1.個人情報保護法とは?
|
| (1) |
どんな法律? |
| |
- 個人情報の有用性に配慮しつつ
- 個人の権利利益を保護する為に
- 個人情報を取り扱う事業者の遵守すべき義務等を定めた法律です。
厚生労働省では、平成16年12月24日にガイドラインを交付し、個人情報について以下のように指針が規定されています。
- 個人情報の所有権は本人にある
- 医療機関は、本人からの許諾に基づき、許諾の範囲内で個人情報の利用権を持つのみである。
個人情報漏洩時の損害賠償に対する規定はありません。漏洩時の損害賠償は民法(債務不履行・不法行為)に委ねられます。但し、個人情報保護法の成立により、間接的に個人情報取扱事業者の民事上の責任が増大していると言えます。
|
| (2) |
どの事業者が対象? |
| |
過去6ヶ月において1日でもデータベースで保有する個人情報が5,000件を超えた事業者をこの法律では対象としています。従って5,000件に満たない事業者は個人情報保護法の対象となりません。しかしながら、監督官庁である厚生労働省によるガイドラインでは、その個人情報の秘匿性から規模の大小を問わず全ての医療・介護関係事業者を対象とし、個人情報の厳正な取扱いや管理を求めています。
個人情報保護法は個人情報漏洩時の損害賠償に対する規定を設けておらず、漏洩時の民事上の責任においては個人情報取扱事業者か否かは直接的には影響を与えません。
|
| (3) |
個人情報とは? |
| |
特定の個人を識別できる情報全てです。また、他の情報と容易に照合することで特定の個人を識別できる場合も含みます。
- 氏名、住所、性別、生年月日
- カルテに記載されている情報
- 身体、財産、肩書きなどの属性
- 映像、音声
- 血液検査の検体・・・・など
死者に関する情報は、個人情報保護法で定義する個人情報には含まれないが、死者情報が、同時に、遺族などの生存する個人に関する情報でもある場合には、当然生存する個人に関する情報となる。
|
| (4) |
個人情報漏保護法の罰則は? |
| |
| 『勧告』: |
担当省庁の大臣による注意
勧告に係る措置を講ずべき期間を設定し行う。 |
| 『命令』: |
担当省庁の大臣による勧告遵守命令
正当な理由無く勧告期間内に勧告に従わなかった場合に発動 |
| 『緊急命令』: |
勧告無しでの命令 |
| 『罰則』: |
6ヶ月以下の懲役または30万円以下の罰金
勧告期間、命令期間内に措置が講じられない場合に適用 |
|
2.個人情報を漏洩させてしまうことによる問題点
|
個人情報の取扱いや管理を厳正にし、個人情報を漏洩させてしまう事故を起こさないようにすることは大変重要なことです。しかし漏洩事故自体よりも漏洩事故により下記のような経営危機になることが最大の問題です。
- 患者や取引先からの信用失墜
- ブランド劣化による売上ダウン
- 職員の病院への忠節の低下
- 被害者や委託元から損害賠償金を請求される。
『個人情報漏洩時 企業の対応が不誠実な場合』
| ・会員をやめる: | 84.6% |
| ・以後その企業の製品は買わないよう心がける: | 69.5% |
| ・集団訴訟の動きがあれば加わる: | 40.5% |
| ・訴訟を検討する: | 20.5% |
※出典:個人情報保護に関する消費者意識調査2003(NRIセキュアテクノロジーズ)
|
3.個人情報の値段 ― 過去の判例から見た金額の目安
|
|
個人情報の種類 |
具体的な不利益 |
一人当たりの損害賠償額 |
|
基本情報 |
無し |
10000円前後 |
|
有り |
10000円+α |
医療情報
(社会的差別の可能性小) |
無し |
10万〜100万円? |
|
有り |
10万〜100万円+α? |
医療情報
(社会的差別の可能性大) |
有り |
100万円前後? |
|
無し |
100万円+α? |
|
遺伝情報 |
有り |
? |
|
無し |
? |
≪参考事例≫
T工業事件 千葉地裁 平成12年6月12日判決 判決金額:150万円
平成9年11月、T工業の工場に勤務していた原告が、病院で定期健康診断を受けた際、原告の同意無くHIV抗体検査が行われたことについて、原告無断でHIV抗体検査を行い、その結果を原告が勤務する会社(被告)に通知した行為は、原告のプライバシーを侵害する不法行為に当たるとされた。
|
4.個人情報取扱事業者の義務と対策
|
| (1) |
個人情報取扱上の義務 |
| |
◎利用目的の特定と公表(法第15条、16条、18条)
・本人の個人情報を利用する場合は公表( 院内掲示およびHPへの記載等)が必要
- 患者に提供する医療サービス
- 医療保険事務
- 患者に係る管理運営業務(会計・経理など)
- 他の病院、薬局などとの連携
- 他の医療機関等からの照会への回答
- 家族等への病状説明・・・・など
本人が希望する場合、詳細の説明や利用目的を記載した書面の交付を行う。
◎院内掲示(およびホームページへの記載)については、利用目的と同時に以下 についてもあわせて掲示する必要あり。
- 患者は、医療機関が示す利用目的の中で同意しがたいものがある場合には、その事項について、あらかじめ本人の明確な同意を得るよう医療機関に求めることができること。
- 患者が、上記意思表示を行わない場合には、公表された利用目的について患者の同意が得られたものとすること。
- 同意および留保は、その後、患者からの申し出により、いつでも変更することが可能である。
◎第三者提供の制限(法第23条)
・本人の同意無しに個人情報を第三者へ提供してはならない。
例)職場、学校、生命保険、損害保険会社からの照会・・・など
| 例外(1): |
法令に基づく場合 |
| |
→麻薬中毒患者と診断した場合の都道府県知事への届出・・など |
| 例外(2): |
人の生命等の保護の為に必要で本人の同意を得ることが困難な場合 |
| |
→重度の痴呆症の状況を家族等に説明する場合・・・など |
| 例外(3): |
公衆衛生の向上又は児童の健全な育成に必要で本人の同意を得ることが困難な場合 |
| |
→児童虐待事例についての関係機関との情報交換・・・など |
・黙示の同意について
患者の傷病の回復を目的として、必要に応じて他の医療機関と連携を図ったり、他の医師に助言を求めるなどの行為は第三者提供に当たるが、それが個人情報の利用目的の1つとして、院内掲示等により公表されている場合には、患者の同意を得られているものと考えられる(黙示の同意)。
・検査等の業務委託は第三者に当たらない。
|
| (2) |
情報主体(本人)への対応義務 |
| |
◎保有個人データの開示(法第25条)
|
| (3) |
個人情報管理上の義務 |
| |
◎安全管理措置および従業者監督(法第20条、21条)
個人情報の漏洩防止の為、安全管理措置を講ずる。
|
組織的安全措置
|
・個人情報漏洩管理責任者の設置
・プライバシーポリシーの公表
・規定の整備
・管理体制の整備・・・・など
|
|
人的安全措置
|
・非開示契約の締結
・定期的な教育 ・・・・ など
|
|
物理的安全措置
|
・入退館(室)の管理
・キャビネットの施錠
・盗難対策
・離席時のスクリーンセイバー・・・など
|
|
技術的安全措置
|
・アクセス権限の最小化
・アクセスログの管理
・ファイアーウォール等の設定
・ウィルス対策ソフトウェアの導入・・・など
|
|
委 託 先 管 理
|
・アクセス権限の最小化
・アクセスログの管理
・ファイアーウォール等の設定
・ウィルス対策ソフトウェアの導入・・・など
|
|
5.それでも事故が起こったら!
|
| (1) |
個人情報漏洩時の危機対応例 |
| |
|
72時間以内にほぼ全て完了することが重要
|
| (2) |
個人情報漏洩時の初期対応はここが難しい |
| |
| ○ |
事実確認(事実情報のふるい分けは?) |
| ○ |
2次被害の可能性に対する対処は? |
| ○ |
コールセンターでの対応は? |
| ○ |
被害者へのお詫び方法は? |
| ○ |
利害関係者の特定と個別対応は? |
| ○ |
事故の公表はすべき?メディア対応は?風評被害モニタリングは? |
|
| (3) |
個人情報漏洩事故『有事への備え』チェックリスト |
| |
| □ |
対応に当たる危機対策チームのメンバーを予め決めてありますか? |
| □ |
対応すべき利害関係者と優先順位は明確ですか? |
| □ |
緊急連絡網および情報報告網は確立されますか? |
| □ |
情報の一元管理の為の手法は確立していますか? |
| □ |
万が一のメディア対応の準備はできていますか? |
| □ |
悪い情報をトップに伝える為の組織作りはできていますか? |
| □ |
原因究明の調査が可能な様々な"ログ"は残されていますか? |
| □ |
個人情報リストに“秘密”の明記があり、アクセス制限もかけていますか? |
| □ |
万が一の際に相談できる外部専門家(危機コンサルティング会社、弁護士など)はいますか? |
| □ |
上記を網羅した危機管理マニュアルを策定し、予行演習(個人情報事故シュミレーション)実行していますか? |
|
| (4) |
転ばぬ先の杖―保険の手配の必要性 |
| |
万が一個人情報漏洩事故が起こると、信用失墜を最小限にするための対策費のほか、損害賠償金や弁護士費用・原因調査費用など多額の費用が発生しますので、それに備え保険加入されることは大変有用と思われます。是非ご検討してみてください。
但し、同じ保険でも各社様々に補償内容が違います。
いわて医師協同組合では組合員の皆様向けの割安な個人情報漏洩保険をご用意しております。各社の内容や特徴をご確認いただき、自分はどういう補償が必要なのかご判断の上でのご加入をおすすめします。
|