個人情報保護ガイドラインQ&Aを歯科医が正しく読む方法

歯科医院が知っておくべき個人情報保護ガイドラインのQ&Aを徹底解説。院内掲示だけで本当に同意が取れているのか、漏えい時のペナルティは?現場での疑問に答えます。
医療情報

個人情報保護ガイドラインQ&Aを歯科医が正しく読む方法

患者さんが5,000人以下の小さな歯科医院でも、個人情報保護法は例外なく全員に適用されます。


この記事の3つのポイント
📋
ガイダンスとガイドラインの違い

歯科医院が参照すべき「医療・介護関係事業者向けガイダンス」の位置づけと、Q&Aを正確に使いこなすための基礎知識をおさえます。

⚠️
院内掲示だけでは足りないケース

黙示の同意が認められる範囲と、明示的な文書同意が必要な場面を、Q&Aの事例をもとに具体的に整理します。

🔒
漏えい発生時の義務と罰則

要配慮個人情報が含まれる場合の報告義務・本人通知の手順と、違反時に科される刑事罰(1年以下の拘禁刑または50万円以下の罰金)を解説します。


個人情報保護ガイドラインQ&Aの位置づけと歯科医院の適用範囲

歯科医院が参照すべき最重要文書は、個人情報保護委員会・厚生労働省が共同で策定した「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」と、それを補足するQ&A事例集です。 「ガイドライン」と「ガイダンス」は別物です。ガイドラインが法的なルールを定めるのに対し、ガイダンスは医療現場の実務に落とし込んだ留意点・事例集という位置づけです。 歯科医院の実務では、まずガイダンスのQ&Aを確認すれば、ほとんどの場面をカバーできます。 ppc.go(https://www.ppc.go.jp/personalinfo/faq/iryoukaigo_guidance_QA/)


以前は取り扱う個人データが過去6ヶ月間に一度も5,000件を超えたことのない小規模事業者は義務対象外でした。 しかし法改正により、この規定は廃止されています。つまり患者数が少ない個人開業の歯科医院でも、例外なく個人情報取扱事業者としての義務が課されます。 規模に関係なく対応が必要です、という点だけは覚えておけばOKです。 ppc.go(https://www.ppc.go.jp/personalinfo/faq/iryoukaigo_guidance_QA/)


ガイダンスが対象とするのは、民間の医療機関・介護関係事業者だけではありません。 独立行政法人国立病院機構や国立大学法人が運営する歯科施設、地方公共団体が設置する病院・診療所も対象に含まれます。 「うちは公立だから関係ない」という思い込みは危険ですね。 ppc.go(https://www.ppc.go.jp/personalinfo/faq/iryoukaigo_guidance_QA/)


個人情報保護委員会「医療・介護関係事業者におけるガイダンスQ&A(令和7年6月改正版)」:最新のQ&A全文はこちらで無料閲覧できます。


個人情報保護Q&Aで押さえる「黙示の同意」が成立する条件

歯科医院における患者情報の利用で、最も誤解が多いポイントが「黙示の同意」の範囲です。 院内掲示により利用目的を公表し、患者から明確な反対・留保の意思表示がない場合に限り、その範囲内での個人情報利用について同意があったものと扱われます。 院内掲示さえしていれば何でもOK、ではないということです。 dental-diamond(https://dental-diamond.jp/pages/%E3%83%87%E3%83%B3%E3%82%BF%E3%83%AB%E3%83%80%E3%82%A4%E3%83%A4%E3%83%A2%E3%83%B3%E3%83%89/qa/6689/)


黙示の同意が認められるのは、患者への医療の提供に直接必要な利用目的の範囲内です。 具体的には「他の医療機関との連携」「他の医療機関からの照会への回答」「医療機関内で行う症例検討会」などが該当します。 一方、当該医療機関以外の施設の職員を症例検討会に招く場合は、患者の個人データを「第三者提供」することになるため、原則として患者本人から同意を得る必要があります。 ppc.go(https://www.ppc.go.jp/personalinfo/faq/iryoukaigo_guidance_QA/)


患者から問診票に病歴などの要配慮個人情報を記載してもらう場合、別途同意書の取得は不要です。 患者が受診を申し出て問診票に自己記入するという行為そのものが、取得への同意とみなされます。 これは使えそうです。 dental-diamond(https://dental-diamond.jp/pages/%E3%83%87%E3%83%B3%E3%82%BF%E3%83%AB%E3%83%80%E3%82%A4%E3%83%A4%E3%83%A2%E3%83%B3%E3%83%89/qa/6689/)


場面 同意の形式 根拠
問診票への病歴記入 行為による黙示の同意でOK ガイダンスp33
紹介先医療機関への情報提供 院内掲示があれば黙示の同意でOK ガイダンスp48-49
外部施設職員が参加する症例検討会 患者本人の明示的同意が必要 Q&AQ4-9
民間保険会社への治療情報提供 本人の意思を都度確認する必要あり Q&AQ4-6
介護施設間の入所者情報移転 文書による同意が必要 Q&AQ4-14


個人情報保護Q&Aが示す漏えい発生時の対応手順と報告義務

歯科医院で個人データの漏えいが発生した場合、対応は5つのステップで行います。 ①院内報告・被害拡大防止 → ②事実関係の調査と原因究明 → ③影響範囲の特定 → ④再発防止策の実施 → ⑤個人情報保護委員会への報告・本人への通知、という順序です。 特に⑤については、法律上の義務です。 ppc.go(https://www.ppc.go.jp/personalinfo/faq/iryoukaigo_guidance_QA/)


報告義務が発生する条件は明確に定められています。 要配慮個人情報(病歴・診療記録・調剤情報など)を含む個人データが漏えいした場合、個人情報保護委員会への報告と本人への通知が義務となります。 歯科医院が扱う情報は、そのほぼ全てが要配慮個人情報に該当すると考えておくべきです。 ppc.go(https://www.ppc.go.jp/alart_for_medical_organizations/)


薬局でのFAX誤送信も漏えい事案として扱われます。 Q&Aの事例では、誤送信が判明した時点でまず送信先に連絡し、情報の廃棄を求めることが第一対応とされています。 誤送信後に「まぁいいか」と放置するのは厳禁です。 ppc.go(https://www.ppc.go.jp/personalinfo/faq/iryoukaigo_guidance_QA/)


委託先(清掃業者・システム会社など)で漏えいが起きた場合も、委託元の歯科医院が対応義務を負います。 原則として委託元・委託先の双方が個人情報保護委員会に報告する義務があります。ただし委託先が委託元に通知した場合は、委託先の報告義務が免除されます。 委託契約に漏えい時の報告連絡体制を盛り込んでおくことが条件です。 ppc.go(https://www.ppc.go.jp/personalinfo/faq/iryoukaigo_guidance_QA/)


個人情報保護委員会「医療機関における個人情報の取扱いに関する注意喚起」:漏えい時の具体的な報告フローが確認できます。


個人情報保護Q&Aの「第三者提供の例外」を歯科医院が正しく活用する方法

第三者への情報提供は原則として本人の同意が必要ですが、Q&Aには多くの例外規定が明示されています。 「例外があること自体を知らない」ために、本来できるはずの情報共有を拒否してしまうケースが現場では起きています。これは患者にとっても不利益になり得ます。 ppc.go(https://www.ppc.go.jp/personalinfo/faq/iryoukaigo_guidance_QA/)


警察・検察など捜査機関から刑事訴訟法197条2項に基づく照会があった場合は、「法令に基づく場合」に該当するため、患者本人の同意なく回答できます。 同様に、介護保険の主治医意見書を市役所に提出する場合も、介護保険法27条3項の規定により患者同意は不要です。 つまり「法令上の義務」に基づく提供かどうかが判断の基準です。 ppc.go(https://www.ppc.go.jp/personalinfo/faq/iryoukaigo_guidance_QA/)


意識不明の患者が搬送された場合、家族から病歴・治療歴を聴取することは、「人の生命・身体の保護のために必要があり、本人の同意を得ることが困難な場合」として適法です。 患者本人の意識回復後には、取得した情報の内容と提供した相手を本人に説明する必要があります。 緊急時の対応手順として事前に院内マニュアルに明記しておくと安心です。 ppc.go(https://www.ppc.go.jp/personalinfo/faq/iryoukaigo_guidance_QA/)


死亡した患者の情報は個人情報保護法の「個人情報」に該当しません。 ただしガイダンスは、死亡後も生存時と同様の安全管理措置を講ずることを求めています。 廃棄・保管方法については生存患者と同水準で管理することが原則です。 ppc.go(https://www.ppc.go.jp/personalinfo/faq/iryoukaigo_guidance_QA/)


厚生労働省「厚生労働分野における個人情報の適切な取扱いのためのガイドライン等」:ガイダンス本文PDF・Q&APDFの最新版が入手できます。


個人情報保護Q&Aが見落とされがちな「罰則と違反時のリスク」歯科医院の実態

個人情報保護法の罰則は、思っている以上に重いです。 従業者が個人情報データベースを「不正な利益を図る目的」で第三者に提供・盗用した場合、個人情報保護法179条により1年以下の拘禁刑または50万円以下の罰金が科される可能性があります。 スタッフ教育が不十分だと、院長自身も管理責任を問われます。 ppc.go(https://www.ppc.go.jp/personalinfo/faq/iryoukaigo_guidance_QA/)


個人情報保護委員会からの命令に違反した場合も刑事罰の対象です。 報告徴収に対して報告をしない、あるいは虚偽の報告をした場合、立入検査を拒否した場合も罰則の適用対象となります。 隠すより正直に対応する方が、結果的にリスクを小さくできます。 ppc.go(https://www.ppc.go.jp/personalinfo/faq/iryoukaigo_guidance_QA/)


歯科医師・歯科衛生士・歯科技工士などの資格保有者は、個人情報保護法とは別に、各資格法に定められた守秘義務違反も問われる可能性があります。 資格を持たない受付・事務スタッフについても、業務内容によっては守秘義務違反の対象となる場合があります。 スタッフ全員を対象にした定期的な院内研修が欠かせません。 ppc.go(https://www.ppc.go.jp/personalinfo/faq/iryoukaigo_guidance_QA/)


漏えいにより権利を侵害された患者から民事上の損害賠償責任を問われるリスクもあります。 一件の漏えいが、信頼失墜・患者離れ・損害賠償という3つの打撃につながり得ます。安全管理措置への投資は、リスクヘッジとして費用対効果が高い対策といえます。 ppc.go(https://www.ppc.go.jp/personalinfo/faq/iryoukaigo_guidance_QA/)


📌 院内の個人情報管理体制を見直したい場合、日本歯科医師会や各都道府県歯科医師会が提供する個人情報保護相談窓口や、認定個人情報保護団体の窓口を活用するのが最初の一手です。