- 平成29年5月 改正個人情報保護法が施行
- 「要配慮個人情報」に関する規定の新設
- 医療現場で影響が予想される改正点と留意事項
1.平成29年5月 改正個人情報保護法が施行
1.個人情報保護法は初めての実質的改正
(1)改正個人情報保護法の改正とその背景
個人情報の保護に関する法律(以下、「個人情報保護法」)は、平成15年5月30日に公布され、同17年4月1日に全面施行がなされて以降、実質的な改正は、10年以上の期間にわたって行われていませんでした。
一方では、ICTの発展に伴って、個人情報保護法制定時には想定していなかった形態や媒体などによって、ビジネスにおける個人情報の利活用が行われるようになっています。
こうした背景から、海外における規制とも国際的な調和をとりつつ、個人情報の適正かつ効果的な利活用への配慮と、個人の権利利益を保護する趣旨から、平成27年9月9日に改正個人情報保護法(以下、「改正法」)が公布され、主要な改正部分である個人情報取扱事業者の義務に関する改正については、来る平成29年5月30日に施行されます。
改正法は、個人情報の定義を明確化することで保護対象の曖昧さを解決し、匿名化した加工情報を事業者が利活用しやすいようにするとともに、名簿業者問題対策としては、不正に個人情報を提供した場合の罰則設定などにより、不正な個人情報の流通を抑止することとしました。
(2)個人情報保護法の主要改正ポイント
個人情報保護法の改正は、次のような点について新たに定めを設け、個人情報の有用性のとのバランスを図りつつ、その適切な取り扱いを確保することを趣旨としています。
医療機関については、現行法における事業者の義務に加え、厚生労働省が公表した「医療・介護関係事業者における個人情報の適切な取り扱いのためのガイドライン(以下、「厚生労働省ガイドライン」)」により、一般企業に比べ、より個人情報の取扱いについて注意を払うことが求められてきましたが、今般の改正において、法令上の義務として明確に定められた事項があります。
これらに違反した場合は法令違反行為として罰則の対象となることから、特に小規模事業者として区分された診療所においては、改めて自院における個人情報保護体制と運用の状況を確認する必要があります。
2.主要改正事項の具体的内容
(1)個人情報の定義の明確化
現行法は、保護対象となる「個人情報」について、(1) 生存する個人に関する情報、(2) 当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの、と定めており、この具体的内容について事業者側が該当性の判断を行うことが難しいとされていました。
そのため改正法では、個人情報の定義を明確に定めたうえで、新たにマイナンバーや医療保険・介護保険の被保険者番号などを想定した「個人識別符号」についても、個人情報として保護対象であることを明記しています。
改正法で定められた個人識別番号とは、特定の個人を識別することが認められる方法を政令で定めるものであり、これによって個人情報の該当性判断を客観化、容易化を図る趣旨です。
例えば、個人識別番号の上記(1) では、指紋や顔の特徴をコンピュータで扱うためにデジタル化したものなどが該当します。
これらは、個人に固有のものであって、かつ修正不変のものでもあり、一度取得されると別の機会や場所で同一人物から取得された場合は、照合してほぼ確実に個人を特定することができます。
同様に、遺伝情報についても個人にとって終生不変のものであることから、個人識別符号として保護対象であることを、医療機関として再確認する必要があります。
(2)「要配慮個人情報」概念の新設
現行法において、人種や信条など、個人が不当な差別を受ける原因となる可能性がある個人情報については、特段の取扱いは定められていませんでした。
一方で、主務官庁が公表している個人情報の取扱いに関するガイドラインでは、こうした情報を「機微(センシティブ)情報」等として、特段の配慮を求める指針が示されてきました。
今回の改正において、こうした情報を新たに「要配慮個人情報」という概念として明示し、一層の留意を払うべき個人情報として取り扱うことを定めています。
この「要配慮個人情報」の範囲には、病歴が含まれることが明らかとなりました。
「要配慮個人情報」については、本人の同意を得ない取得が原則として禁止され、本人の意としないところでの第三者提供は原則として認められないことになります。
医療機関にとって、病歴は患者本人の診療を行う上で必要な情報であるとともに、これまでも重要な個人情報として取り扱われてきたところですが、従前のとおり、不正な第三者提供や漏えいに対する防止策をとると同時に、法令上に明示されたことで漏えい等に対する措置の不十分さが、安全管理措置義務違反に問われる可能性があるといえます。
一般的に、これまで診療情報は守秘義務の範囲で取り扱われる傾向がみられましたが、改正法施行以降は、法令上の義務として厳重に管理することが求められます。
尚、厚生労働省ガイドラインでは、医療・介護分野の個人情報については5,000人以下の取扱いに留まる小規模事業者に対しても、個人情報保護法に定める事業者としての義務を果たすよう示されていましたが、今回の改正法でこうした小規模事業者を規制の対象外とする制度が廃止されています。
政令で定められた内容も含め、医療機関における要配慮個人情報の取扱いについては、次章で詳説します。
2.「要配慮個人情報」に関する規定の新設
1.個人情報よりも一段高い規律で保護する
前章で述べたとおり、これまで機微情報と呼ばれていた特に配慮を要する個人情報について、「要配慮個人情報」として格段の注意が求められる旨の定めが設けられました。
(*)予め第三者に提供することや、本人の求めに応じて提供を停止することなどを通知等している場合、本人の同意に代えることが可能:オプトアウト手続(改正法第23条第2項)
要配慮個人情報になると、取得にあたっては原則として本人の同意を得ることが必要です。
また、本人が明確に認識できないうちに個人情報が第三者に提供されるおそれがあるため、要配慮個人情報はオプトアウト手続による第三者提供が認められません。
しかし、これら以外は他の個人情報と同じ取扱いとなるため、関連性を有する範囲内で利用目的を変更したり、匿名加工情報に加工するなどにより、第三者へ提供することが可能です。
(1)要配慮個人情報に関する規定を設けた背景
現行法では、個人情報に該当する情報の取扱いは一律に同じルールを定め、その内容や性質によって区分されていません。
一方で、厚生労働省をはじめ、一定の個人情報(機微情報またはセンシティブ情報)を扱う事業者(医療機関等)に対しては、各省庁が定めるガイドラインのなかで、特段の取扱いが定められています。
そのため、慎重な取り扱いを要する個人情報を類型化し、本人同意を得ない取得の原則禁止と、差別的な取り扱いを受けることを防止するため、本人の意図しないところでの第三者に対する提供がないような規定が新設された経緯があります。
また、日本から諸外国に向けた個人情報の第三者提供についても、EUをはじめとして特別の規律を設けている例が多いことから、国際的にも整合性の取れた規律を設けることが求められたという背景もあります。
(2)政令で定められた要配慮個人情報の具体例
改正法においては、「本人に対する不当な差別、偏見が生じないよう特に配慮するものとして政令で定めるもの」と明記され、政令の内容として、具体的には下記のように示されています。
これらのほか、個人情報保護委員会が作成するガイドラインにおいて、法律および政令で定められた要配慮個人情報について、具体的な考え方と例を示す予定となっています。
2.要配慮個人情報の「適正な取得」と取扱いの留意点
(1)要配慮個人情報の適正な取得
個人情報取扱事業者は、原則として予め本人の同意を得ないで、要配慮個人情報を取得してはならないと定められました。
具体的には、次に掲げる場合を除くとされています(改正法第17条2項、改正施行令第7条、改正規則第6条)
上記(1) の「法令に基づく場合」の「法令」には、日本の法令のみがこれに該当し、外国法令はこれに該当しません。
外国の法令に基づく場合(例えば、外国の行政当局の要請)は、「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」といった他の例外に該当しない限り、認められないとします。
また、上記(6)(本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合)の例外は、ある特定の個人が身体に障害を抱えている事実が映像等に写りこんだ場合等の事業者の負担を勘案するものです。
ただし、取得した要配慮個人情報を本人の知らないうちに第三者に提供されることがないよう、第三者に提供するに当たっては、本人の同意を要することとしています。
(2)第三者提供の制限
個人情報取扱事業者は、個人データである要配慮個人情報を第三者に提供する場合、原則として、本人の事前の同意が求められます(改正法23条1項本文)。
要配慮個人情報以外の個人データと同様に、要配慮個人情報であっても、法令に基づく場合等の第三者提供の例外(改正法第23条第1項各号)や委託、事業承継、共同利用による個人データの提供(同条5項各号)の場合には、本人の同意は必要となりません。
しかしながら、要配慮個人情報以外の個人データでは認められるオプトアウトの手続(改正法第23条第2項~4項)の適用は認めないとします。
これは、オプトアウト手続については、法に定める一定の手続をとったとしても、実際には本人が明確に認識できないうちに個人データが第三者に提供されるおそれがあるため、情報の性質上慎重な取扱いが求められる要配慮個人情報については、こうした取扱を認めないものとしたのです。
(3)匿名加工情報の新設
要配慮個人情報の概念と併せて、新たに一定の措置を講じて特定の個人を識別できないように加工し、かつ、元の個人情報に復元できないようにした「匿名加工情報」という概念が導入されました(改正法第2条第9項)。
この匿名加工情報を取り扱う事業者は、別途「匿名加工情報取扱事業者」として区分され、その匿名加工情報に関する限りは、個人情報取扱事業者としての規制は受けないとされます。
尚、加工の方法については、個人情報保護委員会規則で定められる基準に従う必要がありますが、これらの定めを含めて同規則は今後公表される予定です。
3.医療現場で影響が予想される改正点と留意事項
1.個人識別符号の取扱い
今回の個人情報保護法改正により、これまで曖昧さが問題となっていた個人情報の定義が明確化されたことで、医療機関としても、どのような情報が個人情報に該当するのか、また医療機関であるからこそ慎重な取り扱いが求められる情報が何かを、改めて確認する必要があります。
(1)医療現場における個人識別符号の取扱い
医療機関では多くの個人情報を取り扱っており、現行法の下で、あるいは厚生労働省ガイドラインに示された項目に従って対応してきたところですが、改正法において新たに定義された個人情報として、「個人識別符号」があります。
現行法では、携帯番号やクレジットカード番号については、持ち主氏名などと容易に照合し、個人が特定できるケースのみ個人情報として取り扱うこととされていました。
つまり、単なる数字の羅列が記載されているもの(媒体)だけでは、個人情報には該当しないとされてきたのです。
しかし、本年5月の改正法施行以降は、これまで個人情報に該当するかどうかについて判断に迷っていた上記の例についても、個人情報として法令上明示されたことで、保護対象として院内に徹底することが求められます。
(2)本人確認書類の留意点
個人識別符号や要配慮個人情報を取得するに際しては、本人の同意を得ることが困難なケースも想定されます。
また、不要な情報を取得すべきではないので、本人確認書類において要配慮個人情報が記載されたものがある場合、マスキング(塗りつぶし)をすることを検討し、院内でマニュアル等を作成しルール化することが必要です。
また、要配慮個人情報には該当しないものの、従来から「機微(センシティブ)情報」と位置づけられてきた「本籍」、「国籍」、「臓器提供意思確認欄」などもマスキングをすることが考えられます。
さらに、番号法で取得が制限されている「個人番号」、住民基本台帳法で取得が制限されている「住民票コード」、国民年金法で取得が制限されている「基礎年金番号」についても取得しないように留意が必要です。
2.本人の同意が必要なケースの正しい認識
個人情報保護法は、改正後にあっても、明示や黙示など、患者から同意を取得する方法について、明確な定めはありません。
また、厚生労働省ガイドラインに従い、利用目的を掲示するなどして患者に周知し、これに本人が拒絶しなければ黙示の同意としてみなす取扱いを行っている医療機関が大部分と推測されます。
しかし下記のように、患者本人から同意を得なければ、その個人情報を利活用することができないケースもあります。
一方で、学術研究目的で利用する場合は個人情報取扱事業者としての義務が適用されないことから、本人の同意を要する個人情報の取扱いについても適用が除外されます。
この点に関しては、改正前後で取扱いに変更はありません。
この場合であっても、厚生労働省ガイドラインでは医療機関において望ましい対応として、患者のプライバシーに関する権利を保障するという観点から、学術研究目的の利活用であっても、患者の同意を必要としています。
改正法施行以降も、得られるデータの機微性や研究の目的・内容に応じて、厚生労働省ガイドラインを鑑み、患者本人の同意取得の必要性に関し、個別に判断を行うことが望ましいといえます。
3.医療機関が改正法に対応するポイント
(1)すべての医療機関が改正法の適用対象に
現行の個人情報保護法では、取り扱う個人情報が5,000件(5,000人分)以下の事業者については、小規模取扱事業者として同法の適用を除外されていました。
そのため、患者数が5,000人を超えない診療所などの小規模医療機関については、小規模取扱事業者に該当することで法令上の義務を負うものではないとし、個人情報保護への取り組みがガイドラインに定める努力義務にとどまっていたケースもあったと思われます。
しかし、今回の個人情報保護法改正により、こうした小規模取扱事業者の除外基準が撤廃されたことで、全ての医療機関が個人事業取扱事業者として、法律上の義務を負うこととなります。
(2)過剰な対応の防止と必要な情報提供ルールの策定
個人情報保護法が初めて施行されてしばらくの間は、医療機関においても患者や家族に関わる個人情報保護に慎重になる余り、本来は適法に提供できる個人データであるにもかかわらず、本人の同意が必要なものと思いこみ、結果として本人や家族にとって必要な情報が提供されなかったケースもありました。
また、例えば感染力の高い感染症に罹患した患者の情報などは、患者本人のプライバシーへの配慮と併せて、関わる医療者や家族等の生命や身体の保護に必要であり、情報開示が認められると判断されます。
医療分野においては、法的な制限と倫理的な禁止事項の双方が存在するために、倫理的側面から配慮されるべき事項と、法の制限を逸脱した違反行為に関して、院内指針や規程のなかでも混同したルールとなっているケースもみられます。
例えば改正法において、要配慮個人情報に病歴が含まれたのは、これが個人の差別につながる可能性があることが主な理由として挙げられます。
医療機関が取り扱う個人情報の機微性の高さからみても、差別要因となる可能性がある情報の取扱いについては、より慎重になるべきだといえます。
改正個人情報保護法の施行を機に、法で定められた内容と趣旨を正しく認識するとともに、現在の院内の対応状況を確認し、不備がある点に対応することが望まれます。
■参考文献
「個人情報保護法の改正概要」 平成27年11月17日 内閣官房IT総合戦略室
「改正個人情報保護法Q&A~第1回 要配慮個人情報」平成28年8月3日 改正個人情報保護法ニュース第1号(執筆:弁護士法人三宅法律事務所 弁護士 渡邉雅之 氏)
「改正個人情報保護法について」 平成28年11月21日 個人情報保護委員会事務局
「知っておくべき改正個人情報保護法の勘所」 平成29年2月1日 日経メディカル
コメント
コメントは停止中です。