そもそも「個人情報保護法」とは?
個人のプライバシーに関わる「住所」「氏名」「性別」「生年月日」等の情報は、ビジネスのみならず、行政や医療をはじめとするさまざまな領域において、サービスの向上や業務の効率化に用いられています。
そこで、個人情報の有用性に配慮しつつ個人の権利や利益を守ることを目的とした「個人情報保護法」(正式名称:個人情報の保護に関する法律)が、2003年5月に制定され、2005年4月に施行されました。
その後、デジタル技術やグローバル化の進展といった情勢の変化や、一般の人々の個人情報に対する意識の高まり等への対応のため、個人情報保護法は3度の改正が行われています。
医療分野における個人情報保護法とは
個人情報の概要は上記のとおりですが、医院・クリニックなどの診療機関も個人情報保護法が定める事業者に該当します(「個人情報データベース等を事業の用に供している者」〈法2条5項〉)。つまり、医師1名といった小規模な診療機関でも、個人情報保護法を遵守する義務を負うのです。
個人情報と要配慮個人情報
個人情報とは、生存する個人の情報であり、氏名、生年月日、そのほかの記述等により特定の個人を識別できるものを指します(法2条1項)。
医療分野においてとくに注意が必要なのは、患者の身体情報など、個人情報保護法の中で「要配慮個人情報」と定義されている情報の取扱いが多くある点です。具体的には、
●診療録等の診療記録や介護関係記録に記載された病歴
●健康診断の結果及び保健指導の内容
●障害(身体障害、知的障害、精神障害等)の事実
等が要配慮個人情報として該当します。
重要なのは、要配慮個人情報の取得や第三者提供には、原則として本人同意が必要であり、オプトアウト(事前の同意なし)による第三者提供は認められていないという点です。しかし、知らずに法令違反を犯しているケースが多数報告されている現実があります。
要配慮個人情報を取り扱う組織としては、こういった法的な要求を把握し法令を遵守した対応が求められます。
クリニックが個人情報保護のために行うべき6つのこと
個人情報保護のために、医療機関として対応すべきことを、下記6つの項目にまとめました。
(1)セキュリティの責任者を置き、組織体制を構築すること
組織的安全管理措置として、組織全体⼜はシステム毎に責任者を設置し、日常業務における個人情報の取扱いルールなどを策定し、関係スタッフへ教育を行い周知することが重要な取り組みとなっております。
(2)物理的なセキュリティ対策
物理的安全管理措置として、セキュリティエリアの設定を行い、必要に応じて入退室制限を設けたうえで、情報の重要度(極秘、関係社外秘など)に応じた書類/データの管理(保管場所、アクセス制御など)が実現できるようになります。セキュリティエリアの入退室制限のひとつとして、スマートロックやセキュリティカードによる制限を行うことで、より有効性の高い入退室管理を実現することができます。
(3)IoT(モノのインターネット)機器の管理
患者に貸し出される24時間⼼電図計などのウエアラブル端末や、患者の⾃宅に設置された医療機器などには、インターネットに接続されているものが増えています。機器を貸し出すときには、情報セキュリティ上のリスクがあることを患者に説明し、同意を得るようにしましょう。
(4)パソコンの外部持ち出しに関する⽅針や規程の整備
保有する情報に対してリスク分析を実施し、医療情報やパソコンの持ち出しに関する⽅針を運⽤管理規程で定めましょう。このとき、持ち出した情報及びパソコンの管理⽅法、またパソコンの盗難、紛失時の対応を定めます。また、盗難、紛失時の対応を従業者に周知徹底し、教育を⾏なうことも必要です。
(5)バックアップ
情報を保存している場所で情報の毀損が生じたとき、バックアップされたデータを⽤いて毀損前の状態に戻せるようにしましょう。不可能な場合は、最低限損なわれた範囲が容易に分かるようにするとよいでしょう。
(6)情報の破棄
使⽤している情報処理機器や記憶媒体を廃棄するときには、必ず再現不可能な状態での廃棄が求められています。紙媒体であればシュレッダーや溶解処理による廃棄、電子媒体、記憶媒体においては、消去専用のソフトウェアを利用し完全消去を行うか、物理的にハードディスクを破壊することで再現不可能な状態での廃棄となります。また、外部業者に廃棄を依頼する場合は、必ず廃棄証明を発行する業者を選定することで、情報漏えいのリスクを低減することができます。
定期的な情報収集と、法令遵守の取り組みを徹底しよう
各種法令、ガイドラインならびにIT技術は、年々新しいものが世の中に出てきています。医療機関においては、最新の情報を収集する取り組みも求められており、気付いたときには法令違反を犯していた事例も少なくありません。
厚生労働省も医療機関に対する情報提供を適時、HPなどで公表し周知する取り組みを行っておりますので、定期的に情報収集を行い、法令遵守の取り組みが徹底できることを推奨いたします。
服部 達也
株式会社UPF