はじめに

カルテなどの患者の個人情報は、医師や看護師などの医療従事者には厳格な守秘義務が課されています。

万が一、患者の同意がなく、クリニックから個人情報が漏洩した場合は、個人情報保護法違反などで法的に罰せられることになります。当然患者、その家族との信頼関係も崩壊するでしょう。

患者の個人情報については慎重に取り扱わないといけないのですが、個人情報漏洩のリスクは至るところに潜んでいます。

医師や看護師が守るべき守秘義務とは? また患者の個人情報が漏洩してしまった事例や対応策についてお伝えします。

医療従事者の守秘義務に係る法令の規定

まず守秘義務とは、一定の職業や職務に従事する者・従事した者に対して特別に課せられた、職務上知った秘密を守る法律上の義務です。

基本的には医療従事者の守秘義務に関しては次のように法令で明確に規定されています。

つまり、医療従事者が個人情報を漏洩してしまうと、何らかの法的な根拠によって刑事罰の対象ということになります。

資格名 根拠法
医師 刑法第134条第1項
歯科医師 刑法第134条第1項
薬剤師 刑法第134条第1項
保健師 保健師助産師看護師法第42条の2
助産師 刑法第134条第1項
看護師 保健師助産師看護師法第42条の2
准看護師 保健師助産師看護師法第42条の2
診療放射線技師 診療放射線技師法第29条
臨床検査技師 臨床検査技師、衛生検査技師等に関する法律第19条
衛生検査技師
 
臨床検査技師、衛生検査技師等に関する法律第19条
 
理学療法士
 
理学療法士及び作業療法士法第16条
 
作業療法士
 
理学療法士及び作業療法士法第16条
 
視能訓練士
 
視能訓練士法第19条
 
臨床工学技士
 
臨床工学技士法第40条
 
義肢装具士
 
義肢装具士法第40条
 
救急救命士
 
救急救命士法第47条
 
言語聴覚士
 
言語聴覚士法第44条
 
歯科衛生士
 
歯科技工士法第20条の2
 
歯科技工士
 
歯科技工士法第20条の2
 
あん摩マッサージ指圧師
 
あん摩マッサージ指圧師、はり師、きゆう師等に関する法律第7条の2
 
はり師
 
あん摩マッサージ指圧師、はり師、きゆう師等に関する法律第7条の2
 
きゅう師
 
あん摩マッサージ指圧師、はり師、きゆう師等に関する法律第7条の2
 
柔道整復師
 
柔道整復師法第17条の2
 
精神保健福祉士
 
精神保健福祉士法第40条
 

 
※第1回「医療機関等における個人情報保護のあり方に関する検討会」議事次第 資料16「医療関係資格に係る守秘義務の概要」抜粋

特に医院・クリニックに関わるところでは、医師や歯科医師、薬剤師、保健師等の根拠法となる「刑法134条」、看護師や保健師等の「保健師助産師看護師法」でしょう。

医師、薬剤師、医薬品販売業者、助産師、弁護士、弁護人、公証人又はこれらの職にあった者が、正当な理由がないのに、その業務上取り扱ったことについて知り得た人の秘密を漏らしたときは、六月以下の懲役又は十万円以下の罰金に処する。

第四十二条の二 保健師、看護師又は准看護師は、正当な理由がなく、その業務上知り得
た人の秘密を漏らしてはならない。保健師、看護師又は准看護師でなくなった後においても、同様とする。

第四十四条の三 第四十二条の二の規定に違反して、業務上知り得た人の秘密を漏らした
者は、六月以下の懲役又は十万円以下の罰金に処する。

2 前項の罪は、告訴がなければ公訴を提起することができない。

医療従事者の守秘義務Q&A

患者の個人情報等の守秘義務について、よくある質問についてお答えします。

そもそも守秘義務のある患者の情報とは?

医師や看護師が守るべき個人情報は、主に次のようなものが含まれます。基本的には診療記録に記載されている内容すべてと考えて良いでしょう。

・患者の氏名、生年月日、居住地、家族構成などの基礎情報
・患者の健康状態、病歴、症状の経過、診断名、予後及び治療方針

また診療記録に記載されていないものでも、患者の個人を特定するような情報の漏洩は許されません。

クリニックを退職した後はどうなるのか?

結論から言うと、クリニック退職後も守秘義務は基本的に続きます。

例えば保健師助産師看護師法第42条の2で「保健師、看護師又は准看護師でなくなった後においても、同様とする」と明確な記載があります。

基本的に就業中に知り得た情報については、退職して何年経とうが守秘義務が発生すると思って良いでしょう。

患者が死亡したらどうなるのか?

守秘義務は、死亡した患者にも適用されます。患者が亡くなったからといって、生前に得た情報を安易に取り扱うことは許されません。

クリニックを退職しても、患者が死亡しても守秘義務が発生するということは、半永久的に個人情報の漏洩は許されないということです。

ただし、患者さん本人が生前個人情報の開示を承諾したような場合は、守秘義務が免除されると考えて良いでしょう。

また亡くなった患者の家族が、健康上のリスクに関わる情報の開示を求めた場合は、例外的に開示することがあります。

事例検討に利用する場合はどうなるのか?

事例検討だからといって守秘義務の例外にはなりません。

事例検討で利用する際は、患者の情報は特定できないように配慮しないといけません。

また、事例検討に利用する際は、患者の同意が必要となります。

刑法第134条記載の「正当な理由」とは?

日本医師会の公式サイト「医の倫理の基礎知識2018年版 【医師と患者】B-8.医師の守秘義務」では、次のような記載があります。以下抜粋します。

この規定の適用が実際上問題になるのは、主に「正当な理由」の有無に関してである。より具体的に述べると、正当な理由があり、したがって違法性はないとされるのは、①法令に基づく場合、例えば、母体保護法に基づき人工妊娠中絶につき都道府県知事に届け出る場合や結核予防法に基づき保健所長に届け出る場合等、②第三者の利益を保護するために秘密を開示する場合(ただし、この場合には、開示の必要性と開示によって損なわれる利益の性質および程度等を相関的に考慮した利益考量に基づいて、その当否を決定すべきものとされる)、③本人の承諾がある場合、などである(大コンメンタール刑法第2版第7巻346頁以下)。実際の裁判例として、最高裁平成17年7月19日判決は、「医師が、必要な治療又は検査の過程で採取した患者の尿から違法な薬物の成分を検出した場合に、これを捜査機関に通報することは、正当行為として許容されるものであって、医師の守秘義務に違反しない」と判示している。

日本医師会の「医師の職業倫理指針」では守秘義務を免れるのは、患者本人が同意・承諾して守秘義務を免除した場合、あるいは患者の利益を守るよりもさらに高次の社会的・公共的な利益がある場合としている。

ここで、「患者本人が同意・承諾して守秘義務を免除」というのはわかりやすく、説明の必要はないと思います。

問題は「患者の利益を守るよりもさらに高次の社会的・公共的な利益がある場合」です。

例えば警察や患者の家族から個人情報の開示を求められた場合など、「正当な理由」に該当するかどうかは判断が難しいでしょう。

ご自身で判断するのは難しいでしょうから、専門家の指示を仰ぐのが現実的と考えられます。

なお「正当な理由」でよく話題になるのが患者本人、もしくは第三者からカルテの開示を求められた場合でしょう。

こちらについては、詳しくは次の記事でお伝えしていますので、こちらも併せてご覧ください。

【関連記事】患者情報漏洩の危険!カルテの開示請求の正しい対処法とは?

患者の個人情報漏洩の事例

以上、医師や看護師などの医療従事者は、半永久的に患者の個人情報等を漏洩させてはいけないことがわかったと思います。

しかし、医院・クリニックの中には膨大な患者の個人情報が取り扱われています。どんなに気をつけていたとしても、個人情報の漏洩が起きてしまうことがあります。

以下、実際に病院やクリニックで患者の情報漏洩事故が起きた事例です。

・待合室で患者と世間話をした後、持っていたカルテを待合室に置き忘れてしまった

・院内でPC作業中不正プログラムの入ったソフトウェアがダウンロードされ、患者の個人情報が漏洩してしまった

・業務を持ち帰った際に、患者の個人情報が入ったUSBメモリを紛失してしまった

・看護師が、ついうっかり患者の個人情報を家族に話し、その家族が患者の両親に話したことで情報漏洩として訴えられた

パソコンのウィルス対策、個人情報の入った持ち物の管理徹底、患者の個人情報保護の意識徹底……ちょっとした心がけで防げるものばかりです。

また最近はFacebookやTwitterで従業員が情報を流して大きな問題となるケースも増えています。

「嫌いな患者の実名を出して悪口を書いた」など、クリニックでもSNSに関する個人情報漏洩の問題が起きないとは限りません。

SNS対策を含めて、情報セキュリティのルールは周知徹底する必要があるでしょう。

3省3ガイドラインの理解(2019年度に3度2ガイドラインとなる予定)

上記の些細なミスによる患者の情報漏洩を防ぐために、見直しておきたいのが「3省3ガイドライン」です。

これは、医療情報を電子化して外部媒体に保存する際に守るべき指針で、以下のガイドラインの総称です。

①厚生労働省『医療情報システムの安全管理に関するガイドライン』
②経済産業省『医療情報を受託管理する情報処理事業者における安全管理ガイドライン』
③総務省『クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン』

①は、医療情報システムを運用する医療機関、②③は医療情報システムを提供する事業者が対象です。

2019年度中に②③は統合され、「3省2ガイドライン」になる予定で、①との整合性確保も検討される予定です。

接続元IPアドレスの制限、不正侵入を防止するシステム、クラウドサーバーへのログの保管体制の整備など、最低限必要な運営管理が示されています。

情報漏洩は些細なミスで起こりますので、このガイドラインを遵守するだけでも安全性は格段と上がるでしょう。

患者の個人情報が漏洩してしまったときの対応は?

もちろん、上記のミスを起こさないようにして、患者の個人情報の保護を徹底する必要があるのは言うまでもありません。

しかし、それでも万が一個人情報が漏洩してしまうことも考えられます。その場合は、患者やその家族に対して、冷静かつ迅速な対応が欠かせません。

では、具体的にどのような対応をしていくかということですが、概ね次のようなものが考えられます。

  1. ①商品券など見舞金や見舞品を送付
  2. ②患者や家族の自宅に訪問して謝罪
  3. ③診療に支障が出ないように、問い合わせとなる窓口を設置
  4. ④情報漏洩の原因、漏洩拡大範囲を調査して患者に説明
  5. ⑤危機管理専門のコンサルティングを受けたり、専門家の窓口を設置
  6. ⑥被害拡大防止策を検討して患者に説明
  7. ⑦警察や監督官庁への届出
  8. ⑧クレジットカード会社への協力要請
  9. ⑨再発防止対策の検討

診療に負担がならないように窓口を設置するなどして、極力上記すべての対応を行い、患者とその家族に誠意を示す必要があります。

再発防止対策については、情報漏洩した原因ごとに異なる対策を行う必要があるでしょう。

例えばウィルス感染やフィッシング詐欺であれば、情報セキュリティの強化が必須でしょう。

何者かによって建物内へ侵入された場合には、侵入システムの見直しが必要になります。

【まとめ】クリニック全体で守秘義務の意識の徹底を

以上、医師や看護師などの医療従事者が守るべき守秘義務や、個人情報漏洩の事例や対応策についてお話しました。

今回紹介した患者の個人情報漏洩の事例は、すべて些細なミスであり、安全意識を徹底するだけで防げたような事例です。

また、倫理観の欠けたスタッフが周りにベラベラと患者情報を話したり、SNSで投稿する危険性もあります。

日頃から院内研修で守秘義務について周知徹底し、危うい行動を目撃したら注意する必要があるでしょう。

それだけで勝手に仕事を持ち帰ったり、SNSに投稿したり、脆弱なセキュリティのままPCを使用することは防げるのではないでしょうか?

もし万が一情報が漏洩するようなことがあれば、患者とその家族に対して然るべき措置を迅速に行うようにしましょう。

ご相談・お問い合わせ

お問い合わせはこちらから

                       

こちらの記事を読んだあなたへのオススメ