【厚生労働省の医療・介護関係事業者におけるガイドライン】
ガイドラインには、ご承知の通り、個人情報保護に当たって医療機関の義務・実施すべき事項が明記されています。ガイドラインには【法の規定により順守すべき事項等】と【その他の事項】に分けて規定されています。
【法の規定により順守すべき事項等】のうち、「しなければならない」等と記載された事項については、法の規定により厳格に遵守することが求められ、また【その他の事項】については、法に基づく義務等ではないが、達成できるよう努めることが求められています。
【法の規定により順守すべき事項等】のうち、医療機関の義務とされている内容を個人情報取扱事業者である医療機関が順守しない場合、厚生労働大臣は法34条の規定に基づき「勧告」・「命令」を行うことがあります。
また、個人情報保護法の適用外となる政令で規定する個人情報が5000人を超えない小規模事業者については、努力義務としての順守が求められています。
これらの中で最も重要なことは、情報漏洩を防止するために安全管理措置を講じることとなります。
2003年9月に厚労省は「診療情報の提供等に関する指針」を作成し、カルテやレセプトなどの情報開示への患者ニーズの高揚に伴って、患者や家族への情報提供体制を既に構築している医療機関も多いのですが、個人情報の漏洩を防止するための安全管理の体制構築に頭を抱える医療機関も多いことと思います。
【ガイドラインに規定された安全管理措置の位置付け】
ガイドラインは、
- ガイドラインの趣旨・目的・基本的考え方
- 用語の定義
- 医療・介護関係事業者の義務等
- ガイドラインの見直し等
の4項目で構成されています。
医療機関が講ずるべき安全管理措置は、V.医療・介護関係事業者の義務等に規定があり、その取り扱う個人データの漏洩、滅失またはき損の防止その他の個人データの安全管理のため、組織的、人的、物理的、および技術的安全管理措置を講じなければならない。と規定しています。
そして安全管理措置として考えられる事項では
- 個人情報保護に関する規定の整備、公表
- 個人情報保護推進のための組織体制等の整備
- 個人データの漏洩等の問題が発生した場合等における報告連絡体制の整備
- 雇用契約時における個人情報保護に関する規定の整備
- 従業者に対する教育研修等の実施
- 物理的安全管理措置
- 技術的安全管理措置
- 個人データの保存
- 不要となった個人データの廃棄、消去
として9項目を掲げています。
安全管理措置を講ずる前段階で最も重要なことは、個人情報の洗い出しです。
安全管理の第一歩は、「個人情報が院内のどこにあり、管理がどのようになされているか?」を確認することから始まります。
カルテやレセプトは当然のことですが、患者台帳・入院台帳・研究用に転記したデータ、患者や家族に緊急の連絡のために作成した電話番号リストやメモ等についても、すべて洗い出す必要があります。以下に前記九項目について、その具体策をご案内します。
(1) 個人情報保護に関する規定の整備、公表
- 保有個人データの開示手順を定めた規定の策定
- 保有する個人情報の管理・廃棄に関するルール作り
- 盗難・紛失を防ぐための物理的な対策
- コンピューターセキュリティに関するルール
- 業務委託先の対応策
- 患者へのプライバシー配慮−などに関する規定を整備したうえで苦情への対応を行う体制も含めて、院内への掲示やホームページへの掲載を行う
- など、患者に対して周知徹底を図る必要があります。
(2) 個人情報保護推進のための組織体制等の整備
医療における個人情報保護に関し十分な知識を有する管理者、監督者を定め、個人情報保護の推進を図るための委員会等の設置し、個人データの安全管理措置について定期的に見直しや改善を行う必要があります。
(3) 個人データの漏洩等の問題が発生した場合等における報告連絡体制の整備
責任者等への報告連絡体制の整備を行います。個人データの漏洩等の情報は、苦情等の一環として、外部から報告される場合が想定されますので、苦情への対応を行う体制との連携を図る必要があります。
(4) 雇用契約時における個人情報保護に関する規定の整備
雇用契約や就業規則において、就業期間中はもとより離職後も含めた守秘義務を課すなど従業者の個人情報保護に関する規程を整備し、徹底を図る必要があります。医療資格者や介護サービスの従業者については、刑法、関係資格法または介護保険法に守秘義務規定が設けられていますが、その遵守を徹底し、認識を啓蒙する意味からも就業規則に基づく懲戒処分や損害賠償請求があることを前提にした守秘義務契約書・誓約書等の締結が望ましいと思われます。
(5) 従業者に対する教育研修等の実施
個人データを実際に業務で取り扱うこととなる従業者全員の啓発を図り、従業者の個人情報保護意識を徹底させる必要があります。また派遣労働者についても「派遣先が講ずべき措置に関する指針」(平成11年労働省告示第138号)において、「必要に応じた教育訓練に係る便宜を図るよう努めなければならない」とされていることを踏まえ個人情報の取扱いに係る教育訓練の実施に配慮する必要があります。
教育研修は全従業者が少なくとも年1回以上は、開催し、反復・継続的教育研修によってその実効性が担保されるような配慮が必要になります。
(6) 物理的安全管理措置
入退館(室)管理・盗難に対する予防対策・機器、装置等の固定など物理的な保護を施す必要があります。
(7) 技術的安全管理措置
個人データを取り扱う情報システムについて、個人データに対するアクセス管理・アクセス記録の保存・ファイアーウォールの設置等が不可欠です。全号でご紹介した病院の対策をご参考にしてください。
(8) 個人データの保存
個人データを長期にわたって保存する場合には、記憶媒体の劣化防止など個人データが消失しないような保存や本人からの情報照会・開示請求に対応する場合など必要なときに迅速に対応できるよう、インデックスの整備など検索可能な状態で保存しておくことが求められます。
(9) 不要となった個人データの廃棄、消去
不要となった個人データを廃棄する場合には、焼却や溶解など、復元不可能な状態にして廃棄し、情報機器を廃棄する場合にも記憶装置内の個人データを復元不可能な状態にする必要があります。
また、廃棄業務を委託する場合には、個人データの取扱いに関して委託契約に明確に規定する必要もあります。
以上の通り、完全な安全管理装置を講じるためには、時間も労力もコストも掛かりますが、ガイドラインで示された適切な措置に一歩でも近づける必要があります。
また、ご参考までに個人情報保護法施行から半年以上が経過していますが、過剰反応報道と個人情報漏洩リスク対応の方向性についてご案内致します。
JR福知山線事故後の医療機関における患者情報対応
日本の鉄道史上最悪の事態となりました「JR福知山線」事故、犠牲者の多さもさることながら、マンションの1階部分にめり込んだ電車車両の生々しい光景が記憶に留まっておりますが、個人情報保護法施行直後ということもあり、運び込まれた方々の情報の取り扱いについて、医療機関の対応が分かれたことを報道が大きく取り上げたことを記憶されている方も多いのではないでしょうか?
身元確認などを優先し情報をオープンにした病院、個人情報保護を優先し本人の同意無しに情報は提供しないとした病院。この時の厚生労働省のコメントは、「いずれも正しい対応」ということでした。法律の内容から言えば「本人の同意がなければ第三者への個人情報提供を原則禁じた条文」と「人の生命、身体等の保護のために必要な場合に、本人の同意無しに第三者への提供を認めた例外規定」とがあり、今回の事故でどちらを採用するかは各医療機関の判断によっています。
法律上の判断が困難な医療現場
この「JR福知山線」事故での重軽傷患者が運び込まれた医療機関では、軽傷で済んで意識がはっきりした人もいれば、重傷で意識のない人もいました。
医療の現場では患者の生命を守るため、高い緊張感の中、秒単位の対応が長い時間続きました。では、このような医療の現場にあって、個々の患者の状態に合わせ個人情報保護法の的確な対応はどの程度可能なのでしょうか?
法律の専門家でさえ困難な判断であり、結果として、医療機関におけます個人情報保護対策は、第三者から見ますと“過剰”とも見える対応となっているのではないでしょうか?
これはもとより、医療情報の重要性を十分に認識されておられる医療機関での、当然とも思える対応と言えます。
それでは、これほど配慮をし保護対策を講じている医療関連の個人情報ですが、個人情報保護法施行以後も起きています医療機関での個人情報漏洩事故で、被害者からの訴訟が多数発生しているのでしょうか?
予想を下回った個人情報漏洩事故による訴訟件数、しかし・・・
個人情報保護法施行以前に私ども保険会社が想定していました最大のリスクは、医療機関からの個人情報漏洩事故と考えていました。しかしながら実際に個人情報保護法施行以後、訴訟にまで至った個人情報漏洩事故は予想を下回っております。これまで弊社へ報告のありました個人情報漏洩事故は、全ての業種を合計して約100件あります。この中で得た経験(予想もしておりましたが)から、訴訟に至らずに終結するためのポイントは2点、@誠意ある事後対応、A2次被害の防止と考えられます。事故後の対応の重要性が容易に判断される訳ですが、この常識的な対応を容易に行わせない個人情報漏洩事故の特異性は、他の様々な事故とは比較にならない被害者・利害関係者数の多さです。
大幅に改善された医師協同組合の個人情報漏洩保険
被害者・利害関係者数の多さは、個人情報漏洩事故時の対応の複雑さを意味します。また、このような事故対応時のために人材を抱えるのは現実的ではありません。したがいまして、個人情報漏洩の危機管理はどうしてもアウトソーシングすることになります。
その場合のアウトソーシング先として最も気軽にお選びいただけるのが、損害保険会社の個人情報漏洩保険です。個人情報漏洩事故による訴訟件数が少ない現在、被害者・利害関係者への事故後対応に注視した補償内容が、個人情報漏洩リスクに対応するより良い方向性と考え、弊社では危機管理コンサルティングそのものを提供いたしております。
さらに、この12月1日より被害者・利害関係者対応のための危機管理実行費用を大型補償化するとともに、大幅な料率の引き下げ(約40%)を行いました。資料などは医師協同組合にございますので、お気軽にお問合せください。