厚生労働分野における個人情報の適切な取扱いのためのガイドライン（医療分野）について解説

医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンスは、個人情報保護法の枠組みに基づいて策定された指針です。病院や薬局、介護保険法で定められた居宅サービス事業者などの医療・介護関連事業者が、日常業務の中で取り扱う個人情報を適切に管理するための実践的な手引きです。

患者や利用者の個人情報を収集・管理・利用する際の留意点や、情報漏洩などのリスクを防止するための対策、情報開示の適切な方法など、現場で直面するさまざまな状況に対応するための対処法が示されています。

出典：厚生労働省/医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス

ガイドラインの目的

ガイドラインの目的は、医療・介護分野における個人情報保護の重要性を明確にし、適切な取扱いを促進することです。医療分野は個人情報の性質や利用方法から、特に厳格な取扱いが必要とされる領域であり、個人情報保護にあたって各医療機関による積極的な取組みが欠かせません。

同様に介護分野も、事業者は利用者やその家族に関するセンシティブで他者が通常知り得ない個人情報を詳細に把握する立場です。そのため医療分野と同様に、個人情報の適正な管理体制の構築をしなければなりません。

ガイドラインは、法律に基づいて必ず遵守すべき事項と、推奨される努力義務としての事項を明確に区別しています。医療・介護関係事業者は、区分を理解した上で、それぞれに適切に対応することが求められています。

ガイドラインの対象者

ガイドラインの対象者は、医療と介護の両分野でさまざまな事業者を包括しています。医療分野では、病院や診療所などの医療機関をはじめ、薬局、訪問看護ステーションなど、患者に直接医療サービスを提供するあらゆる事業者が対象です。

介護分野では、介護保険サービスを提供する事業者や老人福祉施設など、高齢者の福祉に関わるさまざまな事業者も対象とされています。対象範囲を広く設定することで、患者や利用者の個人情報が事業者間で連携して扱われる際にも、一貫した保護措置が講じられます。

医療・介護サービスの提供過程では、センシティブな個人情報が多く取り扱われるため、関わるすべての事業者に対して、適切な情報管理体制の構築が求められていることが特徴です。

対象となる個人情報の範囲

対象となる個人情報の範囲は、医療・介護の現場で取り扱われる幅広い情報を含みます。個人情報は、生存する個人に関する情報と定義されるため、医療・介護関連の情報はすべてこの枠組みの対象です。

個人情報の定義が形式に縛られません。診療録のような整理された形態だけでなく、メモ書きや口頭で伝えられた情報であっても、個人が特定できる情報であれば個人情報として適切に取り扱う必要があります。

また、患者や利用者が死亡した後も、保存された情報は引き続き漏洩を防ぐための安全管理措置が求められます。亡くなった方の尊厳を守るとともに、遺族のプライバシーへの配慮も含まれていることが特徴です。

ガイドラインでは、主に次の内容が定められています。

• 患者・利用者のための窓口設置
• 亡くなった患者・利用者情報の遺族への提供
• 個人情報の研究への活用
• 遺伝情報の取扱い

それぞれの内容を詳しく解説します。

患者・利用者のための窓口設置

医療・介護関係事業者は、患者・利用者に対して個人情報の取扱いの透明性を確保しなければなりません。受付時や利用開始時に個人情報の利用目的を説明するなど、分かりやすい形で情報提供を行うことが求められています。

また、患者・利用者が個人情報の取扱いに疑問を抱いた際に、いつでも気軽に問い合わせができる窓口機能の確保が重要です。形式的な窓口ではなく、実質的に機能する体制の整備が求められています。

さらに、個人情報の取扱いに関する問題は、提供される医療・介護サービスの内容と密接に関連していることが多いため、相談や苦情への対応を行う窓口機能の整備も必要です。相談や苦情への窓口設置により、患者・利用者の権利保護と医療・介護サービスへの信頼確保が図られます。

亡くなった患者・利用者情報の遺族への提供

個人情報保護法の適用対象は「生存する個人の情報」であり、目的外利用や第三者提供には本人の同意を原則としています。そのため、亡くなった方の情報は、厳密には個人情報に該当せず、ガイダンスの直接的な対象ではありません。

一方で、患者・利用者が死亡した後に遺族から照会があった場合、医療・介護関係事業者には配慮が求められています。患者・利用者本人が生前にもっていた意思や名誉を十分に尊重しながら対応することが必要です。

法的には個人情報として扱われない死者の情報も、医療・介護の現場では倫理的観点から、適切な判断と配慮をもって取り扱うことが期待されています。

個人情報の研究への活用

ガイドラインで定められている主な内容として、個人情報の研究への活用が示されています。科学技術の高度化に伴い、医学・介護研究で個人の診療情報や要介護認定情報を利用するケースが増加しています。また、患者・利用者への診療や介護サービスの提供と並行して研究が進められるケースも珍しくありません。

医療機関が自ら研究を実施する場合や、企業・研究機関と共同研究を行う場合、あるいは他の研究機関から求められて情報提供を行う場合の個人情報の取扱いを規定する必要があります。ガイダンスに加えて、医学研究分野の関連指針や関係団体等が定める専門的な指針にも従うことが必要です。

研究目的での個人情報の利用が、適切な倫理的配慮と科学的妥当性をもって行われることが規定されています。

遺伝情報の取扱い

遺伝情報の取扱いは、ガイドライン内で特に慎重な対応が必要です。遺伝学的検査によって得られる遺伝情報は、本人の遺伝子・染色体の変化に基づく体質や疾病の発症リスクなどの情報を含んでいます。

情報は本人だけでなく血縁者にも関わり、一度取得されると生涯変化しない特性をもつため、遺伝情報が漏洩した場合、本人および血縁者が被る可能性のある被害や精神的苦痛は大きくなる恐れがあります。より厳格な情報管理体制が欠かせません。

医療機関等が遺伝学的検査を実施する際には、単に検査を行うだけでなく、臨床遺伝学の専門知識をもつ者による遺伝カウンセリングの実施など、本人および家族等への心理的・社会的支援を行うことが必要です。

情報漏洩が発覚した際は、直ちに個人情報保護委員会へ状況を報告する義務があります。事案の詳細や影響範囲、再発防止策などを明確に示すことが必要です。

同時に、情報漏洩によって影響を受ける患者・利用者本人に対しても、遅滞なく通知を行わなければなりません。どのような情報が漏洩したのか、どのような影響が考えられるかなど、当事者が適切に対処できるための情報提供が必要です。

まとめ

今回の記事では、医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンスの解説をしました。

ガイダンスは、個人情報保護法の枠組みに基づいて策定された指針です。病院や薬局、介護保険法で定められた居宅サービス事業者などの医療・介護関連事業者が、日常業務の中で取り扱う個人情報を適切に管理するための実践的な手引きです。

ガイドラインの目的や対象者、定められている内容を詳しく解説しているため、医療従事者として個人情報を扱う際の参考としてみてください。

ガイドラインでは特に2要素認証の採用が推奨されています。患者・利用者の個人情報を取り扱う際は、厳重な管理体制の構築が必要です。効果的な手段として、Gluegent GateのIDaaS（Identity as a Service）の活用が挙げられます。

Gluegent Gateはシングルサインオン機能により複数システムの認証を一元化し、多要素認証によってセキュリティを強化できることが特徴です。さらに統合ID管理機能により、組織全体で一貫した情報アクセス制御を実現します。
IDaaSの導入は、医療・介護現場における個人情報保護対策に貢献するソリューションとなりますので、ぜひご検討ください。