ITとビジネスの専門家によるコラム。経営、業種・業界、さまざまな切り口で、現場に生きる情報をお届けします。
第106回 2020年改正「個人情報保護法」について
今年改正される「個人情報保護法」。個人情報の中でも医療に関する個人情報は、特に注意する必要があります。今回は医療機関が気を付けなければならない点をご紹介します。
2020年改正「個人情報保護法」について
2005年に施行された「個人情報保護法」ですが、2017年(施行)に改正され、その後3年ごとに必要に応じて改正されることになっています。今年がその改正に当たる年です。個人情報の中でも医療に関する個人情報は、特に注意を要するセンシティブ情報とされており、医療機関においては、今回の改正内容について十分に理解し対応する必要があります。
まず初めに基本的な事項を確認しますと、個人情報とは、「生存する人の情報」となりますが、医療機関においては昨日に亡くなったからといって、今日からその人の個人情報をぞんざいに扱ってよいというわけではありません。あくまでも法律上は「生存する人」が対象ですが、亡くなった人の個人情報を特に明確な区別はせず、どちらの場合も慎重に扱うことが重要です。次に個人情報保護法で気を付ける点の一つに「個人情報の入手」があります。個人情報の入手には、個人情報の利用目的を了承した同意が必要です。利用目的以外に入手した個人情報を利活用してはいけません。複数の利活用目的があるのであれば、事前に全ての目的について同意を取る必要があります。そして、いったん入手した個人情報は、同意なく第三者に提供してはならないということです。しかし、医療機関内で、患者の情報(個人情報)を医療従事者が共有してチーム医療に利用することは該当しません。このほかにも例外規定が幾つかあります。
改正内容の注意点
さて、今回の改正内容を以下にまとめてみました。医療機関が気を付けなければならない点は、5点あります。
1.個人の権利の在り方
- 利用停止、消去などの個人の請求権:個人の権利または正当な利益が害されるおそれがある場合にも要件を緩和
- 保有個人データの開示方法:電磁的記録の提供を含め、本人が指示できる
- 第三者提供記録:本人が開示請求できる
- 短期保存データ:開示、利用停止などの対象とする
- オプトアウト規定(注):不正取得された個人データとオプトアウト規定により提供された個人情報についても対象外とする
- (注)オプトアウト規定:本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目などを公表などしたうえで、本人の同意なく第三者に個人データを提供できる制度。
2.事業者の守るべき責務の在り方
- 委員会への報告および本人への通知を義務化
- 違法または不当な行為を助長するなどの不適正な方法において、個人情報を利用してはならない
3.事業者による自主的な取り組みを促す仕組みの在り方
- 企業の特定分野(部門)を対象とする団体を認定できるようにする
4.データ利活用に関する施策の在り方
- 「仮名加工情報」の創設
- 開示、利用停止請求への対応などの義務を緩和
- 提供先において個人データとなることが想定される情報の第三者提供:本人の同意が得られているかどうかの確認を義務付ける
5.ペナルティーの在り方
- 法定刑の引き上げ
- 法人に対しては行為者よりも罰金刑の最高額を引き上げる
医療機関の注意点
個人の権利の在り方について
利用停止、消去の請求に対しては、医学論文などへの掲載が問題になる可能性がありますので、顔写真にはマスキングするなど、今まで以上に注意が必要です。さらに事前に医学研究などに利用する可能性を説明し、同意を取っておくとよいでしょう。カルテ開示に対するフローも必要があれば見直しをしておきましょう。
事業者の守るべき責務
ペナルティーが強化されましたので、関連委員会の立ち上げ、運営(議事録の作成など、活動実績を証明できるようにしておく)が必要です。同時に職員に対する勉強会や説明会を開催し、改正内容を含めた個人情報保護法について情報提供する必要があります。
自主的な取り組みを促す仕組み
日本医師会といった関連団体からのガイドラインなどの情報発信に注意しておきましょう。
データの利活用
特に医療機関においては「患者名」(個人情報)に注意が必要です。しかし、病院は医療機関外に患者情報を提出する機会(がん登録など)も多く、院外に情報提供する際に患者名を匿名化することが多いかと思います。しかし、いったん匿名化した複数の患者情報をひも付けることは不可能になります。今回の改正では病院からは患者名で情報提供し、仮名加工情報機関で患者情報がひも付けられ、匿名化が行われますので、(医療ビッグデータなどの)医療情報の精度向上が期待できます。医療機関内では、個人情報の活用において、現場で独自解釈をしていないか、拡大解釈をしていないかのチェックが必要です。
ペナルティー強化
ペナルティーが強化されたから気を付けるのではなく、日ごろから「自分たちは、個人情報が溢(あふ)れている特殊な職場で働いている」という意識を持つことが重要です。そのためにも、職員に対する継続的な啓もう活動が必要です。ちなみに過失については対象外と考えられています。
皆さんは、どう思いますか?
次回は11月11日(水)更新予定です。
ご案内
講師派遣
「医療機関が知っておかなければならない“改正個人情報保護法2020”」
お問い合わせ先:株式会社FMCA
Email:fujiimca@gmail.com
前の記事を読む
次の記事を読む