医療機関における個人情報の保護 - 山口県医師会
Download
Report
Transcript 医療機関における個人情報の保護 - 山口県医師会
郡市医師会個人情報保護担当理事協議会
平成17年3月10日
医療機関における個人情報の保護
-患者さんの診療情報を守るために-
山口県医師会常任理事
吉 本 正 博
個人情報保護法の
成立に至る経緯・背景
個人情報保護立法化の背景
■情報化社会の進展
マスメディア情報化社会→コンピュータ情報化社会
→ネットワーク化社会
コンピュータによる
情報の大量処理
通信技術の飛躍的発展
(ネットワーク化)
高度情報通信社会の構築
(電子商品取引などのIT革命)
・個人に関する情報が収集・蓄積・利用され個人のプライバシーに対する脅威・不安が
高まる
・個人情報の利用と保護のバランスをとった個人情報取扱いの明確なルールが必要と
なる
諸外国の状況
1980 0ECD「プライバシー保護と個人データの国際流通についての理事
会勧告」
OECD8原則
1995 EU個人情報保護指令
十分なレベルの保護措置を確保していない国には個人データの移転
を禁止する条項(Safe harbor principle)
OECD加盟29カ国中27カ国が個人情報保護の法律を制定(1999年現在)
オムニバス方式(統合方式)
セグメント方式(分離方式)
セントラル方式(特定分野方式)
OECD8原則
①収集制限の原則
適法・公正な手段により、かつ情報主体に通知又は同意
を得て収集されるべき
②データ内容の原則 利用目的の沿ったもので、かつ、正確、完全、最新である
べき
③目的明確化の原則 収集目的を明確にし、デ-タ利用は収集目的に合致する
べき
④利用制限の原則
データ主体の同意がある場合、法律の規定による場合
以外は目的以外に利用使用してはならない
⑤安全保護の原則
合理的安全保護措置により、紛失・破壊・使用・修正・開示
等から保護するべき
⑤公開の原則
データ収集の実施方針等を公開し、データの存在、利用
的、管理者等を明示するべき
目
⑥個人参加の原則
自己に関するデータの所在及び内容を確認させ、又は異
議申立を保証するべき
⑧責任の原則
管理者は諸原則実施の責任を有する
OECD8原則
個人情報
収
集
収集制限の原則
目的明確化の原則
利
用
(個人識別可能情報)
保
管
データ内容の原則
利用制限の原則
安全保護の原則
個人参加の原則
データ管理者
責任の原則
公開の原則
わが国の状況
1988
行政機関の保有する電子計算機措置に係わる個人情報の保護
に関する法律
1994
高度情報通信社会推進本部設置(現IT戦略本部)
1999. 5
行政機関の保有する情報の公開に関する法律成立
1999. 6
住民基本台帳法改正の際の三党間合意
(3年以内に法制化を図る)
1999. 11
個人情報保護法検討部会中間報告
2000.10
個人情報法制化専門委員会
「個人情報保護基本法制に関する大綱」→法案提出
2003. 5
廃案後修正して再提出。個人情報保護関係5法成立
・地方公共団体の個人情報保護条例
(1999年4月現在1, 529団体)
個人情報保護法の
仕組み・内容
個人情報保護法とは
高度情報通信社会の新しいルール
– 具体的な内容は不明確。ルールの充分な議論がされていない。
判例もない。技術の進展、社会の実態に応じた修正・発展を期
待
事業分野ごとの具体的なルール作りは所管官庁に委ね
られる
– 法律は最大公約数。主管官庁のガイドラインがリードする。
自主規制を尊重したゆるやかな規則
– 民間については自主規制が根幹をなす。間接罰。必要があれば
個別法での対応もあり。
国際社会の動向と関連
用語の定義(2条)
個人情報
生存する個人に関する情報で特定の個人を識別
できるもの
個人情報データベース
個人情報取扱業者
個人情報を検索できるように
体系的に構成したもの
個人情報データペース等を事業
の用に供している民間業者
コンピュータ処理、マニュアル処理
小規模事業者等を政令で除く
個人データ
個人情報データベース等を構
成する個人情報
保有個人データ
個人情報取扱事業者が開示・訂
正等の権限を有する個人データ
基本理念
(3条)
個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきもので
あることに鑑み、その適正な取扱が図られなければならない
国の責務等
・行政機関の保有する
個人情報の保護に関
する法律
地方公共団体の
責務等
個人情報取扱
事業者の義務等
(民間部門)
・個人情報保護条例の
制定・見直し
・独立行政法人等の保
有する個人情報の保護
に関する法律
適用除外項目
(50条)
報道活動、著作活動、学術研究、宗教活動、政治活動
・個人情報保護のために必要な措置を自ら講じ、内容
を公表する努力義務
利用目的による制限、第三者提供の制限
則(
利
)用
目
的
利の
本
用人
目通
的知
のま
た
特は
定公
表
が
原
あらかじめ
本人の同意
が必要
①法令に基づく場合
(例:届出、通知など)
目
第
的
三
外
者
利
提
用
供
②人の生命、身体又は財産の保護
に必要な場合(例:急病の場合など)
③公衆衛生・児童の健全育成に
特に必要な場合(例:疫病調査など)
④国等に協カする場合
(例:税務調査に協力する場合)
本人の求めにより原則として提供停止
(オプトアウト)することとしている場合
安全管理措置等
●個人データを正確かつ最新の内容に保つよう努め
なければならない (第19条)
●安全管理のために必要な措置を講じなければなら
ない(第20条)
●従業者・委託先に対し必要な監督を行わなければ
ならない(第21, 22条)
本人関与の仕組み
利用目的の通知
(第24条第2項)
本
人
求め
個
人
情
報
取
扱
事
業
者
開示(第25条第1項)
訂正等(第26条第1項)
利用停止等
(第27条第1項、第2項)
法律上の罰則について
●事業者がとるべき措置を行わなかった場合、厚生労
働大臣は是正勧告をすることができる
●是正勧告に従わない場合は、是正措置を命じること
ができる
●命令に従わない場合は6ケ月以下の懲役または30
万円以下の罰金刑に処する
複層的な救済システム
主務大臣
本
人
か
ら
の
苦
情
苦
情
の
処
理
(
第
31
条
)
個
人
情
報
取
扱
事
業
者
に
よ
る
よ
る
苦
情
の
処
理
(
第
42
条
)
認
定
個
人
情
報
保
護
団
体
に
報
告
の
徴
収
(
第
32
条
)
勧
告
(
第
34
条
第
1
項
)
(
第
34
条
項第
)2
項
、
第
3
緊急
裁判手続き
中
止
・
是
正
・
命
令
以
下
の
罰
金
6
月
以
下
懲
役
ま
た
は
30
万
円
医療機関における個人情報の保護
個人情報の保護に関する法律
○平成15年5月 成立。 同17年4月全面施行。
○個人情報を取り扱う事業者が、個人情報の収集、保管、
利用を行うにあたって遵守すべき事項を定める。
→医療機関も対象(5,000件超の個人情報を扱う)
→本人及び代理人からの開示請求、訂正請求も認める
○医療分野等については、
早急に個別法のあり方を検討。
→ 衆・参院附帯決議
個人情報の保護に関する基本方針
平成16年4月閣議決定
○国、地方公共団体、独立行政法人、個人情報取扱事業者、
認定個人情報保護団体等がとるべき措置についての基本
的事項。
個人情報保護法が定めるルールは、各分野に共通す
る最小限のもの
各省庁で各事業分野の実情に応じたガイドラインを策定
適用対象となる医療機関
・5000件以上の個人情報を取り扱う医療機関
・5000件を超えない医療機関は努力義務
・日本医師会「医師の職業倫理指針」により会員
の倫理的義務
・国の機関、地方公共団体、独立行政法人は別
の法律や条例により適用除外
医療分野における個人情報保護(1)
医療の場における個人情報とは
○患者に関するあらゆる情報
→診療録、看護記録、検査記録等の内容
受診の事実、患者の容貌、思想、信条...
=医療機関として最優先に保護すべき情報
○医療機関の従業員に関する情報
→雇用主として管理する情報、患者の診療情報
の中に混在する情報
医療分野における個人情報保護(2)
「個人情報保護」の2つの側面
→ 保護と適切な利活用
診療情報の保護
○患者の診療情報の安全確保 (漏洩防止)
○患者自身の診療情報に対する関与 (開示・訂正)
診療情報の利活用
○医学研究、公衆衛生、医療政策…
個人情報保護法
個人情報取扱事業者が負う主な義務
1.利用目的の特定(第15条)と、その通知(第18条)
2.適正な方法による情報の取得(第17条)
内容の正確性の確保(第19条)
3.安全管理措置(第20条)、従業者の監督(第21条)、業務委託先の監督
(第22条)
4.第三者提供の制限(第23条)
5.開示、訂正、利用停止等の求めに応じる義務(第25条~30条)
6.苦情処理体制の整備(第31条)
個人情報保護法における
医療機関の義務
医療機関の義務
・利用目的の特定
院内掲示
・安全管理措置
院内規則の制定
従業員の監督
委託先の監督
・第三者提供の制限
・開示義務
・訂正義務
・利用停止義務
・苦情処理体制の整備
院内掲示
診療記録類の保管
●盗難、紛失、漏洩、毀損などが起きないようにする
必要がある
●休診中は盗難予防
●診療中は不用意な放置防止
●電子情報についてはIDやパスワードによるアク
セス管理
●オンラインについてはファイアウオール等の適切な
セキュリティ
従業者の監督
●患者さんの個人情報の保護に関する誓約書
院内規則の理解と遵守
退職後も個人情報を漏洩しないこと
損害賠償責任が存在すること
業務委託先の監督
●業務委託契約書に個人情報保護の条項の追加
●個人情報保護に関する確認書
第三者への提供
診療情報を診療以外の目的で使用する場合
第三者提供の例外
1.法令に基づく場合
2.人の生命、身休又は財産の保護のために必要がある場
合であって、本人の同意が困難であるとき
3.公衆衛生の向上又は児童の健全な育成の推進のため
に特に必要がある場合であって、本人の同意を得ること
が困難な場合
4.国の機関もしくは地方公共団体又はその委託を受けた
者が、法令に定める事務を遂行することに対して協力す
る必要がある場合であって、本人の同意を得ることにより
当該事務の遂行に支障を及ぼすおそれのある場合
警察・検察庁に対して
●令状による場合は原則として個人情報保護法には抵触
しない
但し、医師には一定の条件のもと押収を拒絶する権利
がある (刑事訴訟法105条)
●捜査関係事項照会は任意協力なので「警察への協力」
と「患者さんの秘密保持」の優先を慎重に判断しなけれ
ばならない
→ 損害賠償請求に発展する可能性が残る
裁判所に対して
●文書提出命令
守秘義務を主張した後、本人の同意なく提出して
もかまわない
●調査嘱託、文書送付嘱託、刑事裁判での照会
回答の内容、方法如何によっては後に、損害賠償
請求を受ける可能性がある
●訴えの提起前における照会
守秘義務の対象である場合には回答拒否が可能
保険会社に対して
保険会社に患者の診療情報を提供する場合には、患者
本人の同意が絶対に不可欠
保険会社が患者の同意書や委任状を持参した場合にも、
それらの書面を確認するだけでは十分ではなく、患者本
人が情報提供の内容や範囲を正確に理解した上で同意
していることを確認する必要がある
家族・親族に対して
●家族、親族といえども患者本人とは別個の存在で
あるという前提で対処すべき
●患者本人の意向に応じた対応をとることが要求さ
れる
●本人と同時に説明する場合には、了解があった
ものとする
●院内掲示において「ご家族等への病状説明」を示
している場合で、通常必要な範囲であれば、患者
の同意があったものと考えられる
行政機関、監督官庁に対して
●法令に基づく報告、届出義務が課されている場合には
提供できる
例) 感染症の患者を診断した場合の都道府県知事等
への届出
配偶者からの暴力により負傷した者を発見した場
合の警察への通報
行政の立ち入り検査における対応
学会、研究会、学術雑誌への報告
●一般の人が特定の個人を識別できない程度に
匿名化すれば個人情報にあたらない
●可能な限り同意を得ることが望ましい
●学術研究機関が学術研究のために個人情報を
利用する場合には、義務規定は適用されない
(法50条1項)
個人情報保護法と
診療情報の提供に関する指針
診療情報の提供
医療分野においては、すでに「診
療情報の提供に関する指針」が
定められており、これはイン
フォームドコンセントの理念を踏
まえ、医療従事者が診療情報を
積極的に提供することにより、医
療従事者と患者とのよりよい関
係を構築することを目的としてお
り、この目的のために診療情報
を開示する場合は上記指針の
内容に従うものとする
日医「診療情報の提供に関する指針」の特色
1.倫理規範であること
医師と患者の情報の共有
→信頼関係の構築
→共同で疾病を克服
2.診療記録等の開示を含む
3.開示は原則として、患者本人
4.遺族への診療情報の提供を追加
5.指針を徹底するため、会員の教育・研修を実施
6.苦情受付・処理機関を設置
個人情報保護法と診療情報提供指針
個人情報保護法
診療情報提供指針
個人情報の保護と利用
医師と患者の信頼関係構築
自分に関する情報をチェック
するための開示請求
疾病と治療に対する理解を
深めるための開示請求
代理人による開示請求も可
死者の情報は対象外
本人及び親族による
開示請求が原則
遺族への情報提供も規定
遺族への診療情報の提供
●死者の情報は個人情報保護法による開示の対象に
ならない
●遺族に対する診療情報の提供は「診療情報の提供
に関する指針」に従って行うものとする
●代理人に開示請求権はない
個人情報保護法に対して
医療機関が取り組むべきこと
利用目的の特定、通知
●個人情報を取得する際に、利用目的をできる限り特定
●利用目的は本人に通知。
→あらかじめ公表してあれば個別に通知の必要はない。
→当該医療機関で通常予想される利用目的を列挙
※厚労省GL別表2を参照して、各医療機関で特定
●公表の方法としては‥・
院内掲示、インターネット・ホームページ‥・
→補足的に初診時などに口頭での説明や文書、パンフ
レット等による情報伝達をおこなう
院内掲示の例
・利用目的の特定
・第三者提供の制限
院内掲示
「プライバシー・ポリシー」
●当院は患者さんの個人情報保護に全力で取り組ん
でいます。
●当院は、個人情報を下記の目的に利用し、その取り
扱いに細心の注意を払っています。個人情報の取り
扱いについてお気づきの点は、窓口までお気軽にお
申し付けください。
院長
院内掲示
「医療提供」
●当院での医療サービスの提供
●他の病院、診療所、助産所、薬局、訪問看護ステーション、
介護サービス事業者等との連携
●他の医療機関等からの紹介への回答
●患者さんの診療のため、外部の医師等の意見・助言を
求める場合
●検体検査業務の委託その他の業務委託
●ご家族等への病状説明
●その他、患者さんへの医療提供に関する利用
院内掲示
「診療費請求のための事務」
●当院での医療・介護・労災保険、公費負担医療に関する
事務およびその委託
●審査支払機関へのレセプトの提出
●審査支払機関又は保険者からの照会への回答
●公費負担医療に関する行政機関等へのレセプトの提出、
紹介への回答
●その他、医療・介護・労災保険、および公費負担
医療に関する診療費請求のための利用
院内掲示
「当院の管理運営業務」
●会計・経理
●医療事故等の報告
●当該患者さんの医療サービスの向上
●入退院等の病棟管理
●その他、当院の管理運営業務に関する利用
院内掲示
「その他」
●企業等から委託を受けて行う健康診断等における、企業等
へのその結果の通知
●医師賠償責任保険などに係る、医療に関する専門の団体、
保険会社等への相談又は届出等
●医療・介護サービスや業務の維持・改善のための基礎資料
●当院内において行われる医療実習への協力
●医療の質の向上を目的とした当院内での症例研究
●外部監査機関への情報提供
院内での体制づくり
●保有する個人情報の安全管理体制
・部門ごとに安全管理についての責任者を定める
・各責任者を統括する立場の者を定める
→ 漏洩事故等が起きた時の対処が迅速に可能
●患者さんからの開示・訂正等についての請求への対応
・相談、苦情を受け付ける場所、窓口を明確化
・開示、訂正等の申請書類の書式を作成
・申請受付からの院内での手続きを明確化
院内規則として定め、職員に周知
院内規則の例
日本医師会
「医療機関における
個人情報の保護」
57頁以下に収載
院内規則
●基本理念
●用語の定義
●個人情報の取得
●診療記録等の取り扱いと保管(紙媒体・電磁媒
体)
●個人情報の第三者への提供
●個人情報の本人への開示と訂正
●苦情・相談等への対応
●雑則
平成17年4月 個人情報保護法の全面施行
日本医師会の今後の取り組み
●法律、厚労省GLを会員、医療機関へ早期に周知、伝達
→法律の理念と事業者の義務を周知
→冊子として配布(日医雑誌3/15号)、伝達講習会の開催
●従来からの「診療情報の提供に関する指針」のより一層の定着
→診療録の記載、管理、診療情報提供について、生涯教育を充実
→患者相談窓口の充実
●認定個人情報保護団体としての活動の検討
→医療専門職能団体として認定を受けることの是非を検討
個人情報漏えい保険について
(質問) 医療機関専用・個人情報漏えい保険(団体扱い)につい
ての日本医師会の対応または考えは?
(回答) 医師賠償責任保険に比べて、賠償限度額が少ない割に
保険料金が高いように思われる。料金の引き下げを交
渉中である。
(付)山口県医師会の対応
○既に、17県が取扱いを始めており、今後も増加すると思われること。
○保険料も当初案から、20%オフすることにしていること。
○病院協会との協議で、病院関係の会員から強い要望があること。
○医師会がやることによって、料金がさらに20%オフになること。
○医賠責保険と連動した取扱が出来ること。
山口県医師会でもこの保険を取り扱うこととする
学校医や産業医として対応について
(質問) 「学校や職場からの照会については、本人の同意を得な
いと第三者提供はできない」とされているが、学校医、職
場の産業医の場合にも、同じ対応になるのか?
(回答) 健診データのように委託されたデータに関しては、本人の
同意を得る必要はない。
診療録等を破棄委託する場合の方法について
(質問) 診療録やレントゲンフィルムの破棄を業者に委託する
場合の具体的な方法について。
また管理者の死亡などで廃院した場合の、診療録等
の保管・破棄を保健所等の公的機関で行ってほしい。
(回答) 信頼できる業者を選定すること。個人情報保護に関す
る確認書を取り交わすこと。
管理者の死亡等による廃院の場合には、診療録等は
保健所が保管することになっている。
入院についての問い合わせ
(質問) 見舞客が受付やナースステーションで入院の有無を
問い合わせた場合の対応について
(回答) 患者本人が知らせてほしくないと希望している場合
には当然知らせることはできない。それ以外は問題
ないと考える。入院時に対応について患者の希望を
聞いておくのが良いと思われる。
交通事故診療について
(質問) 損保会社が同意書を持参してきた場合、損保会社の要
求に応じても問題はないか。
(回答) 損保会社の要求している開示内容について、患者本人
に説明した上で、どの程度情報を開示して良いか確認
してから開示すべきである。また損保会社にそのよう
に話して開示請求を断っても良い。
学校検尿について
(質問) 学校検尿の結果を医師会で解析・追跡調査する場合
の注意点について。本人・保護者の同意を得る必要が
あるか。
(回答) 業務委託を受けた場合であれば問題はない。業務委
託の際に交わす契約書の中に、そのことを織り込んで
いれば完璧とである。
成人病健診等における個人情報の利用
(質問) 成人病検診等については利用目的をどの程度公表・
通知しておかねばならないか。
(回答) 老健法にもとづく検診であれば、業務委託となるので、
従来通り、検診結果を市町村に報告しても問題はな
い。また、会社検診の場合も同様と考えて良い。
電話による問い合わせ
(質問) 電話で検査結果を知りたいと言われた時、答えて良い
のか。
(回答) すべて相手の確認ができたという前提で、
①本人からの電話の場合
②夫や妻からの電話の場合
通常の場合は問題ない
③親や子からの電話の場合
④患者が未成年で親からの電話の場合
親には代理権がある。しかし判断能力がある場合は、
本人の同意が必要なこともある。
診察室での個人情報保護
(質問) 眼科や耳鼻科の診察では、患者が医師の診察を受け
ているそばで、他の患者の検査や治療を行っている場
合が多いが、どのような対策が必要か。
(回答) 患者のプライバシーが守れるのであれば、通常の範囲
で問題ないと思われる。
個人情報が漏えいした場合の代償は?
発覚時期
企業名
支払額と人数
03年6月
ローソン
500円・115万人
03年8月
アプラス
1千円・7万9千人
03年10月
ファミリーマート
1千円・18万人
04年1月
三洋信販
個別対応
04年1月
ソフトバンクBB
500円・452万人
04年3月
東武鉄道
最大5千円・15万人
04年3月
サントリー
500円・7万5千人
裁判例:
京都府宇治市・・・21万件流出、市民3人に計4万5千円(最低額1万円)
エステサロンTBC・・・5万件流出、14人が1人100万円の集団訴訟