第2回 J&T 治験塾(東京芸術劇場 ’10,1/29) プライバシー保護と個人情報保護 判例及びプライバシーポリシーの紹介 J&T治験塾 塾長 辻 純一郎 (昭和大学医学部 第二薬理学教室 客員教授・法学博士) Copyright 2009 J&T Institute Ltd. 1 本日の内容 個人情報保護法とプライバシー保護 プライバシー保護、刑法の秘密漏示罪との関係 個人情報保護法を使ってのカルテ開示請求訴訟 (東京地裁) レセプト内容の訂正請求訴訟(最高裁判決) 三菱UFG証券顧客情報流失事件 情報は一旦漏洩すると取り返すのは不可能 個人情報保護法遵守のポイント 質疑応答 Copyright 2009 J&T Institute Ltd. 2 1 個人情報 & プライバシー保護 個人情報保護も大事ですが 医療安全はもっと大事です 患者が求めているもの → プライバシー保護 ! まだまだ誤解が見られます・・ Copyright 2009 J&T Institute Ltd. 3 プライバシーと個人情報 プライバシー ・・the Right to be let alone 法的に保護されるための3要件(宴の後事件判決) ① 私生活上の事実、 又は事実らしく受け取られるおそれのある事柄であること ② 一般人の感受性を基準にして当該個人の立場に立った場合、 公開を欲しないであろうと認められる事柄であること ③ 一般の人々に未だ知られていない事柄であること 個人情報 ・・ 個人を特定できる情報(2条1項) 生存する個人に関する情報であって、当該情報に含まれる氏名、 生年月日その他の記述により特定の個人を識別することができる もの(他の情報と容易に照合することができ、それにより特定の 個人を識別することができるものを含む) Copyright 2009 J&T Institute Ltd. 4 2 法を考える際の大事な視点 法を考える際の2つの視点 ① 保護法益は何か、② 誰からそれを守るのか 個人情報保護法の保護法益 ・・個人情報取扱事業者の遵守すべき義務等を定める ことにより、個人情報の有用性に配慮しつつ、個人の 権利利益を保護することを目的とする 秘密漏示罪の保護法益 最近の考え方 → 私的領域内における他人からの干渉の自 由、人格、個人の秘密、プライバシーなどの保護 *法の後追い的側面は否めない → 立法目的を意識する Copyright 2009 J&T Institute Ltd. 5 法施行と警察の困惑事例 死因不明の遺体を検死。近くに病院の診察券 病歴についての質問に → 家族の同意が無いと答えられません 交通事故や傷害事件の当事者の怪我の程度について 同意が無いと答えられません(意識不明者の場合も同様の答え) 関係者のアリバイ捜査にも同様の回答 過剰反応は厚生労働省GL(医師会GL)が背景に? 警察庁の申し入れで、事例集にQ5-24,25を追加 法令上の具体的根拠に基づくものは、第三者提供の例外(法23条1項1 号)に該当し違法ではない 災害発生時の照会は、同4号に該当し即答 OK 受付で名前を呼ぶことも、病室に名前を表示することも問題なし ・・ 患者取り違えの方が問題です : 医療安全第一! http://www.mhlw.go.jp/topics/bukyoku/seisaku/kojin/dl/170805iryou-kaigoqa.pdf Copyright 2009 J&T Institute Ltd. 6 3 個人情報保護法を巡る混乱 国民が求めているものは ” 個人情報”保護というより”プライバシー”保護 本法は、個人情報取扱事業者を取締る業法 *業法との視点で読み直すと → 無用な混乱が防げ、何をなすべきかが明確になる 課題:情報窃盗罪・差止請求・損害額推定規定が必要 ex. 迷惑メールで困っていませんか 情報はコントロールできない。漏洩したら取り戻すこ とは不可能 ex. 三菱UFG証券顧客情報流失事件 対応 → プライバシー保護の視点で取り組む 同時に、ベストを尽くしているという証拠を残す Copyright 2009 J&T Institute Ltd. 7 内閣府 20年度説明会 資料から Copyright 2009 J&T Institute Ltd. 8 4 個人情報3つの区分 個人情報 個人を識別できる情報 事業者の責務 → 利用目的を特定し、その利用目的の達成に必要な範 囲内でのみ個人情報を取り扱う。適正な方法で取得し、取得時に本 人に対して利用目的の通知・公表等をする 個人データ 検索可能なように整理されているデータ 事業者の責務 → 正確・最新の内容に保つように努め、安全管理措置 を講じ、従業者・委託先を監督する。予め本人の同意を得なければ、 第三者に個人データを提供してはいけない 保有個人データ 開示や内容の訂正権限のあるデータ (但し、6ヶ月以内に消去するものは除く) 事業者の責務 → 利用目的などを本人の知り得る状態に置き、本人の 求めに応じて、開示、訂正、利用停止等を行う。苦情の処理に努め、 そのための体制を整備する Copyright 2009 J&T Institute Ltd. 9 国立病院などの場合 国立病院の場合、個人情報ファイルの作成・公表義務がある 国立病院の職員が診療情報の漏洩をすれば2年以下の懲役又は100万 円の罰金(cf. 民間病院の場合、6ヶ月以下の懲役又は30万円以下の 罰金)と民間に比べ罰則が重い 個人情報の定義が厳格 → 民間病院では「他の情報と‘容易に’照合 することができ、それにより特定の個人を識別することができること となるものを含む」とするが、国立病院や独立行政法人の場合は ‘容 易に’の要件が無く定義が厳格である 民間病院の場合、6ヶ月以内に消去される保有個人データは法の対象 外とされるが、国立病院の場合1年と長い 開示請求に係る代理人の範囲を広く認めるが、国立病院や独立行政法 人の場合、「未成年者又は成年被後見人の法定代理人」と狭いので注 意が必要である 開示手数料は国立病院の場合1件300円と決められているが、民間病 院の場合、社会的妥当性ある手数料(ex. @5,000円)の徴収ができる Copyright 2009 J&T Institute Ltd. 10 5 内閣府 20年度説明会 資料から Copyright 2009 J&T Institute Ltd. 11 通知もれを無くすには 詳細なプライバシーポリシーのHP公表が有効 大学病院や臨床研究実施施設では 1.(大学)病院の使命(ex. 研修病院であることなど) 2.診療情報の取扱について 臨床研究倫理指針など各ガイドラインに応える 3、(大学)病院職員の責務 4、治療・支払い・医療業務管理のための開示の例 5.相談及び苦情先、情報管理責任者名、申請書式 6.その他: 医療機関等を取り巻く診療情報の流れ(イメージ) 介護保険サービスにおける情報の流れ(イメージ) cf. 拙稿「補償・賠償と個人情報保護法対応の実務 Q&A(じほう)」 Copyright 2009 J&T Institute Ltd. 12 6 内閣府 20年度説明会 資料から Copyright 2009 J&T Institute Ltd. 13 診療録 開示請求事件 東京地裁 H.19年6/27 判決(確定) 事案の概要 H.18年5月末、X1、X2はY眼科医院を受診し、同6月、7月各診療録 の開示請求を行うも、Y眼科医院は拒否し、提訴まで本人に通知をし なかった。 X1、X2は個人情報保護法25条に基づき開示請求を行う と共に、開示拒否を遅滞無く通知する義務を怠ったことによる慰謝料 として、各10万円の損害賠償を求め東京地裁に提訴 争点 ① 個人情報保護法25条1項に基づく開示請求の可否 ② 本件は25条1項に規定する除外事由が認められるのか ③ 本件請求は権利の濫用に当たるのか ④ 25条2項違反に基づく慰謝料請求が認められるのか Copyright 2009 J&T Institute Ltd. 14 7 診療録 開示請求事件 判決 個人情報保護法25条1項に基づく開示請求の可否 について 裁判所の判断 → 法は、開示請求に係る苦情処理について、個人情報取 扱事業者、業界団体による自主的な紛争解決を期待して おり、そのために本人が裁判外の各種方法によって苦情 の解決を求められる仕組みを設けると共に、自主的な解 決ができない場合の主務大臣による関与の仕組みを設け ているとし → 同項は、本人に保有個人データの開示請求 権を付与した規定であると解することは困難であって、 本人は、同項の規定の基づき、個人情報取扱事業者に対 し、保有個人データの開示を、裁判手続きにより請求す ることはできない *一部に不当判決との声も Copyright 2009 J&T Institute Ltd. 15 内閣府 20年度説明会 資料から Copyright 2009 J&T Institute Ltd. 16 8 診療録 開示請求事件 判決 25条2項違反に基づく慰謝料請求 について 裁判所の判断 → 同項の趣旨は、個人情報取扱事業者の決定の理由を早 期に知らせることにより、本人に苦情の申出等のその後 の対応をより行い易くする点にあると解され、各種の苦 情の申出手続きは必ずしも同項の規定による通知が存在 しないとなし得ないものではないことに鑑みると、開示 請求3ヶ月後に開示しないことを明らかにしたとしても、 Yの不作為によってX1らに金銭をもって慰謝されなけれ ばならない精神的苦痛が生じたとまでは認められない、 として原告らの請求をいずれも棄却 Copyright 2009 J&T Institute Ltd. 17 裁判に対する誤解 判決は個別事情を踏まえ判断したもの → 判決を鵜呑みにするのは危険 判決は、特段の事情が無ければ、との注釈付な判断である 裁判所は真実の究明をしてくれる? 裁判では正しい方が勝つ? 医療過誤訴訟の現実 ① 権利を主張する側に証明責任がある → 立証責任の壁 ② 裁判所は主張・立証の範囲内でジャッジするだけ ③ 裁判に引き分けはない → 自由心証主義による勝ち負け判定 ④ 手続き的正義(①を補正):武器対等の原則 → 推定則の活用 ⑤ 欠陥が証明できれば過失(民法709条)は認定される ⑥ 医療訴訟では、説明不充分(債務不履行)による損害は → 原則として慰謝料に限定されるが 財産的損害を慰謝料でカバーする例もある・・バランス考慮 民事訴訟は原告の請求権の可否を問うだけ Copyright 2009 J&T Institute Ltd. 18 9 法律の世界の約束ごと 法律上の当事者関係は権利と義務の関係に置き換えるこ とができる(ex.被害と加害者 ≒ 権利と義務) 法律の条文は a+b+c=xと書いてある a・b・c を法律要件、x を法律効果という ex. 民法709条「故意又は過失(a)に因りて(b)他人の権利を侵 害(c)したるものは、之に因りて生じたる損害の賠償の責(x)に 任ず」 主張・立証責任はすべて権利を主張する側にある * 裁判官による釈明権(発問その他)の行使 ・・弁論主義による不公正を補正するのが訴訟指揮権の一環 刑事事件 → 当事者の意思とは無関係に、犯罪として処罰 する必要ありとされれば刑事事件として立件される Copyright 2009 J&T Institute Ltd. 19 三菱UFG証券顧客情報流失事件 事案の概要 システム部元部長代理が148万人分の顧客情報を不正 に引き出し、20年10月から21年1月にかけ約5万人分 を名簿業者3業者に売却 → 不動産業者や商品先物取引 業者等に転売され 21,4/17までに7,500件の苦情 → 4/14、社長を本部長とする対策本部を設置。生損保 30社が取引停止、秋に予定のモルガンスタンレー証券 との統合に暗雲も 個人情報保護法や刑法の限界 (電子データは財物に該当しないとされるので)窃盗 罪や業務上横領罪の立件は無理 → 不正アクセス禁止 法違反容疑での立件へ 情報窃盗罪の規定が無いことが問題! Copyright 2009 J&T Institute Ltd. 20 10 インターネット社会の中では 情報は囲い込むことはできない! カルテは誰のものか or プライバシーコントロール権という考え 方は、誤解を招く → プライバシ-権と呼ぶのが相応しい(私見) *この考え方をするには、 情報の権利主体の存在が前提として、ある種の財産権的な考え方 + 特定の個人情報と権利主体の一致が必須 *漏洩すると取り返すことは不可能なのが情報の特質! 財産権(モノ)との違いを意識する コンプライアンス違反は必ず露呈する 医療過誤事件の新聞報道はその殆どが内部者からの告発 外部告発の前に内部告発(ヘルプライン)の制度を構築する コンプライアンス ≒ 社会の要請に応えること (裁判では)ベストを尽くしていたということを示すことが重要 Copyright 2009 J&T Institute Ltd. 21 取扱事業者の責務(法20条) 組織的安全管理措置 個人データの ① 安全管理措置を講ずるための組織体制の構築 ② 規程等の整備と規程等に従った運用 ③ 個人データの取扱い情況を一覧できる手段の整備 ④ 安全管理措置の評価と見直しや改善 ⑤ 事故又は違反への対処 人的安全管理措置 ① 雇用契約時及び委託契約時における非開示契約の締結 ② 従業者(アルバイトを含む)に対する教育・訓練の実施 *個人情報の漏洩事件の70%は内部者からの流失! 防止には「見てくれている」という安心感 & 「見られている」という緊張感の2つがポイント! Copyright 2009 J&T Institute Ltd. 22 11 取扱事業者の責務(法20条) 物理的安全管理措置 ① 入退館(室)管理の実施 ② 盗難等の防止 ③ 機器・装置等の物理的保護 cf. 厚生労働省告示第259号(事業者が講ずべき措置に関する指針) 技術的安全管理措置 ① 個人データへのアクセスにおける識別と認証 ② 個人データへのアクセス制御 ③ 個人データのアクセス権限の管理 ④ 個人データのアクセス記録 ⑤ 個人データを取り扱う情報システムについての不正ソフトウエ ア対策 ⑥ 個人データの移送・送信時の対策 ⑦ 個人データを取り扱う情報システムの動作確認時の対策 ⑧ 個人データを取り扱う情報システムの監視 Copyright 2009 J&T Institute Ltd. 23 病院機能評価 では どこを視るか チェック項目 ① 個人情報保護規程、運用手順が整備されているか ② 個人情報が物理的・技術的に保護されているか → 鍵、シュレッダー、溶解処理、デバイスプロテクト、可搬記憶媒 体、ネットセキュリティ、パスワードなど ③ 運用手順の遵守状況 → ダウンロード規約、個人情報利用規約、患者名匿名化、外部から の問い合わせ対応など 一つでも満たさない場合はCとなり、Cがあると不合格 医療機関が自ら基準を決め、それを職員に徹底させてい るかどうかを評価する cf. 第二領域 2.2.1.4 個人情報が適切に保護されていること Copyright 2009 J&T Institute Ltd. 24 12 医療機関でお話してきたこと チーム医療での診療情報の扱いは、これまでと同じで よい ・・ 医療安全第一です 治療目的外での使用、及びチーム外に診療情報を出す 場合には、原則として本人同意が必要! ★ 利用目的による制限や第三者提供の除外規定 ① 法令に基づく場合(ex.薬事法に基づく副作用報告) ② 人の生命、身体、財産保護に必要+本人同意困難 ③ 公衆衛生の向上などに特に必要+本人同意困難 ④ 法令の定める事務遂行への協力+本人同意が当該事務の遂 行に支障を及ぼすおそれがある場合 診療情報を扱う場合、個人情報保護法に加え、各指針 やガイドライン遵守の上乗せ保護が必要 Copyright 2009 J&T Institute Ltd. 25 医療関連のガイドラインや指針 医療・介護関係事業者における個人情報の適切な取扱のためのガイド ライン ヒトゲノム・遺伝子解析研究に関する倫理指針 遺伝子治療臨床研究に関する倫理指針 疫学研究に関する倫理指針 臨床研究に関する倫理指針 症例報告を含む医学論文及び学会研究会発表における患者プライバ シー保護に関する指針(外科関連学会協議会) 遺伝子的検査に関するガイドライン(遺伝医学関連学会) ヒト遺伝子検査受託に関する倫理指針(日本衛生検査所教会) 健康保険組合等における個人情報の適切な取扱のためのガイドライン 雇用管理に関する個人情報の適正な取り扱いを確保するために事業者 が講ずべき措置に関する指針 日本医師会 診療情報の提供に関する指針 厚生労働省 診療情報の提供等に関する指針 など Copyright 2009 J&T Institute Ltd. 26 13 個人情報保護法対応のポイント 1)予め利用目的をできるだけ特定し、その利用目的の達成に必要な範囲内でのみ 個人情報を扱う 2)個人情報は、適正な手法で取得し、利用目的を本人に通知するか予めプライバ シーポリシーを公表しておく 3)個人データは、利用目的に必要な範囲内で正確かつ最新の内容に保持するよう に努め、安全管理措置を講じて置くと共に従業員や委託先を監督する 4)法令等に定めがある場合を除き、予め本人の同意を得なければ第三者に個人 データを提供してはならない 5)保有個人データは、利用目的などを本人が知り得る状態に置き、本人の 求めに応じ、開示、訂正、利用停止等を適切に行なう 6)苦情処理に努め、そのための体制を構築する cf. 対応窓口 → 診療情報:医事課 その他の個人情報:総務課 7)医療情報の取り扱いにあっては、各個人情報保護法に加え、厚生労働省 他の各ガイドライン、倫理指針を遵守し、プライバシーを保護する Copyright 2009 J&T Institute Ltd. 27 参考文献 日本医師会「医療機関における個人情報保護」 拙稿「補償・賠償と個人情報保護法対応の実務 じほう」 樋口範雄「続・医療と法を考える(有斐閣)」 折井孝男編「医薬品情報学 南山堂」 高久史麿監修「臨床試験のABC 日本医師会」 増原慶壮ほか「医師との協議・患者面談マニュアル じほう」 津谷喜一郎・内田英二「くすりとエビデンス 中山書店」 拙稿「医療におけるクライシスマネジメントとリスクマ ネジメント(コーポレートコンプライアンス季刊誌14号)」 医学ジャーナリスト協会訳「人は誰でも間違える 日本評論社」 J&T研究会「PL対応ハンドブックQ&A117 じほう」 判例タイムズ DVD、判例百選 DVD(㈱LIC) Copyright 2009 J&T Institute Ltd. 28 14
© Copyright 2025 ExpyDoc
