THE 3Bees POST



個人情報保護法改正目前!クリニックが抑えておきたい個人情報保護入門

2017年5月26日 at 12:00 PM

来る5月30日、個人情報保護法が全面改正されます。
様々なニュースに隠れて大きく取り上げられることの少ない今回の個人情報保護法の全面改正ですが、実はクリニックを運営する上である程度のインパクトを伴うことが予想されています。最も大きな理由は、今回の改正で、1件でも個人情報を保有していれば「個人情報取扱事業者」として個人情報保護法を遵守する責務を負うことになるためです。したがって、基本的にすべてのクリニックは、その規模に関わらず、同法の定めに従い個人情報を安全に管理することが求められます。

そこで、本稿では、5月30日以降例外なく「個人情報取扱事業者」として個人情報保護法の定める責務を負うことになる一方で、対策に時間を割くことが難しい先生方に、簡単にお読みいただいた上で具体的な対策に繋げていただけるよう下記についてご紹介します。

  1. 今回の改正の最大のポイント
  2. 個人情報の種類と求められる対応
  3. 個人情報保護法5つの基本チェックリスト
  4. 負担にならない「情報セキュリティ対策」
  5. 改正個人情報保護法を知るための資料リンク集

まさに、個人情報保護の「クリニック版入門編」と言える内容になっています。
記事自体は10分程度でお読みいただける一方で、クリニック向けプライバシーポリシーの雛形(監修:クレア法律事務所)、情報セキュリティ安心度簡単チェックシート等、現場で活用できるツールもダウンロードできます。ぜひご活用ください。

すべての医療事業者が「個人情報取扱事業者」に

今回の改正でクリニックが留意すべき点はいくつかありますが、その中で最も大きな点は、基本的にすべてのクリニックが「個人情報取扱事業者」として個人情報保護法上の責務(利用目的の通知・公表、安全管理体制の構築など)を負うことになる点です。これまでは、5,000人分以下の個人情報を取り扱う事業者については適応除外とされていましたが、この除外要件が撤廃されるためです。

また、「要配慮個人情報」が新たに定められ、それらの情報は一般の個人情報よりも厳格な取扱が求められています。個人情報の種類とその取扱については、具体例とともににまとめましたのでご確認ください。

個人情報の定義と具体例

図 個人情報の定義と具体例、および求められる責務

図自体は若干わかりにくくなってしまっていますが、ポイントとしては下記の通りになります。

  1. 個人情報は、その内容により、1)個人情報と、2)要配慮個人情報に分けられ、2)の場合、より厳格な管理が求められる
  2. 個人情報が検索できるよう体系化されたもの(媒体は問わない)は、「個人データ」と呼ばれ、「個人情報」に求められる取扱に加え、「個人データ」としての取扱(トレーサビリティーの確保等)を行う必要がある
  3. 6ヶ月以上保有する「個人データ」は「保有個人データ」と定義され、「個人データ」への対応に加え、本人からの開示や訂正等の要求にも対応する必要がある

クリニックの場合、カルテ等の患者情報は通常6ヶ月以上保有しますから、基本的に「保有個人データ」への対応、つまり、図の下部の「各概念ごとの実施義務」にリストされているすべての項目に対応する責務があることになります。

しかし、そうは言っても一朝一夕に完璧な対応を実施するのは難しいのが現実的ではないでしょうか。そこでおすすめしたいのが、「個人情報保護の5つの基本を抑える」こと、そして、「情報セキュリティのチェック」です。

「個人情報保護法の5つの基本チェックリスト」で基本を抑える

個人情報保護法の基本を抑える上でおすすめしたいのが、個人情報保護委員会がまとめた「個人情報保護法の5つの基本チェックリスト」()の活用です。5項目に絞られているため方針として共有しやすく、要点をしっかりと抑えることができます。

個人情報保護法の5つの基本チェックリスト

表 個人情報保護法の5つの基本チェックリスト

それぞれのポイントについて、簡単にご紹介していきましょう。

1. 個人情報を取得する時のルール

事業者が個人情報を利用するにあたっては、予め利用目的を特定する必要があります。また、個人情報を取得する時は、利用目的を本人に伝えるか、あらかじめHPや掲示などで公表する必要があります(配送伝票への住所記載など、個人情報を取得する際に利用目的が明確であればその限りではありません)。
クリニックにあてはめて考えると、患者情報の利用目的を予め整理し、HPや院内掲示等でプライバシーポリシーとして公表することが望ましい対応と言えます。

そこで、クリニック向けのプライバシーポリシーの雛形を作成しました。ご入用の際にはぜひダウンロードのうえご活用いただければと思います。

▼クリニック向けプライバシーポリシー雛形(監修:クレア法律事務所)
http://lp.3bees.com/template/clinic-privacy-policy

また、上記の雛形にも記載されていますが、個人情報保護法では、個人情報に関する問い合わせ窓口を設置するよう求めていますので、問い合わせ窓口の情報を記載してご利用ください。

2. 個人情報を利用する時のルール

あらかじめ同意を得た目的以外に個人情報を利用することはできません。あらかじめ同意が得られていない目的のために利用する場合には、まず同意を得る必要があります。

3. 個人情報を保管する時のルール

取り扱う個人データの漏洩、減失またはき損の防止、その他の個人データの安全管理のために、必要かつ適切な措置を講じなければなりません。

この点については、先ほど述べた「情報セキュリティの向上」に関わる部分ですので、次項で改めて取り上げます。

4. 個人情報を他人に渡す時のルール

個人情報を他人(第三者)に渡す場合は、安全に管理する必要があります。また、個人情報の漏えい等が起こらないようスタッフの監督を行うことも求められています。

5. 本人から個人情報の開示を求められた時のルール

保有している個人情報について、本人から開示や訂正等を請求された場合には応じる必要があります。

以上、「個人情報保護法の5つ基本チェックリスト」の項目についてダイジェストで見てきました。
下記のPDFに5項目とその解説がまとめられていますので、スタッフの方への共有等にご利用になると便利です。

▼個人情報保護法の5つの基本チェックリスト(個人情報保護委員会)
https://www.ppc.go.jp/files/pdf/personal_2902leaf_smallbusinesses.pdf

現状に合った「情報セキュリティ対策」を行う

「要配慮情報」を多く取り扱う医療機関にとって、情報セキュリティは重要な問題です。一方で、医療業界においては、中小規模のセキュリティーインシデントの発生率が高いという調査結果が報告されています。加えて、最近でも、windowsの脆弱性を突いたランサムウェア(身代金要求型マルウエア)が世界的な混乱を招いていましたが、私たちは、日々進化するサイバー攻撃に対して逐次対応していかなければなりません。情報セキュリティ対策については、100%完璧なソリューションは存在しないものの、実施することで格段にセキュリティレベルがアップする多くのソリューションが存在しています。一方、現状のセキュリティ対策のレベルも施設により様々ですので、まずは下記のチェックリスト等をご活用いただき、大まかで結構ですので、ご自身の施設の現状のセキュリティ対策のレベル感をつかむことをおすすめします。

▼クリニック情報セキュリティー安心度チェックシート
http://lp.3bees.com/template/security-check-sheet

上記のチェックシートで「ひとまず安心」なレベルの場合には、先にご紹介した5つの基本項目をスタッフ間で共有し、基本的な対応を徹底した上で、可能であれば、2018〜2020年に予定されているいわゆる「医療等ID」の導入のタイミングを見据えながら比較的時間をかけて情報セキュリティ対策を検討されるとよいかもしれません。一方、「かなり不安」に近い結果だった場合には、情報漏えい等のリスクを回避するため、「個人情報保護法の5つの基本チェックリスト」の院内での周知徹底と併行して、早めの段階で情報セキュリティシステムの導入を検討されるとよいでしょう。

しかし、セキュリティ対策が重要だとは言っても、クリニックの通常業務を行いながら情報セキュリティにも目を光らせておくのは難しいことです。こうした観点から、弊社ではクリニック向けの統合脅威管理(3BeesUTM)を販売しています。3BeesUTMは、不正アクセスやウイルス、マルウェアなど、一台で様々なセキュリティリスクに対応しており、導入も簡単で、お忙しい診療の合間でも、導入・メンテナンスがしやすいセキュリティ対策ツールです。

新規CTA

おわりに

ここまで、目前に迫った個人情報保護法全面改正への対応について、基本的な内容にポイントを絞ってお伝えしてきました。最後に、さらに詳しくお知りになりたい方にご参考にしていただける、この記事でも参照した資料をリストします。特に、この4月14日に発行された「医療・介護関係者における個人情報の適切な取扱のためのガイダンス」(個人情報保護委員会・厚生労働省)は現時点で最も新しい医療従事者向けの解説であり、具体的例も多く掲載されていますので抑えておくと安心です。

【個人情報保護法全面改訂(2017年5月30日)について掘り下げるための参考資料】
▼個人情報保護法の5つの基本チェックリスト(個人情報保護委員会)
https://www.ppc.go.jp/files/pdf/personal_2902leaf_smallbusinesses.pdf
▼「個人情報」の「取扱いのルール」が改正されます!(経済産業省)
http://www.meti.go.jp/policy/it_policy/privacy/downloadfiles/01kaiseikojinjohopamphlet.pdf
▼医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス(平成29年4月14日 個人情報保護委員会/厚生労働省)
http://www.mhlw.go.jp/file/06-Seisakujouhou-12600000-Seisakutoukatsukan/0000164242.pdf
▼医療・介護関係事業者における 個人情報の適切な取扱いのためのガイドライン(平成28年12月1日改正)
http://www.mhlw.go.jp/file/06-Seisakujouhou-12600000-Seisakutoukatsukan/0000144825.pdf
▼個人情報保護法が改正され、2017年5月30日に施行されるそうですが、企業としてはどのような対応をすればよいでしょうか。(クレア法律事務所、個人情報保護法に関するQ&A)
https://www.clairlaw.jp/qa/cat446/post-90.html

※『2015年組織におけるセキュリティ対策実態調査- 2015年 版~医療業界編〜』トレンドマイクロ社

新規CTA 新規CTA
新規CTA
^