2022/11/29 医療法務
クリニックの法務と個人情報保護法その4:違反したらどうなる??
皆さんこんにちは。
前回は、個人情報保護法における各種用語(「個人情報」、「要配慮個人情報」、「個人情報等データベース」、「個人データ」、「保有個人データ」)の定義をし、クリニックにおけるそれぞれの具体例を示しました(詳しくはこちら)。
今回は、クリニックが個人情報保護法に定められる義務に違反した場合、どういうことが待っているのかについて述べたいと思います。
1.民事責任(損害賠償請求)
例えば、患者さんが勤務する会社から突然、「〇〇(患者)さん欠勤している。お宅のクリニックを受診して、『病気と診断された』と言っていた。病名を教えて欲しい」と問い合わせがあった場合のように、診療禄の内容を、本人の同意も法律上の例外事由もないのに第三者に漏えいしそうになったり、漏えいしてしまった場合を考えてみましょう。
「病名」は、他人にみだりに知られたくないプライバシー事項です。これを本人の同意なく他人に漏らした場合は、不法行為に基づく損害賠償請求(民法709条)をされるおそれがあります。
このように、個人情報保護法に違反した場合、その「個人」である相手方から損害賠償請求をされるおそれがあります。
2.個人情報保護委員会による監督と罰則
個人情報保護法では、クリニック(個人情報取扱事業者)に義務を守らせるためどのような規定を置いているでしょうか。
(1)苦情処理と体制の整備
・個人情報の漏えいがあった場合、本人はクリニックに苦情を言いたくなるでしょう。苦情に対応するべく、個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理と、そのために必要な体制の整備に努めなければなりません(法40条)。
・法40条は「努めなければならない」と定めてある通り努力義務です(違反しても法的責任までは問われません)。しかし、「保有個人データ」については、苦情の申出先の公表等が法的に義務付けられています(法32条1項4号、令10条2号)。診療録は「保有個人データ」なので、実質的にみて、クリニックは苦情処理と体制の整備について法的義務を負っているに等しいといえるでしょう。貴クリニックでは苦情の申出先を院内に掲示してありますか?苦情処理のための体制は整備されていますか?
(2)個人情報保護委員会による監督
ア.報告・立入検査、指導・助言
・個人情報保護委員会(以下、「委員会」と言います。)はクリニックに対して必要な報告・資料の提出を求めたり、職員に対してクリニックその他必要な場所に立ち入らせ、質問させ、帳簿書類その他の物件を検査させることができます(報告・立入検査。法146条1項)。
・また、委員会はクリニックに対して必要な指導・助言をすることもできます(指導・助言。法147条)。
・これらは、クリニックの義務違反の有無に関わらず、個人情報保護法第4章(第5節を除く)の規定を施行するのに必要な限度で行われます。具体的な規定については、都度述べたいと思います。
イ.勧告
・委員会は、クリニックが①個人情報保護法第4章のうち一部の規定に違反した場合において、②個人の権利利益を保護するため必要があると認めるときは、クリニックに対して、当該違反行為の中止その大半を是正するために必要な措置をとるべき旨を勧告することができます(法148条1項)。
・「勧告」に従わなかったとしても罰則はありませんが、「勧告」に従わないと「命令」→罰則と手続が進んでしまいます。そのため、①、②を満たさなければ「勧告」はされないという点で、「報告・立入検査、指導・助言」よりも厳しい措置といえるでしょう。
・「勧告」の適用対象となる具体的な規定については、都度述べたいと思います。
ウ.命令
・委員会は、「勧告」を受けたクリニックが①正当な理由がなくて「勧告」に係る措置をとらなかった場合において、②個人の重大な権利利益の侵害が切迫していると認めるときは、クリニックに対して、「勧告」に係る措置をとるべきことを命ずることができます(通常の命令。法148条2項)。
・また、委員会は、①「勧告」の対象となる規定のさらに一部の規定に違反した場合において、②個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときは、クリニックに対して、「勧告」を経ることなく、当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを命ずることができます(緊急命令。法148条3項)。
エ.罰則等
・クリニックが虚偽の「報告」等を行った場合や、「立入検査」を妨害した場合などは、クリニックは50万円以下の「罰金」に処せられます(法182条1項)。
・また、「命令」に従わなかった場合は、委員会はその旨を「公表」することができますし(法148条4項)、クリニックは1年以下の「懲役」又は100万円以下の「罰金」に処せられます(法178条)。
いかがでしょうか。クリニックが個人情報保護法の監督対象であり、違反により罰則等を受ける可能性があることを、理解していただけましたでしょうか。
次回からはいよいよ、クリニックの具体的な義務を1つずつ述べていきたいと思います。
最後までお読みいただきありがとうございました。