コラム

    • 医療機関における要配慮個人情報への配慮

    • 2018年02月27日2018:02:27:05:59:42
      • 平岡敦
        • 弁護士

1.平成28年改正法施行

 

平成28年に改正され,平成29年5月に施行された改正個人情報保護法は,施行から約1年を経過し,それほど大きな混乱もなく受け入れられているようである。しかし,この改正法は,医療機関にとって大きな影響を有するものである。
 
 

2.平成28年改正法の要点

 

ここで平成28年改正法の要点のうち,医療機関にとって影響の大きな項目をおさらいしておく。
 
(1)5,000人要件の撤廃
まず,改正前は,「個人情報が数の合計が過去六月以内のいずれの日においても五千を超えない者」は個人情報取扱事業者ではないとされ,規制の対象となっていなかったが(旧法2条3項5号、旧施行令2条),平成28年改正により,この要件が撤廃された。これにより,5年ごとにカルテを廃棄すれば,患者数が常時5,000人を超えないような小さな診療所や開設間もない診療所でも,個人情報保護法の規制対象となることになった。
 
(2)匿名加工情報の新設等
また,匿名加工情報(改正法2条9項)という新しい個人情報の分類ができ,特定の個人を識別できるように復元できない形で個人情報を匿名化をした場合には,第三者提供時の本人同意が不要になる等の規制緩和がなされた。それと同時に個人情報の第三者提供を行うときには,提供先や提供した情報の内容等を記録して保存する義務が課せられたり(改正法25条),個人情報を不正な利益を図る目的で提供又は盗用した場合の罰則規定(改正法83条)が設けられたりするなど,個人情報の輾転流通による被害を防止するための取締りの厳格化も図られている。
 
(3)要配慮個人情報の新設
しかし,医療機関にとって最も影響が大きいのは,要配慮個人情報の取扱いに関する規制の導入であろう。医療機関が取り扱う個人情報はほぼ100%要配慮個人情報に該当すると思われ,要配慮個人情報については,本人の同意なく取得できない(改正法17条2項)とされていることから,医療機関が受ける影響が大きいと考えられる。
 
以下,本稿では,医療機関における要配慮個人情報の取扱いに関する注意点について述べる。
 
 

3.要配慮個人情報とは

 

そもそも要配慮個人情報とは,いかなるものか。個人情報保護法2条3項は,要配慮個人情報の定義として「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」と定めている。
 
上記の定義のうち医療機関が取り扱うことが想定されるのは「病歴」であるが,いかなるものが病歴に当たるのかについて,個人情報保護委員会が定めた個人情報の保護に関する法律についてのガイドライン(通則編)は「病気に罹患した経歴を意味するもので、特定の病歴を示した部分(例:特定の個人ががんに罹患している、統合失調症を患っている等)が該当する。」としている。
 
また,要配慮個人情報の定義は「政令で定める記述等が含まれる個人情報」としているが,政令2条は要配慮個人情報に当たるものとして,以下の各号を挙げているので,結果として医療機関が取り扱う個人情報は,ほぼすべて要配慮個人情報に該当すると言って差し支えなかろう。
 
一 身体障害、知的障害、精神障害(発達障害を含む。)その他の個人情報保護委員会規則で定める心身の機能の障害があること。
二 本人に対して医師その他医療に関連する職務に従事する者(次号において「医師等」という。)により行われた疾病の予防及び早期発見のための健康診断その他の検査(同号において「健康診断等」という。)の結果
三 健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと。
 
 

4.要配慮個人情報に対する規制

 

では,改正法は要配慮個人情報について,どのような規制を課しているのか。
 
まず,個人情報は,第三者から求めに応じて提供を停止するという前提で,一定の事項を通知又は公表することで,本人の同意なく第三者に提供することが可能である(いわゆるオプトアウトによる第三者提供。改正法23条2項)。しかし,要配慮個人情報については,この方法による第三者提供はできない。
 
また,個人情報は,適正な方法で取得する限り,取得に際して本人の同意を得る必要はない。すなわち第三者から個人情報を取得しても,それが直ちに違法となる訳ではない。しかし,要配慮個人情報については,改正法が挙げる例外を除き,本人の同意なく取得することはできない(改正法17条2項)。
 
この規制が医療機関にとっては重い負担となる可能性がある。患者本人が要配慮個人情報を書面や口頭で提供する場合,当該本人が医療機関による要配慮個人情報の取得に同意していることは明らかであるから,明示的に「要配慮個人情報の取得に同意する」といった種類にサインをもらう必要はない(個人情報保護委員会「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」23頁)。
 
しかし,医療機関においては,患者の家族や他の医師又は医療機関などから患者本人の病歴等の要配慮個人情報を取得する機会が多い。これも要配慮個人情報の取得に当たるが,第三者からの取得であるが故に,本人の同意の有無が不分明であることが多く,適法な取得とならないかが問題となる。
 
 

5.第三者からの取得に際して本人の同意は必要か

 

(1)ガイダンスの規定
まず,治療のために必要性があり,かつ,患者本人の意識がない場合などは,「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」などは,改正法17条2項各号に該当し,例外的に本人の同意を取る必要がないとされている。しかし,このような状況には該当しない場合には,常に患者本人の同意を得なければ,患者の健康状態についての情報を患者の家族や前医から得ることはできないのだろうか。
 
この点,前記ガイダンスは「医療機関等が要配慮個人情報を第三者提供の方法により取得した場合、提供元が法第17条第2項及び第23条第1項の規定に基づいて本人から必要な同意(要配慮個人情報の取得及び第三者提供に関する同意)を取得していることが前提となるため、提供を受けた当該医療機関等が、改めて本人から法第17条第 2 項の規定に基づく同意を得る必要はないものと解される。」(23頁)と定めている。
 
したがって,前記ガイダンスによれば,提供元が要配慮個人情報を取得することの同意を得ていること,加えて第三者提供の同意を得ていることの2つを前提に,提供先が改めて患者本人から要配慮個人情報取得についての同意を得る必要はないことになる。個人情報保護法を主管する個人情報保護委員会が示す前記ガイダンスでこのように述べている以上,個人情報保護法に対するコンプライアンスという観点からは,第三者から要配慮個人情報を取得する際には,原則として改めて患者本人の同意を得る必要はないと考えられる。
 
(2)条文とガイダンス記述の相違
しかし,個人情報保護法の条文を見ると,「個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。」と定めていて,文言上は,取得する事業者が,本人の同意を得ることを前提としており,第三者である提供元が本人の同意を取得することで足りるようには読めない。条文の文理を厳格に適用すると,あくまで提供先が患者本人から同意を得るべきことになる。そうすると,ガイダンスに従って患者本人の同意なく家族や前医から要配慮個人情報を取得してよいのか不安になってしまう。
 
ここで個人情報保護法の法律としての性質に立ち返って考えると,同法は行政上の取締りを目的として一定の行為を禁止する規定を中心とする法律であって,同法に違反することが直ちに本人のプライバシー権侵害に基づく損害賠償請求や差止請求などの根拠となるものではない。したがって,取締りを主管する個人情報保護委員会が示している前記ガイダンスに従っている限りは,取締りの対象とはならないと言え,医療機関としては,個人情報保護法を遵守するという観点からは,患者本人の同意を改めて得る必要はないと言える。
 
(3)プライバシー権等の侵害に基づく請求は別
しかし,これはあくまで個人情報保護法遵守の観点から見たものである。患者本人が医療機関に損害賠償請求や差止請求等を行う場合は,プライバシー権の侵害等を根拠とすることになる。これは個人情報保護法違反とは異なる根拠に基づくものであり,前記ガイダンスを根拠に防御することはできない。
 
プライバシー権は,日本法上,法律の明文上の根拠がある権利ではないが,裁判例上は明確に認められており,私生活上の事実やそう受け取られるおそれがあり,一般人に未だ知られていない事実で,一般人の感受性を基準にすると公開を好まないと考えられるものは,プライバシーとして保護の対象となる。要配慮個人情報は,上記の条件を満たす場合が多いので,患者本人の同意を得ないで提供元と提供先間で受渡しを行うことは,プライバシー権侵害となり,提供元のプライバシー権侵害が問題となり得る。
 
もちろん通常の状況では,提供元と患者間の信頼関係が存在するし,医師等は重い守秘義務を負っているため,患者の同意なく提供しているとは考えにくいので,上記のような問題は発生しない。しかし,提供元となる家族や前医と患者間の信頼関係が破壊されているような特殊な状況下では,プライバシー権侵害が問題となる場合もありうるので,注意が必要である。そのような特殊な状況の存在が疑われる場合には,家族や前医に対して,患者との関係について,予め確認しておくことも必要になる。
 
 
 
---
平岡敦(弁護士)

コラムニスト一覧
月別アーカイブ