先週の月曜日の夕方に「個人情報の管理」についての講演会が院内であった。講師は病院で契約している法律事務所の弁護士さんだった。
個人情報保護法(正確には、個人情報の保護に関する法律)は、「個人情報を取り扱う事業者の遵守すべき義務を定めて、個人の権利利益を保護するもの」で、要するに業務で得られた個人情報を利用したり、他人に漏らしてはいけないということ。
逆にいうと、個人には「自己情報コントロール権」があり、自分についての情報のどこを公表して、どこを公表しないかを決める権利がある。
個人情報とは、1)特定個人識別性(+容易照会性)ある情報、つまり氏名・生年月日・住所など個人が識別(特定)される情報すべて、2)個人識別符号を含む情報、つまりマイナンバー・免許書番号・年金番号など(DNA情報も含まれる)。
「個人情報取り扱い事業者」として、当初は対象者5000人以下の事業所には適応されなかったが、その後はすべても事業所に適応されるようになった。個人・法人、営利・非営利、公営・私営を問わない。
個人情報保護法は、国の機関・地方公共団体・独立行政法人等は除かれていて、これらは独自に定めた条例により規律される、となっている。つまり、それぞれ独自に「個人情報保護条例」を定めている。
当院は公立で、特別地方公共団体(地方公共団体の組合)に相当して、複数の自治体が運営しているので、実は独自の条例を定めていない。各地方公共団体は、個人情報保護法をほぼコピーして作成しているので、当院もそれを作成したほうがいいという。
個人情報の第三者提供の制限として、あらかじめ本人の同意を得ないで、個人情報を第三者に提供してはならない。これには除外事由があり、その中に、「人の生命、身体又は財産の保護にために必要がある場合であって、本人の同意を得ることが困難であるとき」、がある。救急搬入されて、患者さん本人に既往歴・現病歴を訊けない状況では、(患者さんの同意なしで)家族・親族などに訊くことはこれに当る。警察の捜査も「法令に基づく場合」として同意なしでできる。
個人情報を故意に悪用することもあるが、大抵は悪気がなく内輪の話としてしていたことが外部の人に漏れて、そこから拡散して問題になることがほとんどだという。
ベネッセで相当数の個人情報を漏らしてしまったことがあったが、さっそくその個人情報が営業などで使われていたという。
当院である先生が体調不良で入院した際に、数十人の職員が一斉にその先生の電子カルテを開いて見ていたことが判明した。電子カルテなので、誰がいつカルテを開いたかはすぐにわかってしまう。良く言えば、みんなが心配するような愛される先生ともいえるが、個人情報保護の面ではまずいことになる。
当院で以前にドラマの撮影が行われたが(病室などを貸した)、その時に主演の女優さんが気管支炎症状で外来を受診したのでカルテができた。本名を芸名にしている方だったので、・・・。
今日は姫路城を見て、帰路についた。来年は和歌山県の熊野に行ってみることにした。