こんにちは、オペリブログにアクセスいただき、ありがとうございます。
OPEReのコサコです。
OPEReでは、2023年10月6日に、病院管理職向けプロフェッショナルウェビナー(略して、“プロウェビ”)と称して、「改めて学ぶ個人情報保護法及び次世代医療基盤法」ウェビナーを森・濱田松本法律事務所所属の南谷健太先生をお招きして開催しました。
本ブログは、ウェビナー「改めて学ぶ個人情報保護法及び次世代医療基盤法」のうち、個人情報保護法に焦点をあててまとめた内容です。
※内容は2023年10月6日時点のものであり、情報を参考にする際は最新情報をご確認ください。
個人情報の知識はどんなときに必要なの?
個人情報の概要を教科書的に学ぶというより、どういうケースの際に、どういう個人情報の知識が必要になるかご説明します。
事例1:病院・大学・企業との共同研究の場合
A病院の担当職員になった場合、
チェックポイントは、以下の3点です。
個人情報/個人データ/要配慮個人情報に該当するか
第三者提供の同意取得の方法はどうなっているか
第三者提供の例外に当たるかどうか
です。
はじめに、分析対象となっている患者カルテが、患者さんの個人情報・個人データなのかを確認する必要があります。患者カルテですので、要配慮個人情報が含まれた個人データに該当する可能性が高いといえるでしょう。
次に、その患者カルテの情報は、オプトアウト式による第三者提供への提供ができるか否か、および、共同研究の場合は、協業する大学・企業が「第三者」に該当するか(特に「共同利用」に該当することによって「第三者」に該当しないと整理できるか)を考える必要があります。結論としては、要配慮個人情報が含まれる個人データのため、オプトアウト式によることは難しく、また「第三者」への提供に該当すると整理される可能性が高いと思われます。
最後に、第三者提供の例外事由に該当するか(とりわけ、学術研究分野の適用除外に該当するか もしくは 公衆衛生例外に該当するか)を確認する必要があります。これらの例外事由に該当するかは、ケースバイケースで判断していくこととなります。
✄---
ここまでですでに多くの知らない言葉が出てきて、お腹いっぱいの方もいると思いますので、一旦用語の解説をします。
個人情報について
個人情報とは、生存する個人に関する情報であって、以下の1 又は2に該当するもの
1当該情報に含まれる氏名、生年月日その他の記述等もしくは、他の情報と容易に照合することにより特定の個人を識別することができるもの(個人情報保護法2条1項1号)
2 個人識別符号が含まれるもの(同条2項) ※実務上は、1に該当することが問題になることが多いです。
個人データとは、
個人情報データベース等を構成する個人情報のこと
個人情報データベース等は、個人情報を含む情報を含む情報の集合物で、特定の個人情報を、電子計算機を用いて検索可能なように体系的に構成したものなどを指します。
第三者提供の規制の対象になるのは、「個人データ」です。
第三者提供について
第三者提供
個人データを第三者に提供する際は、事前の本人同意が必要です。
第三者提供の例外
ただしいくつかの例外があります。 そのひとつ:個人情報保護法27条1項各号に該当する場合
個人情報保護法第27条1項各号 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。 一 法令に基づく場合 二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。 三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合 であって、本人の同意を得ることが困難であるとき。 四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。 五 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)。 六 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データを学術研究目的で提供する必要があるとき(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該第三者が共同して学術研究を行う場合に限る。)。 七 当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
✄---
事例2:病院がクラウドベンダーを選定するとき
チェックポイントは、
患者の診療情報の取り扱いが、
「第三者」への提供か
委託であり「第三者」への提供ではないか
です。
✄---
クラウドベンダーの利用を検討されている場合、クラウド例外と呼ばれている、当局の以下の見解を知っておく必要があります(個人情報保護法ガイドラインQ&A Q7-53、6-19)
クラウドサービスには多種多様な形態がありますが、クラウドサービスの利用が、本人の同意が必要な第三者提供(法第 27 条第1項)又は委託(法第 27 条第5項第1号)に該当するかどうかは、保存している電子データに個人データが含まれているかどうかではなく、クラウドサービスを提供する事業者において個人データを取り扱うこととなっているのかどうかが判断の基準となります。 当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合には、当該個人情報取扱事業者は個人データを第三者に提供したことにはならないため、本人の同意を得る必要はありません。 また、上述の場合は、個人データを提供したことにならないため、「個人データの取扱いの全部又は一部を委託することに伴って・・・提供される場合」(法第 27 条第5項第1号)にも該当せず、法第 25 条に基づきクラウドサービス事業者を監督する義務はありません。
✄---
上記のガイドラインに照らせば、事例2の状況で、クラウドベンダーが個人データを提供したことにはならない場合、そもそも「第三者」への提供ではなく、かつ「委託」としても整理されないこととなります。しかし、報告対象となる個人データの漏えい等が発生したときには、クラウドサービスを利用する事業者(=本件ではB病院)が報告義務を負うことになる点に注意する必要があります。
個人情報に困ったら、どこで調べればいいの?
個人情報保護委員会のウェブサイトが参考になります。主に以下の3点が役立つでしょう。
個人情報保護委員会
法令・ガイドライン・Q&A
個別分野ガイダンス
啓発資料・社内研修用教材等
です。
法令・ガイドライン・Q&Aは、以下のURLからご覧いただけます。
ガイドライン・Q&Aは、個人情報保護法の解釈における当局の見解が示されているため、疑問点が生じた場合に、一次資料として参照する価値の高い重要な資料です。ただし、頻繁に改定されており、記載の追記・削除があるので、逐次最新版をチェックいただくのがよいでしょう。
個別分野ガイダンスは、以下のURLからご覧いただけます。
個別分野ガイダンスには、上記で挙げたガイドラインやQ&Aに記載していない、医療機関向けのより具体的な記載があるので、こちらも重要性が高い資料です。
啓発資料・社内研修用教材等として、個人情報保護委員会のウェブサイトには、広報資料(出版物・動画)というページがあります。
こちらを活用して、医療機関内の研修や勉強会のコンテンツを拡充するのもおすすめです。
まとめ
今回は、2023年10月6日に開催した病院管理職向けプロフェッショナルウェビナー「改めて学ぶ個人情報保護法及び次世代医療基盤法」から、講演内容を抜粋しながら記事にしました。
個人情報と個人データ、第三者提供、クラウド例外など、押さえておきたいポイントを少しだけ共有しました。
(執筆協力:南谷 健太 弁護士 )
OPEReでは、病院管理職向けプロフェッショナルウェビナーとして、専門家を招いたウェビナーを継続的に開催していきます。次回開催のお知らせを受け取りたい方は、この記事の下にあるメルマガ登録フォームから、ぜひOPEReのメルマガにご登録ください。