2023/11/23 医療法務
クリニックの法務と個人情報保護法その20:個人データに関する義務④
皆さんこんにちは。
前回は、個人データに関する義務(3つありましたね)のうち、2つ目の安全管理措置に関する義務の1番目として、安全管理措置一般について説明しました。
安全管理措置一般の内容として、組織的安全管理措置、人的安全管理措置、技術的安全管理措置、物的安全管理措置がありましたね(詳しくはこちら)。
今回は、安全管理措置に関する義務の2番目及び3番目として、監督関係(従業者の監督・委託先の監督)について述べたいと思います。
3.安全管理措置に関する義務(法23~26条)
(2)従業者の監督(法24条)
個人情報取扱事業者は、その従業員に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければなりません(法24条)。
・似たような話をどこかで聞いたような・・・そうです、前回述べた、安全管理措置(法23条)のうちの人的安全管理措置に類似していますよね。法24条は法23条の確認規定となっております。従業者による漏えい等が多発してきたことに鑑みて設けられました。
・「従業者」とは、医療資格者のみならず、当該事業者の指揮命令を受けて事務に従事する者全てを含むものであり、また、雇用関係のある者のみならず、理事、派遣労働者等も含むものとされます。
ー派遣労働者についても、「派遣先が講ずるべき措置に関する指針」(平成11年労働省告示第138号)において、「必要に応じた教育訓練に係る便宜を図るよう努めなければならない」とされていることを踏まえ、個人情報の取扱いに係る教育研修の実施に配慮する必要があります。
・「必要かつ適切な監督」の内容としては、前回説明した安全管理措置のうち人的安全管理措置を含みます。人的安全管理措置として、従業者の教育を講じなければなりませんでした。具体的には、個人データの取扱いに関する留意事項について従業者に定期研修等を行うこと、個人データの秘密保持に関する事項を就業規則等に盛り込むことが挙げられております(クリニックのような中小規模事業者の場合も同様です)。
(3)委託先の監督(法25条)
個人情報取扱事業者は、個人データの取扱いの全部または一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければなりません(法25条)。
・本規定も、すでに述べた法23条の安全管理措置のうち、組織的安全管理措置の一部であり、法23条の確認規定となっております。業務のアウトソーシング化のもとでは委託先の監督が必要です。また、個人データの取扱いの委託には、本人の事前同意が不要となる分(法27条5項1項)、委託先の監督義務を課すことで漏えいから本人の権利利益を守られるようにしなければなりません。委託先が個人情報取扱事業者でない場合もあり、委託元の監督により安全管理を図る必要もあります。これらの理由から、委託先の監督義務を定めています。
・クリニックを含む、医療・介護関係事業者が個人データを委託する場面として、どのようなものが考えられるでしょうか?検査や診療報酬(介護報酬)の請求に係る事務等の委託が考えられます。これらは個人データです。個人データの取扱いの全部又は一部を委託する場合、法23条に基づく安全管理措置を順守させるよう、受託者に対して必要かつ適切な監督をしなければなりません。
・「個人データの取扱いの…委託」とは、契約の形態・種類を問わず、個人情報取扱事業者が他のものに個人データの取扱いを行わせることを言います。
ー外部事業者に情報システム(機器を含む)の保守サービスを依頼する場合にも問題となり得るので注意です。
・「委託を受けた者」(委託先)は、個人か団体か、個人情報取扱事業者かどうかを問いませんが、直接の委託先に限られており、再委託先を直接監督することまでは求められません。
・「必要かつ適切な監督」の方法ですが、①適切な委託先の選定、②委託契約の締結、③委託先における個人データ取扱状況の把握が挙げられます。以下、①~④について見ていきましょう。
①適切な委託先の選定
・選定にあたり、受託者の安全管理措置が、少なくとも法23条で求められるものと同等であることを確認する:
ー講ずべき安全管理措置の内容(個人情報の保護に関する法律についてのガイドライン(通則編)166ページ)に定める各項目が、委託する業務内容に応じて、確実に実施されることについて確認をする(受託者の体制、規程等の確認)
ー必要に応じて個人データを取り扱う場所に赴き、又はこれに代わる合理的な方法(口頭確認を含む)により確認を行った上で、個人情報保護に関する管理者、監督者等が、適切に評価することが望ましい。
②委託契約の締結
・契約において、個人情報の適切な取扱いに関する内容を盛り込む(委託期間中のほか、委託期間後の個人データの取扱いも含む。)
ー委託元、委託先双方が同意した内容とともに、委託先における委託された個人データの取り扱い状況を委託元が合理的に把握することを盛り込むことが望ましい。
ー受託者が、委託を受けた業務の一部を再委託することを予定している場合は、再委託を受ける事業者の選定において個人情報を適切に取り扱っている事業者が選定されるとともに、再委託先事業者が個人情報を適切に取り扱っていることが確認できるよう契約において配慮する(再委託の可否及び医療・介護関係事業者への文書による事前報告又は承認手続を求める等の事項を定めることが望ましい)。
③委託先における個人データ取扱状況の把握
・受託者が個人情報を適切に取り扱っていることを定期的に確認する。
ー確認を可能にするためには、委託先が確認に応じる旨の条項を委託契約に入れておく必要がある。
・業務が再委託された場合で、再委託先が不適切な取扱いを行ったことにより、問題が発生した場合は、医療・介護事業者や再委託した事業者が法的な責任(個人情報保護法としての責任及び民事損害賠償責任)を負うこともあり得ます。
ーしたがって、受託者における個人情報の取扱いに疑義が生じた場合(患者・利用者等からの申出があり、確認の必要があると考えられる場合を含む。)には、受託者に対し、説明を求め、必要に応じ改善を求める等適切な措置をとる必要があります。
いかがでしたか?
個人データの漏えい、滅失、毀損の防止のために安全管理措置(法23条)が定められ、従業員の監督(法24条)、委託先の監督(法25条)は、法23条の一部内容に関する具体化といえます。もっとも、その具体的な内容については、法令では定められていないため、個人情報の保護に関する法律についてのガイドライン(通則編)(特に166ページ以降)を参照する必要があることを押さえておきましょう。
次回は、安全管理措置関係の残る1つである漏えい等の報告(法26条)について説明したいと思います。
お楽しみに!