医療と法律問題35
医療機関における個人情報の取扱が問題になるのは、カルテ開示の場面だけではありません。
個人情報の取扱に関する国際的な原則として、OECDのガイドラインがあります。このガイドラインは、「目的明確化」、「利用制限」、「収集制限」、「データ内容」、「安全保護」、「公開」、「個人参加」、「責任」という八つの原則を示しており、「OECD8原則」とも呼ばれます。なお、一九八〇年に採択されたこのガイドラインは、その後の社会的条件の変化、とりわけインターネットの発達などIT技術の進化と普及に対応して二〇一三年に改訂されていますが、この8原則自体に変化はありません。
日本の個人情報保護法制も、基本的に、この「OECD8原則」に準拠しています。ここしばらく議論してきたカルテ開示に関する個人情報保護制度も、「個人は次の権利を有する:自己に関するデータを保有しているものに対し、当該データを、合理的な期間内に、必要な場合は過度にならない費用で、合理的な方法で、かつ、本人が認識しやすい方法で、自己に知らしめられること」という「個人参加の原則」に基づくものです。
このほか、医療機関においてよく問題になるのが、「利用制限の原則」であり、なかでも重要なのが、個人情報保護法二三条が定める「第三者提供の制限」です。
個人情報取扱事業者は、いくつかの例外に該当する場合を除き、原則として、予め本人の同意を得ることなく個人データを第三者に提供することが禁じられます。例外として挙げられているのは、例えば「法令に基づく場合」(警察の捜査に協力を求められた場合等)、あるいは「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」(意識不明で身元が分からない患者について関係機関に照会を行うような場合)です。
こういった法に定められた例外以外は、第三者提供のためには本人の同意が必要ですが、解釈上、医療情報の通常の利用として想定されるものについては、院内掲示などで事前に包括的な同意を得ることで足りるとされています。通常の利用として想定されるものとしては、支払機関に対する診療報酬の請求が典型的です。
難しいのは他の医療機関との連携の局面です。これも医療情報の通常の利用として想定されるものであれば院内掲示による包括的同意で足りることになりますが、実際には、具体的な状況や情報の種類によって、「通常の利用」といえるかどうかは異なります。例えば、紹介先の医療機関が、患者の同意を得ないまま、紹介元医療機関にHIV抗体陽性の検査結果を通知したというケースがありました。この場合、もともとHIV抗体検査を目的とした紹介であったのなら、患者もその情報が紹介元に伝わることを想定するのが一般であり、医療情報の通常の利用といえるでしょう。しかし、紹介元と患者との間でHIV感染の可能性が問題になっておらず、紹介先ではじめてHIV抗体検査を受けることになった場合であれば、その検査結果が紹介元に伝わることを患者が想定しているとは限りません。このような場合、紹介先医療機関は、紹介元への情報提供について、改めて患者の同意を得るべきだと考えられます。
■九州合同法律事務所=福岡市東区馬出1の10の2メディカルセンタービル九大病院前6階
☎092・641・2007