一般社団法人 横浜市医師会 情報システム部講演会 個人情報保護法について ~日々の業務を振り返って~ 平成25年10月22日 有限会社メディカルサポートシステムズ 公益社団法人日本医業経営コンサルタント協会 神奈川県支部副支部長 認定医業経営コンサルタント 第5590号 細 谷 邦 夫 1 §1個人情報の保護 医療機関は個人情報の宝庫 そのため医療従事者は、それぞれの資 格に対して定められている法律(保健師 助産師看護師法・臨床検査技師法・臨 床放射線技師法等)の中で『 守秘義 務 』が規定されている。 2 守秘義務とは 守秘義務とは『 業務上知り得た他人の秘密 を正当な理由無く第三者に漏らすこと 』を禁 じた規定だが、医師と薬剤師と助産師は医師 法ではなく『 刑法 』の中に規定があり、他 人の秘密を知るということがいかに重大かを 理解することが出来る。 3 個人情報保護法の目的 • 個人情報の保護に万全を期すことにより、そ の有用性を最大限に引き出す • 個人情報を保有する事業者に正しい取扱い を求めることにより保護を万全にする • 業界ごとの『 ガイドライン 』がある • 意識する余り診療に影響が出てしまうのは本 末転倒 • ポイントをしっかりと知ることが重要 4 プライバシー保護と個人情報保護 • プライバシー保護 – 主として場所や空間を中心とした概念 • 個人情報保護 – 取得した情報の管理や利用についての ルール – 管理者に対する規制、組織としての体制作 りを義務付けている – 何ら対策がなされていない事が問題となる 5 制定の背景 • 企業による情報漏洩の多発 • 営利のための情報主体を無視した使用(ダイ レクトメールなど) • コンピュータの普及は便利な反面、一瞬にし て大量の情報が漏洩する • 住民基本台帳の整備 • OECD「プライバシー保護と個人データの国 際流通についてのガイドライン」 6 個人情報保護法の用語(個人情報) • 生存する個人に関する情報 – – – – 医療の場合は死者の情報も該当する 法定の保存年限を過ぎても対象となる 通院加療中の如何を問わず対象となる 外部保存していても対象となる • 当該情報に含まれる氏名、生年月日、その他の記 述等によって特定の個人を識別できるもの • スタッフの履歴書等も保護対象となる – 雇用管理に関するガイドラインが別に存在 7 個人情報保護法の用語 (個人情報データベース等) 『 レセプトコンピュータ・電子カルテ・紙カル テ等 』、個人情報を含む情報の集合体であ り、コンピュータを用いて特定の個人情報を 体系的に検索できるようにしたもの 8 個人情報保護法の用語 (個人情報取扱事業者) • 過去6ヶ月以内のいずれの日においても5、000件 を超えて個人情報を取扱う者 • 医療機関等、介護関係事業者においては5,000 件以下であっても法令遵守の努力義務が課せられ る – 義務を負わない事業者であっても、不適切な取扱い等 があれば民事責任を問われる可能性あり – カルテや看護記録等複数の書類があっても1人を1件 とカウント(家族等の記載がある場合もう1件) – 「事業所」単位ではなく「事業者」単位でカウントする 9 個人情報保護法の用語 (個人情報取扱事業者) • 医療機関等= 病院・診療所・助産所・薬局・訪問看護ス テーション等 • 介護関係事業者= 居宅サービス事業者・居宅介護支援事業 者・介護保険施設(老人保健施設・介護老 人福祉施設等) 10 どのようなことが書かれているか1 • 個人情報の利用と保護のバランスをとる • 個人情報が適正に取扱われるように、事 業者(医療機関)側が守るべき最低限の ルール – 情報の利用の際には患者さんの権利に対して細心 の注意を払うこと – 個人情報の取扱い・管理方法の明確化・具体化を 義務付けている • 自己情報のコントロール権 =患者さん本人が関与できる仕組み 11 どのようなことが書かれているか2 個人情報の取扱い・管理方法の明確化・ 具体化を義務付けている – 利用目的の特定 – 同意の無い第3者提供の禁止 – 本人から求めがある場合は開示・訂正・利 用停止する – 安全管理の為に必要な措置を講ずる 12 どのようなことが書かれているか3 • 同意原則論 ⇒ 『 個人情報の第3者提供 』=本人以 外は第3者となるということ ⇒ 『 個人情報の目的外利用 』 ⇒ 診療情報は患者さんからの預り物 ⇒ 患者さんに対する情報提供や意思 確認というプロセスが大切 13 医療機関としての取り組み • 取り扱っている個人情報はどのようなものがあるか明確に し、取り組む必要がある事項を整理し、優先順位に従って 取組を進めていく – 法違反状態となることがあるか(利用目的の特定をして いるか 等) – 必要な対応が求められる可能性があることは何か(開 示の求めがあった場合の手続きは決まっているか 等) – 問題が生じた際に、対応が求められるものは何か(個 人情報の漏えいが生じた場合、院内の連絡体制は決 まっているか 等) – 継続的に取り組むべきものは何か(従業者への教育、 研修をどのように行っていくか 等) – 今後、必要な時期に改善していくべきものは何か(委託 14 契約に個人情報の取扱いについて記載する 等) 取り組むうえでの留意点 • 個人情報に関する患者・利用者の考え方は、 人によって様々 • また考え方は時間とともに変化する • 現在は適切と考えられる措置が、将来的に 不十分であると考えられる可能性 • 個人情報の取扱いについては、引き続き不 断の検証と改善が求められ 15 職員としての意識 • 当然と思ってしていることを改めて見直 す事 • 何気なく書いたメモや日常の会話も今ま で以上に意識する ⇒ どのようにして個人情報が漏洩す るのか? • 過去の情報漏洩事件 ⇒ 『 8割は内部から発生 』 16 職員としての意識・漏洩の類型 • 内部者の不正行為による漏洩 – 個人情報の価値増大 – 雇用形態や就業意識の変化 – 情報保護に関する教育の不足 • アウトソーシング先からの漏洩 – 人材派遣・請負者による持ち出し – 委託管理の不徹底⇒再委託、廃棄ミス等 • ネットワーク上での漏洩 – – – – WEBの設定ミスによる情報流出 メールの誤送信等による漏洩 ネットワークの管理体制の不備 ウイルス感染対策の不備 • 不注意による漏洩 – パソコンの盗難、置き忘れ – スクリーンセーバーの未設定による不特定多数の閲覧 17 いかに大切な情報を扱っているか? • 診療情報 = 個人情報、カルテ = 病名が漏れると・・・ ⇒ 患者さんに精神的苦痛や経済 的損失 ⇒ 『 医療機関は賠償問題や信用 の低下など 』 18 いかに大切な情報を扱っているか? • 診察歴150人分流出、ごみ収集所に放置 栃木の病院 – 宇都宮市にある栃木県済生会宇都宮病院(中沢堅次病院長)が作成した約150人分 の診療報酬明細書の下書き(中間レセプト)が、市内のごみ収集所に放置されていた ことがわかった。 (2004/4/20/朝日新聞) • 療養所患者3千人分のデータ、PCごと紛失 岩手・釜石 – 情報サービス会社の富士通エフ・アイ・ピー(本社・東京都、大島博社長)は16日、岩 手県釜石市の国立療養所釜石病院(土肥守院長)の患者3000人分の会計情報など が入ったパソコンを、2月下旬に紛失したと発表した。 (2004/03/16/朝日新聞) • 佐賀・県立病院の医師、患者データ入りPC不明-修理に 出し運送途中で- • 病院の入院患者のデータ流出 • 7400人分の患者データ入りPC盗難…奈良の病院 • 患者データ売買される 19 いかに大切な情報を扱っているか? • 保険証の情報が漏れると・・・ ⇒ 保険証 = 身分証明書 ⇒ 『 架空請求や振り込め詐欺 に繋がる 』 20 各論的留意点 21 院内でのルール策定 • • • • • 利用・取得に関するルール 適正・安全な管理に対するルール 第三者提供に関するルール 開示等に応じるルール 苦情処理対応に関するルール 以上のルールを策定し 患者に対して公表しているか? 22 利用・取得に関するルール • 個人情報保護方針・利用目的等の院内掲示 – 個人情報の利用目的 – 個人情報に関する取扱い方法 – 個人情報保護に対する考え方・指針 • 周知・公表の方法 – 院内掲示・学内掲示 – ホームページ上での公開 – 口頭及び文書の配布による説明 23 医療機関内で想定される利用目的 • 患者への医療の提供に必要な利用目的 – 当該病院等が患者等に提供する医療サービス – 医療保険事務 – 患者に係る病院等の管理運営業務のうち、 -入退院等の病棟管理 -会計・経理 -医療事故等の報告 -当該患者の医療サービスの向上 • 上記以外の利用目的 – 病院等の管理運営業務のうち、 -医療・介護サービスや業務の維持・改善のための 礎資料 -院内において行われる学生の実習への協力 -院内において行われる症例研究 ←匿名化必要 基 24 医療機関外で想定される利用目的 • 事業者等への情報提供を伴う事例 – 当該病院等が患者等に提供する医療サービスのうち、 -他の病院・診療所・助産所・薬局・訪問看護 ステーション・介護サービス事業者等との連携 -他の医療機関からの照会への回答 -患者の診療に当たり、外部の医師等の意見・助言 を 求める場合 -検体検査業務の委託その他の業務委託 -家族等への病状説明 – 医療保険事務のうち、 -保険事務の委託 -審査支払機関へのレセプトの提出 25 -審査支払機関又は保険者からの照会への回答 医療機関外で想定される利用目的 • 事業者等への情報提供を伴う事例 – 事業者等からの委託を受けて健康診断等を行った 場合における、事業者等へのその結果の通知 – 医師賠償責任保険などに係る、医療に関する専門の団体、 保険会社等への相談または届出等 – 医療機関等の管理運営業務のうち -外部監査機関への情報提供 • 以上の想定される利用目的から、医療機関の実情に 合わせ取捨選択した上で院内掲示をする • 院内掲示の例等は日本医師会雑誌付録にて配布され たものを参考にする 26 適正・安全な管理に対するルール • 医療機関は個人情報の宝庫である – どのような個人情報が – どこに、どのような状態で – 入手・使用・管理・保管されているか • リスクの評価 – 漏洩・盗難・滅失・改竄等 • 日々の責任体制や、問題が発生した場合の対処方法 を策定 – 苦情・相談窓口の明確化 • 組織的・人的・物理的・技術的といった 複合的な対策が必要 27 適正・安全な管理に対するルール 個人情報の管理方法 • データを記録した媒体の特性に応じた安全管理 をする必要がある – 個人情報の保存上の注意 • 紙:経年劣化 • PC:ハードクラッシュに備えたバックアップ – 不要となった個人情報の取扱い • 紙:シュレッダー・焼却(各種伝票・レセ) • PC:データ復旧ができないような措置 – セキュリティ対策 • ID・パスワードの管理 • アクセスログの保存 28 適正・安全な管理に対するルール 職員への啓蒙 • 管理者には従業者を監督する義務 – パート、アルバイト、派遣、ボランティア職員も含む • 個人情報に対する認識の再確認 – 全職員が個人情報保護に対して共通した認識を もつこと • どのようにして個人情報が漏洩するのか? – 職員数が多くなればなるほど、一朝一夕にでき ることではない • 継続的な勉強会を開催する – 院内ルールの継続的見直し(PDCA) – 継続的教育・啓蒙 29 適正・安全な管理に対するルール 委託先の監督 • 委託業者に対する管理 – 業務委託先の洗出しと契約書の見直し • 検査センター・感染性廃棄物処理業者・レセプト・ 窓口業務・給食・清掃・治験会社・売店等 – そもそも契約書を締結しているか? • 個人情報保護に関する覚書の締結 – 秘密保持事項・法令遵守の徹底・再委託・契約終 了後の情報の取扱い・漏洩事故時の対応・損害 賠償などについての事項 30 第三者提供に関するルール • 患者様の同意を得ずに第三者提供はできない • 例え家族であっても第三者という意識を持ち、 同意の取得方法・周知方法を徹底する • 電話での問い合わせなどは要注意 – 民間保険会社・職場・学校などからの照会 – 入院・通院の事実の確認 31 第三者提供に関するルール 第三者提供の例外 • 法令に基づく場合 司法関係・医療法等 • 人の生命・身体又は財産の保護のために必要があり、本 人の同意を得る事が困難な場合 意識不明患者への対応 • 公衆衛生の向上又は児童の健全な育成の促進が必要で あり本人の同意を得ることが困難な場合 児童虐待事例の情報交換等 • 国の機関等の調査に協力する必要があり本人の同意を 得ることが困難な場合 統計調査等 • 業務委託 レセプト提出・検査業務等 • 外部監査機関等への情報提供 病院機能評価 • 他医療機関からの問い合わせ 療担規則 32 開示等に応じるルール • 患者から以下のことを求められた場合には速や かに対応する – 自己情報の開示 政令で定める方法による – 自己情報の訂正 事実に反する内容の場合 – 自己情報の利用停止 利用目的の範囲 – 自己情報の第三者への提供の停止 その求めに理由があることが判明した時 • 本人以外は第三者となることを念頭に置く 33 開示等の例外 • 診療情報の提供、診療記録の開示が、第三者の 利益を害する恐れがある時 • 診療情報の提供、診療記録の開示が、患者本人 の心身の状況を著しく損なう恐れがある時 • その他、診療情報の提供、診療記録の開示を不 適当とする相当な理由がある時 – 不開示理由を文面に記載し詳細は省いてよい。不開 示理由は院内掲示する (医政局医事課) 34 苦情処理対応に関するルール • ガイドラインでは委員会等、対応窓口の設置を求 めている • クリニックでは現実的には専門の窓口は設置不 可能 • 苦情等が発生した場合の院内でのルール作りが 必要 35 万全な対策とは? • どのような対策にも万全というものはないと考えら れる – 充分な対策をしていたにも関わらず結果的に漏れ てしまった場合 – 何も対策をせずに漏れた場合 • 漏洩事故が起きた場合 – 厚生労働大臣からの指導・勧告 – 漏洩社員も罰則対象へ検討 36 想定される損害賠償額は? • 個人情報が漏洩した場合の賠償試算 – 内容によって1、000円から150万円まで 日本ネットワークセキュリティ協会 • 大手エステサロンの例 – 顧客の体型に関する情報が漏洩 – 1人100万円の慰謝料を求める訴訟 – 医療も同等か、これ以上と考えるべき • 最悪のケースを想定し、保険に加入することも一つ の方法 – 各社詳細が違うため損保会社に確認 37 各種対策例1 • 電子カルテなどの端末・画面にプライバシースク リーンを導入 • プライバシーへの配慮 – 問診・病状説明の声 • ナースステーション等の書類の管理 – 温度版・看護記録・検査記録・画像診断記録・各 種指示箋・サマリー・褥創危険因子評価票・イン シデントレポート・クリニカルパス・保険証・入 院申込書、保証書・診察券・各種預かり証など • ナースコールのネームボード、看護記録の背表紙な ど 38 各種対策例2 • 電話での問い合わせの対応には要注意 – 入院・通院の事実 – 自賠責・生命保険など保険会社から健康状態、身 体状態や通院日などの照会への返答 – 学校や職場から患者様の症状や復学・復職の見込 みなどの照会への返答 – 保険者からのレセプトに関する問い合わせ • 不要になった書類・伝票や仮出力したレセプトなど の破棄の際は必ずシュレッダーにかける • 保険証のコピーを取る際は患者様に断る – ※厚生局では保険証のコピーは推奨していません • 診療申込書に工夫をする 39 情報管理チェックリスト 基本的対策のポイント • • • • • • • • • (1)重要な情報を取扱うPCには、ファイル交換ソフト厳禁 (2)PCに無許可でソフトウェアを導入しない(できないようにする) (3)PCを外部に持ち出さない。 (4)ネットワークに私有PCを接続しない(できないようにする) (5)自宅に仕事を持って帰らなくて済むよう作業量を適切に管理す る。 (6)職場のPCから電子媒体に情報をコピーしない(できないように する) (7)漏えいして困る情報を許可無くメールで送らない、または、送れ ないようにする。 (8)ウイルス対策ソフトを導入し、最新のウイルス定義ファイルで常 に監視する。 (9)不審なファイルは開かない。 40 情報管理チェックリスト 管理上の点検項目 • (1)病院、学校、事務所、研究室等で使用するパソコンのセキュリ ティ対策状況(ウイルス対策状況、修正プログラム適用状況)を把 握しているか? • (2)個人情報や機密情報等の外部への持ち出しについてのルー ルを定めておく。 – 個人情報や機密情報等を含む業務情報を記録媒体などにコ ピーして外部に持ち出すことについてルールはあるか? – 持ち出しが認められていない情報が含まれていないか? – 記憶媒体などにコピーされて外部に持ち出された個人情報や 機密情報等を管理できるか? 41 情報管理チェックリスト 管理上の点検項目 • (3)私有パソコンの利用条件を定めておく。 – 私有パソコンを職場に持ち込んで使用したり、職場のネット ワークに接続することについてのルールを定めているか? – 私有パソコンを利用することを許可制にしているか? – 私有パソコンを職場から持ち出す場合のチェックは十分か? • (4)職員へウイルス対策の重要性を再認識させる。 – Winny、Share等による情報漏えい事件の主な発生要因を十 分理解させる。 – 自分は大丈夫だ、自分には関係ないということは間違いである ことの意識改革をさせているか? – セキュリティ対策製品やサービスも完全ではないことを理解さ せているか? 42 情報管理チェックリスト 管理上の点検項目 • 技術対策上の点検項目例(技術上の対策はできているか?) – (1)重要情報に対するアクセス制限を設けているか? – (2)重要な情報に対するコピー制限を設けているか? – (3)重要な情報を暗号化しておくための対策ができているか? – (4)USBメモリ、CD-R、FD、MOなどの記録媒体の利用制限を 設けているか? – (5)私有パソコンの職場内ネットワーク接続に制限を設けている か? 参照:独立行政法人情報処理推進機構セキュリティーセンター(IPA) 43 まとめ • 院内ルールを明確化・具体化する • 患者様の同意を取るか迷った時 – 個人情報を院内で利用 • 利用目的の特定・公表 • 利用目的外の場合は同意が必要 – 個人情報を院外で利用 • 第三者提供=必ず同意が必要 • 法で定める例外規定がある • 発想の転換 – 個人情報は患者様からの預かり物 – 立ち止まって考える勇気 – 「何かに使える」より持つことのリスク – 善意は合法を担保しない 44
© Copyright 2024 ExpyDoc
