改正個人情報保護法の全面施行とデータ活用(後編)
~医療・介護現場での取扱い場面毎の必要な対応について~
2017年8月

執筆者:公認情報セキュリティ監査人
    プライバシーマーク主任審査員
    審査員研修主任講師
    小川 敏治(おがわ としはる)氏

2. 第三者への提供時において

2-1. 改正のポイント

[図表4] 個人データを第三者へ提供する時の必要な対応
図表4:個人データを第三者へ提供する時の必要な対応

「個人データ」の「オプトアウトによる第三者提供(本人同意なしに第三者への提供が出来る前提条件)」のルールが厳格化され、その適用対象から「要配慮個人情報」が除外されると共に、個人情報保護委員会への届出が必要になった。したがって、要配慮個人情報(個人データ)を第三者へ提供する場合は本人同意が必要となった。

一方、第三者提供により流通する「個人データ」のトレーサビリティ確保として、オプトアウト如何にかかわらず、「個人データ」を第三者へ提供した際は、法令に定める事項を記録し、かつ、その記録を保存しなければならないことがルール化された。

2-2.実務における対応

要配慮個人情報の第三者提供

要配慮個人情報(個人データ)の第三者提供における本人同意について、ガイダンスでは、「第三者への情報の提供のうち、患者の傷病の回復等を含めた患者への医療の提供に必要であり、かつ、個人情報の利用目的として院内掲示等により明示されている場合は、原則として黙示による同意が得られていると考えられる。」と解説している。したがって、前提条件(患者への医療の提供に必要であり、個人情報の利用目的として院内掲示等により明示されている)を満たせば、黙示的な本人同意が得られていることになる。

また、「個人データ」の第三者への提供時の記録も、1-2の「第三者提供による取得時の確認・記録」と同様に医療・介護現場での過度な負担を回避するために適用除外項目(図表2.I~Vに該当)が設けられており、医療・介護現場で「個人データ」の第三者への提供時の記録義務が課される場面は非常に限られる。

2-3.活用事例

他の医療・介護関係事業者に患者情報を提供

[図] 患者への医療の提供の為、他の医療・介護関係事業者に患者情報を提供した場合

前述の前提条件を満たしているため、黙示的な本人同意が得られていることになり、あらためて同意を得る必要はない。

尚、ガイダンスでは、院内掲示等に以下の3事項についても併記することが示されている。(図表5)

図表5.併記すべき3事項
I

患者は、医療機関等が示す利用目的の中で同意しがたいものがある場合には、その事項について、あらかじめ本人の明確な同意を得るよう医療機関等に求めることができること。

II

患者が、Iの意思表示を行わない場合は、公表された利用目的について患者の同意が得られたものとすること。

III

同意及び留保は、その後、患者からの申出により、いつでも変更することが可能であること。

院内掲示等で公表している事項に、利用目的として「患者への医療の提供のため、他の医療機関等との連携を図る」等が記載されていることや前述の3事項の併記(図表5)、さらに患者情報を共同利用している場合、法令に定める共同利用に関する事項(図表3)の漏れが無いかどうか、点検することが望まれる。

尚、「患者の傷病の回復等を含めた患者への医療の提供に必要であり、かつ、個人情報の利用目的として院内掲示等により明示されている場合」以外の「要配慮個人情報」の第三者への提供は、黙示的な本人同意があったと解されない為、例えば、民間保険会社、職場、学校等からの照会があった場合、患者の同意を得ずに患者の症状等を回答してはならない。

3. 加工時において(匿名加工情報)

3-1. 改正のポイント

[図表6]匿名加工情報作成時の必要な対応
図表6:匿名加工情報作成時の必要な対応

本人同意なしに、第三者に提供可能なルール

改正法では、個人情報の有用性の確保として、新しく「匿名加工情報」が定義された。「匿名加工情報」とは、特定の個人を識別することができないように個人情報を基準に従って適切に加工した情報であって、当該個人情報を復元することができないようにしたものをいう。そして、ある一定の「加工基準・取扱いルール」(図表7)の下、本人同意なしに、第三者に提供できることをルール化した。

図表7.匿名加工情報の加工基準・取扱いルール
I

基準に従った適正な加工(5つの加工基準)

II

加工方法等情報の漏えい防止のための安全管理措置義務

III

作成時の公表義務

IV

提供時の公表・明示義務

V

識別行為の禁止

VI

匿名加工情報の安全管理措置等努力義務

一方、一般的な手法(氏名、住所等の削除)で匿名化していても「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」である場合は、単体として「匿名化した情報」であっても「個人情報」に該当し、法に基づいた適切な取扱いが求められる。

匿名加工情報と匿名加工医療情報

ところで、「匿名加工医療情報」が新聞等で取り上げられている。今年4月28日に成立し1年以内に施行される次世代医療基盤法「医療分野の研究開発に資するための匿名加工医療情報に関する法律」で定義されたもので、将来の医療の為に個人の健康情報の公益利用を促進することが目的である。

3-2.実務における対応

学会における発表

特定の患者・利用者の症例や事例を学会で発表したり、学会誌で報告したりする場合等は、氏名、生年月日、住所、個人識別符号等を消去することで匿名化されると考えられるが、このような学会での発表等のために用いられる特定の患者の症例等の一般的な手法での匿名化は、匿名加工情報と「加工基準・取扱いのルール」(図表7)が異なる。

ガイダンスでは、当該発表等が研究の一環として行われる場合には学会等関係団体が定める指針に従うものとしている。

まとめ

個人情報取扱事業者である医療・介護関係事業者においては、新しい定義「要配慮個人情報」などが導入されその取扱いの原則がこれまでと大幅に変わったため、個人情報保護に関する規程の改訂が必要である。また、院内掲示やホームページへの掲載等の内容の見直しや安全管理措置の点検などの実施も望まれる。

尚、安全管理措置の内、「医療情報システムの導入及びそれに伴う情報の外部保存を行う場合の取扱い」においては、厚生労働省「医療情報システムの安全管理に関するガイドライン」に拠るとされている。このガイドラインは改正法の施行に合わせて「第5版」(注3)として大幅に改訂されたので一読が必要である。

以上、改正法レベルでは明確ではなかったところがガイダンスにおいてその解釈や基準が明らかになった。しかしながら、十分とは言えず、医療・介護現場で判断に迷う場合が多々発生すると思われる。現場で勝手に判断せず、管理者の判断を求めるように周知しておくと共に、管理者は改正法施行日に公表されたガイダンスに関するQ&A(事例集)(注4)も併せて参照することが望まれる。

医療情報を活用したイノベーション等、研究機関や企業の二次利用に向けさらなる活用推進が検討されている。そのような状況下で、医療・介護関係事業者が改正法に対して、現場において対応できるように、拙稿をご活用頂ければ幸いである。

上へ戻る