個人情報保護法について ～日々の業務を振り返って～

Presentation on theme: "個人情報保護法について ～日々の業務を振り返って～"— Presentation transcript:

1 個人情報保護法について ～日々の業務を振り返って～
一般社団法人　横浜市医師会 情報システム部講演会 個人情報保護法について ～日々の業務を振り返って～ 平成２５年１０月２２日 有限会社メディカルサポートシステムズ 　　公益社団法人日本医業経営ｺﾝｻﾙﾀﾝﾄ協会 　　　　神奈川県支部副支部長 　　　認定医業経営ｺﾝｻﾙﾀﾝﾄ　第5590号　 　　　　　　　　細　谷　　邦　夫

2 §１個人情報の保護 医療機関は個人情報の宝庫
　医療機関は個人情報の宝庫 　そのため医療従事者は、それぞれの資格に対して定められている法律（保健師助産師看護師法・臨床検査技師法・臨床放射線技師法等）の中で『　守秘義務　』が規定されている。

3 守秘義務とは 守秘義務とは『　業務上知り得た他人の秘密を正当な理由無く第三者に漏らすこと　』を禁じた規定だが、医師と薬剤師と助産師は医師法ではなく『　刑法　』の中に規定があり、他人の秘密を知るということがいかに重大かを理解することが出来る。

4 個人情報保護法の目的 個人情報の保護に万全を期すことにより、その有用性を最大限に引き出す
個人情報を保有する事業者に正しい取扱いを求めることにより保護を万全にする 業界ごとの『 ガイドライン 』がある 意識する余り診療に影響が出てしまうのは本末転倒 ポイントをしっかりと知ることが重要

5 プライバシー保護と個人情報保護 プライバシー保護 主として場所や空間を中心とした概念 個人情報保護 取得した情報の管理や利用についてのルール
管理者に対する規制、組織としての体制作りを義務付けている 何ら対策がなされていない事が問題となる

6 制定の背景 企業による情報漏洩の多発 営利のための情報主体を無視した使用（ダイレクトメールなど）
コンピュータの普及は便利な反面、一瞬にして大量の情報が漏洩する 住民基本台帳の整備 ＯＥＣＤ「プライバシー保護と個人データの国際流通についてのガイドライン」

7 個人情報保護法の用語（個人情報） 生存する個人に関する情報
医療の場合は死者の情報も該当する 法定の保存年限を過ぎても対象となる 通院加療中の如何を問わず対象となる 外部保存していても対象となる 当該情報に含まれる氏名、生年月日、その他の記述等によって特定の個人を識別できるもの スタッフの履歴書等も保護対象となる 雇用管理に関するガイドラインが別に存在

8 個人情報保護法の用語 （個人情報データベース等）
　『 レセプトコンピュータ・電子カルテ・紙カルテ等 』、個人情報を含む情報の集合体であり、コンピュータを用いて特定の個人情報を体系的に検索できるようにしたもの

9 個人情報保護法の用語 （個人情報取扱事業者）
過去6ヶ月以内のいずれの日においても５、０００件を超えて個人情報を取扱う者 医療機関等、介護関係事業者においては５，０００件以下であっても法令遵守の努力義務が課せられる 義務を負わない事業者であっても、不適切な取扱い等があれば民事責任を問われる可能性あり カルテや看護記録等複数の書類があっても１人を１件とカウント（家族等の記載がある場合もう１件） 「事業所」単位ではなく「事業者」単位でカウントする

10 個人情報保護法の用語 （個人情報取扱事業者）
医療機関等＝ 　病院・診療所・助産所・薬局・訪問看護ステーション等 介護関係事業者＝ 　居宅サービス事業者・居宅介護支援事業者・介護保険施設（老人保健施設・介護老人福祉施設等）

11 どのようなことが書かれているか１ 個人情報の利用と保護のバランスをとる
個人情報が適正に取扱われるように、事業者（医療機関）側が守るべき最低限のルール 情報の利用の際には患者さんの権利に対して細心の注意を払うこと 個人情報の取扱い・管理方法の明確化・具体化を義務付けている 自己情報のコントロール権 　　　　＝患者さん本人が関与できる仕組み

12 どのようなことが書かれているか２ 個人情報の取扱い・管理方法の明確化・具体化を義務付けている 利用目的の特定 同意の無い第3者提供の禁止
本人から求めがある場合は開示・訂正・利用停止する 安全管理の為に必要な措置を講ずる

13 どのようなことが書かれているか３ 同意原則論 ⇒ 『 個人情報の第3者提供 』＝本人以 外は第3者となるということ
　⇒　『 個人情報の第3者提供 』＝本人以　　外は第3者となるということ 　⇒　『 個人情報の目的外利用 』 　⇒　診療情報は患者さんからの預り物 　⇒　患者さんに対する情報提供や意思　　　確認というプロセスが大切

14 医療機関としての取り組み 取り扱っている個人情報はどのようなものがあるか明確にし、取り組む必要がある事項を整理し、優先順位に従って取組を進めていく 法違反状態となることがあるか（利用目的の特定をしているか 等） 必要な対応が求められる可能性があることは何か（開示の求めがあった場合の手続きは決まっているか 等） 問題が生じた際に、対応が求められるものは何か（個人情報の漏えいが生じた場合、院内の連絡体制は決まっているか 等） 継続的に取り組むべきものは何か（従業者への教育、研修をどのように行っていくか 等） 今後、必要な時期に改善していくべきものは何か（委託契約に個人情報の取扱いについて記載する 等）

15 取り組むうえでの留意点 個人情報に関する患者・利用者の考え方は、人によって様々 また考え方は時間とともに変化する
現在は適切と考えられる措置が、将来的に不十分であると考えられる可能性 個人情報の取扱いについては、引き続き不断の検証と改善が求められ

16 職員としての意識 当然と思ってしていることを改めて見直す事 何気なく書いたメモや日常の会話も今まで以上に意識する
⇒　どのようにして個人情報が漏洩す　　　るのか？ 過去の情報漏洩事件 ⇒　『 ８割は内部から発生 』

17 職員としての意識・漏洩の類型 内部者の不正行為による漏洩 アウトソーシング先からの漏洩 ネットワーク上での漏洩 不注意による漏洩
個人情報の価値増大 雇用形態や就業意識の変化 情報保護に関する教育の不足 アウトソーシング先からの漏洩 人材派遣・請負者による持ち出し 委託管理の不徹底⇒再委託、廃棄ミス等 ネットワーク上での漏洩 ＷＥＢの設定ミスによる情報流出 メールの誤送信等による漏洩 ネットワークの管理体制の不備 ウイルス感染対策の不備 不注意による漏洩 パソコンの盗難、置き忘れ スクリーンセーバーの未設定による不特定多数の閲覧

18 いかに大切な情報を扱っているか？ 診療情報　＝　個人情報、カルテ　＝　病名が漏れると・・・ ⇒　患者さんに精神的苦痛や経済　　　　的損失 ⇒　『 医療機関は賠償問題や信用　　　　の低下など 』

19 いかに大切な情報を扱っているか？ 診察歴１５０人分流出、ごみ収集所に放置 栃木の病院 療養所患者３千人分のデータ、ＰＣごと紛失 岩手・釜石
診察歴１５０人分流出、ごみ収集所に放置　栃木の病院 宇都宮市にある栃木県済生会宇都宮病院（中沢堅次病院長）が作成した約１５０人分の診療報酬明細書の下書き（中間レセプト）が、市内のごみ収集所に放置されていたことがわかった。 (2004/4/20/朝日新聞) 療養所患者３千人分のデータ、ＰＣごと紛失　岩手・釜石 情報サービス会社の富士通エフ・アイ・ピー（本社・東京都、大島博社長）は１６日、岩手県釜石市の国立療養所釜石病院（土肥守院長）の患者３０００人分の会計情報などが入ったパソコンを、２月下旬に紛失したと発表した。 (2004/03/16/朝日新聞) 佐賀・県立病院の医師、患者データ入りＰＣ不明－修理に出し運送途中で－ 病院の入院患者のデータ流出 ７４００人分の患者データ入りＰＣ盗難…奈良の病院 患者データ売買される

20 いかに大切な情報を扱っているか？ 保険証の情報が漏れると・・・ ⇒　保険証　＝　身分証明書 ⇒　『 架空請求や振り込め詐欺 　　　　　　　　　　　　　　　　　に繋がる 』

21 各論的留意点

22 院内でのルール策定 利用・取得に関するルール 適正・安全な管理に対するルール 第三者提供に関するルール 開示等に応じるルール
苦情処理対応に関するルール 　以上のルールを策定し 　患者に対して公表しているか？

23 利用・取得に関するルール 個人情報保護方針・利用目的等の院内掲示 周知・公表の方法 個人情報の利用目的 個人情報に関する取扱い方法
個人情報保護に対する考え方・指針 周知・公表の方法 院内掲示・学内掲示　　 ホームページ上での公開　　　 口頭及び文書の配布による説明　　　　

24 医療機関内で想定される利用目的 患者への医療の提供に必要な利用目的 当該病院等が患者等に提供する医療サービス 医療保険事務
患者に係る病院等の管理運営業務のうち、 　－入退院等の病棟管理 　－会計・経理 　－医療事故等の報告 　－当該患者の医療サービスの向上 上記以外の利用目的 病院等の管理運営業務のうち、 　－医療・介護サービスや業務の維持・改善のための　基礎資料 　－院内において行われる学生の実習への協力 　－院内において行われる症例研究　←匿名化必要

25 医療機関外で想定される利用目的 事業者等への情報提供を伴う事例 当該病院等が患者等に提供する医療サービスのうち、
　－他の病院・診療所・助産所・薬局・訪問看護 　　ステーション・介護サービス事業者等との連携 　－他の医療機関からの照会への回答 　－患者の診療に当たり、外部の医師等の意見・助言　を求める場合 　－検体検査業務の委託その他の業務委託 　－家族等への病状説明 医療保険事務のうち、 　－保険事務の委託 　－審査支払機関へのレセプトの提出 　－審査支払機関又は保険者からの照会への回答

26 医療機関外で想定される利用目的 以上の想定される利用目的から、医療機関の実情に合わせ取捨選択した上で院内掲示をする
事業者等への情報提供を伴う事例 事業者等からの委託を受けて健康診断等を行った 　場合における、事業者等へのその結果の通知 医師賠償責任保険などに係る、医療に関する専門の団体、保険会社等への相談または届出等 医療機関等の管理運営業務のうち 　－外部監査機関への情報提供 以上の想定される利用目的から、医療機関の実情に合わせ取捨選択した上で院内掲示をする 院内掲示の例等は日本医師会雑誌付録にて配布されたものを参考にする

27 適正・安全な管理に対するルール 医療機関は個人情報の宝庫である どのような個人情報が どこに、どのような状態で
入手・使用・管理・保管されているか リスクの評価 漏洩・盗難・滅失・改竄等 日々の責任体制や、問題が発生した場合の対処方法を策定 苦情・相談窓口の明確化 組織的・人的・物理的・技術的といった 　複合的な対策が必要

28 適正・安全な管理に対するルール 個人情報の管理方法
データを記録した媒体の特性に応じた安全管理をする必要がある 個人情報の保存上の注意 紙：経年劣化 PC：ハードクラッシュに備えたバックアップ 不要となった個人情報の取扱い 紙：シュレッダー・焼却（各種伝票・レセ） PC：データ復旧ができないような措置 セキュリティ対策 ID・パスワードの管理 アクセスログの保存

29 適正・安全な管理に対するルール 職員への啓蒙
管理者には従業者を監督する義務 ﾊﾟｰﾄ、ｱﾙﾊﾞｲﾄ、派遣、ﾎﾞﾗﾝﾃｨｱ職員も含む 個人情報に対する認識の再確認 全職員が個人情報保護に対して共通した認識をもつこと どのようにして個人情報が漏洩するのか？ 職員数が多くなればなるほど、一朝一夕にできることではない 継続的な勉強会を開催する 院内ルールの継続的見直し（PDCA） 継続的教育・啓蒙

30 適正・安全な管理に対するルール 委託先の監督
委託業者に対する管理 業務委託先の洗出しと契約書の見直し 検査センター・感染性廃棄物処理業者・レセプト・窓口業務・給食・清掃・治験会社・売店等 そもそも契約書を締結しているか？ 個人情報保護に関する覚書の締結 秘密保持事項・法令遵守の徹底・再委託・契約終了後の情報の取扱い・漏洩事故時の対応・損害賠償などについての事項

31 第三者提供に関するルール 患者様の同意を得ずに第三者提供はできない
例え家族であっても第三者という意識を持ち、同意の取得方法・周知方法を徹底する 電話での問い合わせなどは要注意 民間保険会社・職場・学校などからの照会 入院・通院の事実の確認

32 第三者提供に関するルール 第三者提供の例外
法令に基づく場合　　　　　　　　　　　司法関係・医療法等 人の生命・身体又は財産の保護のために必要があり、本人の同意を得る事が困難な場合 　　　　　　　　　　　　　　　 　　　　　　　意識不明患者への対応 公衆衛生の向上又は児童の健全な育成の促進が必要であり本人の同意を得ることが困難な場合　　　　　　　　　　　　　　　 　　　　　　　　　　　　　　　　　　　児童虐待事例の情報交換等 国の機関等の調査に協力する必要があり本人の同意を得ることが困難な場合　　　　　　　　　　　　　　統計調査等 業務委託　　　　　　　 　　　　　　レセプト提出・検査業務等 外部監査機関等への情報提供　　　　　　　病院機能評価 他医療機関からの問い合わせ　　　　 　　　　　　療担規則

33 開示等に応じるルール 患者から以下のことを求められた場合には速やかに対応する 本人以外は第三者となることを念頭に置く
自己情報の開示　　　　　　　政令で定める方法による 自己情報の訂正　　　　　　 事実に反する内容の場合 自己情報の利用停止　　　　　　　　　利用目的の範囲 自己情報の第三者への提供の停止 　　　　　　　　　その求めに理由があることが判明した時 本人以外は第三者となることを念頭に置く

34 開示等の例外 診療情報の提供、診療記録の開示が、第三者の利益を害する恐れがある時
診療情報の提供、診療記録の開示が、患者本人の心身の状況を著しく損なう恐れがある時 その他、診療情報の提供、診療記録の開示を不適当とする相当な理由がある時 不開示理由を文面に記載し詳細は省いてよい。不開示理由は院内掲示する 　　　　　　　　　　　　　　　　　　　　　　　　　（医政局医事課）

35 苦情処理対応に関するルール ガイドラインでは委員会等、対応窓口の設置を求めている クリニックでは現実的には専門の窓口は設置不可能
苦情等が発生した場合の院内でのルール作りが必要

36 万全な対策とは？ どのような対策にも万全というものはないと考えられる 充分な対策をしていたにも関わらず結果的に漏れてしまった場合
何も対策をせずに漏れた場合 漏洩事故が起きた場合 厚生労働大臣からの指導・勧告 漏洩社員も罰則対象へ検討

37 想定される損害賠償額は？ 個人情報が漏洩した場合の賠償試算 内容によって1､000円から150万円まで 大手エステサロンの例
　　　　　　　日本ネットワークセキュリティ協会 大手エステサロンの例 顧客の体型に関する情報が漏洩 １人100万円の慰謝料を求める訴訟 医療も同等か、これ以上と考えるべき 最悪のケースを想定し、保険に加入することも一つの方法 各社詳細が違うため損保会社に確認

38 各種対策例１ 電子カルテなどの端末・画面にプライバシースクリーンを導入 プライバシーへの配慮 問診・病状説明の声
ナースステーション等の書類の管理 温度版・看護記録・検査記録・画像診断記録・各種指示箋・サマリー・褥創危険因子評価票・インシデントレポート・クリニカルパス・保険証・入院申込書、保証書・診察券・各種預かり証など ナースコールのネームボード、看護記録の背表紙など

39 各種対策例２ 電話での問い合わせの対応には要注意 入院・通院の事実
自賠責・生命保険など保険会社から健康状態、身体状態や通院日などの照会への返答 学校や職場から患者様の症状や復学・復職の見込みなどの照会への返答 保険者からのレセプトに関する問い合わせ 不要になった書類・伝票や仮出力したレセプトなどの破棄の際は必ずシュレッダーにかける 保険証のコピーを取る際は患者様に断る ※厚生局では保険証のコピーは推奨していません 診療申込書に工夫をする

40 情報管理チェックリスト 基本的対策のポイント
(1)重要な情報を取扱うＰＣには、ファイル交換ソフト厳禁 (2)ＰＣに無許可でｿﾌﾄｳｪｱを導入しない（できないようにする） (3)ＰＣを外部に持ち出さない。 (4)ﾈｯﾄﾜｰｸに私有ＰＣを接続しない（できないようにする） (5)自宅に仕事を持って帰らなくて済むよう作業量を適切に管理する。 (6)職場のＰＣから電子媒体に情報をコピーしない（できないようにする） (7)漏えいして困る情報を許可無くメールで送らない、または、送れないようにする。 (8)ウイルス対策ソフトを導入し、最新のウイルス定義ファイルで常に監視する。 (9)不審なファイルは開かない。

41 情報管理チェックリスト 管理上の点検項目 (1)病院、学校、事務所、研究室等で使用するパソコンのセキュリティ対策状況（ウイルス対策状況、修正プログラム適用状況）を把握しているか？ (2)個人情報や機密情報等の外部への持ち出しについてのルールを定めておく。 個人情報や機密情報等を含む業務情報を記録媒体などにコピーして外部に持ち出すことについてルールはあるか？ 持ち出しが認められていない情報が含まれていないか？ 記憶媒体などにコピーされて外部に持ち出された個人情報や機密情報等を管理できるか？

42 情報管理チェックリスト 管理上の点検項目 (3)私有パソコンの利用条件を定めておく。
私有パソコンを職場に持ち込んで使用したり、職場のネットワークに接続することについてのルールを定めているか？ 私有パソコンを利用することを許可制にしているか？ 私有パソコンを職場から持ち出す場合のチェックは十分か？ (4)職員へウイルス対策の重要性を再認識させる。 Ｗｉｎｎｙ、Ｓｈａｒｅ等による情報漏えい事件の主な発生要因を十分理解させる。 自分は大丈夫だ、自分には関係ないということは間違いであることの意識改革をさせているか？ セキュリティ対策製品やサービスも完全ではないことを理解させているか？

43 情報管理チェックリスト 管理上の点検項目 技術対策上の点検項目例（技術上の対策はできているか？）
(1)重要情報に対するアクセス制限を設けているか？ (2)重要な情報に対するコピー制限を設けているか？ (3)重要な情報を暗号化しておくための対策ができているか？ (4)USBメモリ、CD-R、FD、MOなどの記録媒体の利用制限を設けているか？ (5)私有パソコンの職場内ネットワーク接続に制限を設けているか？ 参照：独立行政法人情報処理推進機構セキュリティーセンター（IPA）

44 まとめ 院内ルールを明確化・具体化する 患者様の同意を取るか迷った時 個人情報を院内で利用 利用目的の特定・公表
利用目的外の場合は同意が必要 個人情報を院外で利用 第三者提供＝必ず同意が必要 法で定める例外規定がある 発想の転換 個人情報は患者様からの預かり物 立ち止まって考える勇気 「何かに使える」より持つことのリスク 善意は合法を担保しない