記事カテゴリ

人気キーワード

＞＞キーワード一覧を見る

記事検索

カテゴリ
タグ

SNS・メルマガ登録

関連サイト

“あなたの幸せが医療の力になる”
株式会社メディウェルが運営する医師の為のキャリアマガジン【エピロギ】

エピロギ(EPILOGI)とは

弁護士が教える医師のためのトラブル回避術

第11回　患者さんの「個人情報」取扱説明書

2017.01.24

医療関係者の方にとって、「個人情報」は適切に取り扱わなければならないというイメージはあっても、具体的にどのような情報が「個人情報」に該当するのか、その「個人情報」を取り扱ううえでどのような配慮が必要なのかといったことを具体的に考える機会というのは少ないのではないでしょうか。
今回は医療関係者が知っておくべき「個人情報」の取扱いについて検討してみたいと思います。まずはじめに、そもそも患者さんの「個人情報」とはどのようなものを指すのかを確認し、続いて、個人情報の取扱いで問題となることが多い、個人情報を本人以外の第三者へ提供する場合の留意点についてみていきます。

目次

1.患者さんの「個人情報」とは
2.「個人情報」の取扱いの原則
3.第三者への「個人情報」の開示が問題となる場面
4.「個人情報」の取得・保管の留意点
5.終わりに

患者さんの「個人情報」とは

個人情報保護法の規定

　「個人情報」の定義や、個人情報を保護する義務を負う者、及び個人情報の取扱いについては、「個人情報保護法」が規定しています。
　同法では、「個人情報」とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）」と定義されています。
　また、「個人情報取扱事業者」に当たる者は、その取り扱う個人情報を適切に取得・保管する義務を負うとされており、医療機関や医師個人は、患者さんの個人情報を取り扱う者として、同法の「個人情報取扱事業者」に該当します。なお、現行法では、「個人情報取扱事業者」に該当するのは５０００件以上の個人情報を保有する者に限られていましたが、平成２７年の法改正により、個人情報の保有件数の要件は撤廃されることになりました。

具体例

　患者さんの「個人情報」の具体例としては、診療録、処方箋、手術記録、看護記録、検査所見の記録、レントゲン写真、紹介状、診療経過のサマリー、調剤録等々が挙げられます。

亡くなった患者さんの情報は「個人情報」の定義からは外れるものの……

　亡くなった患者さんの情報については、個人情報保護法の定義する「生存する個人に関する情報」には当てはまりません。もっとも、個人情報保護法の定める「個人情報」に当たらないとはいっても、亡くなった後において、故人の生前の診療記録等をはじめとする情報が突然保護に値しないものになると考えるのは相当ではありません。したがって、亡くなった患者さんの個人情報についても、個人情報保護法上の「個人情報」と同程度の注意を払って保管することが求められています。（厚生労働省「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」参照）

「個人情報」の取扱いの原則

　「個人情報取扱事業者」は、「個人情報」を取り扱うにあたって、その利用目的を特定しなければなりません。そして、本人の同意を得ずに、特定された利用目的を達成するのに必要な範囲を超えて「個人情報」を取り扱ってはならないとされています。
　医療の現場において、患者さんの個人情報を取り扱う目的は、患者さんを診察し、医療行為を行うことであるのが基本ですので、医療サービスの提供、医療保険事務、入退院等の病棟管理などで「個人情報」を利用することは、患者さんにとっても明らかであるといえます。これら以外の目的のために患者さんの「個人情報」を利用する場合には、患者さんから「個人情報」を取得する段階において、明確にその利用目的の公表等の措置が講じられていなければなりません。

「個人情報」を第三者へ開示することができるのは……

　「個人情報」は、「個人情報取扱事業者」以外、つまり第三者へこれを提供することは、あらかじめ本人の同意が得られていない限り原則として許されせん。もっとも、法律上、例外的に、本人の同意がない場合でも第三者への「個人情報」の提供が許容される場合があります。
　まとめると、「個人情報」を第三者へ提供することができるのは、①あらかじめ本人の同意が得られている場合か、②法律上例外的に許容されている場合のいずれかとなります。

第三者への「個人情報」の開示が問題となる場面

　患者さんの「個人情報」の第三者への提供として日常的に行われているものとして、家族等への病状説明があります。以下では、この場面での注意点を中心にみていきます。

家族等への病状の説明

　婚姻や親子関係等、法律上の家族ではない場合であっても、内縁のパートナーや親しい友人その他の第三者から、本人の病状の説明、開示が求められることがあると思います。この場合、患者さん本人の同意が得られるのであれば、対象者に対し病状を開示することが問題となることほぼ無いと考えられます。いわゆるLGBTのパートナーに対する病状の開示についてどのように考えるべきかについては、過去の連載で取り上げていますのでご参照ください（「第8回　医師・医療機関に求められるLGBT対応」）。
　患者さんが意識不明の状態である場合や、意識はあるものの、認知症等により判断能力が疑われるため、患者さんの同意を得ることが難しい場合には、本人の同意を得ずに、家族等（本人の意思が確認できた場合には同意をするであろうと考えられる者）に対し、患者さんの情報の提供を行うことができます。その場合でも、提供する情報は、治療を行うために必要な範囲に限るべきです。また、その際に、治療に必要な範囲において、対象者から本人の過去の病歴や治療歴等について情報を取得することもできます。
　このようにして情報の提供・取得をした後で、患者さん本人の意識が回復した場合には、速やかに、提供した個人情報と取得した個人情報の内容、及びその相手について説明してください。本人からの申し出があった場合、取得した個人情報の内容の訂正や、病状の説明を行う対象者の変更等を行います。

故人の生前の「個人情報」の開示

　患者さんが亡くなられた場合には、速やかに、遺族に対して、亡くなるまでの経緯や死亡原因等についての診療情報を提供しなければなりません。もっとも、診療記録を開示する義務を負う遺族の範囲は、配偶者、子、父母及びこれに準ずる者に限定されています。（厚生労働省「診療情報の提供等に関する指針」参照）

その他

　その他にも、他の医療機関等への提供、セカンドオピニオン、検体検査の業務委託など、第三者への提供を行うかどうか判断しなければならない場面は多々あります。基本的な考え方として、患者さんが自分の個人情報が提供されると認識していない用途のために提供することはできないのが原則です。例外として、介護保険の不正受給者や、児童虐待が疑われる場合の通告、感染症の届出、警察など捜査機関からの照会に対する回答などの、法律上の根拠がある場合には、患者さん本人の同意を得なくても、提供をすることが認められています。

「個人情報」の取得・保管の留意点

　これまでは、患者さんの個人情報を提供しようとする場合の問題点について見てきましたが、それと同じくらい気をつけなければならないのが、不注意による個人情報の流出です。

診療業務における流出の防止

　まず、日々の診療業務の中で気をつけるべき具体的なこととして、受付や外来においてフルネームによる呼び出しを避ける、院内掲示にて氏名の表示は避ける、受付票や診察券を他人から容易に見られないようなものにする、病室の入り口やベッドには氏名を掲示しない、ナースステーションの内部に入院患者の氏名を掲示している場合には、通路からは見えにくい位置に掲示するなど、患者さんの個人情報を守るための様々な方策が考えられます（厚生労働省『「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」に関するＱ＆Ａ（事例集)』参照）。

保管方法の甘さによる流出の防止

　流出が問題となった事案には、患者さんの情報が入ったパソコンを自宅で保管していて盗難に遭ってしまった、医師が机の脇の床に置いていたカルテを、清掃職員がごみと勘違いして焼却処分してしまったなど、そもそも保管方法に問題があるケースが散見されます。
　職員のパソコンへのウィルス感染が原因となったもの、またその可能性が発表された流出例としては、2006年に富山市の病院にて、手術室の使用履歴などを含む2873件の患者の氏名・性別・年齢・生年月日が情報が流出した事件、高知の医療センターにて、約26万人分の氏名、住所、電話番号、生年月日、性別、患者番号等が流出した事件等があります。また、パソコン自体の盗難が原因となった事件としては、2008年に日本医科大学付属病院にて10年間分約1700人の患者の氏名や病名が流出した事件、2009年に有明病院の医師が路上でパソコンが入ったカバンごと紛失した事件等があります。
　流出事故が起こった場合には、患者さんからの信用はもちろんのこと、社会的信用も著しく低下するおそれがあります。ひいては、診療・入院患者の減少等に繋がることも考えられます。
　このようなケースは、保管方法について厳格にルールを策定して遵守することにより、未然に防ぐことができるでしょう。

従業員の教育

　このように体制を整えたとしても、日頃から患者さんの個人情報を扱う従業員自身の意識が低いままでは、事故を未然に防ぐ事はできません。個人情報を取り扱う従業員を対象に、定期的に研修を行うなどして、個人情報を取り扱う者としての意識を高め、最新の知識を補充することが大事になってくるでしょう。
　また、もしも個人情報の漏洩が起こってしまった場合に迅速に対応し、被害を最小限に留めるために、漏洩時の連絡体制や対処方法、順序につき、事前にきちんと決めておくことも非常に大切です。

終わりに

　患者さんの「個人情報」は、人の健康状態や病歴等の非常にデリケートなものであることから、その取り扱いには特に注意を要するものです。日々沢山の患者さんに対応し、大量の「個人情報」を取り扱っていると、ともすると患者さん一人ひとりの「個人情報」の重みを忘れてしまいそうになることもあるかもしれません。取り扱う側にとっては、沢山の「個人情報」の中の一つだとしても、患者さんにとっては、自分の大切な身体の情報を提供しているのは、信頼する医師だからこそであるということを忘れず、日々の業務に当たることが大切です。

延時千鶴子（のべとき・ちずこ）: 弁護士／弁護士法人戸田総合法律事務所、埼玉弁護士会所属。
注力分野はインターネット上の誹謗中傷問題。その他企業法務や男女問題等の一般民事も取り扱う。相談者の心に寄り添うコミュニケーションを心がけている。