平成29年5月30日に改正個人情報保護法が施行されました。これに伴い、厚生労働省から「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」も公表されています。
◆主要改正ポイント
(1)個人情報の定義の明確化
改正前は、何が個人情報なのか具体的には定義されておらず分かりづらい面がありました。改正法では「個人識別符号」が個人情報に含まれることが具体的に明記されています。個人識別符号とは、医療保険の被保険者番号、住民票コード等。以前は単なる数字や記号の羅列なので原則は個人情報に該当しないとされていましたが、改正により個人情報であることが明確になっています。
また、改正法では「要配慮個人情報」という概念が新たに設けられています。いわゆる「機微情報(人種・病歴等)」と言われるものがこれにあたり、不当な差別を受ける原因となる可能性がある個人情報を、特に配慮すべき情報として明確に定めています。
(2)小規模取扱事業者への個人情報保護の義務付け
改正前は、取り扱う個人情報が5,000人以下の小規模事業者は個人情報取扱事業者としての義務は課せられていませんでしたが、改正により原則個人情報を取り扱う全事業者が個人情報保護法の対象となりました。違反した場合には罰則の対象となります。
◆医療機関で留意すべきこと
すでに従来の厚生労働省ガイドラインをもとに、個人情報について対策を行っている医療機関が多いと思いますが、今回の改正により以下の点をあらためて確認する必要があります。
(1)個人識別符号=個人情報であることの認識の徹底
例えば医療保険の被保険者番号は、患者氏名がなくても番号単体で個人情報となります。個人情報保護の対象となる情報であるという認識を院内で徹底しましょう。
(2)要配慮個人情報に対する配慮
病歴・検査の結果等、医療機関で取り扱う情報には要配慮個人情報とされるものが多くあります。すでに厳重に管理されていることと思いますが、要配慮個人情報とされたことで、研究目的による第三者提供等の際にもいっそうの配慮が求められます。
(3)不要な個人情報を取得しない
医療機関では本人確認書類等、個人情報が含まれる書類を扱うことが多くあります。それらに含まれる不要な個人情報を取得することのないよう、マスキングを行うなどの配慮が必要です。
いずれも現場での対応を要するものばかりです。改正を機に院内での運用ルール等を見直してみてはいかがでしょうか。