改正個人情報保護法(以下、改正法)が今年5月30日に全面施行された。
これによりルールに基づき匿名加工された情報は本人同意なしにデータ活用できるようになった。
さらに、改正法における「匿名加工情報」と利活用の仕組みは異なるが、医療等分野におけるデータ利活用として、匿名加工医療情報によるビッグデータの活用が検討されている。日本経済再生本部の未来投資戦略2017(平成29年6月9日)でも健康・医療・介護分野において新たに講ずべき具体的施策として、データ利活用基盤の構築をあげた。
今後医療におけるデータ活用がますます加速することが考えられる。
これまでは、各省庁が所管分野毎に個人情報保護法ガイドラインを策定していた。
改正法施行により、内閣府外局に設置された第三者機関「個人情報保護委員会」に監督権限が一元化され、すべての分野に共通の汎用的なガイドライン(平成28年11月30日公表)が適用されることになった。
但し、この汎用的なガイドライン公表時は、特定分野(医療関連、金融関連、情報通信関連等)については、汎用的なガイドラインを基礎としつつ、追加的な特定分野ガイドラインを定めるとしていた。これは個人情報の性質及び利用方法並びに従来の規律の特殊性を踏まえての判断である。
医療関連分野におけるガイドラインは、「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」(平成29年4月14日公表。以下、ガイダンス)(注1) が改正法施行に伴い適用される。
個人情報保護委員会が厚生労働省と共同で策定したものであり、従来の厚生労働省のガイドラインは廃止となる。
ガイダンスは民間の医療・介護関係事業者を対象としている。しかしながら、「他の法律や条例が適用される、国、地方公共団体、独立行政法人等が設置するものを除く。医療・介護分野における個人情報保護の精神は同一であることから、これらの事業者も本ガイダンスに十分配慮することが望ましい。」と明記しており、公共・民間を問わずガイダンスへの準拠が求められる。
改正法では取扱個人情報5000件以下の小規模医療関係者も対象になった。施行前は取り扱う個人情報が5000件以下の小規模事業者は「個人情報取扱事業者」から除外し法適用の対象外にしていたが、その除外基準が撤廃された。
ガイダンスに基づき、医療・介護現場での取扱い場面毎の必要な対応について、主要なポイント「改正のポイント・実務における対応・活用事例」をまとめた。
尚、紙面の都合上、グローバル化(外国にある第三者への提供、域外適用)については割愛させていただく。![[図表1] 取得時の必要な対応](images/img_column013_1.gif)
図表1.取得時の必要な対応
改正法では、個人情報の定義が明確化され、新しく「要配慮個人情報」が定義された。「要配慮個人情報」とは、不当な差別や偏見その他の不利益が生じないようにその取扱いに特に配慮を要するもので、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪による被害事実、身体・知的・精神障害、健康診断等の結果、保健指導・診察・調剤の内容等が含まれる個人情報をいい、その取得は原則として「本人同意」が必要となった。
医療・介護現場で扱う個人情報の多くはこの「要配慮個人情報」に該当する。
また、個人識別符号(例えば、DNAの解析結果、指紋や顔等の認識データ、医療・介護保険等の被保険者番号等)は患者の氏名等が無くてもそれだけで「個人情報」に該当することが明確化された。
一方、「個人データ」を第三者からの提供により取得する際、その第三者の氏名等や取得経緯を確認すると共に、法令に定める事項を記録し、かつ、その記録を保存しなければならないことがルール化された。
ただし、後述するが、医療機関の過度な負担を回避するため、適用除外項目が設けられている。
「要配慮個人情報」の取得時の本人同意について、ガイダンスでは、「医療・介護関係事業者が要配慮個人情報を書面又は口頭等により本人から適正に直接取得する場合は、本人が当該情報を提供したことをもって、本人の同意があったものと解される。」と解説している。したがって、医療・介護現場で本人から適正に直接取得する場合は、本人の当該行為をもって黙示的な本人同意を得たことになる。
また、「第三者提供の方法により取得した場合、提供元が法に基づいて本人から必要な同意を取得していることが前提となるため、提供を受けた医療・介護関係事業者が、改めて本人から同意を得る必要はないものと解される。」と解説しており、第三者からの提供による取得時は改めて本人同意をとる必要は無い。
一方、「個人データ」の第三者からの提供による取得時の確認・記録については、いわゆる名簿業者等で転売され転々流通する「個人データ」のトレーサビリティ確保が目的である。正常な事業活動を行っている医療・介護関係事業者の過度な負担を回避するために、ガイダンスではさまざまな適用除外項目(図表2)が設けられている。その為、医療・介護現場で当該確認・記録義務が課される場面は非常に限られる。
| 図表2.第三者からの提供による取得時の確認・記録の適用除外項目 | |
|---|---|
| I |
第三者が法第2条第5項各号に掲げる者である場合 |
| II |
法第23条第1項各号に該当する場合
|
| III |
法第23条第5項各号に該当する場合 |
| IV |
本人に代わって提供している場合 |
| V |
本人と一体と評価できる関係にある者に提供する場合 |
| VI |
個人データに該当しない場合 |
| VII |
個人情報に該当しない場合 |
・I~III、VI、VIIは、法の明文上の適用除外項目。
・IV、Vは、「形式的には第三者提供の外形を有するが、確認・記録義務の趣旨に鑑みて、実質的に確認・記録義務を課す対象たる第三者提供には該当しない。」とする解釈上の適用除外項目。
![[図] 患者が医療機関の受付等で、問診票に身体状況や病状などを記載し、保険証とともに受診を申し出る場合](images/img_column013_2.gif)
「要配慮個人情報」の取得時の本人同意については、患者本人からの適正な直接取得に該当し当該行為をもって黙示的な同意があったと解されるため、本人同意を得たことになり、あらためて本人同意を得る必要は無い。
但し、患者本人から直接書面で「個人情報」を取得する為、あらかじめ、患者本人に対し院内掲示等によりその利用目的を明示しなければならない。
従来から利用目的の院内掲示やホームページへの掲載等を実施していると思うが、ガイダンスの別表2を参照し記載漏れなどが無いか、再点検することが望まれる。
![[図]患者への医療の提供の為、連携先の他の医療・介護関係事業者から患者情報を取得した場合](images/img_column013_3.gif)
連携先の他の医療・介護関係事業者が法に基づいて本人から必要な同意(要配慮個人情報の取得及び第三者提供に関する同意)を取得していることが前提となるため、あらためて本人同意を得る必要は無い。
但し、「個人情報」を取得する為、院内掲示やホームページへの掲載等により、本人にその利用目的を公表(又は通知)しなければならない。
一方、「個人データ」の第三者からの提供による取得時の確認・記録については、ガイダンスの適用除外項目「III.3)共同利用の場合」又は、「IV本人に代わって提供している場合」に該当し、適用除外される。
また、III.3)共同利用の場合、法令に定める共同利用に関する事項(図表3)をあらかじめ、本人に通知し、又は容易に知り得る状態に置いていること(例えば、共同利用に関する必要事項を院内掲示やホームページへの掲載等)が前提である。
地域包括ケアシステムなどで地域の医療・介護関係事業者間で、患者情報の共同利用をしている場合、法令に定める共同利用に関する事項を院内・事業所内の掲示やホームページへの掲載等による通知を実施していると思うが、必要事項に漏れが無いかどうかなど、念のため、再点検することが望まれる。
| 図表3.共同利用に関する事項 | |
|---|---|
| I |
特定の者との間で共同して利用する旨 |
| II |
共同して利用される個人データの項目 |
| III |
共同利用者の範囲 |
| IV |
利用する者の利用目的 |
| V |
当該個人データの管理について責任を有する者の氏名又は名称 |
注2:個人データ
媒体の如何にかかわらず、特定の個人情報を容易に検索できるように体系的に整理された集合体(個人情報データベース等)を構成する個人情報
