医療機関(整形外科医)向けに、5月30日に全面施行される改正個人情報保護法に関するセミナーを行いました

はじめに

個人情報保護

今回の個人情報保護法の改正では、いわゆる5,000要件※が撤廃され、基本的に、個人データを取り扱うすべての事業者が適用対象になりました。

※5,000件要件とは、保有する個人データが5,000人分以下の企業には法律を適用しないための要件です。

このことについてはご存知の方も多いかと思いますが、改正点はそれだけではありません。

個人データ取扱事業者が第三者に個人データを提供する、反対に、企業が第三者から個人データを受け取るという2つの場面で、で、新たなルールが定められました。

改正点と医療実務への影響

今回の改正のポイントは

  1. 個人データを第三者に提供する場合、原則として、提供した年月日、提供する相手の氏名・住所などの記録を作成し、保存する義務が課される
  2. 個人データを第三者から受け取る場合は、原則として、提供者の氏名、取得経緯などを確認し、提供を受けた年月日・確認事項を記録する義務が課される

という点です。

しかしながら、この義務は名簿業者対策が念頭にあり、医師の先生方が日常行われている業務は例外に当たるため、実務的にはほぼ影響ありません

以下で具体的に説明いたします。

診断書、診療録等の提供をする場合

(1)患者の同意書等にもとづく場合

カルテ

患者が、同意書等により、弁護士や保険会社への診断書/診療録などの開示を第三者に委託しており、その委託に基づいて提供する場合は記録義務が課されません

なぜなら、この場合は病院が本人に代わって個人データを提供することになるためです。

このため、患者からの同意書等があれば、従前どおり第三者に診療録などを提供できます。

なお、提供される個人データの範囲を患者が十分に認識できるように、同意書の内容は下の程度に詳細化する必要があります。

「私は、平成◯年◯月◯日発生の交通事故における損害調査のため、東京海上日動火災保険株式会社に対し、以下の医療情報の提供を依頼します。

  1. 診療録、看護記録、検査記録
  2. 傷病の原因、症状、既往症、治療内容、治療期間、就業の可否等に関する所見
  3. 画像診断フィルム等の記録、MRI検査読影報告書、その他検査資料」

(2)警察、弁護士会、裁判所の求めに応じる場合

法律に基づいて個人データの提供を求められた場合も、記録義務は課されません

具体的には、警察(令状の有無を問いません)や弁護士会からの照会に応じる場合や、裁判所からの送付嘱託に応じる場合などです。

これまでどおり、本人の同意なしに提供できます。

病診連携の一貫として、紹介患者の診療情報を提供する場合

問診

「患者への医療の提供のため、他の医療機関等との連携を図る」、「患者への医療の提供のため、他の医療機関等からの照会があった場合、これに応じる」という内容の院内掲示を行えば、患者の黙示的な同意があるとされ、紹介元に医療情報を提供できます。

この場合も記録義務は課されません。

家族に対し情報提供する場合

患者の同意を得ず、家族へ病状説明したとしても直ちに法律違反になるわけではありません。

家族などへの病状説明は、患者本人への情報提供と同視されるためです。

なお、ガイドラインで示されているとおり、患者に対して、家族などの対象者を確認して同意を得ることが望ましいとされています。

上記以外にも、個人情報保護法の改正に前後して、医療・介護関係事業者向けのガイドラインなども改正されました。

個人情報保護法改正に前後して、医療事業者向けのガイドラインも改正されました

厚生労働省が、個人情報保護法の適用にあたり、医療・介護関係事業者向けのガイドラインなど、独自のガイドラインを作っていましたが、これらが改正されました。

電子処方せんの運用ガイドラインの策定(H28.3.31)

なお、電子処方せん以外の医療情報をインターネットで交換する場合も、電子処方せんと同様の対応が必要とされています。

具体的には、TLS1.2の使用が求められています。

これは、SSL-VPNが偽サーバへの対策が不十分なものが多いためで、医療情報システムでは原則として使用すべきでないとされています。

※医療情報システムの安全管理に関するガイドライン第4.3版、「医療情報システムの安全管理に関するガイドライン第4.3版」に関するQ&A参照。

医療情報システムの安全管理に関するガイドラインのバージョンアップ(H28.3)

このガイドラインでは、安全管理措置方針が具体的に示されており、少なくとも「C 最低限のガイドライン」は守ることが求められています。

(1) 安全管理対策

安全管理

ア 組織的安全管理対策

最低限の対策として、責任者を定めることや、個人情報へのアクセス制限や点検などについて定めた管理規定を作成することなどが求められています。

イ 物理的安全対策

最低限の対策として、個人情報が保存されている場所を施錠することや、個人情報を保存している場所の入退室管理を行うこと、PCに盗難防止用チェーンをつけることなどが求められています。

ウ 技術的安全管理体制

最低限の対策として、個人情報へのアクセスを記録して定期的な確認を行うこと、個人情報の入力者が入力するPCなどから長時間離席する場合に、クリアスクリーンなどで他者による入力を防ぐこと、常にウイルス対策を行うことなどが求められています。

エ 人的安全対策

最低限の対策として、定期的に従業員に対して個人情報の安全管理に関する教育訓練を行うことなどが求められています。

(2) 個人情報の破棄方法

最低限行うべきこととして、破棄の条件、破棄することができる従業員、具体的な破棄方法を含む破棄手順を定めること、専門知識を有する者が破棄し、読み出し可能な情報がないことを確認することなどが求められています。

(3) その他に

個人情報を持ち出す方法、ネットワークを通じて外部と個人情報を交換する場合の安全管理、診療録等を外部に保存する際の基準、文書の診療録等をスキャナなどで電子化して保存する場合の要件などが規定されています。

医療・介護関係事業者における個人情報の適切な取扱のためのガイドラインの改正(H28.12.1)

弁護士澤戸博樹

物理的安全管理措置のうち、盗難等に対する予防対策の実施内容として、カメラによる撮影や、記録媒体の持込み・持出しの禁止などの方法が例示されました。

物理的安全管理措置に、不正な遠隔操作などを防ぐために、個人データを扱う端末にスマホなどの機器の接続を制限することなどが追加されました。

その他に、個人情報の取扱いを他の事業者に委託する場合の留意事項が具体化されるなどしています。

改正に伴い、これまで行われてきた個人情報対策次第では、問題となってしまう場合もありますので、一度、ご確認いただくことをおすすめいたします。

個人情報保護の重要性について

The following two tabs change content below.
弁護士澤戸 博樹
静岡県出身。 大学卒業後、民間企業で営業職を経験後に弁護士登録。 営業マンとしての経験を活かし、ビジネスの目線を持って敷居は低く、フットワークは軽く、依頼者のご要望に応えさせて頂きます。

たくみ法律事務所の顧問契約の6つの特徴

  • 特徴1
  • 特徴2
  • 特徴3
  • 特徴4
  • 特徴5
  • 特徴6

セカンド顧問について


お問い合わせはこちら

企業側・使用者側専門の弁護士にお任せ下さい新規予約専用ダイヤル24時間受付中!メールでの相談予約