営業秘密・情報漏洩対策

Dさんの場合 Dさんは医療機関に勤める管理職で、患者情報を扱っている。最近、職員によって患者情報が漏れたという事件があり、Dさんは情報漏洩対策について法的な見解を知りたいと思っている。

Dさんが勤める医療機関は、患者情報を取り扱う事業者として、個人情報保護法（以下、個人情報保護法という）に従う必要があります。個人情報保護法は、個人情報を適切に管理することにより、個人情報の利用者や社会全体の信頼を確保し、個人のプライバシーや人格にかかわる権利を保護するために制定された法律です。



個人情報保護法において、患者情報は「医療情報」に該当します。医療情報は、人の健康や疾病、医療行為の内容、結果や医療機関・医師名等、医療に関する情報のことであり、特に個人情報保護法においては、広い範囲で保護の対象とされています。



患者情報を適切に保護するためには、以下のような対策が必要です。



1.内部管理体制の構築



医療機関には、内部管理体制を構築することが求められます。内部管理体制とは、個人情報保護法に基づく情報管理の方針や体制を明確にし、組織的かつシステム的に個人情報を適切に管理するための取り組みです。具体的には、個人情報保護法に基づく内部規程の策定や、規程に基づく教育・訓練・監査などが含まれます。内部管理体制の構築は、個人情報を適切に管理するために必要な基礎的な取り組みです。



2.情報漏洩対策の強化



Dさんが直面している問題である情報漏洩対策については、以下の点について検討する必要があります。



・情報漏洩原因の特定と改善策の検討



はじめに、情報漏洩の原因を特定し、改善策を検討する必要があります。情報漏洩の原因として考えられるのは、社員の業務上の不注意や不正行為、システム上のセキュリティ上の欠陥等様々なものがあります。情報漏洩の原因を特定し、改善策を検討することで、今後の情報漏洩対策の改善につながります。



・ログの記録・確認



情報漏洩が発生した場合、ログを記録することで、原因の特定や再発防止につながります。ログとは、システムにおける操作履歴のことです。ログの記録や確認には、情報漏洩発生以前から定期的に行うことが望ましいです。



・社員教育



社員教育は、情報漏洩防止に非常に重要な役割を持っています。具体的には、個人情報の取り扱い方法、パスワードの管理方法、情報漏洩のリスクや対策等について定期的に教育を行い、社員の意識向上を促していく必要があります。



3. 患者の同意の確認



医療機関は、患者から個人情報を取得する際に、患者の同意を得ることが必要です。医療行為に基づく個人情報の取り扱いにおいては、診療行為や医療保険の請求処理等、明確な目的があって患者から同意が得られた範囲内においてのみ、個人情報を取り扱うことができます。



また、患者自身が自己の医療情報を取得した場合においても、その利用については、患者からの同意を得ることが求められます。



4. 個人情報の提供について



医療機関は、個人情報を第三者に提供する際には、患者からの同意を得る必要があります。ただし、医療従事者が医療行為を行う上で必要な範囲内において、医療機関から患者情報が開示されることは、同意の必要なく行うことができます。



5. 情報漏洩の報告について



個人情報保護法に基づき、患者情報の漏えいが発生した場合には、速やかに利用者及び監督官庁に報告することが求められます。報告内容やタイミング等については、個人情報保護委員会が定めるガイドライン等に基づいて行う必要があります。



以上が、医療機関が患者情報の適切な管理を行うために必要な対策について、法的な見解を紹介した内容です。情報漏洩を防止するためには、社員教育を徹底するとともに、情報漏洩対策としてシステム面でも安全に管理する仕組みを整えることが必要です。また、情報漏洩が発生した場合には、適切な対処を行い、その再発防止策を講じていくことも重要です。