2025.09.26

医療・介護現場における個人情報保護の基本ルール

個人情報・プライバシー保護

弁護士：岡田信吾

医療・介護分野で取り扱われる情報は、病歴や心身の障害に関する情報など、個人情報保護法上、氏名や住所などの一般的な個人情報に比して厳格な取り扱いが求められている「要配慮個人情報」が大半を占めることも少なくありません。
個人情報保護委員会と厚生労働省が公表している「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」（以下「ガイダンス」）は、医療・介護現場における個人情報保護の羅針盤となる重要な文書です。しかし、ガイダンスを読み解き、日々の業務に落とし込む中で、「このケースは第三者提供にあたるのか？」「本人同意はどこまで必要なのか？」といった判断に迷われる場面も少なくないのではないでしょうか。
本稿では、ガイダンスの要点を分かりやすく解説します。

（１）利用目的を明確にし、患者・利用者に伝える義務
個人情報を取得・利用する際は、「その利用目的をできる限り特定」し、その目的の達成に必要な範囲を超えて取り扱ってはなりません。例えば、診療や介護サービスの提供、保険請求事務といった目的は、患者様や利用者様にとっても明らかですが、院内での研究や学生の実習への協力といった目的は、必ずしも明らかとは言えません。
したがって、事業者は想定される利用目的を網羅的に特定し、院内や事業所内への掲示、ホームページへの掲載といった方法で、あらかじめ公表しておく必要があります。特に、問診票の記入を求める際など、本人から直接書面で個人情報を取得する場合には、利用目的を明示することが義務付けられています。

（２）「要配慮個人情報」の取得には、原則「本人の同意」が必要
診療録や介護記録に含まれる病歴、心身の障害に関する情報、健康診断の結果などは「要配慮個人情報」に該当し、その取得には原則としてあらかじめ本人の同意が必要です。ただし、医療・介護の現場実務に配慮した例外も設けられています。例えば、患者様が自ら受付で保険証を提示し、問診票に症状を記載して受診を申し出る行為は、自身の要配慮個人情報を医療機関が取得することについて黙示の同意があったものと解釈されます。

（３）情報の「第三者提供」に関する厳格なルール
個人データを本人以外の第三者に提供する場合も、原則としてあらかじめ本人の同意が必要です。民間保険会社や職場、学校からの照会に、本人の同意なく回答することは明確な違反行為となります。
一方で、医療・介護の連携を円滑に進めるための例外も存在します。
• 本人の同意が不要な場合：法令に基づく場合（例：感染症の届出、児童虐待の通告）や、人の生命・身体の保護に必要で本人の同意取得が困難な場合（例：意識不明の患者の家族への病状説明）などが挙げられます。
• 黙示の同意が認められる場合：他の医療機関との連携や、外部の医師への意見照会など、「患者への医療の提供に必要な利用目的」として院内掲示等で公表し、本人から明確な反対の意思表示がない場合には、黙示の同意があったものとみなすことができます。この場合、「同意しがたい事項があれば申し出ることができる」旨を明記しておくことが重要です。
家族への病状説明も第三者提供の一環ですが、本人の意識がはっきりしている場合は、あらかじめ誰に説明を行うか確認し、同意を得ておくことが望ましいでしょう。

（４）漏えいを防ぐ「安全管理措置」と、発生時の「報告・通知」義務
事業者は、取り扱う個人データの漏えい、滅失、毀損等を防ぐため、**「必要かつ適切な安全管理措置」**を講じなければなりません。ガイダンスでは、具体的な措置として以下の4つの側面が挙げられています。
• 組織的安全管理措置：個人情報保護に関する規程の整備や責任者の設置、報告連絡体制の整備など。
• 人的安全管理措置：従業者との守秘義務契約、教育・研修の実施など。
• 物理的安全管理措置：入退室管理の実施、個人データを含む媒体の盗難防止措置など。
• 技術的安全管理措置：アクセス制御（ID・パスワード管理）、不正アクセスからの保護（ファイアウォール設置）など。
また、業務の一部（検査、清掃、医療事務など）を外部に委託する場合、委託先が適切な安全管理措置を講じているか監督する義務も負います。委託先を選定する際のチェックや、契約書に安全管理に関する条項を盛り込むことが不可欠です。
万が一、要配慮個人情報を含む個人データが漏えいするなど、個人の権利利益を害するおそれが大きい事態が発生した場合には、個人情報保護委員会への報告と、本人への通知が法律で義務付けられています。

（５）患者・利用者からの「開示・訂正・利用停止」請求への対応
患者様や利用者様本人から、自身の保有個人データについて開示を求められた場合、事業者は原則として遅滞なく応じなければなりません。また、内容が事実でないとして訂正を求められた場合や、目的外利用などを理由に利用停止を求められた場合も、請求に理由があれば応じる義務があります。これらの請求に対応するための手続きをあらかじめ定め、院内掲示等で公表しておく必要があります。その際、本人に過重な負担を課すものであってはなりません。

実際の現場では「これは例外に当たるのか」「この対応で十分だろうか」と判断に迷うグレーなケースが数多く存在します。そのような時、法務の専門家である弁護士は、皆様の事業所を強力にサポートすることができます。

当事務所では、医療機関や介護現場皆様の個人情報管理についても積極的にアドバイスを行っております。ぜひご連絡ください。