個人情報保護法医療機関取扱いガイド

医療機関が知るべき個人情報保護法の要配慮個人情報、安全管理措置、罰則について詳しく解説。改正法で変わった義務内容とプライバシーポリシー作成のポイントとは?
医療情報

個人情報保護法医療機関対応

医療機関の個人情報保護法対応のポイント
⚖️
要配慮個人情報の理解

病歴・検査結果など医療情報は特別な保護が必要

🛡️
安全管理措置の実施

情報漏洩防止のための組織的・技術的対策が必須

📋
プライバシーポリシーの策定

患者への透明性確保と法的義務の履行

個人情報保護法要配慮個人情報とは

2017年5月30日の個人情報保護法改正により、医療機関にとって最も重要な変更点が「要配慮個人情報」の概念導入です。要配慮個人情報とは、本人に対する不当な差別、偏見その他の不利益が生じないよう、その取扱いに特に配慮を要する個人情報として法律で定義されています。

 

医療分野における要配慮個人情報には以下が含まれます。

  • 病歴 - 患者の過去から現在までの疾患履歴
  • 身体障害、知的障害、精神障害、発達障害等の心身機能の障害
  • 医師等による健康診断その他の検査の結果 - 血液検査、画像診断、生理検査など
  • 健康診断等の結果に基づく医師等による指導や診療の事実

これらの情報は、診療目的であっても患者本人からの同意を取得してから利用することが義務付けられています。従来の医師の守秘義務とは別の法的規制として追加されたため、医療機関は二重の責任を負うことになりました。

 

また、個人識別符号として国民健康保険の被保険者記号・番号、後期高齢者医療の被保険者番号、介護保険の被保険者証記載情報なども法的保護の対象となっています。これらの番号は患者を特定する重要な情報として厳格な管理が求められます。

 

個人情報保護法医療機関義務内容

2017年の改正により、患者数に関係なくすべての医療機関が個人情報取扱事業者として法的義務を負うようになりました。改正前は5,000人を超える個人情報を扱う事業者のみが対象でしたが、現在は診療所や小規模クリニックも含めてすべての医療機関が対象です。

 

医療機関が履行すべき主要な義務内容は以下の通りです。
利用目的の明示と同意取得

  • 個人情報収集時の利用目的説明
  • 要配慮個人情報取得時の本人同意
  • 利用目的変更時の再同意手続き

適正な取得と利用制限

  • 偽りその他不正な手段による取得禁止
  • 利用目的の範囲内での利用
  • 第三者提供時の本人同意または法令に基づく場合の例外適用

安全管理措置の実施

  • 組織的安全管理措置:責任体制の明確化、規程の整備
  • 人的安全管理措置:従業者への教育・指導
  • 物理的安全管理措置:入退室管理、盗難防止
  • 技術的安全管理措置:アクセス制御、不正アクセス対策

医療機関は個人情報保護に関する考え方や方針を策定し、対外的に公表することが求められています。これには個人の人格尊重の理念下での個人情報取扱い、関係法令遵守の姿勢を明確に示す必要があります。

 

個人情報保護法漏洩防止安全管理措置

医療機関での情報漏洩は深刻な問題であり、組織的な防止対策が必要です。よくある漏洩パターンと対策を理解することで、効果的な予防策を講じることができます。

 

よくある情報漏洩パターン

  • カルテの置き忘れ - 受付や待合室での他患者による閲覧リスク
  • 診察室での前患者情報の片付け忘れ
  • オンラインでの流出 - ウイルス感染、誤送信、USBメモリ紛失
  • 不用心な会話 - 他患者への個人情報漏洩、事例説明時の過度な詳細

効果的な安全管理措置
組織的措置

  • 個人情報保護責任者の設置
  • 取扱規程の策定と定期見直し
  • 従業者への定期的な教育・研修実施
  • 漏洩事故発生時の対応手順整備

技術的措置

  • 電子カルテシステムのアクセス権限管理
  • パスワードポリシーの策定と定期変更
  • ウイルス対策ソフトの導入と更新
  • データバックアップと暗号化

物理的措置

  • カルテ保管庫の施錠管理
  • 診察室でのカルテ管理ルール徹底
  • 来院者の入室制限エリア設定

医療機関では患者情報の性質上、一度漏洩すると回復困難な損害が生じる可能性があります。そのため予防的な安全管理措置の実施が何より重要です。

 

個人情報保護法違反罰則リスク

個人情報保護法違反には厳格な罰則が設けられており、医療機関の信頼失墜と経営への深刻な影響をもたらします。違反が発覚した場合の具体的なペナルティを理解し、リスク管理に活用することが重要です。

 

刑事上の罰則

  • 懲役刑:最大6ヶ月
  • 罰金刑:最大30万円
  • 両罰規定:従業者の違反に対し事業者も別途処罰

情報を漏洩したスタッフ個人への処罰に加え、管理監督責任として医療機関の経営者にも罰金が科される可能性があります。

 

民事上のリスク
被害を受けた患者からの損害賠償請求により、以下のような賠償責任が生じる可能性があります。

  • 精神的苦痛に対する慰謝料
  • 実際の損害額(転院費用、治療費増加分など)
  • 弁護士費用
  • 謝罪広告費用

賠償額は漏洩規模や情報の重要性により大きく変動し、集団訴訟に発展すると数千万円規模の賠償責任を負うケースもあります。

 

社会的制裁
法的処罰以上に深刻なのが評判の悪化です。医療機関の場合、一度失った信頼の回復は極めて困難で、以下のような長期的な影響が生じます。

  • 患者離れによる経営悪化
  • 新規患者獲得の困難
  • 医療従事者の採用・定着問題
  • 地域での悪評の拡散

これらのリスクを回避するため、日常的な管理体制の整備と従業者教育の徹底が不可欠です。

 

個人情報保護法プライバシーポリシー作成ポイント

医療機関におけるプライバシーポリシー作成は、法的義務の履行と患者との信頼関係構築の両面で重要な意味を持ちます。効果的なプライバシーポリシーには以下の要素を含める必要があります。

 

必須記載事項
個人情報の利用目的

  • 診療・治療目的での利用
  • 医療保険事務での利用
  • 検査・薬剤提供業者との情報共有
  • 症例検討・医学研究での利用(匿名化後)

取得する個人情報の種類

  • 要配慮個人情報(病歴、検査結果等)
  • 基本情報(氏名、住所、電話番号等)
  • 保険情報(被保険者番号等の個人識別符号)

第三者提供の条件

  • 他医療機関への紹介時の情報提供
  • 薬局への処方箋情報提供
  • 行政機関への法定報告
  • 本人同意に基づく家族への説明

個人情報の管理方法

  • アクセス権限の制限
  • 保存期間と廃棄方法
  • 安全管理措置の概要

患者の権利

  • 開示・訂正・削除請求の方法
  • 利用停止請求の手続き
  • 苦情・相談窓口の設置

作成時の注意点
医療機関のプライバシーポリシーは、一般的なWebサイトとは異なり医療特有の配慮が必要です。患者が理解しやすい平易な言葉で記述し、院内掲示とWebサイト掲載の両方で公表することが推奨されます。

 

また、障害のある患者への配慮として、大きな文字での掲示や点字版の用意、外国人患者のための多言語対応も検討すべき要素です。

 

プライバシーポリシーは患者との信頼関係を築く重要なツールでもあります。単なる法的義務の履行にとどまらず、患者の不安を解消し安心して治療を受けられる環境づくりの一環として位置づけることが大切です。

 

医療機関における個人情報保護への取り組みに関する詳細なガイダンス
https://www.ppc.go.jp/personalinfo/legal/iryoukaigo_guidance