2023/10/29 医療法務
クリニックの法務と個人情報保護法その17:個人データに関する義務①
こんにちは。
前回までは、12回(!)かけて、個人情報を取得・利用する場合の義務について説明してきました。
今回からは、個人データに関する義務に入ります。
ところで、「個人情報」と「個人データ」の違いについて覚えていますか?
忘れてしまった方は、こちらをご覧ください。
では、まいりましょう!
1.総論ー個人データに関する3つの義務
そもそも、「個人データ」はなぜ「個人情報」以上の規制をしなければならなかったのでしょうか?それは、単なる「個人情報」とは異なり、データベース化されたそれぞれの「個人データ」は、利用が各段に便利になる反面、大量の情報を容易に利用できることで、漏えいした場合に個人の権利利益を侵害するおそれが高くなるからです。
このような個人データを規制する趣旨を念頭におきつつ、個人データに関する3つの義務を簡単に紹介しましょう。
・1つ目は、データ内容の正確性の確保等に関する義務です。
ー例えば、患者さんが最近、脱水の副作用がある糖尿病治療薬を内服し始めたのに、A医師はカルテに記載せず、その後B医師が採血をしたところ脱水の所見を認めた場合、B医師は脱水の理由が直ちに分からず、不必要な検査を追加してしまい患者さんの不利益になるかもしれません。
ーこのようなことを防ぐため、個人データについては正確・最新の内容に保ち、利用の必要がなくなったときは遅滞なく消去するよう努めなければなりません(※)(法22条)。
※「消去」については、別の法令で、診療禄等の保存義務が定められており、これを守る必要があります(次回、説明します)。
・2つ目は、安全管理措置関係に関する義務です。
ーこれはさらに、安全管理措置を講じるべき義務(法23条)、従業者の監督義務(法24条)、委託先の監督義務(法25条)、及び、漏えい等における報告・通知義務(法26条)の4つに分けられます。
ー法23条は「人」「物」「組織」「技術」の4つの観点から、安全管理措置に関する総論的な義務を定めたものです。漏えい等を予防するための、事前規制ですね。
ー法24条・法25条は、法23条の義務のうち、特に漏えいの主体となり得る「人」に対する規制を確認的に定めたものです。これも事前規制です。
ー法26条は、実際に個人データの漏えい等がされた場合に関する定めです。これは、事後規制ですね。
・3つめは、第三者提供に関する義務です。
ーこれはさらに、第三者提供の制限(法27条)、外国にある第三者への提供の制限(法28条)、第三者提供に係る記録の作成等(法29条)、第三者提供を受ける際の確認等(法30条)の4つに分けられます。
ーカルテを他の医療機関に送付するような場面で、この規制は登場します。
ーまた、例えば、記載した電子カルテをクラウドサービス事業者が提供するクラウド上に保存するような場合、当該事業者は「第三者提供」に当たるのか?というような疑問は、この規制に関係します。
いかがでしたか。ポイントは、「個人データは利便性が高い一方で漏えいに対するリスク管理をしなければならならず、そのための規定が置かれている」です。
次回は、個人データに関する1つめの義務(データ内容の正確性の確保等に関する義務)について述べたいと思います。
ここまでお読みいただきありがとうございました!