2023/08/28 医療法務
クリニックの法務と個人情報保護法その13:個人情報を取得・利用する際の義務⑨
みなさん、こんにちは。
残暑が厳しい今日この頃ですが、皆様は夏バテや熱中症は大丈夫でしょうか?
前回は、「学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)」(法18条3項6号)について、解説しました(詳しくはこちら)。
個人情報の目的外利用の例外(法定除外事由)については、前回までですべて解説をしましたが、今回は、いくつかの補充的な解説をしたいと思います。
4.個人情報の利用ー補充説明
(1)本人の同意とは
・本人の同意は、個人情報を利用したり、要配慮個人情報を取得したり、個人データを第三者に提供する際に必要となります。
・「本人の同意」とは、本人の個人情報が、個人情報取扱事業者によって示された取組方法で取り扱われることを承諾する旨の本人の意思表示をいいます。
・「本人の同意を得(る)」とは、本人の承諾する旨の意思表示を当該個人情報取扱事業者が認識することをいい、事業の性質及び個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければなりません。
ーいまいちピンときませんが、本人の同意を得ている事例を挙げてイメージを掴みましょう。
【本人の同意を得ている事例】
・本人からの同意する旨の口頭による意思表示
・本人からの同意する旨の書面(電磁気的記録を含む。)の受領
・本人からの同意する旨のメールの受信
・本人による同意する旨の確認欄へのチェック
・本人による同意する旨のホームページ上のボタンのクリック
・本人による同意する旨の音声入力、タッチパネルへのタッチ、ボタンやスイッチ等による入力
ーただし、「本人からの同意する旨の口頭による意思表示」については、後日紛争になることを避けるために、なるべく文書等による客観的証拠を残しておくことが望ましいでしょう。
ーなお、当該本人であることを確認できていることが前提となるため、本人確認を別途行う必要があります。
・クリニックのような医療機関等については、患者に適切な医療サービスを提供する目的のために、当該医療機関等において、通常必要と考えられる個人情報の利用範囲を施設内への掲示(院内掲示)により明らかにしておき、患者側から特段明確な反対・留保の意思表示がない場合は、これらの範囲内での個人情報の利用について同意が得られているものと考えられます。
ーどういうことでしょうか?個人情報取扱事業者は、個人情報を取り扱うに当たっては、利用目的をできる限り特定しなければなりませんでした(法17条1項)。そして、医療機関における個人情報の利用目的は、「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」の別表2に例示されるものでした。このような利用目的をあらかじめ公表(院内掲示等)していれば(法21条1項)、原則として個人情報の利用のたびにいちいち患者さんから同意を取る必要がない、ということです。
ーただし、患者さんから明確な反対の意思表示や留保の意思表示があれば、本人の同意は得られていないことになります。
ー患者さんが、意識不明ではないものの、本人の意思を明確に確認できない状態の場合については、意識の回復にあわせて、速やかに本人への説明を行い本人の同意を得るものとします。
ー個人情報を取得する時点で、本人の同意があったにもかかわらず、その後、本人から利用目的の一部についての同意を取り消す旨の申し出があった場合は、その後の時に情報の取扱いについては、本人の同意が取り消されなかった範囲に限定して取り扱います:
例:当初、個人情報の利用目的について患者さんから特段明確な反対や留保の意思表示はなかったものの、その後、医師が患者さんの家族等へ病状説明(家族等への病状説明はガイダンスの別表2の利用目的に含まれます)をして良いか尋ねたところ、本人から反対された場合。
(2)未成年者等の場合
・個人情報の取扱い関して、同意したことによって生じる結果について、未成年者、成年被後見人、被保佐人及び被補助人が判断できる能力を有していないなどの場合は、親権者や法定代理人等から同意を得る必要があります。
ー一定の判断能力を有する未成年者等については、法定代理人等の同意にあわせて本人の同意を得るとされます。「一定の判断能力を有する」についてピンときませんが、少なくとも中学生以上については本人の同意も得る必要があると考えます。
いずれにしても、個人情報を利用する場合には、患者さんの理解力、判断力などに応じて、可能な限り患者さんに通知し、同意を得るよう努めることが重要とされます。特に、利用目的のうち家族等への病状説明は後々の紛争になりやすいところであり、「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」でも、別途項目を設けて解説をしています(23~24ページ)。以下、見ていきましょう。
(3)家族等への病状説明
・これまで述べた通り、家族等への病状説明については個人情報の利用目的と考えられており、利用目的をあらかじめ公表(院内掲示等)していれば、原則として本人からの同意を取る必要はないはずです。しかし、「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」では、本人以外の者に病状説明を行う場合は、本人に対し、あらかじめ病状説明を行う家族等の対象者を確認し、同意を得ることが望ましいとされています(24ページ)。後日の紛争を防ぐためにも同意を得ておいたほうがよいでしょう。
ー本人から申出がある場合には、治療の実施等に支障を生じない範囲において、現実の患者さんの世話をしている親族及びこれに準ずるものを説明を行う対象に加えたり、説明を行う対象を家族の特定の人に限定するなどの取扱いとすることができます。
・一方で、意識不明の患者の病状や重度の認知症の高齢者の状況を家族等に説明する場合は、本人の同意を得ることを要しません(「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」に該当(法18条3項2号、法27条1項2号))。患者さんの判断能力に疑義がある場合も同様です。しかし、いずれにしても意識の回復や判断能力の回復にあわせて、速やかに、提供および取得した個人情報の内容とその相手について本人へ説明を行い本人の同意を得る必要があります。
いかがでしたでしょうか。「家族には言わないで下さい」と言われて対応に苦慮される先生もおられると思います。利用目的として院内掲示をされているならばその範囲でいちいち本人の同意を取る必要はない建前であるものの、原則として患者さんの理解力、判断力などに応じて同意を得るよう努めること(特に家族等への病状説明は慎重に)、それでも同意を得ることができない場合は、例外(これまで述べた法18条3項各号の法定除外事由)に該当するかを検討することが重要です。
次回は要配慮個人情報の取得制限(法20条2項)を中心に、個人情報の不適正な利用の禁止(法19条)・不正の手段による取得の禁止(法20条1項)を含めて解説をしたいと思います。
お楽しみに!