2023/09/07 医療法務
クリニックの法務と個人情報保護法その14:個人情報を取得・利用する際の義務⑩
みなさん、こんにちは。
9月に入り、だいぶ涼しくなってきましたね。
さて、前回は、個人情報の利用に関する補充的説明として、「本人の同意」ってそもそも何だろう?から始まり、本人が未成年等の場合はどうやって同意を得るかについて説明し、最後に、家族等へ病状説明をする際には後日の紛争を防ぐために、なるだけ本人の同意を得るよう努力しましょうということでしたね(詳しくはこちら)。
今回は、個人情報の不適切な利用の禁止・適切な取得について述べた後で、医療機関においては特に重要な概念である「要配慮個人情報」を取得する場合について解説したいと思います。
5.不適切な利用の禁止
個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはなりません(法19条)。
・「違法又は不当な行為」とは、個人情報保護法その他の法令に違反する行為、及び直ちに違法とはいえないものの、個人情報保護法その他の法令の制度趣旨又は公序良俗に反する等、社会通念上適正とは認められない行為をいいます。
ー例えば、患者さんの住所・氏名・電話番号等を名簿化して名簿業者に売却する等の行為が許されないのはもちろんです。
ーまた、クリニックを開業後に受診を促すために、それまで勤務していた病院に記録されていた患者さんの住所・氏名・電話番号を控えて、開業にあわせて患者さんにダイレクトメールを送る行為も許されません(これはうっかりやりそうですが駄目ですよ!)。
・「おそれ」の有無は、個人情報取扱事業者による個人情報の利用が、違法又は不当な行為を助長又は誘発することについて、社会通念上蓋然性が認められるか否かによって判断されます。この判断に当たっては、個人情報の利用方法等の客観的な事情に加えて、個人情報の利用時点における医療・介護関係事業者の認識及び予見可能性も踏まえる必要があります。
ー例えば、患者さんの勤務先から医療機関に、「健康情報の収集のため血液検査の結果を提供して欲しい」と求められたため、本人の同意を得た上で、血液検査の結果用紙の写しを提供したところ、健康状態が悪いことを理由に解雇されてしまったような場合、他に何も解雇に使われそうと認識できるような事情がなければ、医療機関において当該検査結果が解雇理由に使われるとは認識していないといえ、予見もできないでしょう。
ー一方で、医療機関が患者さんから「このところ会社から連日、退職勧奨を受けている」などと聞いていた直後という事情があるならば、当該検査結果が解雇理由に使われることを予見できたといえそうです。そこで、医療機関としては、提供に先だち、勤務先による個人情報の利用目的や個人情報を違法・不当な目的で利用する意図がないことを、確認して記録に残しておく必要があるでしょう。
・本条に違反した場合、苦情の申出(法40条)、個人情報保護委員会による報告・立会検査(法146条)、指導・助言(法147条)、勧告・通常の命令・緊急命令(法148条)の対象となるほか、保有個人データにも該当する場合は、利用停止等の請求事由にもなります(法35条1項)。
・また、本条違反の無断公開等がプライバシー侵害に該当して民事損害賠償請求の対象となり得ます。
6.適正な取得
個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはなりません(法20条1項)。
ー例えば、個人的な趣味のためにクリニックに防犯カメラを設置することは当然許されません。
ー防犯カメラ画像から顔認証データを抽出して防犯目的で使用する場合は、あらかじめ利用目的の通知・公表(院内掲示等。法21条1項)を行うとともに、不正の手段による取得(法19条1項)とならないよう、カメラにより自身の個人情報が取得されていることを本人が予測・想定できるように、カメラが作動中であることを掲示する等の措置を講じる必要があります。
・また、親の同意なく、十分な判断能力を有していない子どもなどから家族の個人情報を取得してはなりません。
ー例えば、取得状況から考えて関係のない家族の収入事情などの個人情報を取得することは許されません。
ーただし、当該子どもの診療上、家族等の個人情報の取得が必要な場合で、当該家族等から個人情報を取得することが困難な場合はこの限りではありません。
7.要配慮個人情報の取得制限
(1)原則ー本人の同意
個人情報取扱事業者は、要配慮個人情報を取得する際には、原則として、本人の事前同意を得なければなりません(法20条2項)。
・「要配慮個人情報」とは、何だったでしょうか。そうですね、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報のことを言うのでしたね(詳しくはこちら)。要配慮個人情報は内容面に着目した概念で、だからこそその利用に通常の個人情報以上の歯止めがかかるよう、一定の規制がされていました。その1つが、取得時における規制つまり本人の事前同意です。
・しかし、問診票に住所・氏名、身体状況、病状、既往歴・家族歴等を記入して保険証とともに外来受付に提出する場合、事務員はいちいち「問診票を受け取ってもいいですか?」と尋ねなければならないのでしょうか?
ーこの場合、患者さん自身が自己の要配慮個人情報(=個人情報である保険証+氏名住所で保険証と紐づけられた問診票)を含めた個人情報を医療機関等に取得されることを前提としていると考えられるため、医療機関が要配慮個人情報を書面又は口頭等により本人から適正に直接取得する場合は、本人が当該情報を提出したことをもって、当該医療・介護関係事業者が当該情報を取得することについて本人の同意があったものと解されます。つまり、要配慮個人情報を任意に直接取得する場合は本人の同意を得たものと考えられます。
・では、転医した患者さんが、紹介元の医療機関の診療情報提供書が送付されてきた場合、医師はいちいち本人に「読んでいいですか?」と確認しなければならないでしょうか?
ーこの場合、紹介元の医療機関は、病状等に関する要配慮個人情報を取得する際に本人の事前同意を得ており(法20条2項)、また、紹介先へ個人情報ないし個人データの第三者提供(法18条1項、法27条1項)をすることについても事前同意を得ていることが前提となるため、紹介先の医療機関が、改めて診療情報提供書(=要配慮個人情報)の取得に際して本人から事前同意を得る必要はないものと解されます。つまり、要配慮個人情報を任意に間接取得する場合も本人の同意を得たものと考えられます。
・本条に違反した場合、苦情の申し出(法40条)、委員会の報告・立入検査(法146条)、指導・助言(法147条)、勧告・命令・緊急命令(法148条)の対象となります。
・また、プライバシー侵害として民事損害賠償請求の対象にもなり得ます。
(2)例外ー法定除外事由(法20条2項各号)
個人情報取扱事業者は、以下の場合は、あらかじめ本人の同意を得なくとも、要配慮個人情報を取得することができます(法定除外事由。法20条2項各号)。それぞれ見ていきましょう。
一 法令に基づく場合(1号)
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき(2号)
三 公衆衛生の向上又は児童の健全な育成のために特に必要がある場合であって、本人の同意を得ることが困難であるとき(3号)
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき(4号)
五 当該個人情報取扱事業者が学術研究機関等である場合であって、当該要配慮個人情報を学術研究目的で取り扱う必要があるとき(当該要配慮個人情報を採血ある買う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(5号)
六 学術研究機関等から当該要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で取得する必要があるとき(当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該学術研究機関等が共同して学術研究を行う場合に限る。)(6号)
七 当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関等、第57条第1項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合(7号)
八 その他各号に掲げる場合に準ずるものとして政令で定める場合(8号)
・・・何か、みたことのあるような条文が出ていますね。そう、利用目的の範囲を超えた個人情報の取り扱いに関する、法18条3項に似ています(詳しくはこちら)。
これらの法定除外事由については、次回に説明することにします。
次回をお楽しみに!