ブログ

2022/11/20 医療法務

クリニックの法務と個人情報保護法その3:個人情報、要配慮個人情報、個人データ、保有個人データの定義

みなさんこんにちは。

クリニックの法務と個人情報保護法の、第3回です。

前回は、定義をすることの意味と、個人情報、要配慮個人情報、個人データ、保有個人データといった個人情報保護法で定義される用語について、ざっくりとしたイメージを掴んでいただきました(詳細はこちら)。

今回は、これらの用語について改めて定義を示し、併せてクリニックの業務に関係するような具体例を列挙していきたいと思います。

 

1.「個人情報」とは

「個人情報」とは、生存する個人に関する情報であって、①当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの、または、②個人識別符号が含まれるものをいいます(法2条)。

・「記述等」とは、文書、図画若しくは電磁的記録で作られる記録のことですので、例えばデジカメに保存された顔写真の画像も含みます。映像、音声も含まれるなど、かなり幅広いです。

・「特定の個人を識別することができる」とは、他の情報と容易に照合することができ、それにより特定の個人を識別することができるものを含む概念です。例えば、履歴書から顔写真が脱落してしまっても、顔写真の裏に氏名が記載してあれば、履歴書本体の氏名と紐づいて特定の個人を識別できますので、その顔写真も「個人情報」となります。

・「個人識別符号」とは、個人を識別することができるという特徴をもった、政令で定められた文字、番号、記号その他の符号のことです。

・クリニックにおける「個人情報」の具体例として、以下のものが挙げられます:

の例:診療録、処方せん、手術記録、助産禄、看護記録、検査所見記録、エックス線写真、紹介状、退院した患者に係る入院期間中の診療経過の要約、調剤禄 等。

の例:健康保険法に基づく保険者番号や被保険者等記号・番号、DNAを構成する塩基配列、旅券番号、基礎年金番号、運転免許証番号、住民票コード、マイナンバー 等(※)

(※)詳しくは、個人情報の保護に関する施行令1条および個人情報保護委員会規則2条~4条を参照。

・なお、②とはされなかったものの例として、携帯電話番号、クレジット番号、メールアドレス、国家資格登録番号、血液型、性別、筆跡、運転免許証番号以外の免許証番号等があります。

・「個人情報」は、主に取得場面と利用場面で規制を受けます(別の回で改めて述べます)。

 

「個人情報」の定義から分かるのは、内容面(プライバシーに該当するか否か、センシティブな情報か否かなど)に着目せずに、個人識別性(特定の個人と識別することができること)という形式面に着目しているということです。内容面に着目した概念が、次で述べる「要配慮個人情報」になります。

2.「要配慮個人情報」とは

「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいいます(法2条3項)

・クリニックにおける「要配慮個人情報」の具体例として、診療禄等の診療記録に記載された病歴、診療や調剤の過程で、患者さんの身体状況、病状、治療等について、医療従事者が知り得た診療情報や調剤情報、健康診断の結果及び保健指導の内容、傷害(身体障害、知的障害、精神障害等)の事実、犯罪により害を被った事実等が挙げられます。

・個人情報保護法では、「個人データ」のうち本人の求めに応じて第三者への提供が停止されるものについて、あらかじめ本人に通知等するとともに個人情報保護委員会に届け出たときは、本人の同意なく第三者に提供することができると定められています(「オプトアウト」といいます。法27条2項)。「要配慮個人情報」は、オプトアウトが認められておりません。つまり、「個人データ」が「要配慮個人情報」に該当してしまうと、第三者への提供はあくまで本人の同意が原則となります(ややこしいですが、別の回で改めて述べます)。

・また、「要配慮個人情報」は、取得の際に本人の同意が必要とされています(法20条、22条。これも別の回で改めて述べます)。

 

個々の「個人情報」をさらに利用しやすくした集合物が「個人情報データベース」、その構成物が「個人データ」でしたね。利用しやすくなった分、規制を厳しくする必要がありました。

3.「個人情報データベース等」「個人データ」とは

(1)「個人情報データベース等」とは、個人情報を含む情報の集合物であって、①特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの、または、②特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるものをいいます(法16条1項)。

は、コンピューターを用いた、電子データベースのようなイメージです。

は、紙面で処理した個人情報を一定の規則(例えば、五十音順、生年月日順など)に従って整理・分類して、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付して、他人によって検索可能な状態においているものを言います(※)。②は、コンピューターを用いない、紙媒体の五十音順になった同窓会名簿のようなイメージです。第2回で具体例として挙げた、棚に五十音順で並べられた診療録全体もに該当します。

(※)個人情報の保護に関する施行令4条参照。

・なお、「個人情報データベース等」を事業の用に供している者を「個人情報取扱事業者」と言いますが(法16条2項)、クリニックは(電子データベースであれ紙媒体であれ)診療録のデータベースを事業に供していますので、「個人情報取扱事業者」です。

(2)「個人データ」とは、「個人情報データベース等」を構成する個人情報をいいます(法16条3項)。

・クリニックにおける「個人データ」の具体例として、各患者さんの診療禄等の診療記録、検査結果等が挙げられます。

・「個人データ」は、正確に取り扱われなければならず、安全管理措置、従業員や個人データの委託先の監督、漏えい等の報告等がなされなければならないのですが、クリニックで特に判断に迷うのは、「第三者提供」に関する規制でしょう。これについても、別の回で改めて述べます。

 

さて、医療事故、相続、離婚などで問題となる、診療録の開示請求は、個人情報保護法上の「保有個人データ」の開示義務という形で現れます。

4.「保有個人データ」とは

「保有個人データ」とは、①個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、②その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のものをいいます(法16条4項)。

・診療録は開示も内容の訂正も追加・削除も利用の停止も、クリニックで自由に行えますよね。なので、診療禄はの「保有個人データ」に該当します。

の保有個人データベースから除外される例は、児童虐待やDVの被害者がクリニックに通院している場合です。保有個人データは本人のみならず親権者や(議論の余地があるものの)配偶者といった法定代理人も開示請求が可能なのですが、児童虐待を行っている親権者やDVを行っている一方配偶者が、被害者である子や他方配偶者を代理してカルテ開示請求してしまうと、被害者の生命、身体等に危害が及ぶおそれがあるため、除外されます(※)

(※)個人情報の保護に関する施行令5条参照。

 

今回はここまでです。

「個人情報」、「要配慮個人情報」、「個人データ」、「保有個人データ」の定義は理解できましたでしょうか?難しい・・・と思われた方も大丈夫です。ざっくりとイメージいただき、それぞれに対してどのような規制が及ぶのかを知ってから、再び定義に戻れば、理解が深まるかと思うので、まずは先に進みましょう。

次回は、個人情報保護法に違反してしまうと、クリニックにどのような不利益が及ぶか・・・という現実的なお話をしたいと思います。

最後までお読みいただきありがとうございました。