二号に掲げる者が条例に基づき行う業務であって前各号に掲げる業務に類するものとして条例で定めるもの
- 法第六十六条第二項第四号の政令で定める業務は、次に掲げる業務とする。
- 一 心神喪失等の状態で重大な他害行為を行った者の医療及び観察等に関する法律第二条第四項に規定する指定入院医療機関として同法の規定に基づき行う業務
- 二 法第五十八条第二項第一号に掲げる者が同号に定める業務として条例に基づき行う業務であって前号に掲げる業務に類するものとして条例で定めるもの
(定義)
- 法第二条
-
- この法律において「行政機関」とは、次に掲げる機関をいう。
- 一 法律の規定に基づき内閣に置かれる機関(内閣府を除く。)及び内閣の所轄の下に置かれる機関
- 二 内閣府、宮内庁並びに内閣府設置法(平成十一年法律第八十九号)第四十九条第一項及び第二項に規定する機関(これらの機関のうち第四号の政令で定める機関が置かれる機関にあっては、当該政令で定める機関を除く。)
- 三 国家行政組織法(昭和二十三年法律第百二十号)第三条第二項に規定する機関(第五号の政令で定める機関が置かれる機関にあっては、当該政令で定める機関を除く。)
- 四 内閣府設置法第三十九条及び第五十五条並びに宮内庁法(昭和二十二年法律第七十号)第十六条第二項の機関並びに内閣府設置法第四十条及び第五十六条(宮内庁法第十八条第一項において準用する場合を含む。)の特別の機関で、政令で定めるもの
- 五 国家行政組織法第八条の二の施設等機関及び同法第八条の三の特別の機関で、政令で定めるもの
- 六 会計検査院
- この法律において「独立行政法人等」とは、独立行政法人通則法(平成十一年法律第百三号)第二条第一項に規定する独立行政法人及び別表第一に掲げる法人をいう。
- この法律において「地方独立行政法人」とは、地方独立行政法人法(平成十五年法律第百十八号)第二条第一項に規定する地方独立行政法人をいう。
- この法律において「行政機関等」とは、次に掲げる機関をいう。
- 一 行政機関
- 二 地方公共団体の機関(議会を除く。次章、第三章及び第六十九条第二項第三号を除き、以下同じ。)
- 三 独立行政法人等(別表第二に掲げる法人を除く。第十六条第二項第三号、第六十三条、第七十八条第一項第七号イ及びロ、第八十九条第四項から第六項まで、第百十九条第五項から第七項まで並びに第百二十五条第二項において同じ。)
- 四 地方独立行政法人(地方独立行政法人法第二十一条第一号に掲げる業務を主たる目的とするもの又は同条第二号若しくは第三号(チに係る部分に限る。)に掲げる業務を目的とするものを除く。第十六条第二項第四号、第六十三条、第七十八条第一項第七号イ及びロ、第八十九条第七項から第九項まで、第百十九条第八項から第十項まで並びに第百二十五条第二項において同じ。)
- この法律において「行政機関」とは、次に掲げる機関をいう。
法第2条第9項における別表第1に掲げる法人とは、沖縄科学技術大学院大学学園、沖縄振興開発金融公庫、外国人技能実習機構、株式会社国際協力銀行、株式会社日本政策金融公庫、株式会社日本貿易保険、原子力損害賠償・廃炉等支援機構、国立大学法人、大学共同利用機関法人、日本銀行、日本司法支援センター、日本私立学校振興・共済事業団、日本中央競馬会、日本年金機構、農水産業協同組合貯金保険機構、福島国際研究教育機構、放送大学学園及び預金保険機構をいう。
法別表第2法人(※1)における個人情報の取扱い、病院経営等地方独立行政法人(※2)における個人情報の取扱い、地方公共団体の機関が行う病院若しくは診療所又は大学の運営の業務に係る個人情報の取扱い並びに独立行政法人労働者健康安全機構が行う病院の運営の業務に係る個人情報の取扱いについては、学術研究機関、医療機関等としての特性を踏まえ、基本的に民間の学術研究機関、医療機関等と同様、民間部門における個人情報の取扱いに係る規律が適用される。
(※1)独立行政法人等のうち法別表第2に掲げる法人をいう(Ⅰの再掲)。具体的には、次の法人をいう。
- 沖縄科学技術大学院大学学園
- 国立研究開発法人
- 国立大学法人
- 大学共同利用機関法人
- 独立行政法人国立病院機構
- 独立行政法人地域医療機能推進機構
- 福島国際研究教育機構
- 放送大学学園
(※2)地方独立行政法人のうち地方独立行政法人法第21条第1号に掲げる業務(試験研究等)を主たる目的とするもの又は同条第2号(大学等の設置及び管理)若しくは第3号チ(病院事業の経営)に掲げる業務を目的とするものをいう(Ⅰの再掲)。
他方、公的機関としての特性を踏まえ、開示請求等に係る制度、行政機関等匿名加工情報の提供等については、現行の取扱いを維持し、公的部門における規律(法第5章第1節、第75条、第5章第4節及び第5節、第124条第2項、第127条並びに第6章から第8章まで(第176条、第180条及び第181条を除く。))が適用される。(法第125条第2項関係)
| 個人情報の取扱い等に関する規律 | 個人情報ファイル簿に関する規律 | 開示、訂正、利用停止等に関する規律 | 匿名加工情報に関する規律 | ||
|---|---|---|---|---|---|
| 国の行政機関 | 公的部門の規律 (第5章第2節) |
公的部門の規律 (第5章第3節) |
公的部門の規律 (第5章第4節) |
公的部門の規律 (第5章第5節) |
|
| 地方公共団体の機関 | 公的部門の規律 (第5章第2節) |
公的部門の規律 (第 5 章第 3節)※第75条のみ |
|||
| 病院若しくは診療所又は大学の運営の業務(※1) | 民間部門の規律 (第4章)(※2) |
||||
| 独立行政法人等 | 公的部門の規律 (第5章第2節) |
||||
| 法別表第2法人及び(独)労働者健康安全機構(病院の運営の業務に限る。 )(※1) | 民間部門の規律 (第4章)(※2) |
||||
| 地方独立行政法人 | 公的部門の規律 (第5章第2節) |
||||
| 病院経営等地方独立行政法人 (※1) |
民間部門の規律 (第5章)(※2) |
||||
| 個人情報取扱事業者(法別表第2法人及び病院経営等地方独立行政法人を除く。) | 民間部門の規律(第4章) | 民間部門の規律(第4章) | 民間部門の規律(第4章) | ||
- (※1)これらが行う業務のうち政令で定めるものについては、安全管理措置義務(法第66条)、従業者の義務(法第67条)及び一定の罰則(法第176条及び第180条)について、この表にかかわらず、行政機関に準じた扱いがなされる。(令第19条関係)
- (※2)法第4章第2節中保有個人データに関する事項の公表等(第32条)、開示、訂正等及び利用停止等(第33条~第39条)並びに匿名加工情報取扱事業者等の義務(第4章第4節)に関する規定は適用が除外される。(法第58条関係)
なお、診療情報の開示に当たっては、「診療情報の提供等に関する指針」の内容にも配慮する必要がある。
Ⅳ 医療・介護関係事業者の義務等
1.医療・介護関係事業者の義務等にかかる各種定義(法第16条)
- 個人情報データベース等(法第16条第1項)、個人情報取扱事業者(同条第2項)、
個人データ(同条第3項)、保有個人データ(同条第4項)
(定義)
- 法第十六条
- この章及び第八章において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。
- 一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
- 二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
- 令第四条
- 法第十六条第一項の利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものは、次の各号のいずれにも該当するものとする。
- 一 不特定かつ多数の者に販売することを目的として発行されたものであって、かつ、その発行が法又は法に基づく命令の規定に違反して行われたものでないこと。
- 二 不特定かつ多数の者により随時に購入することができ、又はできたものであること。
- 三 生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであること。
- 法第十六条第一項第二号の政令で定めるものは、同項に規定する情報の集合物に含まれる個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成したものであって、目次、索引その他検索を容易にするためのものを有するものをいう。
「個人情報データベース等」とは、特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した個人情報を含む情報の集合体、又はコンピュータを用いていない場合であっても、紙面で処理した個人情報を一定の規則(例えば、五十音順、生年月日順など)に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているものをいう。なお、個人情報データベース等に該当しないものとしては、市販の電話帳や住宅地図などが該当するが、詳細は「通則ガイドライン」を参照されたい。
(定義)
- 法第十六条
-
- この章及び第六章から第八章までにおいて「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
- 一 国の機関
- 二 地方公共団体
- 三 独立行政法人等
- 四 地方独立行政法人
- この章及び第六章から第八章までにおいて「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者のうち、国の機関、地方公共団体、独立行政法人等(別表第2法人を除く。)及び地方独立行政法人(病院経営等地方独立行政法人 を除く。)を除いた者をいう。
すなわち、法別表第2法人や病院経営等地方独立行政法人は、個人情報取扱事業者に該当する(「Ⅲ本ガイダンスの対象となる事業者の種別と法の適用関係」を参照)。
また、地方公共団体の機関及び独立行政法人労働者健康安全機構は、個人情報取扱事業者には該当しないものの、地方公共団体の機関が行う病院若しくは診療所又は大学の運営の業務に係る個人情報の取扱い及び独立行政法人労働者健康安全機構が行う病院の運営の業務に係る個人情報の取扱いについては、個人情報取扱事業者による個人情報の取扱いとみなされ、一部を除き、民間部門における規律(法第4章)が適用される。
なお、ここでいう「事業の用に供している」の「事業」とは、一定の目的をもって反復継続して遂行される同種の行為であって、かつ社会通念上事業と認められるものをいい、営利・非営利の別は問わない。
(定義)
- 法第十六条
-
- この章において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
「個人データ」とは、「個人情報データベース等」を構成する個人情報をいう。診療録等の診療記録や介護関係記録については、媒体の如何にかかわらず個人データに該当する。
また、検査等の目的で、患者から血液等の検体を採取して検査結果を得た場合、これらの検査結果は個人情報に該当し、利用目的の特定等(Ⅳ3.参照)、利用目的の通知等(Ⅳ5.参照)等の対象となることから、患者の同意を得ずに、特定された利用目的の達成に必要な範囲を超えて当該個人情報を取り扱ってはならない。なお、検体についても、その分析等により個人情報を取得し得ること等に鑑み、個人情報と同様の取扱いとすることが望ましい。また、これらの検査結果については、診療録等と同様に検索可能な状態として保存されることから、個人データに該当し、第三者提供の制限(Ⅳ9.参照)や開示(Ⅳ14.参照)の対象となる。
(定義)
- 法第十六条
-
- この章において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のものをいう。
「保有個人データ」とは、個人データのうち、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有するものをいう。ただし、その存否が明らかになることにより、公益その他の利益が害されるものは除く。
- 仮名加工情報取扱事業者(法第16条第5項)
(定義)
- 法第十六条
-
- この章、第六章及び第七章において「仮名加工情報取扱事業者」とは、仮名加工情報を含む情報の集合物であって、特定の仮名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の仮名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第四十一条第一項において「仮名加工情報データベース等」という。)を事業の用に供している者をいう。
ただし、第二項各号に掲げる者を除く。
- この章、第六章及び第七章において「仮名加工情報取扱事業者」とは、仮名加工情報を含む情報の集合物であって、特定の仮名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の仮名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第四十一条第一項において「仮名加工情報データベース等」という。)を事業の用に供している者をいう。
(仮名加工情報の作成等)
- 法第四十一条
- 個人情報取扱事業者は、仮名加工情報(仮名加工情報データベース等を構成するものに限る。以下この章及び第六章において同じ。)を作成するときは、他の情報と照合しない限り特定の個人を識別することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、個人情報を加工しなければならない。
- 2~9(略)
「仮名加工情報取扱事業者」とは、仮名加工情報データベース等を事業の用に供している者のうち、国の機関、地方公共団体、独立行政法人等(法別表第2法人を除く。)及び地方独立行政法人(病院経営等地方独立行政法人を除く。)を除いた者をいう。
また、法第41条第1項における「作成するとき」とは、仮名加工情報として取り扱う意図をもって個人情報を加工する場合を意味しており、事業者において、(仮名加工情報ではなく)個人情報の取扱いに関する各種義務を遵守することを想定している場合には、仮名加工情報の取扱いに係る規律は適用されない。(その代わりに、個人情報取扱事業者としての規定を遵守する必要がある。)
なお、仮名加工情報を作成すること自体は、当該仮名加工情報の作成の元となった個人情報の取得時においてあらかじめ特定した利用目的に含まれていなかったとしても、目的外利用には当たらない。この場合、元となった個人情報の利用目的が、仮名加工情報の利用目的として引き継がれることとなるが、仮名加工情報の利用目的を変更した場合には、変更後の利用目的について、公表が必要になる(法第21条第3項、第41条第4項)。
仮名加工情報取扱事業者の定義等については、仮名加工情報・匿名加工情報ガイドラインも参照のこと。
- 匿名加工情報取扱事業者(法第16条第6項)
(定義)
- 法第十六条
-
- この章、第六章及び第七章において「匿名加工情報取扱事業者」とは、匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第四十三条第一項において「匿名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、第二項各号に掲げる者を除く。
「匿名加工情報取扱事業者」とは、匿名加工情報データベース等を事業の用に供している者のうち、国の機関、地方公共団体、独立行政法人等(法別表第2法人を除く。)及び地方独立行政法人(病院経営等地方独立行政法人を除く。)を除いた者をいう。
また、法第43条第1項における「作成するとき」とは、匿名加工情報として取り扱う意図をもって個人情報を加工する場合を意味しており、事業者において、(匿名加工情報ではなく)個人情報の取扱いに関する各種義務を遵守することを想定している場合には、匿名加工情報の取扱いに係る規律は適用されない。(その代わりに、個人情報取扱事業者としての規定を遵守する必要がある。)
なお、匿名加工情報を作成すること自体は、当該匿名加工情報の作成の元となった個人情報の取得時においてあらかじめ特定した利用目的に含まれていなかったとしても、目的外利用には当たらない。
匿名加工情報取扱事業者の定義等については、仮名加工情報・匿名加工情報ガイドラインも参照のこと。
なお、法別表第2法人及び病院経営等地方独立行政法人については、匿名加工情報取扱事業者等の義務に関する規定(法第4章第4節)の適用が除外され(法第58条第1項関係)、匿名加工情報の取扱いについて独立行政法人等又は地方独立行政法人による取扱いとみなして公的部門における規律(法第5章第5節)が適用される(法第125条第2項関係)。
- 学術研究機関等(法第16条第8項)
(定義)
- 法第十六条
-
- この章において「学術研究機関等」とは、大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者をいう。
「学術研究機関等(※1)」とは、大学その他の学術研究(※2)を目的とする機関若しくは団体又はそれらに属する者をいう。
「大学その他の学術研究を目的とする機関若しくは団体」とは、国公立・私立大学、公益法人等の研究所等の学術研究を主たる目的として活動する機関や「学会」をいい、「それらに属する者」とは、国公立・私立大学の教員、公益法人等の研究所の研究員、学会の会員等をいう。
なお、民間団体付属の研究機関等における研究活動についても、当該機関が学術研究を主たる目的とするものである場合には、「学術研究機関等」に該当する。
- (※1)国公立の大学等、法別表第2法人又は病院経営等地方独立行政法人のうち、学術研究機関等にも該当するものについては、原則として私立の大学、民間の学術研究機関等と同等の規律が適用される(「Ⅲ 本ガイダンスの対象となる事業者の種別と法の適用関係」を参照)。
- (※2)「学術」とは、人文・社会科学及び自然科学並びにそれらの応用の研究であり、あらゆる学問分野における研究活動及びその所産としての知識・方法の体系をいい、具体的活動としての「学術研究」としては、新しい法則や原理の発見、分析や方法論の確立、新しい知識やその応用法の体系化、先端的な学問領域の開拓などをいう。
2.医療・介護関係事業者における取組
- 本人の同意
「本人の同意」とは、本人の個人情報が、個人情報取扱事業者によって示された取扱方法で取り扱われることを承諾する旨の当該本人の意思表示をいう(当該本人であることを確認できていることが前提となる。)。
また、「本人の同意を得(る)」とは、本人の承諾する旨の意思表示を当該個人情報取扱事業者が認識することをいい、事業の性質及び個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければならない。
なお、個人情報の取扱いに関して同意したことによって生ずる結果について、未成年者、成年被後見人、被保佐人及び被補助人が判断できる能力を有していないなどの場合は、親権者や法定代理人等から同意を得る必要がある。
- 【本人の同意を得ている事例】
-
- 事例1 )本人からの同意する旨の口頭による意思表示
- 事例2 )本人からの同意する旨の書面(電磁的記録を含む。)の受領
- 事例3 )本人からの同意する旨のメールの受信
- 事例4 )本人による同意する旨の確認欄へのチェック
- 事例5 )本人による同意する旨のホームページ上のボタンのクリック
- 事例6 )本人による同意する旨の音声入力、タッチパネルへのタッチ、ボタンやスイッチ等による入力
法は、個人情報の目的外利用や個人データの第三者提供の場合には、原則として本人の同意を得ることを求めている。これは、法の基本となるOECD8原則のうち、利用制限の原則の考え方の現れであるが、医療機関等については、患者に適切な医療サービスを提供する目的のために、当該医療機関等において、通常必要と考えられる個人情報の利用範囲を施設内への掲示(院内掲示)により明らかにしておき、患者側から特段明確な反対・留保の意思表示がない場合には、これらの範囲内での個人情報の利用について同意が得られているものと考えられる。(Ⅳ9.(3)(4)参照)
また、患者・利用者が、意識不明ではないものの、本人の意思を明確に確認できない状態の場合については、意識の回復にあわせて、速やかに本人への説明を行い本人の同意を得るものとする。
なお、これらの場合において患者・利用者の理解力、判断力などに応じて、可能な限り患者・利用者本人に通知し、同意を得るよう努めることが重要である。
医療・介護関係事業者が要配慮個人情報を書面又は口頭等により本人から適正に直接取得する場合は、本人が当該情報を提供したことをもって、当該医療・介護関係事業者が当該情報を取得することについて本人の同意があったものと解される。(Ⅳ9.参照)
- 家族等への病状説明
法においては、個人データを第三者提供する場合には、あらかじめ本人の同意を得ることを原則としている。一方、病態によっては、治療等を進めるに当たり、本人だけでなく家族等の同意を得る必要がある場合もある。家族等への病状説明については、「患者(利用者)への医療(介護)の提供に必要な利用目的」(Ⅳ3.(1)参照)と考えられるが、本人以外の者に病状説明を行う場合は、本人に対し、あらかじめ病状説明を行う家族等の対象者を確認し、同意を得ることが望ましい。この際、本人から申出がある場合には、治療の実施等に支障を生じない範囲において、現実に患者(利用者)の世話をしている親族及びこれに準ずる者を説明を行う対象に加えたり、説明を行う対象を家族の特定の人に限定するなどの取扱いとすることができる。
一方、意識不明の患者の病状や重度の認知症の高齢者の状況を家族等に説明する場合は、本人の同意を得ずに第三者提供できる場合と考えられる(Ⅳ9.(2)②参照)。この場合、医療・介護関係事業者において、本人の家族等であることを確認した上で、治療等を行うに当たり必要な範囲で、情報提供を行うとともに、本人の過去の病歴、治療歴等について情報の取得を行う。本人の意識が回復した際には、速やかに、提供及び取得した個人情報の内容とその相手について本人に説明するとともに、本人からの申出があった場合、取得した個人情報の内容の訂正等、病状の説明を行う家族等の対象者の変更等を行う。
なお、患者の判断能力に疑義がある場合は、意識不明の患者と同様の対応を行うとともに、判断能力の回復にあわせて、速やかに本人への説明を行い本人の同意を得るものとする。
3.利用目的の特定等(法第17条、第18条)
(利用目的の特定)
- 法第十七条
-
個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的 (以下「利用目的」という。)をできる限り特定しなければならない。
- 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。
(利用目的による制限)
- 法第十八条
-
個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
- 個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
- 前二項の規定は、次に掲げる場合については、適用しない。
- 一 法令(条例を含む。以下この章において同じ。)に基づく場合
- 二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
- 三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
- 四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
- 五 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人情報を学術研究の用に供する目的(以下この章において「学術研究目的」という。)で取り扱う必要があるとき(当該個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
- 六 学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
- 利用目的の特定及び制限
医療・介護関係事業者が医療・介護サービスを希望する患者・利用者から個人情報を取得する場合、当該個人情報を患者・利用者に対する医療・介護サービスの提供、医療・介護保険事務、入退院等の病棟管理などで利用することは患者・利用者にとって明らかと考えられる。
これら以外で個人情報を利用する場合は、患者・利用者にとって必ずしも明らかな利用目的とはいえない。この場合は、個人情報を取得するに当たって明確に当該利用目的の公表等の措置が講じられなければならない。(Ⅳ5.参照)
医療・介護関係事業者の通常の業務で想定される利用目的は別表2に例示されるものであり、医療・介護関係事業者は、これらを参考として、自らの業務に照らして通常必要とされるものを特定して公表(院内掲示等)しなければならない。(Ⅳ5.参照)
また、別表2に掲げる利用目的の範囲については、法第17条第2項に定める利用目的の変更を行うことができると考えられる。ただし、変更された利用目的については、本人へ通知又は公表しなければならない。(Ⅳ5.参照)
- 利用目的による制限の例外
医療・介護関係事業者は、あらかじめ本人の同意を得ないで法第17条の規定により特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならないが(法第18条第1項)、同条第3項に掲げる場合については、本人の同意を得る必要はない。具体的な例としては以下のとおりである。
-
- ①法令(条例を含む。)に基づく場合
医療法に基づく立入検査、介護保険法に基づく不正受給者に係る市町村への通知、児童虐待の防止等に関する法律に基づく児童虐待に係る通告等、法令に基づいて個人情報を利用する場合であり、医療・介護関係事業者の通常の業務で想定される主な事例は別表3のとおりである。
根拠となる法令の規定としては、刑事訴訟法第197条第2項に基づく照会、地方税法第72条の63(個人の事業税に関する調査に係る質問検査権、各種税法に類似の規定あり)等がある。
警察や検察等の捜査機関の行う刑事訴訟法第197条第2項に基づく照会(同法第507条に基づく照会も同様)は、相手方に報告すべき義務を課すものと解されている上、警察や検察等の捜査機関の行う任意捜査も、これへの協力は任意であるものの、法令上の具体的な根拠に基づいて行われるものであり、いずれも「法令に基づく場合」に該当すると解されている。
- ②人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
- (例)
-
- 意識不明で身元不明の患者について、関係機関へ照会したり、家族又は関係者等からの安否確認に対して必要な情報提供を行う場合
- 意識不明の患者の病状や重度の認知症の高齢者の状況を家族等に説明する場合
- 大規模災害等で医療機関に非常に多数の傷病者が一時に搬送され、家族等からの問合せに迅速に対応するためには、本人の同意を得るための作業を行うことが著しく不合理である場合
- ③公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
- (例)
-
- 健康増進法に基づく地域がん登録事業による国又は地方公共団体への情報提供
- がん検診の精度管理のための地方公共団体又は地方公共団体から委託を受けた検診機関に対する精密検査結果の情報提供
- 児童虐待事例についての関係機関との情報交換
- 医療安全の向上のため、院内で発生した医療事故等に関する国、地方公共団体又は第三者機関等への情報提供のうち、氏名等の情報が含まれる場合
- 医療機関等が以前治療を行った患者の臨床症例に係る個人データを、観察研究のために他の医療機関等に提供し、当該他の医療機関等を受診する不特定多数の患者に対してより優れた医療サービスを提供できるようになること等により、公衆衛生の向上に特に資する場合であって、本人の転居等により有効な連絡先を保有していないときや、同意を得るために必要な時間的余裕や費用等に照らすと同意を得ることが当該研究の遂行に支障を及ぼすおそれがあるとき
- 医療機関が保有する患者の臨床症例に係る個人データを、有効な治療方法や薬剤が十分にない疾病等に関する疾病メカニズムの解明を目的とした研究のために製薬企業に提供し、その結果が広く共有・活用されていくことで、医学、薬学等の発展や医療水準の向上に寄与し、公衆衛生の向上に特に資する場合であって、本人の転居等により有効な連絡先を保有していないときや、同意を得るために必要な時間的余裕や費用等に照らすと同意を得ることが当該研究の遂行に支障を及ぼすおそれがあるとき
- ④国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
- (例)
-
- 統計法第2条第7項の規定に定める一般統計調査に協力する場合
- 災害発生時に警察が負傷者の住所、氏名や傷の程度等を照会する場合等、公共の安全と秩序の維持の観点から照会する場合
- ⑤個人情報取扱事業者が学術研究機関等である場合であって、個人情報を学術研究の用に供する目的(以下「学術研究目的」という。)で取り扱う必要があるとき(当該個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)
- ⑥学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)
- 【法の規定により遵守すべき事項等】
-
- 医療・介護関係事業者は、個人情報を取り扱うに当たって、その利用目的をできる限り特定しなければならない。
- 医療・介護関係事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。
- 医療・介護関係事業者は、あらかじめ本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。なお、本人の同意を得るために個人情報を利用すること(同意を得るために患者・利用者の連絡先を利用して電話をかける場合など)、個人情報を匿名加工情報及び仮名加工情報に加工することは差し支えない(ただし、法別表第2法人及び病院経営等地方独立行政法人については、匿名加工情報取扱事業者等の義務に関する規定(法第4章第4節)の適用が除外され(法第第58条第1項関係)、匿名加工情報の取扱いについて独立行政法人等又は地方独立行政法人による取扱いとみなして公的部門における規律(法第5章第5節等)が適用される(法第125条第2項関係)。)。
- 個人情報を取得する時点で、本人の同意があったにもかかわらず、その後、本人から利用目的の一部についての同意を取り消す旨の申出があった場合は、その後の個人情報の取扱いについては、本人の同意が取り消されなかった範囲に限定して取り扱う。
- 医療・介護関係事業者は、合併その他の事由により他の事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
- 利用目的の制限の例外(法第18条第3項)に該当する場合は、本人の同意を得ずに個人情報を取り扱うことができる。(利用目的を変更する場合の取扱いについてはⅣ5.を参照)
- 【その他の事項】
-
- 利用目的の制限の例外に該当する「法令に基づく場合」等であっても、利用目的以外の目的で個人情報を取り扱う場合は、当該法令等の趣旨をふまえ、その取り扱う範囲を真に必要な範囲に限定することが求められる。
- 患者が未成年者等の場合、法定代理人等の同意を得ることで足りるが、一定の判断能力を有する未成年者等については、法定代理人等の同意にあわせて本人の同意を得る。
- 意識不明の患者や重度の認知症の高齢者などで法定代理人がいない場合で、緊急に診療が必要な場合については、上記(2)②に該当し、当該本人の個人情報を取り扱うことができる。
- ①法令(条例を含む。)に基づく場合
-
4.不適正な利用の禁止(法第19条)
(不適正な利用の禁止)
- 法第十九条
-
個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。
医療・介護関係事業者は、違法又は不当な行為(※1)を助長し、又は誘発するおそれ(※2)がある方法により個人情報を利用してはならない。
- (※1)「違法又は不当な行為」とは、法(個人情報の保護に関する法律)その他の法令に違反する行為、及び直ちに違法とはいえないものの、法その他の法令の制度趣旨又は公序良俗に反する等、社会通念上適正とは認められない行為をいう。
- (※2)「おそれ」の有無は、個人情報取扱事業者による個人情報の利用が、違法又は不当な行為を助長又は誘発することについて、社会通念上蓋然性が認められるか否かにより判断される。
この判断に当たっては、個人情報の利用方法等の客観的な事情に加えて、個人情報の利用時点における医療・介護関係事業者の認識及び予見可能性も踏まえる必要がある。例えば、医療・介護関係事業者が第三者に個人情報を提供した場合において、当該第三者が当該個人情報を違法な行為に用いた場合であっても、当該第三者が当該個人情報の取得目的を偽っていた等、当該個人情報の提供の時点において、提供した個人情報が違法に利用されることについて、当該医療・介護関係事業者が一般的な注意力をもってしても予見できない状況であった場合には、「おそれ」は認められないと解される。
5.利用目的の通知等(法第21条)
(取得に際しての利用目的の通知等)
- 法第二十一条
-
個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
- 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
- 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
- 前三項の規定は、次に掲げる場合については、適用しない。
- 一 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
- 二 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
- 三 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
- 四 取得の状況からみて利用目的が明らかであると認められる場合
- 【法の規定により遵守すべき事項等】
-
- 医療・介護関係事業者は、個人情報を取得するに当たって、あらかじめその利用目的を公表しておくか、個人情報を取得した場合、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
- 利用目的の公表方法としては、院内や事業所内等に掲示するとともに、可能な場合にはホームページへの掲載等の方法により、なるべく広く公表する必要がある。
- 医療・介護関係事業者は、受付で患者に保険証を提出してもらう場合や問診票の記入を求める場合など、本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を院内掲示等により明示しなければならない。ただし、救急の患者で緊急の処置が必要な場合等は、この限りでない。
- 医療・介護関係事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
- 取得の状況からみて利用目的が明らかであると認められる場合など利用目的の通知等の例外に該当する場合は、上記内容は適用しない。(「利用目的が明らか」な場合についてはⅣ3.(1)を参照)
- 【その他の事項】
-
- 利用目的が、本規定の例外である「取得の状況からみて利用目的が明らかであると認められる場合」に該当する場合であっても、患者・利用者等に利用目的をわかりやすく示す観点から、利用目的の公表に当たっては、当該利用目的についても併せて記載する。
- 院内や事業者内等への掲示に当たっては、受付の近くに当該内容を説明した表示を行い、初回の患者・利用者等に対しては、受付時や利用開始時において当該掲示についての注意を促す。
- 初診時や入院・入所時等における説明だけでは、個人情報について十分な理解ができない患者・利用者も想定されることから、患者・利用者が落ち着いた時期に改めて説明を行ったり、診療計画書、療養生活の手引き、訪問介護計画等のサービス提供に係る計画等に個人情報に関する取扱いを記載するなど、患者・利用者が個人情報の利用目的を理解できるよう配慮する。
- 患者・利用者等の希望がある場合、詳細の説明や当該内容を記載した書面の交付(電磁的方法による場合を含む。)を行う。
6.個人情報の適正な取得、個人データ内容の正確性の確保(法第20条、第22条)
(適正な取得)
- 法第二十条
-
個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
- 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
- 一 法令に基づく場合
- 二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
- 三 公衆衛生の向上又は児童の健全な育成のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
- 四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
- 五 当該個人情報取扱事業者が学術研究機関等である場合であって、当該要配慮個人情報を学術研究目的で取り扱う必要があるとき(当該要配慮個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
- 六 学術研究機関等から当該要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で取得する必要があるとき(当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該学術研究機関等が共同して学術研究を行う場合に限る。)。
- 七 当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関等、第五十七条第一項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合
- 八 その他前各号に掲げる場合に準ずるものとして政令で定める場合
- 規則第六条
-
法第二十条第二項第七号の個人情報保護委員会規則で定める者は、次の各号のいずれかに該当する者とする。
- 一 外国政府、外国の政府機関、外国の地方公共団体又は国際機関
- 二 外国において法第十六条第八項に規定する学術研究機関等に相当する者
- 三 外国において法第五十七条第一項各号に掲げる者に相当する者
- 令第九条
-
法第二十条第二項第八号の政令で定める場合は、次に掲げる場合とする。
- 一 本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
- 二 法第二十七条第五項各号(法第四十一条第六項の規定により読み替えて適用する場合及び法第四十二条第二項において読み替えて準用する場合を含む。)に掲げる場合において、個人データである要配慮個人情報の提供を受けるとき。
(データ内容の正確性の確保等)
- 法第二十二条
-
個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。
- 【法の規定により遵守すべき事項等】
-
- 医療・介護関係事業者は、偽りその他不正の手段により個人情報を取得してはならない。
- 診療等のために必要な過去の受診歴等については、真に必要な範囲について、本人から直接取得するほか、第三者提供について本人の同意を得た者(Ⅳ9.(3)により本人の黙示の同意が得られていると考えられる者を含む。)から取得することを原則とする。ただし、本人以外の家族等から取得することが診療上又は適切な介護サービスの提供上やむを得ない場合はこの限りでない。
- 親の同意なく、十分な判断能力を有していない子どもから家族の個人情報を取得してはならない。ただし、当該子どもの診療上、家族等の個人情報の取得が必要な場合で、当該家族等から個人情報を取得することが困難な場合はこの限りでない。
- 【要配慮個人情報の取得時における本人の同意について】
-
医療機関の受付等で診療を希望する患者は、傷病の回復等を目的としている。一方、医療機関等は、患者の傷病の回復等を目的として、より適切な医療が提供できるよう治療に取り組むとともに、その費用を公的医療保険に請求する必要が生じる。良質で適正な医療の提供を受けるためには、また公的医療保険の扶助を受けるためには、医療機関等が患者の要配慮個人情報を含めた個人情報を取得することは必要不可欠である。
このため、例えば、患者が医療機関の受付等で、問診票に患者自身の身体状況や病状などを記載し、保険証とともに受診を申し出ることは、患者自身が自己の要配慮個人情報を含めた個人情報を医療機関等に取得されることを前提としていると考えられるため、医療機関等が要配慮個人情報を書面又は口頭等により本人から適正に直接取得する場合は、患者の当該行為をもって、当該医療機関等が当該情報を取得することについて本人の同意があったものと解される。
また、医療機関等が要配慮個人情報を第三者提供の方法により取得した場合、提供元が法第20条第2項及び第27条第1項の規定に基づいて本人から必要な同意(要配慮個人情報の取得及び第三者提供に関する同意)を取得していることが前提となるため、提供を受けた当該医療機関等が、改めて本人から法第20条第2項の規定に基づく同意を得る必要はないものと解される。
なお、地域医療情報連携ネットワークにおいて、他の医療機関に対して照会を行い、当該他の医療機関が保存及び管理等を行う診療情報等を当該他の医療機関から直接取得する場合(当該他の医療機関が地域医療情報連携ネットワークの運営主体に対して診療情報等の保存及び管理等の取扱いを委託している場合において、当該地域医療情報連携ネットワークの運営主体を介して、当該他の医療機関に対して照会を行い、診療情報を取得する場合を含む。)については、「地域医療情報連携ネットワークにおける同意取得方法の例について」(令和2年3月31日付け厚生労働省医政局総務課事務連絡)による。
- 要配慮個人情報を取得する場合には、あらかじめ本人の同意を得なければならない。ただし、法第20条第2項各号に定める場合については、本人の同意を得る必要はない。
- (例)
-
- 急病その他の事態が生じたときに、本人の病歴等を医師や看護師などの医療従事者が家族から聴取する場合、法第20条第2項第2号に該当する。
- 医療機関等が、他の医療機関等から、当該他の医療機関等において以前治療を行った患者の臨床症例に係る個人データを観察研究のために取得し、当該医療機関等を受診する不特定多数の患者に対してより優れた医療サービス提供できるようになること等により、公衆衛生の向上に特に資する場合であって、本人からの同意取得が困難であるとき、法第20条第2項第3号に該当する。
- 児童生徒の不登校や不良行為等について、児童相談所、学校、医療機関等の関係機関が連携して対応するために、医療機関等において、他の関係機関から当該児童生徒の保護事件に関する手続が行われた情報を取得する場合、法第20条第2項第3号に該当する。
- 児童虐待のおそれのある家庭情報のうち被害を被った事実に係る情報を、児童相談所、警察、学校、病院等の関係機関が、他の関係機関から取得する場合、法第20条第2項第3号に該当する。
- 医療機関等や介護関係事業者が警察の任意の求めに応じて要配慮個人情報に該当する個人情報を提出するために、当該個人情報を取得する場合、法第20条第2項第4号に該当する。
- 身体の不自由な方が医療機関等を受診し、院内において情報共有するためにカルテ等に記録した場合(目視による取得)や、身体の不自由な方の様子が施設に設置された防犯カメラに映りこんだ場合(撮影による取得)、法第20条第2項第8号、令第9条第1項に該当する。
- なお、要配慮個人情報を、法第27条第5項各号に定める委託、事業承継又は共同利用により取得する場合は、あらかじめ本人の同意を得る必要はない。
- 要配慮個人情報を取得する場合には、あらかじめ本人の同意を得なければならない。ただし、法第20条第2項各号に定める場合については、本人の同意を得る必要はない。
- 【法第20条第2項に違反している事例】
-
本人の同意を得ることなく、法第20条第2項第7号及び規則第6条で定める者以外がインターネット上で公開している情報から本人の信条や犯罪歴等に関する情報を取得し、既に保有している当該本人に関する情報の一部として自己のデータベース等に登録すること。
- 医療・介護関係事業者は、適正な医療・介護サービスを提供するという利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない。
- 【その他の事項】
-
- 第三者提供により個人情報を取得する場合には、提供元の法の遵守状況を確認するとともに、実際に個人情報を取得する際には、当該個人情報の取得方法等を確認するよう努めなければならない。なお、当該個人情報が適法に取得されたことが確認できない場合は、偽りその他不正の手段により取得されたものである可能性もあることから、その取得を自粛することを含め、慎重に対応することが望ましい。
- 第三者提供により他の医療・介護関係事業者から個人情報を取得したとき、当該個人情報の内容に疑義が生じた場合には、記載内容の事実に関して本人又は情報の提供を行った者に確認をとる。
- 医療・介護関係事業者は、個人データの内容の正確性、最新性を確保するためⅣ7.(2)②に示す委員会等において、具体的なルールを策定したり、技術水準向上のための研究の開催などを行うことが望ましい。
7.安全管理措置、従業者の監督及び委託先の監督(法第23条~第25条)
(安全管理措置)
- 法第二十三条
-
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
- (従業者の監督)
- 法第二十四条
-
個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
- (委託先の監督)
- 法第二十五条
-
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
- 医療・介護関係事業者が講ずるべき安全管理措置等
- ①安全管理措置
-
医療・介護関係事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のため、組織的、人的、物理的及び技術的安全管理措置等を講じなければならない。また、外国において個人データを取り扱う場合には、外的環境の把握を行ったうえで、これらの安全管理措置を講じなければならない。その際、本人の個人データが漏えい、滅失又は毀損をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個人データの取扱い状況等に起因するリスクに応じ、必要かつ適切な措置を講ずるものとする。なお、その際には、個人データを記憶した媒体の性質に応じた安全管理措置を講ずる。
※「その他の個人データの安全管理のために必要かつ適切な措置」には、個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているものの漏えい等を防止するために必要かつ適切な措置も含まれる。そのため、当該個人データとなる前の個人情報(個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているもの)についても、上記の安全管理措置等を講じる必要がある。
- ②従業者の監督
-
医療・介護関係事業者は、①の安全管理措置を遵守させるよう、従業者に対し必要かつ適切な監督をしなければならない。なお、「従業者」とは、医療資格者のみならず、当該事業者の指揮命令を受けて業務に従事する者全てを含むものであり、また、雇用関係のある者のみならず、理事、派遣労働者等も含むものである。
医療法第15条では、病院等の管理者は、その病院等に勤務する医師等の従業者の監督義務が課せられている。(薬局や介護関係事業者についても、医薬品医療機器等法や介護保険法に基づく各種サービスに関する人員、設備及び運営に関する基準(以下「指定基準」という。)等に同様の規定あり。)
- 安全管理措置として考えられる事項
医療・介護関係事業者は、その取り扱う個人データの重要性に鑑み、個人データの漏えい、滅失又は毀損の防止その他の安全管理のため、その規模、従業者の様態等を勘案して、以下に示すような取組を参考に、必要な措置を行うものとする。
また、同一事業者が複数の施設を開設する場合、当該施設間の情報交換については第三者提供に該当しないが、施設ごとに安全管理措置を講ずるなど、個人情報の利用目的を踏まえた個人情報の安全管理を行う。
- ①個人情報保護に関する規程の整備、公表
-
- 医療・介護関係事業者は、保有個人データの開示手順を定めた規程その他個人情報保護に関する規程を整備し、苦情への対応を行う体制も含めて、院内や事業所内等への掲示やホームページへの掲載を行うなど、患者・利用者等に対して周知徹底を図る。
- また、個人データを取り扱う情報システムの安全管理措置に関する規程等についても同様に整備を行うこと。
- ②個人情報保護推進のための組織体制等の整備
-
- 従業者の責任体制の明確化を図り、具体的な取組を進めるため、医療における個人情報保護に関し十分な知識を有する管理者、監督者等(例えば、役員などの組織横断的な監督が可能な者)を定める。又は個人情報保護の推進を図るための部署、若しくは委員会等を設置する。
- 医療・介護関係事業所で行っている個人データの安全管理措置について定期的に自己評価を行い、見直しや改善を行うべき事項について適切な改善を行う。
- ③個人データの漏えい等の問題が発生した場合等における報告連絡体制の整備
-
- 1)個人データの漏えい等の事故が発生した場合、又は発生の可能性が高いと判断した場合、2)個人データの取扱いに関する規程等に違反している事実が生じた場合、又は兆候が高いと判断した場合における責任者等への報告連絡体制の整備を行う。
- 個人データの漏えい等の情報は、苦情等の一環として、外部から報告される場合も想定されることから、苦情への対応を行う体制との連携も図る。(Ⅳ17.参照)
- ④雇用契約時における個人情報保護に関する規程の整備
-
- 雇用契約や就業規則において、就業期間中はもとより離職後も含めた守秘義務を課すなど従業者の個人情報保護に関する規程を整備し、徹底を図る。なお、特に、医師等の医療資格者や介護サービスの従事者については、刑法、関係資格法又は介護保険法に基づく指定基準により守秘義務規定等が設けられており(別表4)、その遵守を徹底する。
- ⑤従業者に対する教育研修の実施
-
- 取り扱う個人データの適切な保護が確保されるよう、従業者に対する教育研修の実施等により、個人データを実際の業務で取り扱うこととなる従業者の啓発を図り、従業者の個人情報保護意識を徹底する。
- この際、派遣労働者についても、「派遣先が講ずべき措置に関する指針」(平成11年労働省告示第138号)において、「必要に応じた教育訓練に係る便宜を図るよう努めなければならない」とされていることを踏まえ、個人情報の取扱いに係る教育研修の実施に配慮する必要がある。
- ⑥物理的安全管理措置
-
- 個人データの盗難・紛失等を防止するため、以下のような物理的安全管理措置を行う。
- -入退館(室)管理の実施
- -盗難等に対する予防対策の実施(例えば、カメラによる撮影や作業への立会い等による記録又はモニタリングの実施、記録機能を持つ媒体の持込み・持出しの禁止又は検査の実施等)
- -機器、装置等の固定など物理的な保護
- 不正な操作を防ぐため、業務上の必要性に基づき、以下のように、個人データを取り扱う端末に付与する機能を限定する。
- -スマートフォン、パソコン等の記録機能を有する機器の接続の制限及び機器の更新への対応
- 個人データの盗難・紛失等を防止するため、以下のような物理的安全管理措置を行う。
- ⑦技術的安全管理措置
-
- 個人データの盗難・紛失等を防止するため、個人データを取り扱う情報システムについて以下のような技術的安全管理措置を行う。
- -個人データに対するアクセス管理(IDやパスワード等による認証(※)、各職員の業務内容に応じて業務上必要な範囲にのみアクセスできるようなシステム構成の採用等)
※認証については、認証の3要素である「記憶」、「生体情報」、「物理媒体」のうち、2つの独立した要素を組み合わせて認証を行う方式(二要素認証)を採用することが望ましい。
- -個人データに対するアクセス記録の保存
- -不正が疑われる異常な記録の存否の定期的な確認
- -個人データに対するファイアウォールの設置
- -情報システムへの外部からのアクセス状況の監視及び当該監視システムの動作の定期的な確認
- -ソフトウェアに関する脆弱性対策(セキュリティパッチの適用、当該情報システム固有の脆弱性の発見及びその修正等)
- -個人データに対するアクセス管理(IDやパスワード等による認証(※)、各職員の業務内容に応じて業務上必要な範囲にのみアクセスできるようなシステム構成の採用等)
- 個人データの盗難・紛失等を防止するため、個人データを取り扱う情報システムについて以下のような技術的安全管理措置を行う。
- ⑧個人データの保存
-
- 個人データを長期にわたって保存する場合には、保存媒体の劣化防止など個人データが消失しないよう適切に保存する。
- 個人データの保存に当たっては、本人からの照会等に対応する場合など必要なときに迅速に対応できるよう、インデックスの整備など検索可能な状態で保存しておく。
- ⑨不要となった個人データの廃棄、消去
-
- 不要となった個人データを廃棄する場合には、焼却や溶解など、個人データを復元不可能な形にして廃棄する。
- 個人データを取り扱った情報機器を廃棄する場合は、記憶装置内の個人データを復元不可能な形に消去して廃棄する。
- これらの廃棄業務を委託する場合には、個人データの取扱いについても委託契約において明確に定める。
- 業務を委託する場合の取扱い
- ①委託先の監督
-
医療・介護関係事業者は、検査や診療報酬又は介護報酬の請求に係る事務等個人データの取扱いの全部又は一部を委託する場合、法第23条に基づく安全管理措置を遵守させるよう受託者に対し、必要かつ適切な監督をしなければならない。
「必要かつ適切な監督」には、委託契約において委託者である事業者が定める安全管理措置の内容を契約に盛り込み受託者の義務とするほか、業務が適切に行われていることを定期的に確認することなども含まれる。
また、業務が再委託された場合で、再委託先が不適切な取扱いを行ったことにより、問題が生じた場合は、医療・介護関係事業者や再委託した事業者が責めを負うこともあり得る。
- ②業務を委託する場合の留意事項
医療・介護関係事業者は、個人データの取扱いの全部又は一部を委託する場合、以下の事項に留意すべきである。
- 個人情報を適切に取り扱っている事業者を委託先(受託者)として選定する(受託者の安全管理措置が、少なくとも法第23条で求められるものと同等であることを確認するため、Ⅳ7.(2)の項目が、委託する業務内容に応じて確実に実施されることについて、受託者の体制、規程等の確認に加え、必要に応じて個人データを取り扱う場所に赴き、又はこれに代わる合理的な方法により確認を行った上で、個人情報保護に関する管理者、監督者等が、適切に評価することが望ましい。)。
- 契約において、個人情報の適切な取扱いに関する内容を盛り込む(委託期間中のほか、委託終了後の個人データの取扱いも含む。)。
- 受託者が、委託を受けた業務の一部を再委託することを予定している場合は、再委託を受ける事業者の選定において個人情報を適切に取り扱っている事業者が選定されるとともに、再委託先事業者が個人情報を適切に取り扱っていることが確認できるよう契約において配慮する(再委託の可否及び医療・介護関係事業者への文書による事前報告又は承認手続を求める等の事項を定めることが望ましい。)。
- 受託者が個人情報を適切に取り扱っていることを定期的に確認する。
- 受託者が再委託を行おうとする場合は、医療・介護関係事業者は委託を行う場合と同様、再委託の相手方、再委託する業務内容及び再委託先の個人データの取扱方法等について、受託者に事前報告又は承認手続を求めること、直接又は受託者を通じて定期的に監査を実施すること等により、受託者が再委託先に対して法第25条に基づく委託先の監督を適切に果たすこと、再委託先が法第23条に基づく安全管理措置を講ずることを十分に確認することが望ましい。再委託先が再々委託を行う場合以降も、再委託を行う場合と同様とする。
- 受託者における個人情報の取扱いに疑義が生じた場合(患者・利用者等からの申出があり、確認の必要があると考えられる場合を含む。)には、受託者に対し、説明を求め、必要に応じ改善を求める等適切な措置をとる。
- *医療機関等における業者委託に関する関連通知等
上記の留意事項のほか、委託する業務に応じ、関連する通知等を遵守する。
- 「医療法の一部を改正する法律の一部の施行について」(平成5年2月15日健政発第98号)の「第3 業務委託に関する事項」
- 「病院、診療所等の業務委託について」(平成5年2月15日指第14号)
- 医療情報システムの導入及びそれに伴う情報の外部保存を行う場合の取扱い
医療機関等及び医療情報を取り扱う介護関係事業者において、医療情報システムを導入したり、診療情報の外部保存を行う場合には、厚生労働省において策定している「医療情報システムの安全管理に関するガイドライン」によることとし、各医療機関等において運営及び委託等の取扱いについて安全性が確保されるよう規程を定め、実施するものとする。
- その他
受付での呼び出しや、病室における患者の名札の掲示などについては、患者の取り違え防止など業務を適切に実施する上で必要と考えられるが、医療におけるプライバシー保護の重要性に鑑み、患者の希望に応じて一定の配慮をすることが望ましい。
- 【法の規定により遵守すべき事項等】
-
- 医療・介護関係事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他個人データの安全管理のために必要かつ適切な措置を講じなければならない。
- 医療・介護関係事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
- 医療・介護関係事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
- 【その他の事項】
-
- 医療・介護関係事業者は、安全管理措置に関する取組を一層推進するため、安全管理措置が適切であるかどうかを一定期間ごとに個人情報保護対策及び最新の技術動向を踏まえた情報セキュリティ対策に十分な知見を有する者に事業者内の対応を確認させるほか、必要に応じて外部の知見を有する者による確認を受けることで、改善を図ることが望ましい。
8.漏えい等の報告等(法第26条)
詳細は、別途定める通則ガイドラインを参照のこと。
(漏えい等の報告等)
- 法第二十六条
-
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この限りでない。
-
- 前項に規定する場合には、個人情報取扱事業者(同項ただし書の規定による通知をした者を除く。)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
(個人の権利利益を害するおそれが大きいもの)
- 規則第七条
-
法第二十六条第一項本文の個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものは、次の各号のいずれかに該当するものとする。
- 一 要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下この条及び次条第一項において同じ。)の漏えい、滅失若しくは毀損(以下この条及び次条第一項において「漏えい等」という。)が発生し、又は発生したおそれがある事態
- 二 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
- 三 不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ(当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。)の漏えい等が発生し、又は発生したおそれがある事態
- 四 個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態
- 【法の規定により遵守すべき事項】
-
- 医療・介護関係事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいもの(要配慮個人情報が含まれる個人データの漏えい等)が生じたときは、当該事態が生じた旨を個人情報保護委員会に報告するとともに、本人への通知を行わなければならない。
具体的な例としては以下のとおりである。
- (例)
-
- 病院における患者の診療情報や調剤情報を含む個人データを記録したUSBメモリーを紛失した場合
- 従業員の健康診断等の結果を含む個人データが漏えいした場合
- 報告及び通知の対象となる事態、報告及び通知の方法等については、通則ガイドラインも参照のこと。
- 個人データの取扱いを委託している場合においては、委託元と委託先の双方が個人データを取り扱っていることになるため、報告対象事態に該当する場合には、原則として委託元と委託先の双方が報告する義務を負う。
この場合、委託元及び委託先の連名で報告することができる。なお、委託先が、報告義務を負っている委託元に当該事態が発生したことを通知したときは、委託先は報告義務を免除される。
- 医療・介護関係事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいもの(要配慮個人情報が含まれる個人データの漏えい等)が生じたときは、当該事態が生じた旨を個人情報保護委員会に報告するとともに、本人への通知を行わなければならない。
具体的な例としては以下のとおりである。
- 【その他の事項】
-
- 要配慮個人情報が含まれる個人データの漏えい等に限らず、医療機関等においてコンピュータウイルスの感染などによるサイバー攻撃を受けた疑いがある場合にあっては、「医療機関等におけるサイバーセキュリティ対策の強化について」(平成30年10月29日医政総発1029第1号・医政地発1029第3号・医政研発1029第1号)により、直ちに医療情報システムの保守会社等に連絡の上、当該サイバー攻撃により医療情報システムに障害が発生し、個人情報の漏洩や医療提供体制に支障が生じる又はそのおそれがある事案であると判断された場合には、速やかに当該医療機関等から厚生労働省医政局特定医薬品開発支援・医療情報担当参事官室に連絡すること。
9.個人データの第三者提供(法第27条)
(第三者提供の制限)
- 法第二十七条
-
個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
- 一 法令に基づく場合
- 二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
- 三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
- 四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
- 五 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)。
- 六 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データを学術研究目的で提供する必要があるとき(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該第三者が共同して学術研究を行う場合に限る。)。
- 七 当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
-
- 個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。ただし、第三者に提供される個人データが要配慮個人情報又は第二十条第一項の規定に違反して取得されたもの若しくは他の個人情報取扱事業者からこの項本文の規定により提供されたもの(その全部又は一部を複製し、又は加工したものを含む。)である場合は、この限りでない。
- 一 第三者への提供を行う個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人。以下この条、第三十条第一項第一号及び第三十二条第一項第一号において同じ。)の氏名
- 二 第三者への提供を利用目的とすること。
- 三 第三者に提供される個人データの項目
- 四 第三者に提供される個人データの取得の方法
- 五 第三者への提供の方法
- 六 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
- 七 本人の求めを受け付ける方法
- 八 その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項
- 個人情報取扱事業者は、前項第一号に掲げる事項に変更があったとき又は同項の規定による個人データの提供をやめたときは遅滞なく、同項第三号から第五号まで、第七号又は第八号に掲げる事項を変更しようとするときはあらかじめ、その旨について、個人情報保護委員会規則で定めるところにより、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
- 個人情報保護委員会は、第二項の規定による届出があったときは、個人情報保護委員会規則で定めるところにより、当該届出に係る事項を公表しなければならない。前項の規定による届出があったときも、同様とする。
- 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
- 一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
- 二 合併その他の事由による事業の承継に伴って個人データが提供される場合
- 三 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
- 個人情報取扱事業者は、前項第三号に規定する個人データの管理について責任を有する者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
- 個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。ただし、第三者に提供される個人データが要配慮個人情報又は第二十条第一項の規定に違反して取得されたもの若しくは他の個人情報取扱事業者からこの項本文の規定により提供されたもの(その全部又は一部を複製し、又は加工したものを含む。)である場合は、この限りでない。
- 第三者提供の取扱い
医療・介護関係事業者は、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならないとされており、次のような場合には、本人の同意を得る必要がある。
- (例)
-
- 民間保険会社からの照会
患者が民間の生命保険に加入しようとする場合、生命保険会社から患者の健康状態等について照会があった場合、患者の同意を得ずに患者の現在の健康状態や既往歴等を回答してはならない。
交通事故によるけがの治療を行っている患者に関して、保険会社から損害保険金の支払いの審査のために必要であるとして症状に関する照会があった場合、患者の同意を得ずに患者の症状等を回答してはならない。
- 職場からの照会
職場の上司等から、社員の病状に関する問合せがあったり、休職中の社員の職場復帰の見込みに関する問合せがあった場合、患者の同意を得ずに患者の病状や回復の見込み等を回答してはならない。
- 学校からの照会
学校の教職員等から、児童・生徒の健康状態に関する問合せがあったり、休学中の児童・生徒の復学の見込みに関する問合せがあった場合、患者の同意を得ずに患者の健康状態や回復の見込み等を回答してはならない。
- マーケティング等を目的とする会社等からの照会
健康食品の販売を目的とする会社から、高血圧の患者の存在の有無について照会された場合や要件に該当する患者を紹介して欲しい旨の依頼があった場合、患者の同意を得ずに患者の有無や該当する患者の氏名・住所等を回答してはならない。
- 民間保険会社からの照会
- 第三者提供の例外
ただし、次に掲げる場合については、本人の同意を得る必要はない。
- ①法令(条例を含む。)に基づく場合
医療法に基づく立入検査、介護保険法に基づく不正受給者に係る市町村への通知、児童虐待の防止等に関する法律に基づく児童虐待に係る通告等、法令に基づいて個人情報を利用する場合であり、医療機関等の通常の業務で想定される主な事例は別表3のとおりである。(Ⅳ3.(2)①参照)
- ②人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
- (例)
-
- 意識不明で身元不明の患者について、関係機関へ照会したり、家族又は関係者等からの安否確認に対して必要な情報提供を行う場合
- 意識不明の患者の病状や重度の認知症の高齢者の状況を家族等に説明する場合
- 大規模災害、感染症等で医療機関に非常に多数の傷病者が一時に搬送され、家族等からの問合せに迅速に対応するためには、本人の同意を得るための作業を行うことが著しく不合理である場合
※なお、「本人の同意を得ることが困難であるとき」には、本人同意を求めても同意しない場合、本人に同意を求める手続を経るまでもなく本人の同意を得ることができない場合等が含まれるものである。
- ③公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
- (例)
-
- 健康増進法に基づく地域がん登録事業による国又は地方公共団体への情報提供
- がん検診の精度管理のための地方公共団体又は地方公共団体から委託を受けた検診機関に対する精密検査結果の情報提供
- 児童虐待事例についての関係機関との情報交換
- 医療安全の向上のため、院内で発生した医療事故等に関する国、地方公共団体又は第三者機関等への情報提供のうち、氏名等の情報が含まれる場合
- 感染症患者への対応に当たって、他の患者等への感染を防ぐため、家族等濃厚接触者の迅速な把握のために他の医療機関等に対して必要な個人情報を迅速に共有することが非常に重要な場合であって、本人の同意を得ることが困難であるとき
- 医療機関等が以前治療を行った患者の臨床症例に係る個人データを、観察研究のために他の医療機関等に提供し、当該他の医療機関等を受診する不特定多数の患者に対してより優れた医療サービスを提供できるようになること等により、公衆衛生の向上に特に資する場合であって、本人の転居等により有効な連絡先を保有していないときや、同意を得るために必要な時間的余裕や費用等に照らすと同意を得ることが当該研究の遂行に支障を及ぼすおそれがあるとき
- 医療機関が保有する患者の臨床症例に係る個人データを、有効な治療方法や薬剤が十分にない疾病等に関する疾病メカニズムの解明を目的とした研究のために製薬企業に提供し、その結果が広く共有・活用されていくことで、医学、薬学等の発展や医療水準の向上に寄与し、公衆衛生の向上に特に資することが期待される場合であって、本人の転居により有効な連絡先を保有していないときや、同意を得るために必要な時間的余裕や費用等に照らすと同意を得ることが当該研究の遂行に支障を及ぼすおそれがあるとき
- ④国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
- (例)
-
- 統計法第2条第7項の規定に定める一般統計調査に協力する場合
- 災害発生時に警察が負傷者の住所、氏名や傷の程度等を照会する場合等、公共の安全と秩序の維持の観点から照会する場合
- ⑤学術研究機関等が学術研究目的で個人データを提供する場合であり、かつ、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ない場合(個人の権利利益を不当に侵害するおそれがある場合を除く。)
- (例)
-
- 顔面の皮膚病に関する医学論文において、症例に言及する場合であって、写真全体にモザイク処理を施す等の対応をすることにより当該論文による研究成果の公表の目的が達せられなくなるとき
- ⑥学術研究機関等が個人データを提供する場合であり、かつ、当該学術研究機関等と共同して学術研究を行う第三者(学術研究機関等であるか否かを問わない)に当該個人データを学術研究目的で提供する必要がある場合(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)
- ⑦学術研究機関等が個人データの第三者提供を受ける場合であり、かつ、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要がある場合(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)
- ①法令(条例を含む。)に基づく場合
- 本人の同意が得られていると考えられる場合
医療機関の受付等で診療を希望する患者は、傷病の回復等を目的としている。一方、医療機関等は、患者の傷病の回復等を目的として、より適切な医療が提供できるよう治療に取り組むとともに、必要に応じて他の医療機関と連携を図ったり、当該傷病を専門とする他の医療機関の医師等に指導、助言等を求めることも日常的に行われる。
また、その費用を公的医療保険に請求する場合等、患者の傷病の回復等そのものが目的ではないが、医療の提供には必要な利用目的として提供する場合もある。このため、第三者への情報の提供のうち、患者の傷病の回復等を含めた患者への医療の提供に必要であり、かつ、個人情報の利用目的として院内掲示等により明示されている場合は、原則として黙示の同意が得られているものと考えられる。
なお、傷病の内容によっては、患者の傷病の回復等を目的とした場合であっても、個人データを第三者提供する場合は、あらかじめ本人の明確な同意を得るよう求めがある場合も考えられ、その場合、医療機関等は、本人の意思に応じた対応を行う必要がある。
- ①患者への医療の提供のために通常必要な範囲の利用目的について、院内掲示等で公表しておくことによりあらかじめ黙示の同意を得る場合
医療機関の受付等で、診療を希望する患者から個人情報を取得した場合、それらが患者自身の医療サービスの提供のために利用されることは明らかである。このため、院内掲示等により公表して、患者に提供する医療サービスに関する利用目的について患者から明示的に留保の意思表示がなければ、患者の黙示の同意があったものと考えられる。(Ⅳ5.参照)
また、
- (ア)患者への医療の提供のため、他の医療機関等との連携を図ること
- (イ)患者への医療の提供のため、外部の医師等の意見・助言を求めること
- (ウ)患者への医療の提供のため、他の医療機関等からの照会があった場合にこれに応じること
- (エ)患者への医療の提供に際して、家族等への病状の説明を行うこと
- ②この場合であっても、黙示の同意があったと考えられる範囲は、患者のための医療サービスの提供に必要な利用の範囲であり、別表2の「患者への医療の提供に必要な利用目的」を参考に各医療機関等が示した利用目的に限られるものとする。
なお、院内掲示等においては、
- (ア)患者は、医療機関等が示す利用目的の中で同意しがたいものがある場合には、その事項について、あらかじめ本人の明確な同意を得るよう医療機関等に求めることができること。
- (イ)患者が、(ア)の意思表示を行わない場合は、公表された利用目的について患者の同意が得られたものとすること。
- (ウ)同意及び留保は、その後、患者からの申出により、いつでも変更することが可能であること。
をあわせて掲示するものとする。
※上記①の(ア)~(エ)の具体例
- (例)
-
- 他の医療機関宛に発行した紹介状等を本人が持参する場合
医療機関等において他の医療機関等への紹介状、処方箋等を発行し、当該書面を本人が他の医療機関等に持参した場合、当該第三者提供については、本人の同意があったものと考えられ、当該書面の内容に関し、医療機関等との間での情報交換を行うことについて同意が得られたものと考えられる。
- 他の医療機関等からの照会に回答する場合
診療所Aを過去に受診したことのある患者が、病院Bにおいて現に受診中の場合で、病院Bから診療所Aに対し過去の診察結果等について照会があった場合、病院Bの担当医師等が受診中の患者から同意を得ていることが確認できれば、診療所Aは自らが保有する診療情報の病院Bへの提供について、患者の同意が得られたものと考えられる。
なお、地域医療情報連携ネットワークにおいて、医療機関が保存及び管理等を行う診療情報等を、他の医療機関からの照会を受けて、直接第三者提供する場合(医療機関から地域医療情報連携ネットワークの運営主体に対して診療情報等の保存及び管理等の取扱いを委託している場合において、当該地域医療情報連携ネットワークの運営主体を介して、他の医療機関からの照会を受けて、診療情報等を第三者提供する場合を含む。)については、「地域医療情報連携ネットワークにおける同意取得方法の例について」(令和2年3月31日付け厚生労働省医政局総務課事務連絡)による。
- 家族等への病状説明
病態等について、本人と家族等に対し同時に説明を行う場合には、明示的に本人の同意を得なくても、その本人と同時に説明を受ける家族等に対する診療情報の提供について、本人の同意が得られたものと考えられる。
同様に、児童・生徒の治療に教職員が付き添ってきた場合についても、児童・生徒本人が教職員の同席を拒まないのであれば、本人と教職員を同席させて、治療内容等について説明を行うことができると考えられる。
- 他の医療機関宛に発行した紹介状等を本人が持参する場合
- ③医療機関等が、労働安全衛生法第66条、健康保険法第150条、国民健康保険法第82条又は高齢者の医療の確保に関する法律第20条、第24条若しくは第125条により、事業者又は保険者が行う健康診断等を受託した場合、その結果である労働者等の個人データを委託元である当該事業者又は保険者に対して提供することについて、本人の同意が得られていると考えられる。
- ④介護関係事業者については、介護保険法に基づく指定基準において、サービス担当者会議等で利用者の個人情報を用いる場合には利用者の同意を、利用者の家族の個人情報を用いる場合には家族の同意を、あらかじめ文書により得ておかなければならないとされていることを踏まえ、事業所内への掲示によるのではなく、サービス利用開始時に適切に利用者から文書により同意を得ておくことが必要である。
- ①患者への医療の提供のために通常必要な範囲の利用目的について、院内掲示等で公表しておくことによりあらかじめ黙示の同意を得る場合
- 「第三者」に該当しない場合
- ①他の事業者等への情報提供であるが、「第三者」に該当しない場合
法第27条第5項各号に掲げる場合の当該個人データの提供を受ける者については、第三者に該当せず、本人の同意を得ずに情報の提供を行うことができる。医療・介護関係事業者における具体的事例は以下のとおりである。
- 検査等の業務を委託する場合
- 外部監査機関への情報提供((公益財団法人)日本医療機能評価機構が行う病院機能評価等)
- 個人データを特定の者との間で共同して利用するとして、あらかじめ本人に通知等している場合
- ※個人データの共同での利用における留意事項
-
病院と訪問看護ステーションが共同で医療サービスを提供している場合など、あらかじめ個人データを特定の者との間で共同して利用することが予定されている場合、(ア)共同して利用される個人データの項目、(イ)共同利用者の範囲(個別列挙されているか、本人から見てその範囲が明確となるように特定されている必要がある)、(ウ)利用する者の利用目的、(エ)当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名をあらかじめ本人に通知し、又は本人が容易に知り得る状態に置いておくとともに、共同して利用することを明らかにしている場合には、当該共同利用者は第三者に該当しない。
この場合、(ア)、(イ)については変更することができず、(ウ)、(エ)については、本人が想定することが困難でない範囲内で変更することができ、変更する場合は、本人に通知又は本人の容易に知り得る状態に置かなければならない。
- ②同一事業者内における情報提供であり、第三者に該当しない場合
同一事業者内で情報提供する場合は、当該個人データを第三者に提供したことにはならないので、本人の同意を得ずに情報の提供を行うことができる。医療・介護関係事業者における具体的事例は以下のとおりである。
- 病院内の他の診療科との連携など当該医療・介護関係事業者内部における情報の交換
- 同一事業者が開設する複数の施設間における情報の交換
- 当該事業者の職員を対象とした研修での利用(ただし、第三者提供に該当しない場合であっても、当該利用目的が院内掲示等により公表されていない場合には、具体的な利用方法について本人の同意を得るか(Ⅳ3.参照)、個人が特定されないよう、匿名加工情報に加工する必要がある(Ⅱ5.参照)。なお、法別表第2法人及び病院経営等地方独立行政法人については、匿名加工情報取扱事業者等の義務に関する規定(法第4章第4節)の適用が除外され(法第58条第1項関係)、匿名加工情報の取扱いについて独立行政法人等又は地方独立行政法人による取扱いとみなして公的部門における規律(法第5章第5節)が適用される(法第125条第2項関係)。)
- 当該事業者内で経営分析を行うための情報の交換
- ①他の事業者等への情報提供であるが、「第三者」に該当しない場合
- その他留意事項
- 他の事業者への情報提供に関する留意事項
第三者提供を行う場合のほか、他の事業者への情報提供であっても、①法令(条例を含む。)に基づく場合など第三者提供の例外に該当する場合、 ②「第三者」に該当しない場合、③個人が特定されないように、匿名加工情報に加工して情報提供する場合などにおいては、本来必要とされる情報の範囲に限って提供すべきであり、情報提供する上で必要とされていない事項についてまで他の事業者に提供することがないようにすべきである。
特に、医療事故発生直後にマスコミへの公表を行う場合等については、本人の同意を得る必要がある。
- (適切ではない例)
-
- 医師、薬剤師等の医薬関係者が製薬企業のMR(医薬品情報担当者)、医薬品卸業者のMS(医薬品販売担当者)等との間で医薬品の投薬効果などについて情報交換を行う場合に、必要でない氏名等の情報を削除せずに提供すること。
- 【法の規定により遵守すべき事項等】
-
- 医療・介護関係事業者においては、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。なお、(2)の本人の同意を得る必要がない場合に該当する場合には、本人の同意を得る必要はない。
- 個人データの第三者提供について本人の同意があった場合で、その後、本人から第三者提供の範囲の一部についての同意を取り消す旨の申出があった場合は、その後の個人データの取扱いについては、本人の同意のあった範囲に限定して取り扱うものとする。
- 【その他の事項】
-
- 第三者提供に該当しない情報提供が行われる場合であっても、院内や事業所内等への掲示、ホームページ等により情報提供先をできるだけ明らかにするとともに、患者・利用者等からの問合せがあった場合に回答できる体制を確保する。
- 例えば、業務委託の場合、当該医療・介護関係事業者において委託している業務の内容、委託先事業者、委託先事業者との間での個人情報の取扱いに関する取り決めの内容等について公開することが考えられる。
- 他の事業者への情報提供に関する留意事項
10.外国にある第三者への提供の制限(法第28条)
詳細は、別途定める「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」(平成28年個人情報保護委員会告示第7号)を参照のこと。
(外国にある第三者への提供の制限)- 法第二十八条
- 個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下この条及び第三十一条第一項第二号において同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条及び同号において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置(第三項において「相当措置」という。)を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この項及び次項並びに同号において同じ。)に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。
- 個人情報取扱事業者は、前項の規定により本人の同意を得ようとする場合には、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。
- 個人情報取扱事業者は、個人データを外国にある第三者(第一項に規定する体制を整備している者に限る。)に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。
- 規則第十六条
- 法第二十八条第一項の個人情報保護委員会規則で定める基準は、次の各号のいずれかに該当することとする。
- 一 個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、法第四章第二節の規定の趣旨に沿った措置の実施が確保されていること。
- 二 個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること。
- 【法の規定により遵守すべき事項等】
-
- 医療・介護関係事業者が、法第28条の規定に基づき、外国にある第三者に個人データを提供する場合には、法第27条第1項各号(※)に定める場合を除き、外国にある第三者へ提供することについて本人の同意を得なければならない。
- ただし、次の①又は②のいずれかに該当する場合は、国内と同様に法第27条第1項柱書の規定に基づく本人同意による第三者提供、又は同条第5項に基づく委託、共同利用による提供が可能である。
- ①外国にある第三者が、日本と同等の水準にあると認められる個人情報保護制度を有している国として規則で定める国にある場合
- ②外国にある第三者が、個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制として規則で定める基準に適合する体制を整備している場合
- (※)法第27条第1項各号
-
- 法令(条例を含む。)に基づいて個人データを提供する場合(第1号関係)
- 人(法人を含む。)の生命、身体又は財産といった具体的な権利利益が侵害されるおそれがあり、これを保護するために個人データの提供が必要であり、かつ、本人の同意を得ることが困難である場合(第2号関係)
- 公衆衛生の向上又は心身の発展途上にある児童の健全な育成のために特に必要な場合であり、かつ、本人の同意を得ることが困難である場合(第3号関係)
- 国の機関等が法令の定める事務を実施する上で、民間企業等の協力を得る必要がある場合であって、協力する民間企業等が当該国の機関等に個人データを提供することについて、本人の同意を得ることが当該事務の遂行に支障を及ぼすおそれがある場合(第4号関係)
- 学術研究機関等が学術研究目的で個人データを提供する場合であり、かつ、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ない場合(個人の権利利益を不当に侵害するおそれがある場合を除く。)(第5号関係)
- 学術研究機関等が個人データを提供する場合であり、かつ、当該学術研究機関等と共同して学術研究を行う第三者(学術研究機関等であるか否かを問わない。)に当該個人データを学術研究目的で提供する必要がある場合(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(第6号関係)
- 学術研究機関等が個人データの第三者提供を受ける場合であり、かつ、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要がある場合(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(第7号関係)
- 上記②個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制の基準については、規則第16条に規定されている。
- 「適切かつ合理的な方法」は、個々の事例ごとに判断されるべきであるが、個人データの提供先である外国にある第三者が、我が国の個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずることを担保することができる方法である必要がある。例えば、次の事例が該当する。
- (例)
-
- 外国にある事業者に個人データの取扱いを委託する場合
提供元及び提供先間の契約、確認書、覚書等
- 外国にある事業者に個人データの取扱いを委託する場合
- 契約等に法第4章第2節に関する全ての事項を規定しなければならないものではなく、実質的に適切かつ合理的な方法により、措置の実施が確保されていればよい。なお、典型的な事例として日本にある事業者が、外国にある事業者に個人データの取扱いを委託する場合を挙げ、外国にある第三者又は提供元である日本にある事業者が講ずべき措置の具体例を示すこととする。
- 利用目的の特定(法第17条の趣旨に沿った措置)
(例)委託契約において、外国にある事業者による利用目的を特定する。
- 利用目的による制限(法第18条の趣旨に沿った措置)
(例)委託契約において、委託の内容として、外国にある事業者による利用目的の範囲内での事務処理を規定する。
- 不適正な利用の禁止(法第19条の趣旨に沿った措置)
(例)委託契約により外国にある事業者による違法又は不当な行為を助長し、又は誘発するおそれがある方法による利用を禁止する。
- 適正な取得(法第20条第1項の趣旨に沿った措置)
(例)外国にある事業者が委託契約に基づいて適切に個人データを取得していることが自明であれば、不正の手段による取得ではない。
- 取得に際しての利用目的の通知(法第21条の趣旨に沿った措置)
(例)日本にある事業者から患者に対して利用目的の通知等をする。(利用目的の範囲を別表2で示し、院内掲示等での公表で差し支えない)
- データ内容の正確性の確保等(法第22条の趣旨に沿った措置)
(例)委託契約によりデータ内容の正確性の確保等について規定するか、又は、データ内容の正確性の確保等に係る責任を個人データの提供元たる事業者が負うこととする。
- 安全管理措置(法第23条の趣旨に沿った措置)
(例)委託契約により外国にある事業者が安全管理措置を講ずる旨を規定する。
- 従業者の監督(法第24条の趣旨に沿った措置)
(例)委託契約により外国にある事業者の従業者の監督に係る措置を規定する。
- 委託先の監督(法第25条の趣旨に沿った措置)
(例)委託契約により外国にある事業者の再委託先の監督に係る措置を規定する。
- 漏えい等の報告等(法第26条の趣旨に沿った措置)
(例)委託契約により、外国にある事業者において法第26条第1項に定める報告対象事態が発生した場合に、日本にある個人情報取扱事業者が個人情報保護委員会への報告及び本人通知に係る措置を講ずることについて明確にする。
- 第三者提供の制限(法第27条の趣旨に沿った措置)
(例)委託契約により外国にある事業者からの個人データの第三者提供を禁止する。
- 外国にある第三者への提供の制限(法第28条の趣旨に沿った措置)
(例)委託契約により外国にある事業者からの個人データの第三者提供を禁止する。
- 保有個人データに関する事項の公表等(法第32条の趣旨に沿った措置)
(例)提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、日本にある個人情報取扱事業者が保有個人データに関する事項の公表等に係る義務を履行することについて明確にする。なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。
- 開示(法第33条の趣旨に沿った措置)
(例)提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、日本にある個人情報取扱事業者が開示に係る義務を履行することについて明確にする。なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。
- 訂正等(法第34条の趣旨に沿った措置)
(例)提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、日本にある個人情報取扱事業者が訂正等に係る義務を履行することについて明確にする。なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。
- 利用停止等(法第35条の趣旨に沿った措置)
(例)提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、日本にある個人情報取扱事業者が利用停止等に係る義務を履行することについて明確にする。なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。
- 理由の説明(法第36条の趣旨に沿った措置)
(例)提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、日本にある個人情報取扱事業者が理由の説明に係る義務を履行することについて明確にする。なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。
- 開示等の請求等に応じる手続(法第37条の趣旨に沿った措置)
(例)提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、日本にある個人情報取扱事業者が開示等の請求等に応じる手続を履行することについて明確にする。なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。
- 手数料(法第38条の趣旨に沿った措置)
(例)提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、日本にある個人情報取扱事業者が手数料に係る措置を履行することについて明確にする。なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。
- 個人情報取扱事業者による苦情の処理(法第40条の趣旨に沿った措置)
(例)提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、日本にある個人情報取扱事業者が法第40条に係る義務を履行することについて明確にする。なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。
- 利用目的の特定(法第17条の趣旨に沿った措置)
11.第三者提供に係る記録の作成等(法第29条)
詳細は、別途定める「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」(平成28年個人情報保護委員会告示第8号)を参照のこと。
- 法第二十九条
-
個人情報取扱事業者は、個人データを第三者(第十六条第二項各号に掲げる者を除く。略)に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。ただし、当該個人データの提供が第二十七条第一項各号又は第五項各号のいずれか(略)に該当する場合は、この限りでない。
- 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。
- 規則第十九条
-
法第二十九条第一項の規定による同項の記録を作成する方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法とする。
- 法第二十九条第一項の記録は、個人データを第三者(略)に提供した都度、速やかに作成しなければならない。ただし、当該第三者に対し個人データを継続的に若しくは反復して提供(略)したとき、又は当該第三者に対し個人データを継続的に若しくは反復して提供することが確実であると見込まれるときの記録は、一括して作成することができる。
- 前項の規定にかかわらず、法第二十七条第一項又は法第二十八条第一項の規定により、本人に対する物品又は役務の提供に関連して当該本人に係る個人データを第三者に提供した場合において、当該提供に関して作成された契約書その他の書面に次条第一項各号に定める事項が記載されているときは、当該書面をもって法第二十九条第一項の当該事項に関する記録に代えることができる。
- 規則第二十条
-
法第二十九条第一項の個人情報保護委員会規則で定める事項は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める事項とする。
- 一 法第二十七条第二項の規定により個人データを第三者に提供した場合 次のイからニまでに掲げる事項
- イ 当該個人データを提供した年月日
- ロ 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人。第二十八条第一項第三号において同じ。)の氏名 (不特定かつ多数の者に対して提供したときは、その旨)
- ハ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
- ニ 当該個人データの項目
- 二 法第二十七条第一項又は法第二十八条第一項の規定により個人データを第三者に提供した場合 次のイ及びロに掲げる事項
- イ 法第二十七条第一項又は法第二十八条第一項の本人の同意を得ている旨
- ロ 前号ロからニまでに掲げる事項
- 前項各号に定める事項のうち、既に前条に規定する方法により作成した法第二十九条第一項の記録(当該記録を保存している場合におけるものに限る。)に記録されている事項と内容が同一であるものについては、同項の当該事項の記録を省略することができる。
- 規則第二十一条
-
法第二十九条第二項の個人情報保護委員会規則で定める期間は、次の各号に掲げる場合の区分に応じて、それぞれ当該各号に定める期間とする。
- 一 第十九条第三項に規定する方法により記録を作成した場合 最後に当該記録に係る個人データの提供を行った日から起算して一年を経過する日までの間
- 二 第十九条第二項ただし書に規定する方法により記録を作成した場合 最後に当該記録に係る個人データの提供を行った日から起算して三年を経過する日までの間
- 三 前二号以外の場合 三年
- 記録義務が適用されない場合
以下の場合には記録義務が適用されない。
- ①第三者が法第16条第2項各号に掲げる者である場合
以下の1)から4)までに掲げる者との間で個人データの授受を行う場合、記録義務は適用されない。
- 国の機関(法第16条第2項第1号関係)
- 地方公共団体(法第16条第2項第2号関係)
- 独立行政法人等(法別表第2法人を除く。)(法第16条第2項第3号関係)
- 地方独立行政法人(病院経営等地方独立行政法人を除く。)(法第16条第2項第4号関係)
- ②法第27条第1項各号に該当する場合(Ⅳ9.(2)参照)
個人データが転々流通することは想定されにくいことに鑑み、記録義務は適用されない。
- 法令(条例を含む。)に基づいて個人データを提供する場合(第1号関係)
- (例)
-
- 審査支払機関へのレセプトの提出
- 人(法人を含む。)の生命、身体又は財産といった具体的な権利利益が侵害されるおそれがあり、これを保護するために個人データの提供が必要であり、かつ、本人の同意を得ることが困難である場合(第2号関係)
- 公衆衛生の向上又は心身の発展途上にある児童の健全な育成のために特に必要な場合であり、かつ、本人の同意を得ることが困難である場合(第3号関係)
- 国の機関等が法令の定める事務を実施する上で、民間企業等の協力を得る必要がある場合であって、協力する民間企業等が当該国の機関等に個人データを提供することについて、本人の同意を得ることが当該事務の遂行に支障を及ぼすおそれがある場合(第4号関係)
- 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)(第5号関係)
- 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データを学術研究目的で提供する必要があるとき(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該第三者が共同して学術研究を行う場合に限る。)(第6号関係)
- 当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(第7号関係)
- 法令(条例を含む。)に基づいて個人データを提供する場合(第1号関係)
- ③法第27条第5項各号に該当する場合(Ⅳ9.(4)参照)
「第三者に該当しないものとする」とされていることに鑑み、記録義務は適用されない。
- 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合(法第27条第5項第1号関係)
- (例)
-
- 検体検査業務の委託その他の業務委託
- 保険事務の委託
- 事業者等からの委託を受けて健康診断等を行った場合における、事業者等へのその結果の通知
- 医療機関等の管理運営業務のうち、外部監査機関への情報提供
- 合併その他の事由による事業の承継に伴って個人データが提供される場合 (法第27条第5項第2号関係)
- 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき(法第27条第5項第3号関係)
- 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合(法第27条第5項第1号関係)
- ④本人に代わって提供している場合
医療・介護関係事業者が患者・利用者本人からの委託等に基づき当該本人の個人データを第三者提供する場合は、当該個人情報取扱事業者は「本人に代わって」個人データの提供をしているものである。
したがって、この場合の第三者提供については、記録義務は適用されない。
- (例)
- 医療機関等が患者等に提供する医療サービスのうち、
- 他の病院、診療所、助産所、薬局、訪問看護ステーション、介護サービス事業者等との連携
- 他の医療機関等からの照会への回答
- 患者の診療等に当たり、外部の医師等の意見・助言を求める場合
- 審査支払機関又は保険者からの照会への回答
- 医師賠償責任保険などに係る、医療に関する専門の団体、保険会社等への相談又は届出等
- ⑤本人と一体と評価できる関係にある者に提供する場合
本人の代理人又は家族等、本人と一体と評価できる関係にある者に提供する場合、本人側に対する提供とみなし、記録義務は適用されない。
- (例)
-
- 家族等への病状説明
- ①第三者が法第16条第2項各号に掲げる者である場合
【法の規定により遵守すべき事項等】
- 記録義務の適用
(1)に記載したいずれの場合にも該当しない場合で、医療・介護関係事業者が個人データを第三者に提供したときは、法令に定める記録の作成及びその記録を保存しなければならない。
- ①記録を作成する方法など
- 記録を作成する媒体
医療・介護関係事業者は、記録を、文書、電磁的記録又はマイクロフィルムを用いて作成しなければならない。
- 記録を作成する方法
医療・介護関係事業者は、原則として、個人データの授受の都度、速やかに記録を作成しなければならない。
- 一括して記録を作成する方法
一定の期間内に特定の事業者との間で継続的に又は反復して個人データを授受する場合は、個々の授受に係る記録を作成する代わりに、一括して記録を作成することができる。
- 契約書等の代替手段による方法
医療・介護関係事業者が、本人に対する物品又は役務の提供に係る契約を締結し、その契約の履行に伴って、契約の相手方を本人とする個人データを医療・介護関係事業者から第三者に提供する場合は、その提供の際に作成した契約書その他の書面をもって個人データの流通を追跡することが可能であるから当該契約書その他の書面をもって記録とすることができる。
- 代行により記録を作成する方法
提供者、受領者のいずれも記録の作成方法、保存期間は同一であることに鑑みて受領者は提供者の記録義務の全部又は一部を代替して行うことができる(提供者と受領者の記録事項の相違については留意する必要がある。)。なお、この場合であっても、提供者及び受領者は自己の義務が免責されるわけではないことから、実質的に自ら記録作成義務を果たしているものと同等の体制を構築しなければならない。
- 記録を作成する媒体
- ②記録事項
- 提供者の記録事項
医療・介護関係事業者が、本人の同意に基づき個人データの第三者提供を行う場合は、次の項目を記録しなければならない。
- 本人同意を得ている旨
- 第三者の氏名又は名称その他の当該第三者を特定できる事項
- 個人データによって識別される本人の氏名その他の当該本人を特定できる事項
- 個人データの項目
- 提供者の記録事項
- ③記録事項の省略
複数回にわたって同一「本人」の個人データの授受をする場合において、同一の内容である事項を重複して記録する必要はない。既に「11.(2)記録義務の適用」に規定する方法により作成した記録(現に保存している場合に限る。)に記録された事項と内容が同一であるものについては、当該事項の記録を省略することができる。
- ④保存期間
医療・介護関係事業者は、作成した記録を規則で定める期間保存しなければならない。保存期間は記録の作成方法によって異なるので留意が必要である。
記録の作成方法の別 保存期間 契約書等の代替手段による方法により記録を作成した場合 最後に当該記録に係る個人データの提供を行った日から起算して1年を経過する日までの間 一括して記録を作成する方法により記録を作成した場合 最後に当該記録に係る個人データの提供を行った日から起算して3年を経過する日までの間 上記以外の場合 3年
- ①記録を作成する方法など
12.第三者提供を受ける際の確認等(法第30条)
詳細は、別途定める「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」(平成28年個人情報保護委員会告示第8号)を参照のこと。
- 法第三十条
-
個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第二十七条第一項各号又は第五項各号のいずれかに該当する場合は、この限りでない。
- 一 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
- 二 当該第三者による当該個人データの取得の経緯
- 前項の第三者は、個人情報取扱事業者が同項の規定による確認を行う場合において、当該個人情報取扱事業者に対して、当該確認に係る事項を偽ってはならない。
- 個人情報取扱事業者は、第一項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。
- 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。
- 規則第二十二条
-
法第三十条第一項の規定による同項第一号に掲げる事項の確認を行う方法は、個人データを提供する第三者から申告を受ける方法その他の適切な方法とする。
- 法第三十条第一項の規定による同項第二号に掲げる事項の確認を行う方法は、個人データを提供する第三者から当該第三者による当該個人データの取得の経緯を示す契約書その他の書面の提示を受ける方法その他の適切な方法とする。
- 前二項の規定にかかわらず、第三者から他の個人データの提供を受けるに際して既に前二項に規定する方法による確認(当該確認について次条に規定する方法による記録の作成及び保存をしている場合におけるものに限る。)を行っている事項の確認を行う方法は、当該事項の内容と当該提供に係る法第三十条第一項各号に掲げる事項の内容が同一であることの確認を行う方法とする。
(第三者提供を受ける際の確認に係る記録の作成)
- 規則第二十三条
-
法第三十条第三項の規定による同項の記録を作成する方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法とする。
- 法第三十条第三項の記録は、第三者から個人データの提供を受けた都度、速やかに作成しなければならない。ただし、当該第三者から継続的に若しくは反復して個人データの提供(法第二十七条第二項の規定による提供を除く。以下この条において同じ。)を受けたとき、又は当該第三者から継続的に若しくは反復して個人データの提供を受けることが確実であると見込まれるときの記録は、一括して作成することができる。
- 前項の規定にかかわらず、本人に対する物品又は役務の提供に関連して第三者から当該本人に係る個人データの提供を受けた場合において、当該提供に関して作成された契約書その他の書面に次条第一項各号に定める事項が記載されているときは、当該書面をもって法第三十条第三項の当該事項に関する記録に代えることができる。
(第三者提供を受ける際の記録事項)
- 規則第二十四条
-
法第三十条第三項の個人情報保護委員会規則で定める事項は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める事項とする。
- 一 個人情報取扱事業者から法第二十七条第二項の規定による個人データの提供を受けた場合次のイからホまでに掲げる事項
- イ 個人データの提供を受けた年月日
- ロ 法第三十条第一項各号に掲げる事項
- ハ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
- ニ 当該個人データの項目
- ホ 法第二十七条第四項の規定により公表されている旨
- 二 個人情報取扱事業者から法第二十七条第一項又は法第二十八条第一項の規定による個人データの提供を受けた場合次のイ及びロに掲げる事項
- イ 法第二十七条第一項又は法第二十八条第一項の本人の同意を得ている旨
- ロ 前号ロからニまでに掲げる事項
- 三 (略)
- 四 第三者(個人情報取扱事業者に該当する者を除く。)から個人データの提供を受けた場合第一号ロからニまでに掲げる事項
- 一 個人情報取扱事業者から法第二十七条第二項の規定による個人データの提供を受けた場合次のイからホまでに掲げる事項
- 前項各号に定める事項のうち、既に前条に規定する方法により作成した法第三十条第三項の記録(当該記録を保存している場合におけるものに限る。)に記録された事項と内容が同一であるものについては、同項の当該事項の記録を省略することができる。
(第三者提供を受ける際の記録の保存期間)
- 規則第二十五条
-
法第三十条第四項の個人情報保護委員会規則で定める期間は、次の各号に掲げる場合の区分に応じて、それぞれ当該各号に定める期間とする。
- 一 第二十三条第三項に規定する方法により記録を作成した場合最後に当該記録に係る個人データの提供を受けた日から起算して一年を経過する日までの間
- 二 第二十三条第二項ただし書に規定する方法により記録を作成した場合最後に当該記録に係る個人データの提供を受けた日から起算して三年を経過する日までの間
- 三 前二号以外の場合三年
- 確認・記録義務が適用されない場合
11.第三者提供に係る記録の作成等(法第29条)の場合と同様、①第三者が法第16条第2項各号に掲げる者である場合、②法第27条第1項各号に該当する場合(Ⅳ9.(2)参照)、③法第27条第5項各号に該当する場合(Ⅳ9.(4)参照)、④本人に代わって提供された個人データを受ける場合、⑤本人と一体と評価できる関係にある者に該当する場合は、確認・記録義務は適用されない。なお、具体的事例は、11.(1)を参照のこと。
加えて、以下の場合においても確認・記録義務は適用されない。
- ⑥受領者にとって個人データに該当しない場合
提供者にとって個人データに該当するが受領者にとって個人データに該当しない情報を受領した場合は、確認・記録義務は適用されない。
- ⑦受領者にとって個人情報に該当しない場合
次の事例のように、提供者にとって個人データに該当する場合であっても、受領者にとっては「個人情報」に該当しない(当然に個人データにも該当しない。)情報を受領した場合は、確認・記録義務は適用されない。
【受領者にとって個人情報に該当しない事例】
- (例)
-
- 提供者が氏名を削除するなどして個人を特定できないようにしたデータの提供を受けた場合
- 提供者で管理しているID番号のみが付されたデータの提供を受けた場合
- ⑥受領者にとって個人データに該当しない場合
【法の規定により遵守すべき事項等】
- 確認義務の適用
医療・介護関係事業者は第三者から個人データの提供を受ける際は、当該第三者に対して、次のとおり確認を行わなければならない。
- ①確認方法
- 第三者の氏名及び住所並びに法人にあっては、その代表者の氏名
- 第三者による個人データの取得の経緯
- 法の遵守状況【その他の事項】
医療・介護関係事業者が、他の事業者から個人データの提供を受ける際には、当該事業者の法の遵守状況(例えば、利用目的、開示手続、問合せ・苦情の受付窓口の公表、オプトアウトによる第三者提供により個人データの提供を受ける際には当該事業者の届出事項が個人情報保護委員会により公表されている旨など)についても確認することが望ましい。
- ②既に確認を行った第三者に対する確認方法
複数回にわたって同一「本人」の個人データの授受をする場合において、同一の内容である事項を重複して確認する合理性はないため、既に「①確認方法」に規定する方法により確認を行い、「12.(3)記録義務」に規定する方法により作成し、かつ、その時点において保存している記録に記録された事項と内容が同一であるものについては、当該事項の確認を省略することができる。
- ①確認方法
- 記録義務の適用
また、医療・介護関係事業者は、第三者から個人データの提供を受けたときは法令に定める記録を作成し、かつ、その記録を保存しなければならない。
- ①記録を作成する方法など
- 記録を作成する媒体
医療・介護関係事業者は、記録を、文書、電磁的記録又はマイクロフィルムを用いて作成しなければならない。
- 記録を作成する方法
医療・介護関係事業者は、原則として、個人データの授受の都度、速やかに記録を作成しなければならない。
- 一括して記録を作成する方法
一定の期間内に特定の事業者との間で継続的に又は反復して個人データを授受する場合は、個々の授受に係る記録を作成する代わりに、一括して記録を作成することができる。
- 契約書等の代替手段による方法
医療・介護関係事業者が、本人に対する物品又は役務の提供に係る契約を締結し、その契約の履行に伴って、契約の相手方を本人とする個人データを第三者から提供を受ける場合は、その提供の際に作成した契約書その他の書面をもって個人データの流通を追跡することが可能であるから当該契約書その他の書面をもって記録とすることができる。
- 代行により記録を作成する方法
提供者、受領者のいずれも記録の作成方法、保存期間は同一であることに鑑みて提供者は受領者の記録義務の全部又は一部を代替して行うことができる(提供者と受領者の記録事項の相違については留意する必要がある。)。なお、この場合であっても、提供者及び受領者は自己の義務が免責されるわけではないことから、実質的に自ら記録作成義務を果たしているものと同等の体制を構築しなければならない。
- 記録を作成する媒体
- ②記録事項
- 受領者の記録事項
医療・介護関係事業者が、本人の同意に基づき個人データの第三者提供を受ける場合は、次の項目を記録しなければならない。
- 本人同意を得ている旨
- 第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
- 第三者による当該個人データの取得の経緯
- 個人データによって識別される本人の氏名その他の当該本人を特定できる事項
- 個人データの項目
- 受領者の記録事項
- ③記録事項の省略
複数回にわたって同一「本人」の個人データの授受をする場合において、同一の内容である事項を重複して記録する必要はない。既に「12.(3)記録義務の適用」に規定する方法により作成した記録(現に保存している場合に限る。)に記録された事項と内容が同一であるものについては、当該事項の記録を省略することができる。
- ④保存期間
医療・介護関係事業者は、作成した記録を規則で定める期間保存しなければならない。保存期間は記録の作成方法によって異なるので留意が必要である。
記録の作成方法の別 保存期間 契約書等の代替手段による方法により記録を作成した場合 最後に当該記録に係る個人データの提供を行った日から起算して1年を経過する日までの間 一括して記録を作成する方法により記録を作成した場合 最後に当該記録に係る個人データの提供を行った日から起算して3年を経過する日までの間 上記以外の場合 3年 - ①記録を作成する方法など
13.保有個人データに関する事項の公表等(法第32条)
(保有個人データに関する事項の公表等)
- 法第三十二条
-
個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
- 一 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
- 二 全ての保有個人データの利用目的(第二十一条第四項第一号から第三号までに該当する場合を除く。)
- 三 次項の規定による求め又は次条第一項、(同条第五項において準用する場合を含む。)、第三十四条第一項若しくは第三十五条第一項、第三項若しくは第五項の規定による請求に応じる手続(第三十八条第二項の規定により手数料の額を定めたときは、その手数料の額を含む。)
- 四 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
- 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。
- 一 前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
- 二 第二十一条第四項第一号から第三号までに該当する場合
- 個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
(保有個人データの適正な取扱いの確保に関し必要な事項)
- 令第十条
-
法第三十二条第一項第四号の政令で定めるものは、次に掲げるものとする。
- 一 法第二十三条の規定により保有個人データの安全管理のために講じた措置(本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。)
- 二 当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先
- 三 当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び苦情の解決の申出先
- 【法の規定により遵守すべき事項】
-
- 医療・介護関係事業者は、保有個人データに関し、(ア)当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名、(イ)全ての保有個人データの利用目的(法第21条第4項第1号から第3号までに規定された例外の場合を除く。)、(ウ)保有個人データの利用目的の通知、開示、訂正、利用停止等の手続の方法、及び保有個人データの利用目的の通知又は開示に係る手数料の額、(エ)法第23条の規定により保有個人データの安全管理のために講じた措置、(オ)苦情の申出先等について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
- (エ)に関し、医療・介護関係事業者は、Ⅳ7.に掲げる安全管理措置等を講じていることについて、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
- 医療・介護関係事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、上記の措置により利用目的が明らかになっている場合及び法第21条第4項第1号から第3号までの例外に相当する場合を除き、遅滞なく通知しなければならない。
- 医療・介護関係事業者は、利用目的の通知をしない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
- 法施行前から保有している個人情報についても同様の取扱いを行う。
- 【その他の事項】
-
- 医療・介護関係事業者は、保有個人データについて、その利用目的、開示、訂正、利用停止等の手続の方法及び利用目的の通知又は開示に係る手数料の額、苦情の申出先等について、少なくとも院内や事業者内等への掲示、さらにホームページ等によりできるだけ明らかにするとともに、患者・利用者等からの要望により書面を交付したり、問合せがあった場合に具体的内容について回答できる体制を確保する。
- 【法別表第2法人及び病院経営等地方独立行政法人に関する適用関係】
-
- 法別表第2法人及び病院経営等地方独立行政法人については、法第32条の適用が除外され(法第58条第1項関係)、個人情報の取扱いについて独立行政法人等又は地方独立行政法人による取扱いとみなして公的部門における規律(法第75条)が適用される(法第125条第2項関関係)。
- 【地方公共団体の機関及び独立行政法人労働者健康安全機構に関する適用関係】
-
- 地方公共団体の機関が行う病院若しくは診療所又は大学の運営の業務に係る個人情報の取扱い及び独立行政法人労働者健康安全機構が行う病院の運営の業務に係る個人情報の取扱いについては、原則、個人情報取扱事業者による個人情報の取扱いとみなされ、民間部門における規律(法第4章)が適用されるが、公的機関としての特性を踏まえ、法第32条の適用は除外され(法第58条第2項関係)、公的部門における規律(法第75条)が適用される(法第125条第1項関係)。
14.本人からの請求による保有個人データ等の開示(法第33条)
- 法第三十三条
-
本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの電磁的記録の提供による方法その他の個人情報保護委員会規則で定める方法による開示を請求することができる。
- 個人情報取扱事業者は、前項の規定による請求を受けたときは、本人に対し、同項の規定により当該本人が請求した方法(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
- 一 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
- 二 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
- 三 他の法令に違反することとなる場合
- 個人情報取扱事業者は、第一項の規定による請求に係る保有個人データの全部若しくは一部について開示しない旨の決定をしたとき、当該保有個人データが存在しないとき、又は同項の規定により本人が請求した方法による開示が困難であるときは、本人に対し、遅滞なく、その旨を通知しなければならない。
- 他の法令の規定により、本人に対し第二項本文に規定する方法に相当する方法により当該本人が識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人データについては、第一項及び第二項の規定は、適用しない。
- 第一項から第三項までの規定は、当該本人が識別される個人データに係る第二十九条第一項及び第三十条第三項の記録(その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるものを除く。第三十七条第二項において「第三者提供記録」という。)について準用する。
(第三者提供記録から除外されるもの)
- 令第十一条
-
法第三十三条第五項の政令で定めるものは、次に掲げるものとする。
- 一 当該記録の存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
- 二 当該記録の存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
- 三 当該記録の存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
- 四 当該記録の存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
(本人が請求することができる開示の方法)
- 規則第三十条
-
法第三十三条第一項(同条第五項において準用する場合を含む。)の個人情報保護委員会規則で定める方法は、電磁的記録の提供による方法、書面の交付による方法その他当該個人情報取扱事業者の定める方法とする。
- 開示の原則
医療・介護関係事業者は、本人から、当該本人が識別される保有個人データ及び第三者提供記録(以下「保有個人データ等」という。)の開示の請求を受けたときは、本人に対し、電磁的記録の提供による方法、書面の交付による方法等により、遅滞なく、当該保有個人データ等を開示しなければならない。
- 開示の例外
開示することで、法第33条第2項(同条第5項において準用する場合を含む。)各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。具体的事例は以下のとおりである。
- (例)
-
- 患者・利用者の状況等について、家族や患者・利用者の関係者が医療・介護サービス従事者に情報提供を行っている場合に、これらの者の同意を得ずに患者・利用者自身に当該情報を提供することにより、患者・利用者と家族や患者・利用者の関係者との人間関係が悪化するなど、これらの者の利益を害するおそれがある場合
- 症状や予後、治療経過等について患者に対して十分な説明をしたとしても、患者本人に重大な心理的影響を与え、その後の治療効果等に悪影響を及ぼす場合
- ※個々の事例への適用については個別具体的に慎重に判断することが必要である。また、保有個人データである診療情報の開示に当たっては、「診療情報の提供等に関する指針」の内容にも配慮する必要がある。
- 【法の規定により遵守すべき事項等】
-
- 医療・介護関係事業者は、本人から、当該本人が識別される保有個人データ等の開示の請求を受けたときは、本人に対し、遅滞なく、当該保有個人データ等を開示しなければならない。また、当該本人が識別される保有個人データ等が存在しないときにその旨知らせることとする。ただし、開示することにより、法第33条第2項各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
- Ⅱ1.に記したとおり、例えば診療録の情報の中には、患者の保有個人データであって、当該診療録を作成した医師の保有個人データでもあるという二面性を持つ部分が含まれるものの、そもそも診療録全体が患者の保有個人データであることから、患者本人から開示の請求がある場合に、その二面性があることを理由に全部又は一部を開示しないことはできない。ただし、法第33条第2項各号のいずれかに該当する場合には、法に従い、その全部又は一部を開示しないことができる。
- 開示の方法は、電磁的記録の提供による方法、書面の交付による方法その他当該個人情報取扱事業者の定める方法のうち本人が請求した方法(当該方法による開示に多額の費用を要する場合その他の当該方法によることが困難な場合である場合にあっては、書面の交付による方法)による。
- 医療・介護関係事業者は、請求を受けた保有個人データ等の全部又は一部について開示しない旨を決定したときは、本人に対し、遅滞なく、その旨を通知しなければならない。また、本人に通知する場合には、本人に対してその理由を説明するよう努めなければならない(Ⅳ17.参照)。
- 他の法令の規定により、保有個人データ等の開示について定めがある場合には、当該法令の規定によるものとする。
- 【その他の事項】
-
- 法定代理人等、開示の請求を行い得る者から開示の請求があった場合、原則として患者・利用者本人に対し保有個人データ等の開示を行う旨の説明を行った後、法定代理人等に対して開示を行うものとする。
- 医療・介護関係事業者は、保有個人データ等の全部又は一部について開示しない旨決定した場合、本人に対するその理由の説明に当たっては、文書により示すことを基本とする。また、苦情への対応を行う体制についても併せて説明することが望ましい。
- 【法別表第2法人及び病院経営等地方独立行政法人に関する適用関係】
-
- 法別表第2法人及び病院経営等地方独立行政法人については、法第33条の適用が除外され(法第58条第1項関係)、個人情報の取扱いについて独立行政法人等又は地方独立行政法人による取扱いとみなして、公的部門における規律(法第5章第4節第1款)が適用される(法第125条第2項関係)。
- 【地方公共団体の機関及び独立行政法人労働者健康安全機構に関する適用関係】
-
- 地方公共団体の機関が行う病院若しくは診療所又は大学の運営の業務に係る個人情報の取扱い及び独立行政法人労働者健康安全機構が行う病院の運営の業務に係る個人情報の取扱いについては、原則、個人情報取扱事業者による個人情報の取扱いとみなされ、民間部門における規律(法第4章)が適用されるが、公的機関としての特性を踏まえ、法第33条の適用は除外され(法第58条第2項関係)、公的部門における規律(法第5章第4節第1款)が適用される(法第125条第1項関係)。
15.訂正及び利用停止(法第34条、第35条)
- 法第三十四条
-
本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの内容が事実でないときは、当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という。)を請求することができる。
- 個人情報取扱事業者は、前項の規定による請求を受けた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。
- 個人情報取扱事業者は、第一項の規定による請求に係る保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知しなければならない。
(利用停止等)
- 法第三十五条
本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第十八条若しくは第十九条の規定に違反して取り扱われているとき、又は第二十条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を請求することができる。
- 個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない 。
- 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第二十七条第一項又は第二十八条の規定に違反して第三者に提供されているときは、当該保有個人データの第三者への提供の停止を請求することができる。
- 個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
- 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合、当該本人が識別される保有個人データに係る第二十六条第一項本文に規定する事態が生じた場合その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合には、当該保有個人データの利用停止等又は第三者への提供の停止を請求することができる。
- 個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、本人の権利利益の侵害を防止するために必要な限度で、遅滞なく、当該保有個人データの利用停止等又は第三者への提供の停止を行わなければならない。ただし、当該保有個人データの利用停止等又は第三者への提供の停止に多額の費用を要する場合その他の利用停止等又は第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
- 個人情報取扱事業者は、第一項若しくは第五項の規定による請求に係る保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は第三項若しくは第五項の規定による請求に係る保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
- 【法の規定により遵守すべき事項等】
-
- 医療・介護関係事業者は、法第34条第2項又は第35条第2項、第4項若しくは第6項の規定に基づき、本人から、保有個人データの訂正等、利用停止等、第三者への提供の停止の請求を受けた場合で、それらの請求が適正であると認められるときは、これらの措置を行わなければならない。
- ただし、利用停止等及び第三者への提供の停止については、利用停止等に多額の費用を要する場合など当該措置を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
- なお、以下の場合については、これらの措置を行う必要はない。
- ①訂正等の請求があった場合であっても、(ア)利用目的から見て訂正等が必要でない場合、(イ)誤りである指摘が正しくない場合又は(ウ)訂正等の対象が事実でなく評価に関する情報である場合
- ②利用停止等、第三者への提供の停止の請求があった場合であっても、手続違反等の指摘が正しくない場合
- 医療・介護関係事業者は、上記の措置を行ったとき、又は行わない旨を決定したときは、本人に対し、遅滞なく、その旨を通知しなければならない。また、本人に通知する場合には、本人に対してその理由を説明するよう努めなければならない(Ⅳ17.参照)。
- 【その他の事項】
-
- 医療・介護関係事業者は、訂正等、利用停止等又は第三者への提供の停止の請求を受けた保有個人データの全部又は一部について、これらの措置を行わない旨決定した場合、本人に対するその理由の説明に当たっては、文書により示すことを基本とする。その際は、苦情への対応を行う体制についても併せて説明をすることが望ましい。
- 保有個人データの訂正等にあたっては、訂正した者、内容、日時等が分かるように行われなければならない。
- 保有個人データの字句などを不当に変える改ざんは、行ってはならない。
- 【法別表第2法人及び病院経営等地方独立行政法人に関する適用関係】
-
- 法別表第2法人及び病院経営等地方独立行政法人については、法第34条及び第35条の適用が除外され(法第58条第1項関係)、個人情報の取扱いについて独立行政法人等又は地方独立行政法人による取扱いとみなして公的部門における規律(法第5章第4節第2款及び第3款)が適用される(法第125条第2項関係)。
- 【地方公共団体の機関及び独立行政法人労働者健康安全機構に関する適用関係】
-
- 地方公共団体の機関が行う病院若しくは診療所又は大学の運営の業務に係る個人情報の取扱い及び独立行政法人労働者健康安全機構が行う病院の運営の業務に係る個人情報の取扱いについては、原則、個人情報取扱事業者による個人情報の取扱いとみなされ、民間部門における規律(法第4章)が適用されるが、公的機関としての特性を踏まえ、法第34条及び第35条の適用は除外され(法第58条第2項関係)、公的部門における規律(法第5章第4節第2款及び第3款)が適用される(法第125条第1項関係)。
16.開示等の請求等に応じる手続及び手数料(法第37条、第38条)
(開示等の請求等に応じる手続)
- 法第三十七条
個人情報取扱事業者は、第三十二条第二項の規定による求め又は第三十三条第一項(同条第五項において準用する場合を含む。次条第一項及び第三十九条において同じ。)、第三十四条第一項若しくは第三十五条第一項、第三項若しくは第五項の規定による請求(以下この条及び第五十四条第一項において「開示等の請求等」という。)に関し、政令で定めるところにより、その求め又は請求を受け付ける方法を定めることができる。この場合において、本人は、当該方法に従って、開示等の請求等を行わなければならない。
- 個人情報取扱事業者は、本人に対し、開示等の請求等に関し、その対象となる保有個人データ又は第三者提供記録を特定するに足りる事項の提示を求めることができる。この場合において、個人情報取扱事業者は、本人が容易かつ的確に開示等の請求等をすることができるよう、当該保有個人データ又は当該第三者提供記録の特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。
- 開示等の請求等は、政令で定めるところにより、代理人によってすることができる。
- 個人情報取扱事業者は、前三項の規定に基づき開示等の請求等に応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮しなければならない。
(手数料)
- 法第三十八条
-
個人情報取扱事業者は、第三十二条第二項の規定による利用目的の通知を求められたとき又は第三十三条第一項の規定による開示の請求を受けたときは、当該措置の実施に関し、手数料を徴収することができる。
- 個人情報取扱事業者は、前項の規定により手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければならない。
(開示等の請求等を受け付ける方法)
- 令第十二条
-
法第三十七条第一項の規定により個人情報取扱事業者が開示等の請求等を受け付ける方法として定めることができる事項は、次に掲げるとおりとする。
- 一 開示等の請求等の申出先
- 二 開示等の請求等に際して提出すべき書面(電磁的記録を含む。第三十五条第一項及び第四十条第三項において同じ。)の様式その他の開示等の請求等の方式
- 三 開示等の請求等をする者が本人又は次条に規定する代理人であることの確認の方法
- 四 法第三十八条第一項の手数料の徴収方法
(開示等の請求等をすることができる代理人)
- 令第十三条
-
法第三十七条第三項の規定により開示等の請求等をすることができる代理人は、次に掲げる代理人とする。
- 一 未成年者又は成年被後見人の法定代理人
- 二 開示等の請求等をすることにつき本人が委任した代理人
- 開示等を行う情報の特定
医療・介護関係事業者は、本人に対し、開示等の請求等に関して、その対象となる保有個人データ等を特定するに足りる事項の提示を求めることができるが、この場合には、本人が容易かつ的確に開示等の請求等をすることができるよう、当該保有個人データ等の特定に資する情報の提供その他本人の利便を考慮した措置をとらなければならない。
また、保有個人データ等の開示等については、本人の請求等により、保有個人データ等の全体又は一部が対象となるが、当該本人の保有個人データ等が多岐にわたる、データ量が膨大であるなど、全体の開示等が困難又は非効率な場合、医療・介護関係事業者は、本人が開示等の請求等を行う情報の範囲を特定するのに参考となる情報(過去の受診の状況、病態の変化等)を提供するなど、本人の利便を考慮した支援を行うものとする。
- 代理人による開示等の請求等
保有個人データ等の開示等については、本人のほか、①未成年者又は成年被後見人の法定代理人、②開示等の請求等をすることにつき本人が委任した代理人により行うことができる。
- 【法の規定により遵守すべき事項等】
-
- 医療・介護関係事業者は、保有個人データ等の開示等の請求等に関し、本人に過重な負担を課すものとならない範囲において、以下の事項について、その請求を受け付ける方法を定めることができる。
- (ア)開示等の請求等の受付先
- (イ)開示等の請求等に際して提出すべき書面の様式、その他の開示等の請求等の受付方法
- (ウ)開示等の請求等をする者が本人又はその代理人であることの確認の方法
- (エ)保有個人データ等の利用目的の通知、又は保有個人データ等の開示をする際に徴収する手数料の徴収方法
- 医療・介護関係事業者は、本人に対し、開示等の請求等に関して、その対象となる保有個人データ等を特定するに足りる事項の提示を求めることができるが、この場合には、本人が容易かつ的確に開示等の請求等をすることができるよう、当該保有個人データ等の特定に資する情報の提供その他本人の利便を考慮した措置をとらなければならない。
- 保有個人データ等の開示等の請求等は、本人のほか、未成年者又は成年被後見人の法定代理人、当該請求等をすることにつき本人が委任した代理人によってすることができる。
- 医療・介護関係事業者は、保有個人データ等の利用目的の通知を求められたとき、又は保有個人データ等の開示を請求されたときは、当該措置の実施に関し、手数料を徴収することができ、その際には実費を勘案して合理的であると認められる範囲内において、手数料の額を定めなければならない。
- 医療・介護関係事業者は、保有個人データ等の開示等の請求等に関し、本人に過重な負担を課すものとならない範囲において、以下の事項について、その請求を受け付ける方法を定めることができる。
- 【その他の事項】
-
- 医療・介護関係事業者は、以下の点に留意しつつ、保有個人データ等の開示等の手続を定めることが望ましい。
- 一開示等の請求等の方法は書面によることが望ましいが、患者・利用者等の自由な請求を阻害しないため、開示等の請求等に係る書面に理由欄を設けることなどにより開示等を請求する理由の記載を要求すること及び開示等を請求する理由を尋ねることは不適切である。
- 一開示等を請求する者が本人(又はその代理人)であることを確認する。
- 一開示等の請求等があった場合、主治医等の担当スタッフの意見を聴いた上で、速やかに保有個人データ等の開示等をするか否か等を決定し、これを開示の請求等を行った者に通知する。
- 一保有個人データ等の開示に当たり、法第33条第2項各号に該当する可能性がある場合には、開示の可否について検討するために設置した検討委員会等において検討した上で、速やかに開示の可否を決定することが望ましい。
- 一保有個人データ等の開示を行う場合には、日常の医療・介護サービス提供への影響等も考慮し、本人に過重な負担を課すものとならない範囲で、日時、場所、方法等を指定することができる。
- 代理人等、開示の請求等を行い得る者から開示の請求等があった場合、原則として患者・利用者本人に対し保有個人データ等の開示を行う旨の説明を行った後、開示の請求等を行った者に対して開示を行うものとする。
- 代理人等からの請求等があった場合で、①本人による具体的意思を把握できない包括的な委任に基づく請求、②開示等の請求が行われる相当以前に行われた委任に基づく請求が行われた場合には、本人への説明に際し、開示の請求等を行った者及び開示する保有個人データ等の内容について十分説明し、本人の意思を確認するとともに代理人の請求の適正性、開示の範囲等について本人の意思を踏まえた対応を行うものとする。
- 医療・介護関係事業者は、以下の点に留意しつつ、保有個人データ等の開示等の手続を定めることが望ましい。
- 【法別表第2法人及び病院経営等地方独立行政法人に関する適用関係】
-
- 法別表第2法人及び病院経営等地方独立行政法人については、法第37条及び第38条の適用が除外され(法第58条第1項関係)、個人情報の取扱いについて独立行政法人等又は地方独立行政法人による取扱いとみなして公的部門における規律(法第5章第4節)が適用される(法第125条第2項関係)。
- 【地方公共団体の機関及び独立行政法人労働者健康安全機構に関する適用関係】
-
- 地方公共団体の機関が行う病院若しくは診療所又は大学の運営の業務に係る個人情報の取扱い及び独立行政法人労働者健康安全機構が行う病院の運営の業務に係る個人情報の取扱いについては、原則、個人情報取扱事業者による個人情報の取扱いとみなされ、民間部門における規律(法第4章)が適用されるが、公的機関としての特性を踏まえ、法第37条及び第38条の適用は除外され(法第58条第2項関係)、公的部門における規律(法第5章第4節)が適用される(法第125条第1項関係)。
17.理由の説明、事前の請求、苦情の対応(法第36条、第39条~第40条)
(理由の説明)
- 法第三十六条
-
個人情報取扱事業者は、第三十二条第三項、第三十三条第三項(同条第五項において準用する場合を含む。)、第三十四条第三項又は前条第七項の規定により、本人から求められ、又は請求された措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合には、本人に対し、その理由を説明するよう努めなければならない。
(事前の請求)
- 法第三十九条
本人は、第三十三条第一項、第三十四条第一項又は第三十五条第一項、第三項若しくは第五項の規定による請求に係る訴えを提起しようとするときは、その訴えの被告となるべき者に対し、あらかじめ、当該請求を行い、かつ、その到達した日から二週間を経過した後でなければ、その訴えを提起することができない。ただし、当該訴えの被告となるべき者がその請求を拒んだときは、この限りでない。
- 前項の請求は、その請求が通常到達すべきであった時に、到達したものとみなす。
- 前二項の規定は、第三十三条第一項、第三十四条第一項又は第三十五条第一項、第三項若しくは第五項の規定による請求に係る仮処分命令の申立てについて準用する。
(個人情報取扱事業者による苦情の処理)
- 法第四十条
-
個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
- 個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。
- 【法の規定により遵守すべき事項等】
-
- 医療・介護関係事業者は、本人から求められた保有個人データ等の利用目的の通知、又は本人から請求された開示、訂正等、利用停止等において、その措置をとらない旨又はその措置と異なる措置をとる旨本人に通知する場合は、本人に対して、その理由を説明するよう努めなければならない。
- 医療・介護関係事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な対応に努めなければならない。また、医療・介護関係事業者は、苦情の適切かつ迅速な対応を行うにあたり、苦情への対応を行う窓口機能等の整備や苦情への対応の手順を定めるなど必要な体制の整備に努めなければならない。
- 【その他の事項】
-
- 医療・介護関係事業者は、本人に対して理由を説明する際には、文書により示すことを基本とする。その際は、苦情への対応を行う体制についても併せて説明することが望ましい。
- 医療・介護関係事業者は、患者・利用者等からの苦情対応にあたり、専用の窓口の設置や主治医等の担当スタッフ以外の職員による相談体制を確保するなど、患者・利用者等が相談を行いやすい環境の整備に努める。
- 医療・介護関係事業者は、当該施設における患者・利用者等からの苦情への対応を行う体制等について院内や事業所内等への掲示やホームページへの掲載等を行うことで患者・利用者等に対して周知を図るとともに、地方公共団体、地域の医師会や国民健康保険団体連合会等が開設する医療や介護に関する相談窓口等についても患者・利用者等に対して周知することが望ましい。
- 【法別表第2法人及び病院経営等地方独立行政法人に関する適用関係】
-
- 法別表第2法人及び病院経営等地方独立行政法人については、原則、民間部門における規律(法第4章)が適用されるため、法第40条については適用される。一方で、公的機関としての特性を踏まえ、法第36条及び第39条については適用が除外され(法第58条第1項関係)、個人情報の取扱いについて独立行政法人等又は地方独立行政法人による取扱いとみなして、公的部門における規律(法第5章第4節)が適用される(法第125条第2項関係)。
- 【地方公共団体の機関及び独立行政法人労働者健康安全機構に関する適用関係】
-
- 地方公共団体の機関が行う病院若しくは診療所又は大学の運営の業務に係る個人情報の取扱い及び独立行政法人労働者健康安全機構が行う病院の運営の業務に係る個人情報の取扱いについては、原則、個人情報取扱事業者による個人情報の取扱いとみなされ、民間部門における規律(法第4章)が適用されるため、法第40条については適用される。一方で、公的機関としての特性を踏まえ、法第36条及び第39条については適用が除外され(法第58条第2項関係)、公的部門における規律(法第5章第4節)が適用される(法第125条第1項関係)。
Ⅴガイダンスの見直し等
- 必要に応じた見直し
個人情報の保護に関する考え方は、社会情勢や国民の意識の変化に対応して変化していくものと考えられる。このため、法及び本ガイダンスや「診療情報の提供等に関する指針」の運用状況等も踏まえながら、本ガイダンスについても必要に応じ検討及び見直しを行うものとする。
- 本ガイダンスを補完する事例集の作成・公開
個人情報保護委員会及び厚生労働省は、医療・介護関係事業者における個人情報の保護を推進し、医療・介護関係事業者における円滑な対応が図られるよう、本ガイダンスを補完する事例集を作成し、個人情報保護委員会及び厚生労働省のホームページにおいて公表する。
※「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」に関するQ&A
別表1 医療・介護関係法令において医療・介護関係事業者に作成・保存が義務づけられている記録例
- (医療機関等(医療従事者を含む))
-
- 病院・診療所
- 診療録【医師法第24条、歯科医師法第23条】
- 処方箋【医師法第22条、歯科医師法第21条、医療法施行規則第20条、第21条の5、第22条の3、第22条の7】
- 麻酔記録【医療法施行規則第1条の10】
- 助産録【保健師助産師看護師法第42条】
- 救急救命処置録【救急救命士法第46条】
- 照射録【診療放射線技師法第28条】
- 診療に関する諸記録
- ①病院の場合 処方箋(再掲)、手術記録、看護記録、検査所見記録、エックス線写真、入院診療計画書【医療法施行規則第20条】
- ②地域医療支援病院及び特定機能病院の場合 上記①に加え、紹介状、退院した患者に係る入院期間中の診療経過の要約【医療法施行規則第21条の5、第22条の3】
- ③臨床研究中核病院の場合 上記①に加え、研究対象者に対する医薬品等の投与及び診療により得られたデータその他の記録【医療法施行規則第22条の7】
- 歯科衛生士業務記録【歯科衛生士法施行規則第18条】
- 歯科技工指示書【歯科技工士法第18条、第19条】
- 助産所
- 助産録【保健師助産師看護師法第42条】
- 薬局
- 処方箋(調剤した旨等の記入)【薬剤師法第26条、第27条】
- 調剤録【薬剤師法第28条】
- 衛生検査所
- 委託検査管理台帳、検査結果報告台帳、苦情処理台帳【臨床検査技師等に関する法律施行規則第12条第1項第16号、第12条の3】
- 指定訪問看護事業者
- 訪問看護計画書【指定訪問看護の事業の人員及び運営に関する基準第17条第1項】
- 訪問看護報告書【指定訪問看護の事業の人員及び運営に関する基準第17条第3項】
- 歯科技工所
- 歯科技工指示書【歯科技工士法第18条、第19条】
- 病院・診療所
- (介護関係事業者)※保存が想定されている記録も含む
-
- 指定訪問介護事業者
- 居宅サービス計画(通称:ケアプラン)【指定居宅サービス等の事業の人員、設備及び運営に関する基準第16条】
- サービスの提供の記録(通称:ケア記録、介護日誌、業務日誌)【指定居宅サービス等の事業の人員、設備及び運営に関する基準第19条】
- 訪問介護計画【指定居宅サービス等の事業の人員、設備及び運営に関する基準第24条第1項】
- 苦情の内容等の記録【指定居宅サービス等の事業の人員、設備及び運営に関する基準第36条第2項】
- 指定通所介護事業者
- 居宅サービス計画(通称:ケアプラン)【指定居宅サービス等の事業の人員、設備及び運営に関する基準第105条(準用:第16条)】
- サービスの提供の記録(通称:ケア記録、介護日誌、業務日誌)【指定居宅サービス等の事業の人員、設備及び運営に関する基準第105条(準用:第19条)】
- 通所介護計画【指定居宅サービス等の事業の人員、設備及び運営に関する基準第99条第1項】
- 苦情の内容等の記録【指定居宅サービス等の事業の人員、設備及び運営に関する基準第105条(準用:第36条第2項)】
- 特別養護老人ホーム
- 行った具体的な処遇の内容等の記録【特別養護老人ホームの設備及び運営に関する基準第9条第2項第2号】
- 入所者の処遇に関する計画【特別養護老人ホームの設備及び運営に関する基準第14条第1項】
- 身体的拘束等に係る記録【特別養護老人ホームの設備及び運営に関する基準第15条第5項】
- 苦情の内容等の記録【特別養護老人ホームの設備及び運営に関する基準第29条第2項】
- 指定訪問介護事業者
別表2 医療・介護関係事業者の通常の業務で想定される利用目的
(医療機関等の場合)
- 〔医療機関等の内部での利用に係る事例〕
-
- 当該医療機関等が患者等に提供する医療サービス
- 医療保険事務
- 患者に係る医療機関等の管理運営業務のうち、
- -入退院等の病棟管理
- -会計・経理
- -医療事故等の報告
- -当該患者の医療サービスの向上
- 〔他の事業者等への情報提供を伴う事例〕
-
- 当該医療機関等が患者等に提供する医療サービスのうち、
- 一他の病院、診療所、助産所、薬局、訪問看護ステーション、介護サービス事業者等との連携
- 一他の医療機関等からの照会への回答
- 一患者の診療等に当たり、外部の医師等の意見・助言を求める場合
- 一検体検査業務の委託その他の業務委託
- 一家族等への病状説明
- 医療保険事務のうち、
- 一保険事務の委託
- 一審査支払機関へのレセプトの提出(適切な保険者への請求を含む。)
- 一審査支払機関又は保険者への照会
- 一審査支払機関又は保険者からの照会への回答
- 事業者等からの委託を受けて健康診断等を行った場合における、事業者等へのその結果の通知
- 医師賠償責任保険などに係る、医療に関する専門の団体、保険会社等への相談又は届出等
- 当該医療機関等が患者等に提供する医療サービスのうち、
- 〔医療機関等の内部での利用に係る事例〕
-
- 医療機関等の管理運営業務のうち、
- 一医療・介護サービスや業務の維持・改善のための基礎資料
- 一医療機関等の内部において行われる学生の実習への協力
- 一医療機関等の内部において行われる観察研究や症例報告
- 医療機関等の管理運営業務のうち、
- 〔他の事業者等への情報提供を伴う事例〕
-
- 医療機関等の管理運営業務のうち、
- 一外部監査機関への情報提供
- 医療機関等の管理運営業務のうち、
(介護関係事業者の場合)
- 〔介護関係事業者の内部での利用に係る事例〕
-
- 当該事業者が介護サービスの利用者等に提供する介護サービス
- 介護保険事務
- 介護サービスの利用者に係る事業所等の管理運営業務のうち、
- 一入退所等の管理
- 一会計・経理
- 一事故等の報告
- 一当該利用者の介護サービスの向上
- 〔他の事業者等への情報提供を伴う事例〕
-
- 当該事業者等が利用者等に提供する介護サービスのうち、
- 一当該利用者に居宅サービスを提供する他の居宅サービス事業者や居宅介護支援事業所等の連携(サービス担当者会議等)、照会への回答
- 一その他の業務委託
- 一家族等への心身の状況説明
- 介護保険事務のうち、
- 一保険事務の委託
- 一審査支払機関へのレセプトの提出
- 一審査支払機関又は保険者からの照会への回答
- 損害賠償保険などに係る保険会社等への相談又は届出等
- 当該事業者等が利用者等に提供する介護サービスのうち、
- 〔介護関係事業者の内部での利用に係る事例〕
-
- 介護関係事業者の管理運営業務のうち、
- -介護サービスや業務の維持・改善のための基礎資料
- -介護保険施設等において行われる学生の実習への協力
- 介護関係事業者の管理運営業務のうち、
別表3 医療・介護関連事業者の通常の業務で想定される主な事例(法令(条例を含む。)に基づく場合)
(医療機関等の場合)
- ○法令上、医療機関等(医療従事者を含む)が行うべき義務として明記されているもの
- 医師が感染症の患者等を診断した場合における都道府県知事等への届出(感染症の予防及び感染症の患者に対する医療に関する法律第12条)
- 特定生物由来製品の製造販売承認取得者等からの要請に基づき病院等の管理者が行う、当該製品を使用する患者の記録の提供(医薬品医療機器等法第68条の22第4項)
- 医師、薬剤師等の医薬関係者による、医薬品製造販売業者等が行う医薬品等の適正使用のために必要な情報収集への協力(医薬品医療機器等法第68条の2の6第2項)
- 医師、薬剤師等の医薬関係者が行う厚生労働大臣への医薬品等の副作用・感染症等報告(医薬品医療機器等法第68条の10第2項)
- 医師等による特定医療機器の製造販売承認取得者等への当該特定医療機器利用者に関わる情報の提供(医薬品医療機器等法第68条の5第2項)
- 自ら治験を行う者が行う厚生労働大臣への治験対象薬物の副作用・感染症報告(医薬品医療機器等法第80条の2第6項)
- 処方箋中に疑わしい点があった場合における、薬剤師による医師等への疑義照会(薬剤師法第24条)
- 調剤時における、患者又は現に看護に当たっている者に対する薬剤師による情報提供(薬剤師法第25条の2)
- 医師が麻薬中毒者と診断した場合における都道府県知事への届出(麻薬及び向精神薬取締法第58条の2)
- 保険医療機関及び保険薬局が療養の給付等に関して費用を請求しようとする場合における審査支払機関への診療報酬請求書・明細書等の提出等(健康保険法第76条等)
- 家庭事情等のため退院が困難であると認められる場合等患者が一定の要件に該当する場合における、保険医療機関による健康保険組合等への通知(保険医療機関及び保険医療養担当規則第10条等)
- 診療した患者の疾病等に関して他の医療機関等から保険医に照会があった場合における対応(保険医療機関及び保険医療養担当規則第16条の2等)
- 施設入所者の診療に関して、保険医と介護老人保健施設の医師との間の情報提供(老人保健法の規定による医療並びに入院時食事療養費及び特定療養費に係る療養の取扱い及び担当に関する基準第19条の4)
- 患者から訪問看護指示書の交付を求められた場合における、当該患者の選定する訪問看護ステーションへの交付及び訪問看護ステーション等からの相談に応じた指導等(保険医療機関及び保険医療養担当規則第19条の4等)
- 患者が不正行為により療養の給付を受けた場合等における、保険薬局が行う健康保険組合等への通知(保険薬局及び保険薬剤師療養担当規則第7条)
- 医師等による都道府県知事への不妊手術又は人工妊娠中絶の手術結果に係る届出(母体保護法第25条)
- 児童虐待を受けたと思われる児童を発見した者による児童相談所等への通告(児童虐待の防止等に関する法律第6条)
- 要保護児童を発見した者による児童相談所等への通告(児童福祉法第25条)
- 指定入院医療機関の管理者が申立てを行った際の裁判所への資料提供等(心身喪失等の状態で重大な他害行為を行った者の医療及び観察等に関する法律(医療観察法第25条)
- 裁判所より鑑定を命じられた精神保健判定医等による鑑定結果等の情報提供(医療観察法第37条等)
- 指定入院医療機関の管理者による無断退去者に関する情報の警察署長への提供(医療観察法第99条)
- 指定通院医療機関の管理者による保護観察所の長に対する通知等(医療観察法第110条・第111条)
- 精神病院の管理者による都道府県知事等への措置入院等に係る定期的病状報告(精神保健福祉法第38条の2)
- 指定医療機関による都道府県・市町村への被保護者に係る病状報告(生活保護法第50条、指定医療機関医療担当規程第7条、第10条)
- 病院等の管理者による、原発性のがんについて、当該病院等における初回の診断が行われた場合における、都道府県知事への届出(がん登録等の推進に関する法律第6条)
- 専門的ながん医療の提供を行う病院その他の地域におけるがん医療の確保について重要な役割を担う病院の開設者及び管理者による、院内がん登録事業における国への情報提供等(がん登録等の推進に関する法律第44条等)
- 医療事故が発生した場合の医療事故調査・支援センターへの報告(医療法第6条の10)
- 医療事故調査が終了したときの医療事故調査・支援センターへの報告(医療法第6条の11第4項)
- ○法令上、医療機関等(医療従事者を含む)が任意に行うことができる事項として明記されているもの
- 配偶者からの暴力により負傷又は疾病した者を発見した者による配偶者暴力相談支援センター又は警察への通報(配偶者からの暴力の防止及び被害者の保護に関する法律第6条)
- ○行政機関等の報告徴収・立入検査等に応じることが間接的に義務づけられているもの
- 医療監視員、薬事監視員、都道府県職員等による立入検査等への対応(医療法第25条及び第63条、医薬品医療機器等法第69条、臨床検査技師等に関する法律第20条の5等)
- 厚生労働大臣、都道府県知事等が行う報告命令等への対応(医療法第25条及び第63条、医薬品医療機器等法第69条、健康保険法第60条、第78条及び第94条、労働者災害補償保険法第49条等)
- 指定医療機関の管理者からの情報提供要求への対応(医療観察法第90条)
- 保護観察所の長からの協力要請への対応(医療観察法第101条)
- 保護観察所の長との情報交換等による関係機関相互間の連携(医療観察法第108条)
- 基幹統計調査の報告(統計法第13条)
- 社会保険診療報酬支払基金の審査委員会が行う報告徴収への対応(社会保険診療報酬支払基金法第18条)
- モニター、監査担当者及び治験審査委員会等が行う原医療記録の閲覧への協力(医薬品の臨床試験の実施の基準に関する省令第37条、医療機器の臨床試験の実施の基準に関する省令第56条、再生医療等製品の臨床試験の実施の基準に関する省令第56条)
(介護関係事業者の場合)
- ○法令上、介護関係事業者(介護サービス従事者を含む)が行うべき義務として明記されているもの
- サービス提供困難時の事業者間の連絡、紹介等(指定基準、「特別養護老人ホームの設備及び運営に関する基準」(以下「最低基準」という。))
- 居宅介護支援事業者等との連携(指定基準、最低基準)
- 利用者が偽りその他不正な行為によって保険給付を受けている場合等の市町村への通知(指定基準)
- 利用者に病状の急変が生じた場合等の主治の医師への連絡等(指定基準)
- ○行政機関等の報告徴収・立入検査等に応じることが間接的に義務づけられているもの
- 市町村による文書等提出等の要求への対応(介護保険法第23条)
- 厚生労働大臣又は都道府県知事による報告命令、帳簿書類等の提示命令等への対応(介護保険法第24条)
- 都道府県知事又は市町村長による立入検査等への対応(介護保険法第76条、第78条の7、第83条、第90条、第100条、第115条の7、第115条の17、第115条の27、第115条の33、第115条の45の7、旧介護保険法(健康保険法等の一部を改正する法律(平成18年法律第83号)附則第130条の2第1項の規定によりなおその効力を有するものとされた同法第26条の規定による改正前の介護保険法をいう。) 第112条、老人福祉法第18条)
- 市町村が行う利用者からの苦情に関する調査への協力等(指定基準、最低基準)
- 事故発生時の市町村への連絡(指定基準、最低基準)
別表4 医療関係資格、介護サービス従業者等に係る守秘義務等
| 資格名 | 根拠法 |
|---|---|
| 医師 | 刑法第134条第1項 |
| 歯科医師 | 刑法第134条第1項 |
| 薬剤師 | 刑法第134条第1項 |
| 保健師 | 保健師助産師看護師法第42条の2 |
| 助産師 | 刑法第134条第1項 |
| 看護師 | 保健師助産師看護師法第42条の2 |
| 准看護師 | 保健師助産師看護師法第42条の2 |
| 診療放射線技師 | 診療放射線技師法第29条 |
| 臨床検査技師 | 臨床検査技師等に関する法律第19条 |
| 衛生検査技師 | 臨床検査技師等に関する法律第19条 |
| 理学療法士 | 理学療法士及び作業療法士法第16条 |
| 作業療法士 | 理学療法士及び作業療法士法第16条 |
| 視能訓練士 | 視能訓練士法第19条 |
| 臨床工学技士 | 臨床工学技士法第40条 |
| 義肢装具士 | 義肢装具士法第40条 |
| 救急救命士 | 救急救命士法第47条 |
| 言語聴覚士 | 言語聴覚士法第44条 |
| 歯科衛生士 | 歯科衛生士法第13条の6 |
| 歯科技工士 | 歯科技工士法第20条の2 |
| あん摩マッサージ指圧師 | あん摩マツサージ指圧師、はり師、きゅう師等に関する法律第7条の2 |
| はり師 | あん摩マツサージ指圧師、はり師、きゅう師等に関する法律第7条の2 |
| きゅう師 | あん摩マツサージ指圧師、はり師、きゅう師等に関する法律第7条の2 |
| 柔道整復師 | 柔道整復師法第17条の2 |
| 精神保健福祉士 | 精神保健福祉士法第40条 |
- [守秘義務に係る法令の規定例]
-
- ○刑法第134条
医師、薬剤師、医薬品販売業者、助産師、弁護士、弁護人、公証人又はこれらの職にあった者が、正当な理由がないのに、その業務上取り扱ったことについて知り得た人の秘密を漏らしたときは、六月以下の懲役又は十万円以下の罰金に処する。
- ○保健師助産師看護師法第42条の2
保健師、看護師又は准看護師は、正当な理由がなく、その業務上知り得た人の秘密を漏らしてはならない。保健師、看護師又は准看護師でなくなった後においても、同様とする。
- ○刑法第134条
| 事業者等 | 根拠法 |
|---|---|
| 市町村の委託を受けて要介護認定を行う者 | 介護保険法第27条第4項 |
| 各サービス事業所の従業者・職員 |
|
- [守秘義務に係る法令の規定例]
-
- ○指定居宅サービス等の事業の人員、設備及び運営に関する基準
第33条指定訪問介護事業所の従業者は、正当な理由がなく、その業務上知り得た利用者又はその家族の秘密を漏らしてはならない。
- 指定訪問介護事業者は、当該指定訪問介護事業所の従業者であった者が、正当な理由がなく、その業務上知り得た利用者又はその家族の秘密を漏らすことがないよう、必要な措置を講じなければならない。
- ○指定居宅サービス等の事業の人員、設備及び運営に関する基準
別表5 医学研究分野における関連指針
- ○「遺伝子治療等臨床研究に関する指針」(平成31年厚生労働省告示第48号)
- ○「人を対象とする生命科学・医学系研究に関する倫理指針」(令和3年文部科学省・厚生労働省・経済産業省告示第1号)
別表6 UNESCO国際宣言等
- ○「ヒト遺伝情報に関する国際宣言」(UNESCO October16,2003)
- ○「医療における遺伝学的検査・診断に関するガイドライン」(平成23年2月 日本医学会)