個人情報保護法への誤解
「個人情報の保護に関する法律」(平成十五年五月三十日法律第五十七号)ほど、医療介護の世界でさまざまな誤解にさらされてきたものはない。ここでは「個人情報保護法」と略称するが、この法律は、個人情報の高度利用を促進するための基盤整備を行うという性質が強く、決して個人情報の利用を取り締まるための法律ではない。ところが、医療介護分野では、個人情報の漏洩を取り締まられるのではないかという意識があまりにも強すぎて、たくさんの過剰反応が起こってきたように思われる。
2005年4月1日に個人情報保護法が施行されるとともに、外来で患者さんの名前を呼ぶのは同法に違反していないか、入院している部屋の前やベッドの頭上に患者さんの名前を書いておくのは大丈夫か、などと想像もしていなかった不思議な疑問の渦がひろがり、次第に「個人情報」パニックの様相を呈していった。警察から医療機関に捜査情報の提供を求めても、令状を持ってこなければ返事をしないという方針の医療機関さえ現れた。
こういう不思議なパニックが起こる原因は3つほど思いつく。第一に、「どんなに話題になった法律であっても、条文を読んでみる人は少ない」ということがあるのではないか。せめて、法律の目的を定めた条文がある第一条だけでも読んでもらえればとさえ思うが、実際に読む人が少ないから流言飛語が飛び交うことになる。
第二に、刑法に医師の守秘義務の規定があり、医療職に守秘義務が課されていることが漠然と意識されていながら、医療現場の管理不十分の後ろめたさが背景にあったかもしれない。有名タレントが入院すると医療目的とは思えないほど電子カルテの閲覧が集中するという、プロ意識と規律の欠如としかいいようのない話も耳にする。
第三に、個人情報については患者自身に「情報コントロール権」があるという考え方そのものが、「カルテは医療機関の支配下にある」と信じてきた90年代までの日本の医療界の強固な通念にひびを入れたために、パニックが広がったのかもしれない。
個人情報保護法のポイント
【法律全体の目的】
法律全体の目的を定めた第1条をまず引用する。「この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ(中略)個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。」
キーワードは、高度情報通信社会の進展に伴う個人情報の利用の拡大である。もちろん、個人情報の有用性とともに個人の権利利益の保護とのバランスをとっていくことは重要である。だから、その調整の手段として、個人情報を取り扱う事業者の遵守すべき義務等を定める、としているのである。
今や世界中で大容量の情報通信インフラストラクチャーが整備され、診療記録は、医師の記載であれ、検査データであれ、CTやMRIの画像データであれ、携帯電話からアクセスすることが技術上はどこでも可能になっている。患者個人がアクセスできるだけでなく、医療情報の活用による医療技術の進歩や医療経済の改革に大きな期待が寄せられている。医療を含むさまざまな分野がそのような大きな変化に対応しようとして、個人情報保護法の制定に至ったといえるだろう。
【個人情報の利用目的と同意】
個人情報の利用目的と本人の同意についてのポイントは、15条と16条に記載されている。15条1項は、「個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。」と定めている。「できる限り」でよいというのは、法律としては実に寛大な規定の仕方である。
さらに15条2項は、「個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。」と定めている。つまり、最初の利用目的と相当の関連性があれば、合理的な範囲で後から変えることができるということを意味する。
15条の規定を受けて、16条に同意の規定がある。「個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。」と規定されている。患者さんは診療を受ける目的で病院にやってくる。診療を受けることについての同意はある。それと関連性のある合理的範囲内で医療機関は個人情報を利用することになる。外来で名前を呼ぶことにも気を遣うというのは、少なくとも法律の条文が想定していたものとはまったく違う過剰反応といわざるを得ないだろう。
【同意を不要とする例外規定】
16条3項は、本人の同意なく個人情報を利用できる例外規定をおいている。どんなときに本人の同意不要になるのだろうか。
「一 法令に基づく場合 二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。」と規定されている。もちろん、個人情報についても自己決定権があり、情報コントロール権があるというのは大切な考え方なのだが、何か法令の規定があれば例外になる。刑事訴訟法に基づく任意捜査だけでなく医療法・医師法・健康保険法や療養担当規則、介護保険法など、医療介護に関与するあらゆる組織が関与する「法令」は膨大な数に上るだろう。それらは「法令に基づく場合」として個人情報利用について同意が不要となる根拠となりうる。さらに、生命身体財産の保護や公衆衛生の向上や児童の健全育成などの目的も、同意を不要とする広範な例外規定となっている。
さらに、23条は、「個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。」という規定をおいている。この規定は、「次に掲げる場合を除く」という除外規定の方が重要である。どのような場合に第三者提供についての本人の同意が不要になるかぜひ条文を読んでみていただきたい。16条3項の一、二、三、四と同じ規定がおかれ、本人の同意を不要とする広範な例外規定となっている。
【適用除外と罰則規定】
これだけ緩やかな規制になっていれば、どのような個人情報取扱事業者にも適応してもよさそうな気さえするが、個人情報保護法は慎重にも慎重を重ねて、これまで述べてきたような「義務」の適用除外規定を50条に置き、報道機関(報道を業として行う個人を含む。)、著述業者、大学その他の学術機関や団体、宗教団体、政治団体は適用除外としているのである。
罰則規定は、一応あることはあるが、まず主務大臣からの是正勧告を受け、次に是正命令が出されることが先という制度設計になっている。
個人情報保護法の教訓と未来
個人情報保護法が規制法でも処罰法でもないことは、条文を少し読んでみるだけで明らかになる。その目的は、高度情報通信社会における個人情報の利用促進と、個人の情報コントロール権のバランスをとることである。極論と過剰反応を繰り返していては、バランスのよい発展は望めない。この10年で、世界規模の情報化は急速に進展し、ますますその勢いを増している。個人の医療情報利用について、日本の立ち遅れが目立ち始め、次第に世界に取り残された「ガラパゴス化」も指摘されている。目的のために制度をバランスよく制定・運用していく知恵が一層必要になっている。
※ この記事は月刊誌「WAM」平成26年7月号に掲載された記事を一部編集したものです。
月刊誌「WAM」最新号の購読をご希望の方は次のいずれかのリンクからお申込みください。