2023/11/16 医療法務
クリニックの法務と個人情報保護法その19:個人データに関する義務③
みなさんこんにちは。
前回は、個人データに関する義務(3つありましたね)のうち、個人データの正確性の確保等に関する義務について説明しました(詳しくはこちら)。
今回は、2つめの義務として、安全管理措置に関する義務(4つあります)について述べたいと思います。
3.安全管理措置に関する義務(法23~26条)
(1)安全管理措置(法23条)
個人事業取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他個人データの安全管理のために必要かつ適切な措置を講じなければなりません(法23条)。
・「漏えい」とは、個人データの外部流出を言います。例えば、以下の例1~例5.のような場合が挙げられます(個人情報の保護に関する法律についてのガイドライン(通則編)56ページ参照)。
例1:診療禄(個人データ)の写しを紹介先に郵送しようと思ったら、誤送付してしまった場合
例2:診療禄(個人データ)のPDFを添付して関係者にメールを送ろうと思ったら、誤送信してしまった場合
例3:外部から電子カルテ(個人データ)が閲覧可能な状態な状態となっていた場合
例4:診療禄(個人データ)が記録されたUSBメモリが盗難された場合
例5:不正アクセス等により第三者に電子カルテ(個人データ)を含む情報が摂取された場合
※以下のように、個人データを第三者に閲覧されないうちにすべてを回収した場合は、漏えいには該当しません(「個人情報の保護に関する法律についてのガイドライン」に関するQ&A35ページ参照)。
例1‘:例1において、誤送付先で開封される前に回収された場合
例2‘:例2において、誤送信された第三者が当該メールを削除するまでの間に閲覧していないことが確認された場合
例3‘:例3において、閲覧が不可能な状態とするまでの間に第三者が閲覧していないことがアクセスログ等から確認された場合
・「滅失」とは、個人データの内容が失われることを言います。
ーその内容と同じデータが他に保管されていれば、滅失には該当しません(復元可能性)。
ーしたがって、復元可能にしておくこと(バックアップ)が、滅失予防のための安全管理措置ということになります。
・「毀損」とは、データ内容が意図せず変更されることや、内容を保ちつつ利用不能状態となることを言います。
ー例えば、内容の改ざん(電子カルテの内容が改ざんされもとの内容を復元できない)、暗号の復号キー喪失により復元不能になった場合(病院のシステムがランサムウェアに感染し暗号の復号キーを喪失し復元できない)、ランサムウェア等で暗号化され復元不能になった場合(病院のシステムがランサムウェアに感染し電子カルテが参照できない)等が挙げられます。
ーこの場合も復元可能にしておくこと(バックアップ)が、安全管理措置となります。
・「安全管理のために必要かつ適切な措置」の内容は法令で具体的に定められていないため、個人情報の保護に関する法律についてのガイドライン(通則編)を参照する必要があります。
①基本方針の策定
・個人情報の保護に関する法律についてのガイドライン(通則編)167ページによると、個人情報取扱事業者は、個人データの適切な取扱いの確保について組織として取り組むために、①基本方針の策定が重要であるとしています。具体的には、「事業者の名称」、「関係法令・ガイドライン等の遵守」、「安全管理措置に関する事項」、「質問及び苦情処理の窓口」等の項目を定めることが例示されています。
・「安全管理措置に関する事項」、「質問及び苦情処理の窓口」に関して、医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンスでは、「個人情報保護に関する規程の整備、公表」が挙げられています(37ページ)。具体的には、医療・介護関係事業者は、
ー保有個人データの開示手順を定めた規程(ざっくり言うとカルテ開示請求の手順を定めた規程のことです)その他個人情報保護に関する規程を整備し、苦情への対応を行う体制も含めて、院内や事業所内等への掲示やホームページへの掲載を行うなど、患者・利用者等に対して周知徹底を図る
ー個人データを取り扱う情報システムの安全管理措置に関する規程等についても同様に整備を行うこと
とされます。
②個人データの取り扱いに係る規律の整備
・個人情報の保護に関する法律についてのガイドライン(通則編)167ページよると、個人データの漏えい等の防止その他の個人データの安全管理のために、②個人データの取り扱いに係る規律の整備が挙げられています。具体的には、取得、利用、保存、提供、削除・廃棄等の段階ごとに、取扱方法、責任者・担当者及びその任務等について定める個人データの取扱い規定を策定することが考えられます。具体的には、4つの安全管理措置(組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置)を織り込むことが重要です。
ここでは、主に小規模なクリニック(中小規模事業者(※))を念頭に4つの安全管理措置について見ていきましょう。
(※)中小規模事業者・・・従業員(※※)の数が100人以下の個人事業取扱事業者をいいます(ただし、その事業の用に供する個人事業データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6月いないのいずれかの日において5,000を超える者、及び、委託を受けて個人データを取り扱う者を除く)。
(※※)従業員・・・中小企業基本法における従業員をいい、労働基準法20条の適用を受ける労働者に相当する者をいいます(ただし、同法21条の規定により同法20条の適用が除外されている者は除く)。
ア 組織的安全管理措置
(ア)組織体制の整備
・安全管理措置を講ずるための組織体制を整備しなければなりません。
(イ)個人データの取扱いに係る規律に従った運用
・あらかじめ整備された個人データの取扱いに係る規律に従って個人データを取り扱わなければなりません。
ーなお、整備された個人データの取扱いに係る規律に従った運用の状況を確認するため、利用状況等を記録することも重要です。
(ウ)個人データの取扱状況を確認する手段の整備
・個人データの取扱状況を確認するための手段を整備しなければなりません。
(ア)~(ウ)及び後述の(オ)に関して、医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンスでは、以下の取組が例示されています:
・従業者の責任体制の明確化を図り、具体的な取組を進めるため、医療における個人情報保護に関し十分な知識を有する管理者、監督者等(例えば、役員などの組織横断的な監督が可能な者)を定める。又は個人情報保護の推進を図るための部署、若しくは委員会等を設置する。
・医療・介護関係事業所で行っている個人データの安全管理措置について定期的に自己評価を行い、見直しや改善を行うべき事項について適切な改善を行う。
ー小規模のクリニックでここまでの体制を整備することは難しいと思うので、最低限、診療禄等の個人データを取り扱う医師、看護師、事務等のうち、責任者を決めて、定期的な確認、評価、見直し、改善を図ることはしておくべきでしょう。
(エ)漏えい等事案に対応する体制の整備
・漏えい等事案の発生又は徴候を把握した場合に適切かつ迅速に対応するための体制を整備しなければなりません。
・漏えい等事案が発生した場合、二次被害の防止、類似事案の発生防止の観点から、事案に応じて、事実関係及び再発防止策等を早急に公表することが重要です。
(エ)に関して、医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンスでは、以下の取組が例示されています:
・1)個人データの漏えい等の事故が発生した場合、又は発生の可能性が高いと判断した場合、2)個人データの取扱いに関する規程等に違反している事実が生じた場合、又は兆候が高いと判断した場合における責任者等への報告連絡体制の整備を行う。
・個人データの漏えい等の情報は、苦情等の一環として、外部から報告される場合も想定されることから、苦情への対応を行う体制との連携も図る。
ー例えば、個人データの漏えい等事案の発生時に備え、従業員から責任者への報告連絡体制をあらかじめ確認しておくことが考えられます。
(オ)取扱状況の把握及び安全管理措置の見直し
・個人データの取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組まなければなりません。
イ 人的安全管理措置
・通則ガイドラインによると、以下の取組をすべきとされます。
ー個人情報取扱事業者は、人的安全管理措置として、従業員に、個人データの適正な取扱いを周知徹底するとともに適切な教育を講じなければなりません。
ー個人情報取扱事業者は、従業者に個人データを取り扱わせるに当たっては、法24条に基づき従業者に対する監督をしなければなりません。
イに関して、医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンスでは、以下の取組が例示されています。
・雇用契約時における個人情報保護に関する規程の整備
ー雇用契約や就業規則において、就業期間中はもとより離職後も含めた守秘義務を課すなど従業者の個人情報保護に関する規程を整備し、徹底を図る。
ー特に、医師等の医療資格者や介護サービスの従事者については、刑法、関係資格法又は介護保険法に基づく指定基準により守秘義務規定等が設けられており、その遵守を徹底する。
守秘義務規定等については、医療介護関係事業者における個人情報の適切な取扱いのためのガイダンスの別表4で示されていますが、ここでは、医師及び看護師に関する規定を示します:
・医師の場合(刑法134条)
医師、薬剤師、医薬品販売業者、助産師、弁護士、弁護人、公証人又はこれらの職にあった者が、正当な理由がないのに、その業務上取り扱ったことについて知り得た人の秘密を漏らしたときは、六月以下の懲役又は十万円以下の罰金に処する。
・看護師の場合(保健師助産師看護師法42条の2)
保健師、看護師又は准看護師は、正当な理由がなく、その業務上知り得た人の秘密を漏らしてはならない。保健師、看護師又は准看護師でなくなった後においても、同様とする。
・従業者に対する教育研修の実施
ー取り扱う個人データの適切な保護が確保されるよう、従業者に対する教育研修の実施等により、個人データを実際の業務で取り扱うこととなる従業者の啓発を図り、従業者の個人情報保護意識を徹底する。
ーこの際、派遣労働者についても、「派遣先が講ずべき措置に関する指針」(平成11年労働省告示第138号)において、「必要に応じた教育訓練に係る便宜を図るよう努めなければならない」とされていることを踏まえ、個人情報の取扱いに係る教育研修の実施に配慮する必要がある。
ウ 物理的安全管理措置
(ア)個人データを取り扱う区域の整理
・個人情報取扱事業者は、個人情報データベース等を取り扱うサーバやメインコンピュータ等の重要な情報システムを管理する区域(以下「管理区域」といいます。)及びその他の個人データを取り扱う事務を実施する区域(以下「取扱区域」といいます。)について、それぞれ適切な管理を行わなければなりません。
例:個人データを取り扱うことのできる従業者及び本人以外が容易に個人データを閲覧等できないような措置を講ずる。
(イ)機器及び電子媒体等の盗難の防止
・個人情報取扱事業者は、個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、適切な管理を行わなければなりません。
例:(ア)と同じ
(ウ)電子媒体等を持ち運ぶ場合の漏えい等の防止
・個人情報取扱事業者は、個人データが記録された電子媒体又は書類等を持ち運ぶ場合、容易に個人データが判明しないよう、安全な方策を講じなければなりません。
ー「持ち運ぶ」とは、個人データを管理区域又は取扱区域から外へ移動させること又は当該区域の外から当該区域へ移動させることをいい、事業所内の移動等であっても、個人データの紛失・盗難等に留意する必要があります。
例:個人データが記録された電子媒体又は個人データが記載された書類等を持ち運ぶ場合、パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐための安全な方策を講ずる。
(エ)個人データの削除及び機器、電子媒体等の廃棄
・個人情報取扱事業者は、個人データを削除し又は個人データが記録された機器、電子媒体等を廃棄する場合は、復元不可能な手段で行わなければなりません。
ーまた、個人データを削除した場合、又は、個人データが記録された機器、電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存することや、それらの作業を委託する場合には、委託先が確実に削除又は廃棄したことについて証明書等により確認することも重要です。
例:個人データを削除し、又は、個人データが記録された機器、電子媒体等を廃棄したことを、責任ある立場の者が確認する。
ウに関して、医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンスでは、以下の取組が例示されています:
・個人データの盗難・紛失等を防止するため、以下のような物理的安全管理措置を行う。
-入退館(室)管理の実施
-盗難等に対する予防対策の実施(例えば、カメラによる撮影や作業への立会い等による記録又はモニタリングの実施、記録機能を持つ媒体の持込み・持出しの禁止又は検査の実施等)
-機器、装置等の固定など物理的な保護
・不正な操作を防ぐため、業務上の必要性に基づき、以下のように、個人データを取り扱う端末に付与する機能を限定する。
-スマートフォン、パソコン等の記録機能を有する機器の接続の制限及び機器の更新への対応
また、個人データの保存、不要となった個人データの廃棄、消去に関して、医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンスでは、以下の取組が例示されています:
・個人データの保存
ー個人データを長期にわたって保存する場合には、保存媒体の劣化防止など個人データが消失しないよう適切に保存する。
ー個人データの保存に当たっては、本人からの照会等に対応する場合など必要なときに迅速に対応できるよう、インデックスの整備など検索可能な状態で保存しておく。
・不要となった個人データの廃棄、消去
ー不要となった個人データを廃棄する場合には、焼却や溶解など、個人データを復元不可能な形にして廃棄する。
ー個人データを取り扱った情報機器を廃棄する場合は、記憶装置内の個人データを復元不可能な形に消去して廃棄する。
ーこれらの廃棄業務を委託する場合には、個人データの取扱いについても委託契約において明確に定める。
イメージがつきにくいかもしれないため、個人データの盗難・紛失等を防止するための物理的安全管理措置につき、具体的な例を示します(ここでは小規模クリニックというより、一般的な医療機関を想定した方が分かりやすいかもしれません)。
保存期間に満たない過去の紙の診療録(個人データ)の保管場所として、(ア)カードキーで管理されてICカードで入退室管理が可能な湿度の低い部屋の中の、(イ)鍵のかかる棚の中に保管する。診療録にはインデックスを整備し検索可能にしておく。持ち出し・返却の際には、立会いのもとその旨を記録し、(ウ)持ち出しの際はファイルに封入して外部からは診療録だと分からないようにする。(エ)廃棄する場合は、責任者が償却、溶解、適切なシュレッダー処理等の復元不可能な手段で物理的に破壊する。
といった感じです。
エ 技術的安全管理措置
- 以下は、電子カルテ(個人データ)をイメージすると分かりやすいかもしれません。
- (ア)アクセス制御
- ・担当者及び取り扱う個人情報データベース等の範囲を限定するために、適切なアクセス制御を行わなければなりません。
- 例:個人データを取り扱うことのできる機器及び当該機器を取り扱う従業者を明確化し、個人データへの不正なアクセスを防止する。
例えば、電子カルテ用のPCを明確化し、また、電子カルテの使用者を明確化することです。
- (イ)アクセス者の識別と認証
- ・個人データを取り扱う情報システムを使用する従業者が正当なアクセス権を有する者であることを、識別した結果に基づき認証しなければなりません。
例:機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、個人情報データベース等を取り扱う情報システムを使用する従業者を識別・認証する。
例えば、ユーザーID、パスワード等で、個々の従業員ごとに識別され認証されることです。
- (ウ)外部からの不正アクセス等の防止
- ・個人データを取り扱う情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用しなければなりません。
例:個人データを取り扱う機器等のオペレーティングシステムを最新の状態に保持する。
例:個人データを取り扱う機器等にセキュリティ対策ソフトウェア等を導入し、自動更新機能等の活用により、これを最新の状態とする。
- (エ)情報システムの使用に伴う漏えい等の防止
- ・情報システムの使用に伴う個人データの漏えい等を防止するための措置を講じ、適切に運用しなければなりません。
例:メール等により個人データの含まれるファイルを送信する場合に、当該ファイルへのパスワードを設定する。
エに関して、医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンスでは、以下の取組が例示されています:
・個人データに対するアクセス管理(IDやパスワード等による認証(※)、各職員の業務内容に応じて業務上必要な範囲にのみアクセスできるようなシステム構成 の採用等)
※認証については、認証の3要素である「記憶」、「生体情報」、「物理媒体」のうち、2つの独立した要素を組み合わせて認証を行う方式(二要素認証)を採用することが望ましい。
-個人データに対するアクセス記録の保存
-不正が疑われる異常な記録の存否の定期的な確認
-個人データに対するファイアウォールの設置
-情報システムへの外部からのアクセス状況の監視及び当該監視システムの動作の定期的な確認
-ソフトウェアに関する脆弱性対策(セキュリティパッチの適用、当該情報システム固有の脆弱性の発見及びその修正等)
技術的安全管理措置に関しては、小規模のクリニックではどこまで対応できるか・・・というところはあります。導入コストを考えると、紙カルテの方が良いような気もしてしまいますね。
いかがでしたか?
平成27年改正前の個人情報保護法において、クリニックのような中小規模事業者は、義務規定の適用を受けませんでしたが、平成27年改正法により中小規模事業者にも安全管理措置に関する義務規定の適用を受けることとなりました。もっとも、これまで述べた安全管理措置に関する取組はあくまで例示であり、列挙された項目すべてを充足する必要まではなく、あくまで規模の大小等により実施すべき内容も変わってきます。とはいえ、実施可能な項目についてはなるべく遵守する方向で検討すべきでしょう。
貴院の安全管理措置はどのくらい遵守されていますか?今一度、確認してみましょう。
次回は、安全管理措置に関する義務のうち2番目の義務(従業者の監督義務)から説明を続けたいと思います。
お楽しみに!