奈良県保険医協会

メニュー

個人情報保護法完全施行対策研究会/南川氏の講演レジメを紹介します

 研究会の講師を務めた南川諦弘氏による講演の、当日のレジメを紹介します。研究会の概要はこちらに紹介しました。

個人情報の保護について
――― 個人情報保護法への医療機関の対応のために ―――

平成17年4月10日
大阪学院大学大学院法務研究科
教授 南川 諦弘

1 はじめに
(1) プライバシーの権利の成立
・1890年、S.D.ウォーレンとL.D.ブランダイスがハーバード大学ロー・レビューに「プライバシーの権利」と題する論文を発表したことが契機となった。
・わが国では、「宴のあと」事件における東京地裁昭和39年9月28日判決により、プライバシーの権利が一般に認知されるようになった。

(2) プライバシーの権利概念の拡大と積極化
・プライバシーの権利が、静穏のプライバシーや人格的自律のプライバシー(自己決定権)を含む概念として拡大
・情報化社会の進展に伴い、プライバシーの権利は、「そっと一人にしておいてもらう権利」から「自己に関する情報の流れをコントロールする個人の権利」へと積極化

(3) 自己情報コントロール権としてのプライバシーの権利の立法化
・1980年、OECDは、8つの原則(収集制限の原則、データ内容の原則、目的明確化の原則、利用制限の原則、安全保護の原則、公開の原則、個人参加の原則、責任の原則)に立ったプライバシー保護法の制定を勧告
・昭和57年(1982年)、プライバシー保護研究会が、以下の5つの原則に立った「個人データの処理に伴うプライバシー保護対策」を提言
?@収集制限の原則; 収集に際しては収集目的を明確にするとともに、収集する内容も収集目的の達成に必要な範囲内に限定すべきである。また、収集は適法かつ公正な手段によらなければならない(例えば、原則として本人から収集し、第三者から収集したときは原則として本人に通知する等)。
?A利用制限の原則; データの利用は、原則として収集目的の範囲に限定すべきである(例えば、目的外利用の禁止、外部提供の禁止、結合の禁止等)。
?B個人参加の原則; 自己に関するデータの存在及び内容を知ることができ、かつ必要な場合にはそのデータを訂正させることができるなどの手段を保障すべきである(例えば、記録項目の公表、自己情報の開示請求、訂正請求等)。
?C適正管理の原則; 収集・蓄積したデータは正確かつ最新なものとして管理するとともに、その紛失、破壊、改竄、不当な流通等の危険に対して、合理的な安全保護措置を講じるべきである。
?D責任明確化の原則; プライバシーの保護に関してデータ管理者等が負わなければならない責任の内容を明確にする必要がある。
 ・ 公的部門が保有する個人情報の保護の法制度化については、地方自治体が先行した。平成16年(2004年)4月1日現在、2612団体(82.4%)で個人情報保護条例が制定されている。
・国においても、昭和63年(1988年)、「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」を制定、さらに平成15年(2003年)、「行政機関の保有する個人情報の保護に関する法律」、「独立行政法人等の保有する個人情報の保護に関する法律」が、「個人情報の保護に関する法律」(平成15年5月30日法律第57号、以下「個人情報保護法」という。)と同時に制定された。

2 個人情報保護法
(1) 立法の背景
・ 高度情報社会の著しい進展
・ 個人情報の漏洩等プライバシー侵害事例が多発
・ 「第三国への移転ルール」を定めたEU指令(1995年採択)25条
・ 住民基本台帳ネットワークシステムの導入

(2) 立法の目的(1条)
・ 「個人の権利利益を保護すること」である。
・ 「個人の権利利益」には、人格的な権利利益だけでなく財産的な権利利益も含まれるが、保護の中心は人格権、とりわけプライバシーの権利である。
・ 伝統的な(消極的な)プライバシーの権利の保護にとどまらず、現代的な(積極的な)プライバシーの権利すなわち自己情報コントロール権の保護を目的としている。

(3) 個人情報保護法の位置づけ
・ 個人情報保護法制における基本法かつ一般法である。
・ ミニマム・スタンダードを定めた法である。ちなみに、医療分野は「特に適正な取扱いの厳格な実施を確保する必要がある分野」であることに鑑み、厚生労働省は、「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」(平成16年12月24日 以下「ガイドライン」という。)を策定し、個人情報保護法により厳格に遵守しなければならない事項のほかに、同法にもとづく義務等ではないが、達成できるよう努めることが求められる事項を定めている。
・ ガイドラインは法規ではないから、違反しても行政処分や行政刑罰の対象にはならないが、社会的の低下・喪失を招き、場合によっては民事の賠償責任を問われることがある。

(4)保護の対象となる「個人情報」の意義(2条1項)
・個人識別情報(特定の個人が識別される、個人に関する情報)でなければならない。
 なお、「個人に関する情報」、「個人情報」、「個人データ」、「個人情報データベース等」、「保有個人データ」の各概念については、別紙参照。※注:ここでは別紙略しました。
・死者の情報は含まれない。ただし、未成年の子どもに関する教育情報、死者の相続財産に関する情報、死者の医療情報などについては、遺族等の情報と考えることができる。
 なお、ガイドラインは、「当該患者・利用者が死亡した後においても、医療・介護関係事業者が当該患者・利用者の情報を保存している場合には、漏えい、滅失又はき損等の防止のため、個人情報と同等の安全管理措置を講ずるものとする」と定めている。
・ 法人その他の団体に関する情報(例えば、法人の設立登記や商業登記簿中の役員の氏名や住所)は含まれない。

(5)個人情報保護法が適用される「個人情報取扱事業者」の意義(2条3項)
・ 「個人情報データベース等」(2条2項)を事業の用に供している者で、5000件以上(過去6ケ月以内に1日でも)の個人情報を取り扱っている者をいう(施行令2条)。
 なお、ガイドラインは、5000件未満のいわゆる小規模事業者についても、同ガイドラインを遵守する努力を求めている。
 ・ 事業の内容・規模を問わず、また、営利・非営利を問わない。

(6)個人情報取扱事業者の義務
ア) 目的の特定(15条)
・ 「個人情報を取り扱うに当たっては」と規定しており、個人情報の取得、保有、提供、利用その他個人情報の取扱に関する一切の行為において利用目的をできる限り特定しなければならない。
・ 「できる限り」とは、「可能な限り」という意味であって、利用目的を特定する義務を緩和する趣旨ではない。
イ) 利用目的による制限(16条)
・ 原則として、あらかじめ本人の同意を得なければ、利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
・ 個人情報の収集は必要最小限でなければならない。
・ 利用目的を達成した個人情報は速やかに消去または廃棄しなければならない。
・ 個人情報取扱事業者の異なる部門での利用は制限されている。
・ 同条3項の例外については、ガイドライン?V・1・(2)、別表3参照
・ 一定の判断能力を有する未成年者(おおむね15才以上)については、法定代理人等の同意にあわせて本人の同意を得ることが望ましい。ガイドライン?V・1・【その他の事項】参照
ウ) 適正な取得(17条)
・ 「不正な取得」の例として、Q&A17参照
   ・ 適正な方法による取得には間接収集の原則禁止が含まれる。
エ) 取得に際しての利用目的の通知等(18条)
・ 本人から直接書面で個人情報を取得する場合は、あらかじめ利用目的を明示しなければならない。
・ 利用目的の明示の方法としては、院内掲示やホームページへの掲載など画考えられる。
・ 「取得の状況からみて利用目的が明らかであると認められる場合」は適用除外されるが、そのような場合について院内掲示等が望ましい。ガイドライン?V・2・【その他の事項】参照
オ) データ内容の正確性の確保(19条)
・ 過去に収集した個人データを年数が経過した後利用する場合には、新たに収集し直すとか、本人に確認するなどの措置をとることが望ましい。
ただし、最新化の努力は、「利用目的の達成に必要な範囲内」において行えばよいので、過去の事実をそのまま記録しておくことが必要な場合は、最新化の必要はない。
カ) 安全管理措置(20条)
 ・ 安全管理措置としては、物理的、技術的安全管理措置のみならず、組織的、人的安全管理措置がある。ガイドライン?V・4・(2)参照
・ コンプライアンス・プログラムの整備し、プライバシー・マークの取得を図る。
キ) 従業者の監督(21条)
・ 従業者には派遣社員や非常勤職員も含まれる。
・ 個人情報保護指針を定め、内部規定を整備し、従業者の教育訓練を実施することが望まれる。個人情報取扱い規則の見本については、14~16参照
・ 従業者に対する個人情報保護に関する誓約書の見本については、21頁参照
・ 従業者の違法行為につき、個人情報取扱事業者は民法715条の使用者責任(損害賠償責任)を問われる。
ク) 委託先の監督(22条)
・ 委託先の選定基準を設け、委託契約に個人情報保護に関する取り決めを記載するなどにより委託先に対する必要かつ適切な監督を行わなければならない。もし、それを怠っている場合、委託業者の違法行為について民事の賠償責任を問われることがある。
 なお、業務を委託する場合の留意事項については、ガイドライン?V・4・(3)・?A参照
・ 委託業者との契約書の見本については、22頁参照
ケ) 第三者提供の制限(23条)
・ 原則として本人の同意がなければ個人データを第三者に提供できない。
・ 例外(4項に列挙)については、15条3項(利用目的の特定等の例外)と同様
・ 患者の傷病の回復等を含めた患者への医療の提供に通常必要な範囲の情報提供であり、かつ、院内掲示等により明示されている場合は、原則として黙示の同意があったものとして取り扱うことができる。
・ これに対し、民間保険会社、職場、学校、マーケティング等を目的とする会社等からの照会については、個別に本人の同意が必要となる。ガイドライン?V・5・(1)参照
・ 委託先に個人データを提供する場合やグループによる共同利用の場合は第三者提供に当たらない(4項)。
・ 医療事故等に関する情報提供について、ガイドライン?V・5・(5)参照
コ) 保有個人データに関する事項の公表等(24条)
・ 院内掲示等の方法により公表すべき内容の見本については、12・13頁参照
サ) 開示(25条)
・ 開示は、本人が訂正等や利用停止等を求めるための前提としての性格を持っている。
・ 開示の対象となるのは、「保有個人データ」である。
・ 開示請求があった場合、本人確認をする必要があるが、その方法としては、健康保険被保険者証、運転免許証、外国人登録証などの提示が考えられる。
・ 未成年者の開示請求については、法定代理人の代理請求を認めることもできるが、15歳以上の未成年者の開示請求については、法定代理人の代理請求を認めないとすることも、代理請求に本人の同意書を要するとすることも許される。
・ 開示が原則であり、非開示又は部分開示が許されるのは、1項但し書に該当する場合に限られる。その例については、ガイドライン?V・7・(2)、「診療情報の提供等に関する指針」参照
・ 開示・非開示は原則として書面で行う必要がある(施行令6条)。また、非開示又は部分開示の場合、その理由を説明するように努める(28条)とともに、苦情への対応についても説明することが望ましい。
シ) 訂正等(26条)
ス) 利用停止等(27条)
セ) 苦情の処理(31条)

(7)主務大臣による助言(33条)、勧告・命令(34条)

(8)罰則(56条ないし59条)
・ 直罰主義を採っていない。

(9)報道活動等に対する適用除外(50条)、主務大臣の権限行使の制限(35条)

会員トピックス

さらに過去の記事を表示