国立大学附属病院長会議
 [ENGLISH
 

個人情報保護に関する質問及び回答(FAQ)

 
H17.2.24
様式・場所 質 問 (Q)
回 答 (A)

  個人情報保護に関する考え方や方針を患者等対外的に公表するための「プライバシーポリシー」の策定にあたっては、各大学不揃いのものを策定するより全国で統一されたポリシーで対応すべきだと考えますが、雛形を提示していただけないでしょうか。 プライバシーポリシーは、各大学(病院)で主体的に検討し、組織内の構成員が共通認識を持つことが重要であると考えます。そのため、ワーキンググループとしては、あえて雛形を提示しません。プライバシーポリシーは、諸外国の病院などのホームページにも公開されていますので、それを参考にしてください。

  大学内の医学部以外の学部の教育のために医学部附属病院が保有する患者の個人データを利用することは第三者提供として制限されますか。 大学内の他学部は第三者とはみなされませんが、医学系以外の教育は利用目的の一つとして列挙されるべき医学教育の範囲外となりますので、その観点から患者の個人データを利用することは制限されることになります。





I

独立行政法人等の保有する個人情報の保護に関する法律(以下「法」という)第12条に基づく開示請求と、診療情報提供との違い(方法、請求資格、料金等)について定義することは必要ですか。
また、患者は、法第12条に基づく請求と、独自に定めた診療情報提供の規程に基づく請求の何れかを選択できると考えて良いですか。
法第12条に基づく開示請求と各法人が独自に定めている診療情報提供とでは、各法人の定め方にもよりますが、ご質問のとおり方法、請求資格、料金等の全部又は一部が異なると思われますので、それぞれの定義を規程で定めることが必要となります。
また、患者側としては、請求資格があれば、必要な情報の種類に応じて、どちらかを選択することが可能になります。



○○大学(附属病院)個人情報保護審査会(委員会)等の項目を規程に明記する必要はないですか。 審査会等については、一般的には、各法人で定めた規程に記載されることになると思われます。法人本部の審査会等の規程において、病院での案件も含まれるような内容となっていれば、病院の規程に記載する必要はないと考えます。法人本部とも相談しつつ、進めていただくのが良いと思います。


02
別紙1の○○大学医学部附属病院の保有する個人情報の適切な管理のための措置に関する規程(案)において、保護管理者は病院長、保護担当者は事務部長になっていますが、 本学では、部局等総括保護管理者として病院長、保護管理者として本院の文書管理者で ある各課長、保護担当者として文書管理担当者(文書管理者の指名する者)をもって充てる方向で検討が進められています。大学により状況も多少違うと思われるので、運用しやすいようそれぞれの大学の裁量により定めることはできませんか。 あくまでも雛形ですので、各法人の現状に合った規程(職指定)としてください。


07
医師と患者とが診療情報を共有することによって、両者の良好な関係を築くため、診療情報を積極的に患者に提供する場合があります。具体的には、医師が診察中に当該患者の検査結果等などを電子カルテ画面から印刷し、それを当該患者に説明した上で渡すケースが、その一例です。この場合、「電子カルテ画面から印刷」の行為は、「保有個人情報の複製」に該当すると考えられ、規程案第7条「保護管理者の指示に従い行う。」により、病院長又は医療情報部長に指示を求めることになり、実際上では診療に支障を来たします。一方、ガイドライン案I-10では、「・・診療情報の提供に関する指針に従う・・」であり、前述の趣旨に合致するものと思われます。従って、規程案の第7条には、「保有個人情報の複製」に対して、ガイドライン案I-10の趣旨に則って、「ただし、保有個人情報の複製に関し、本人の同意があれば保護管理者の指示があったものとみなす。」などの適用除外条文が必要なのではないでしょうか。 規程案第7条において複製に対する注意を定める理由は、複製が本人の想定しない人や機関に流出する恐れのあるためです。従いまして、ご質問のようなケースはそれに該当せず、規程案第7条の関係では、明示された利用目的の範囲内であるかぎり予め保護管理者による包括的な指示があるとみなされます。


10
第5章に関して保有個人情報の取扱いが記載さてれいますが、消耗品について特に記載されていません。第10条だけで消耗品も含まれると判断してもよいですか。(例えば、使用済みのインクリボンには、患者番号、氏名等の患者情報が残っている場合があり、それらの対応も考えた方が良いのではないでしょうか。) インクリボンに記載されている個人情報についても、各機関において、業務上取得した情報については、適切に取り扱われることが望まれます。


23
第7章にあるような情報システム室等の安全管理を行うには、けっこう手間がかかるのではないかと思われる事項がありました。立会いのかわりに監視と記録の装置をつける等の対応でも良いのでしょうか。 ご指摘のことは「立会い等」の「等」として解釈することができます。各機関の判断で必要な措置をとっていただければ良いと思われます。


26
第26条で、賠償責任に関する項目が必要ではないでしょうか。例えば委託業者が何らかのミスで情報を漏らした場合に、その影響の度合により賠償が生じる場合があるので、その際は協議する等が必要です。 賠償責任については、第26条第1項第4号及び6号の記述に含まれています。具体的には、個別の委託契約書の書面上で賠償責任について記載することを想定しています。


3

(2)
3.(2)及び(3)で情報の内容で訂正することが出来るとありますが、患者側の間違った言い分をも訂正することになりますか。情報の内容について訂正するには、患者と病院側との協議が必要であることを明記すべきと思いますがいかがでしょうか。 訂正については、各機関が「当該訂正請求に理由があると認めるとき」に行なわれることとなります(法第29条)ので、訂正請求に応じるかどうかについては機関としての調査・判断を行い、請求者に訂正・不訂正の結果を回答することとなります(法第30条)。
上記の手続きが法律上規定されていますので、協議について必ずしも明記する必要はないと思います。
患者配布用資料(別紙4)には「制限がある」旨を記載してあります。


3

(2)
「3.患者様の権利について」の「(2)個人情報の訂正請求権について」訂正できる場合を開示を受けた日から90日以内に限っていますが、個人情報の内容が事実でないと認識したときは、訂正、更新しなければならないので、個人情報の内容が事実でないと判断されたときは、いつでも訂正請求できるようにしておくべきではないでしょうか。 訂正できる期間ではなく請求することのできる期限です。事務処理等の都合により一定の期間(90日)は必要ですが、90日以降でも必要があれば再度開示請求することができます。また、内容が事実と異なれば病院(法人)側が自主的に訂正(法第6条:正確性の確保)をしなければならないこととなります。

 

Copy right(c) 2016 National University Hospital Council of japan
事務局へのお問い合せ