患者情報漏洩の危険！カルテの開示請求の正しい対処法とは？

はじめに

医院、クリニックにおいて、患者からカルテの開示を求められる場合があります。

開示請求の内容としては、診断書や同意書などの「文書」、血液検査や心電図などの「検査結果」、症状や経過、投与薬剤などの「記録」といったものがあります。

患者側の立場からしたら、どれも気になる情報ばかりですよね。

一方、請求を受けた医院側では、「何か不満があるのでは？」、「訴訟を起こされるのだろうか？」といった懸念から、開示を拒否しようとするケースもあります。

医院側としては、患者とのトラブルになり得る可能性のあるものは、なるべくなら避けたいもの。

ですが、法律的には、原則として診療記録の開示が義務づけられているのです。

但し、開示内容には、患者や医師が特定できる「個人情報」が含まれているため、取り扱いには十分な注意が必要です。

そこで今回は、カルテの開示に関する正しい知識と、個人情報の取り扱いで注意しなければならないポイントについてお伝えしていきます。

カルテの開示に関連する個人情報保護法とは？

診療記録には、患者や、診療を行った医師を特定することができる個人情報が多く含まれています。

つまり、診療記録を開示することは、個人情報を開示することでもあるのです。

従って、診療記録の開示については、「個人情報保護法」（正式名称：個人情報の保護に関する法律）が適用されることになります。

個人情報保護法は、個人情報の不正利用や不適切な取り扱いを防ぐため、個人情報を取り扱う事業者を対象に個人情報の取り扱い方についての義務を課す法律です。

2005年から施行されており、違反した場合は、刑事罰が科される場合もあるのです。

更に、2017年には、「対象となる個人情報の明確化」や「適切な利活用を進めるための規定」などを盛り込んだ「改正個人情報保護法」が施行されました。

個人情報の定義としてはいくつかの解釈がありますが、個人情報保護法では以下のように定められています。

「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」

また、経済産業分野を対象とするガイドラインでは、個人情報について以下のように定義しています。

「氏名、性別、生年月日等個人を識別する情報に限られず、個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報」

つまり、顔写真やDNA、指紋、虹彩はもちろん、旅券番号や基礎年金番号、免許証番号、マイナンバーなどの「個人識別符号」も個人情報に含まれるとしているのです。

通常、医院やクリニックを含めた医療機関は、個人情報保護法上の「個人情報取扱事業者」に該当します。

個人情報保護法上、患者本人は、個人情報取扱事業者に対して、カルテなどの個人情報の開示請求ができると定めています。

したがって、個人情報取扱事業者である医療機関は、そのような請求があった場合は、原則として患者本人の個人情報を法令の定める方法により開示しなくてはならないのです。

医院側の都合や解釈で、開示を拒否できるものではありません。

カルテの開示を拒否できる場合

しかし、このように個人情報の開示を義務付けている一方で、診療記録の開示を拒否できる場合もあります。

個人情報保護法では、以下のいずれかに該当する場合に、開示を拒否できると定めています。

1. 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
2. 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
3. 他の法令に違反することとなる場合

また、厚生労働省医政局医事課が発令した「診療情報の提供等に関する指針」では、以下のいずれかに該当する場合に、開示を拒否できると定めています。

1. 診療情報の提供が、第三者の利益を害するおそれがあるとき
2. 診療情報の提供が、患者本人の心身の状況を著しく損なうおそれがあるとき

しかしながら、実際にこれらの例外事由に該当するか否かの判断が難しいケースもあります。

医院側が自らの都合で判断するのではなく、きちんと弁護士など法律の専門家に相談するなどして、慎重に行う必要があるのです。

第三者から開示請求された場合の対処法

患者本人からではなく、第三者から診療記録の開示の請求がある場合があります。

個人情報保護法においては、こういった場合、あらかじめ本人の同意を得ていなければ、開示は原則禁止となっています。

つまり、これまでとは逆に、医院側は開示を拒否しなければならない立場にあるのです。

個人情報取扱事業者による、外部への情報の流出は、決してあってはなりません。

ただし、この場合も例外があり、開示が可能な場合があります。

例えば、裁判所や弁護士会といった機関からの開示請求など、法令に基づく場合は開示しても問題ありません。

しかし、開示請求が法令に基づくか否かの判断は、やはり法令の内容を知っている専門家でないと難しく、医療機関が独断で決められるものではないのです。

一度、外部に流出してしまった情報は、回収はほぼ不可能です。

取り返しのつかない事態になる前に、院内できちんと情報の取り扱いルールを決め、関係者に周知徹底させておく必要があるのです。

個人情報取扱事業者が守るべき４つの義務

平成27年に個人情報保護法が改正されたことにより、ほぼ全ての企業が「個人情報取扱事業者」となりました。

つまり、ほぼ全ての企業に対して、個人情報保護法が適用されることとなったのです。

それだけ、個人情報の取り扱いには十分注意しなければならない世の中になったと言えるでしょう。

これにより、医院・クリニックの経営者に対しても、遵守すべき義務が課されることとなりました。

単に情報漏洩を防ぐだけでなく、個人情報保護におけるルールをしっかりと守り、企業としての信用を失墜させないよう努めなければならないのです。

個人情報取扱事業者として遵守すべき義務は、以下の4つです。

1. 取得・利用について

・利用目的を具体的に特定し、本人に通知、または公表したうえで、その範囲内でのみ利用すること。

「△△事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用致します。」といった、具体的な内容を示す必要があります。

単に、「当社の事業活動に用いるため」や「当社の提供するサービスの向上のため」では、利用目的を具体的に特定したことにはなりません。

また、利用目的の範囲を超えて個人情報を利用する場合には、「本人の同意」が必要ですのでご注意ください。

2. 保管について

・取得した個人情報を安全に管理・保管するためのルールを定め、従業員に周知・教育を行い、漏えいなどが生じないよう管理すること。

特に、情報の管理・保管に関しては、外部への流出にも及ぶ危険性のある極めて重要な部分ですので、しっかりと対策をしなければなりません。

「紙媒体の書類は、施錠可能な引き出しに保管する」、「パソコンで管理する場合は、ファイルにパスワードを設定する」といった、具体的なルールの取り決めを行いましょう。

なお、個人情報を委託する場合は、委託先にも安全管理を徹底させる必要があります。

3. 提供について

・ 第三者に提供する場合は、あらかじめ本人の同意を得ること。

・ 第三者に提供した場合、および第三者から提供を受けた場合は、「いつ・誰の・どんな情報を・誰に提供した、もしくは誰から提供された」を記録し、原則３年間は保管すること。

例えば、グループ企業間や、フランチャイズ組織の本部と加盟店の間であっても、「第三者提供」に該当するので、本人の同意が必要です。

また、同一の会社内であっても、当初と異なる目的で利用するのであれば、「第三者提供」ではありませんが、「利用目的の変更」として「本人の同意」が必要となります。

4. 本人からの開示請求への対応について

・ 本人からの開示等の請求があった場合は、これに対応すること。

・ 苦情等に適切かつ迅速に対応すること。

本人から、個人情報の開示の請求があった場合、個人情報取扱事業者はこれに対応しなくてはいけません。

また、個人情報の訂正、利用停止、削除、第三者への提供の停止などの請求があった場合も、適切かつ迅速に対応しなくてはならないとされています。

以上、個人情報取扱業者として守るべき4つの義務をお伝えしました。

医院、クリニック内でも、関係マニュアルを作成するなどの環境整備を行い、ルールを徹底させることが、個人情報を正しく取り扱う上でとても重要なのです。

まとめ

今回は、カルテの開示を請求された場合の対処法と、その際のポイントについてお伝えしました。

1. カルテの開示に関連する個人情報保護法とは？
2. カルテの開示を拒否できる場合
3. 第三者から開示請求された場合の対処法
4. 個人情報取扱事業者が守るべき４つの義務

個人情報でもあるカルテの取り扱いには、細心の注意を払う必要があります。

誤った対処法をしてしまわないよう、医院、クリニックにおいてきちんとルールを決め、関係スタッフ全員に周知徹底させておかなければなりません。

ぜひ、今回お話したことを踏まえ、今後の医院運営にお役立ていただければと思います。

こちらの記事を読んだあなたへのオススメ