個人情報保護法と医療のFAQ |
|
|
最終更新日 2007/08/25 |
||
|
||
Q 個人情報保護法って何ですか?
A 平成17年4月1日に施行され、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大されたことを踏まえ、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とした法律です。(法第一条)
Q どのような情報が対象となりますか?
A 「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」とされ、カルテを含めたいわゆる患者情報データベースが該当します。(法第二条)
# ここには「生存する個人〜」とありますので、死者の情報は除外対象のようです。
Q 歯科医院もこの法の対象になりますか?
A 5000以上のデータをもつ事業者が対象になります。従って平たく言うと、5000人分以上のカルテ(レセコンにおきては患者データ)を有している歯科医院は対象になります。ある統計によると医科の平均カルテ保有数は1医院あたり6000、歯科は4800と言われており多くの歯科医院はその対象になるようです。(施行令第二条)
Q 個人情報取扱事業者(歯科医院)は具体的にどのような取り組みをしたら良いでしょうか?
A 概ね以下のような対応が必要と思われます。
(1) 個人情報の利用目的を特定する。(法第十五条): 診療情報の管理及び診療報酬の請求など
(2) 個人情報を不正に入手してはいけない。(法第十七条): たとえば、被保険者が受診した場合において、被扶養者などの情報も一括して取得することなどは問題のなりかねません。
(3) 個人情報の利用目的の公表(法第十八条): あらかじめ公表しておかないと、情報入手の都度(受診毎)に説明しなければならなくなりますので、待合室への掲示などが必要となるでしょう。 院内掲示用のポスター
(4) データ内容の正確性の確保(法第十九条): カルテの改竄はこれに反しちゃいますね。
(5) 情報漏洩などに対する予防処置(法第二十条): 特にレセコンなどを利用している方はパソコンの盗難に注意。
(6) 従業員の管理(法第二十一条): 入手時の適正な取扱いと情報漏洩にかんする監督。
(7) 業務委託先の管理(法第二十二条): レセプトを外注しているところが該当するでしょうね。
(8) 第三者への提供制限(法第二十三条): レセプトの請求などは、ここに記載された「一 法令に基づく場合」なので問題なし。処方箋や外注技工指示書なども同様。ただし自賠責などにおける診療費の保険会社からの直接支払い及び保険会社への情報提供は、法令に基づく業務ではないので事前に患者の同意書が必要なのは言うまでもない。
(9) 開示義務(法第二十五条):
(10) 訂正義務(法第二十六号):
Q どのような方法で開示したらいいのでしょうか?
A 原則的には「書面で交付」とされていますが、開示希望者同意した場合には「口頭」などの他の方法をとることができます。(施行令第六条)
Q 開示に対して手数料はとれますか?
A とれます。金額は合理的金額とされています。(法第三十条)
Q 患者本人以外にどの様な立場の人が開示請求できますか?
A 法定代理人や患者本人が委任した代理人が開示請求できます。法定代理人とは一般に患者が未成年の場合には親権者(親)が該当します。(施行令第八条)
Q 個人情報取扱事業者の取扱いに対する苦情の申し立てはどこにしたらいいでしょう?
A 認定個人情報保護団体に申し立てをするといいでしょう。(法四十二号)
Q カルテは鍵のかかった部屋もしくは保管庫に保管する必要がありますか?
A これは事業所の規模や状態によって異なるとされています。例えば大規模な診療所や病院は不特定多数の人が出入りし、また入院患者のいる病院では夜間も人の出入りや入院患者がいたりしますので、施錠された場所に個人情報ファイルを保存しておくことが求められます。しかし、小規模な個人診療所においてはカルテの保管場所が常時管理されていることが多いし、また夜間は診療所自体が無人となり施錠されるので、あえて施錠された保管場所を確保する必要は無いと思われます。 参考
Q 自賠責保険請求において医療情報の保険会社への提供の「患者の同意書」が保険会社から提示されましたが、提供してもいいですか?
A 同意書がだされた場合でも、医療機関は、当該同意書の内容について本人の意思を確認する必要があります。なお、患者が指定した代理人からの開示要求も同様に本人の意志を確認する必要があります。 参考 参考
Q 個人情報保護法上、どのような場合に罰則を受けますか?
A 個人情報保護法の罰則規定
(1) 法 第五十六条 懲役6ヶ月以下又は30万円以下の罰金
第三十四条第二項又は第三項の規定違反
2 主務大臣は、前項の規定による勧告を受けた個人情報取扱事業者が正当な理由がなくてその勧告に係る措置をとらなかった場合において個人の重大な権利利益の侵害が切迫していると認めるときは、当該個人情報取扱事業者に対し、その勧告に係る措置をとるべきことを命ずることができる。
3 主務大臣は、前二項の規定にかかわらず、個人情報取扱事業者が第十六条、第十七条、第二十条から第二十二条まで又は第二十三条第一項の規定に違反した場合において個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときは、当該個人情報取扱事業者に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを命ずることができる。
(2) 法 第五十七条 30万円以下の罰金
第三十二条又は第四十六条違反
第三十二条 主務大臣は、この節の規定の施行に必要な限度において、個人情報取扱事業者に対し、個人情報の取扱いに関し報告をさせることができる。
第四十六条 主務大臣は、この節の規定の施行に必要な限度において、認定個人情報保護団体に対し、認定業務に関し報告をさせることができる。
(3) 法 第五十九条 10万円以下の過料
第四十条第一項違反
第四十条 第三十七条第一項の認定を受けた者(以下「認定個人情報保護団体」という。)は、その認定に係る業務(以下「認定業務」という。)を廃止しようとするときは、政令で定めるところにより、あらかじめ、その旨を主務大臣に届け出なければならない。
第四十五条違反
第四十五条 認定個人情報保護団体でない者は、認定個人情報保護団体という名称又はこれに紛らわしい名称を用いてはならない。