23.08.01 | 業種別【医業】

個人情報保護法は、正式名称を『個人情報の保護に関する法律』といい、2003年５月に制定されました。
これまでに何度か改正されていますが、2021年５月の改正は民間の医療機関だけではなく、国立病院や公立病院などにも大きく関わる改正となりました。
この改正個人情報保護法は、2022年４月から施行され、一部の地方公共団体等に関する内容は2023年４月から施行されています。
個人情報を取り扱う機会の多い医療従事者は、その内容をよく理解しておかなければいけません。
今回は、特に注意したい、個人情報の漏えいに関する重要なポイントについて説明します。

個人情報保護法が改正される背景

これまでの個人情報保護法は、あくまで民間の企業を対象としたもので、国の行政機関や独立行政法人などには『行政機関・独立行政法人等における個人情報の保護に関する法律』が、地方公共団体などには各自治体で定めている『個人情報保護条例』が適用されていました。

病院や診療所など医療施設を運営する主体は、国や公的医療機関、医療法人などに分けられますが、それぞれに適用されるルールが異なっていたということになります。

たとえば、民間の医療法人が運営している私立病院では個人情報保護法が適用されているのに、都道府県や市町村などの自治体が開設した公立病院では、各自治体の個人情報保護条例が適用されていたということになります。
同じ医療機関でありながら、個人情報に関する定義やルールが異なるため、データ活用の場面で混乱を招くなど、さまざまな不具合が生じていました。

このような複数の法制度が存在する状況を是正するため、2021年５月に個人情報保護法の改正が行われ、これまで別々の法律や条例が適用されていた個人情報の取り扱いが一元化されることになりました。

2022年４月１日からは、まず『行政機関・独立行政法人等における個人情報の保護に関する法律』が民間の事業者にも適用されている個人情報保護法に統合され、2023年４月１日からは、各自治体が定めている『個人情報保護条例』も個人情報保護法に準拠したものになりました。

国立病院や公立病院、私立病院などの区別なく、医療機関はすべて同じ改正個人情報保護法が適用されたということです。

この一元化された改正個人情報保護法は、個人情報保護委員会が管轄することになります。

個人情報が漏洩した際の対応を理解しよう

新しく改正個人情報保護法が適用されることになった医療機関は、どのようなことに気をつければよいのでしょうか。

個人情報の取り扱いに関するルールは多岐にわたります。
改正法で特に気をつけたいのは、個人情報が漏えいした際の医療機関の対応です。
改正個人情報保護法では、個人データが漏えいして以下の事態に該当した場合、個人情報保護委員会への報告と本人への通知を義務づけています。
これまでは努力義務でしたが、法改正によって義務化されました。

（１）『要配慮個人情報』が含まれる個人データの漏えい等（またはそのおそれ）
（２）不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等（またはそのおそれ）
（３）不正の目的をもって行われたおそれがある個人データの漏えい等（またはそのおそれ）
（４）個人データに係る本人の数が1,000人を超える漏えい等（またはそのおそれ）

要配慮個人情報は、「人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実、その他政令で定めるもの」とされており、患者の健康診断および検査の結果や、診療・調剤情報なども含まれます。
患者の検査結果が保存されているUSBメモリーを紛失した場合などは、すぐに個人情報保護委員会と患者本人に連絡しなければいけません。
個人情報保護委員会への報告や本人への通知は、おおむね３～５日以内に行う必要があります。

個人情報の漏えいや紛失を防ぐには、情報の適切な管理はもちろん、業務で必要な場合にしかアクセスできないシステムの構築や、記録媒体の持ち込みおよび持ち出しの制限、不要な操作の禁止などを講じる必要があります。
また、データの盗難防止策についても考えなくてはいけません。

医療機関における個人情報の取り扱いについては、厚生労働省が改正法にも対応した『医療・介護関係事業者における個人情報の適切な取り扱いのためのガイダンス』を策定して公表しています。
新しくなった個人情報の漏えいルールについて、まだ対策をとっていないという医療従事者は、厚生労働省ホームページなどで詳細を確認しておきましょう。

※本記事の記載内容は、2023年８月現在の法令・情報等に基づいています。