No.149/患者個人情報の漏洩・電子カルテの不正閲覧等に関する刑事罰、懲戒処分、民事上の賠償責任~病院職員による患者個人情報の漏洩や不正閲覧を中心として~
Table of Contents
No.149/2024.2.15
弁護士 福﨑 龍馬
患者個人情報の漏洩・電子カルテの不正閲覧等に関する刑事罰、懲戒処分、民事上の賠償責任
~病院職員による患者個人情報の漏洩や不正閲覧を中心として~
1 はじめに
患者個人情報の漏洩については、外部からのサイバー攻撃が増加しており、医療機関(病院)にとってその対策が喫緊の課題となっているかと思いますが、それと同じように、内部職員による患者個人情報の漏洩・電子カルテの不正閲覧も、個人情報保護への社会的意識の高まりに伴って話題となることが多くなっています。電子カルテの普及により、膨大な患者情報を容易に持ち出すことができることも一因となって、一度に漏洩する情報の量も膨大なものになっています。個人情報保護法上の処罰規定も年々厳しくなってきており、個人情報を流出した職員の勤め先(病院等)に対しても、数億円単位の罰金が科される規定等が創設されていますので(個人情報保護法第184条・不正競争防止法第22条1項2号の両罰規定)、病院としても、しっかり組織として対応していく必要があります。今回は、主に、病院職員による患者個人情報の漏洩、電子カルテの不正閲覧等の問題について、どのような刑事罰が課される可能性があるのか、また、病院に求められる対応を中心にご説明したいと思います。
2 秘密漏示罪(詳細は、臨床医療法務だよりNo.140参照)
まず、刑法上の規定ですが、「医師、薬剤師、医薬品販売業者、助産師、弁護士、弁護人、公証人又はこれらの職にあった者が、正当な理由がないのに、その業務上取り扱ったことについて知り得た人の秘密を漏らしたときは、六月以下の懲役又は十万円以下の罰金に処する。」(刑法第134条第1項)とされており、また、保健師、看護師又は准看護師についても、同様の規定が保健師助産師看護師法に定められています(詳細は、「臨床医療法務だよりNo.140」参照)。
したがって、これら医療従事者が、第三者への開示を伴う行為により患者個人情報を漏洩させた場合、秘密漏示罪により処罰される可能性があります。
3 個人情報保護法上の罰則
個人情報保護法上の刑事罰について、電子カルテの不正閲覧や外部提供と関係し得る規定としては、本稿の最後に添付している「別紙・個人情報保護法上の罰則」記載①~④があります。このうち、①〜③は、公的部門に属する行政機関等の職員(公務員である病院職員も含まれます。)が、個人情報を漏洩した場合に適用される罰則であり、④は民間事業者の職員が個人情報漏洩等を行った場合に適用される罰則です(なお、個人情報保護法上、「個人情報取扱事業者」=「民間の事業者」を意味します。)。
行政機関等の職員については、処罰対象となる行為の範囲が広くなっており、詳細は後述しますが、例えば、民間会社の従業者が、興味本位で、会社が保有する個人情報を収集しても、(外部に流出させない限りは)、処罰されません。しかし、行政機関等の職員については、③の職権濫用収集罪で処罰される可能性があります。公務員という公的な地位を考慮して、個人情報の不適切な取扱いをより厳格に処罰対象としています。
以下、(1)で民間事業者の職員による個人情報漏洩について、(2)において行政機関等の職員による個人情報の漏洩について説明します。
(1)民間事業者(民間病院)の職員に対する処罰規定(個人情報データベース等不正提供罪)
ア 個人情報保護法の令和3年改正
民間病院や私立大学病院の職員については、下記で述べる個人情報データベース等不正提供罪の罰則があります。また、従前(個人情報保護法の令和3年改正以前)、国立大学病院や独立行政法人・地方独立行政法人が運営する病院の職員は、公的部門の職員として、別紙①〜③(行政機関等の職員に対する罰則)の対象となっていましたが、個人情報保護法の令和3年改正により、公的部門のうち、病院・大学・研究機関については、民間のルールに合わせることになりました。したがって、別紙①~③の処罰規定は、国立大学病院や独立行政法人・地方独立行政法人が運営する病院の職員には適用されず、民間と同様に、下記の個人情報データベース等不正提供罪でのみ処罰対象となります。
個人情報保護法の条文がかなり複雑ですが、条文上の根拠としては、まず、個人情報保護法第2条11項の定義規定において、「独立行政法人等」「地方独立行政法人」から、「病院・診療所、及び大学の運営する独立行政法人、地方独立行政法人」が除外されています(すなわち、「民間の事業者」としてとり扱う)。そのうえで、個人情報保護法第125条2項において「第58条第1項各号に掲げる者(病院・診療所、及び大学等を運営する独立行政法人、地方独立行政法人のこと)による個人情報・・・の取扱いについては、同項第1号に掲げる者を独立行政法人等と、同項第2号に掲げる者を地方独立行政法人と、それぞれみなして、・・・・次章から第8章まで(第176条(別紙①)、第180条(別紙②)及び第181条(別紙③)を除く。)の規定を適用する。」としており、これらの帰結として、病院・診療所、及び大学等を運営する独立行政法人、地方独立行政法人については、別紙①〜③(行政機関等の職員に対する罰則)が適用されないことになったのです。
イ 個人情報データベース等不正提供罪(個人情報保護法179条 以下「不正提供等罪」)
不正提供等罪の処罰対象となる行為は、別紙④記載の通りであり、患者情報を外部に「提供」した場合や、患者情報を「盗用」した場合に、罰則として1年以下の懲役または50万円以下の罰金が定められています。
(ア)「提供」について
提供とは他人が利用できる状態に置くことをいい、例えば、個人情報データベースを電子メールに添付して他人に送信したり、電磁媒体にコピーして他人に交付することです。
不正提供罪は、平成27年の個人情報保護法改正で創設された新しい犯罪類型であり、令和5年9月に初めて逮捕者が出ました。事案の内容は、「建築関連の人材派遣会社に勤める男が、都内の同業他社から転職する直前の2021年6月、転職元の名刺情報管理システムにログインするIDやパスワードを転職先のグループ会社の社員にチャットアプリで共有。営業先の名刺データを閲覧できるようにし、不正に提供した疑いが持たれている。」(2023年9月15日・日本経済新聞ネットニュース)とのことです。
当然、電子カルテも個人情報データベース(個人情報の集合物で、特定の個人を検索出来るもの)に該当しますので、これを他人が利用できる状態に置くことは、不正提供罪に該当し得ます。しかし、興味本位で、業務外に電子カルテを見る、又は、プリントアウトするだけでは、不正提供罪には該当しません(外部に提供する行為がない)。
また、不正提供等罪が成立するには「自己又は第三者の不正な利益を図る目的」(以下「利を図る目的」)で行われる必要です。この「利を図る目的」の解釈について、あまり明確に述べている文献が見当たらないのですが、「自己の経済的な利益を図る目的」を前提としているようです(第二東京弁護士会情報公開・個人情報保護委員会編『完全対応 新個人情報保護法〔初版〕』252頁。その他、岡村久道著『個人情報保護法〔第4版〕』300頁においては、「図利目的(著者注:「利を図る目的」):名簿業者に不正に売却して換金するために持ち出すようなケースが想定されています。」)。そのため、「同僚を貶める目的」「私怨目的」などでは、「利を図る目的」が認められず、不正提供等罪は成立しないのではないかと思われます。
例えば、ある医師が、自分の担当ではない患者女優Aの入院中の電子カルテを業務上の必要もなく閲覧し、それを外部に言い触らしたような場合、利を図る目的(=「自己の経済的な利益を図る目的」)がないため、提供等罪では処罰されない可能性が高そうです(ただし、当該医師が芸能週刊誌等に、その情報を売るなど何かしらの経済的利益につながる場合は、処罰対象になるかもしれません。)。
(イ)「盗用」について
提供行為だけでなく、盗用行為も処罰対象になっています。「盗用」とは、「盗み利用することをいい、例えば、取り扱っている個人情報データベース上の情報を用いて本人になりすまし借金の申込や物品の購入を行うこと、持ち出したメーリングリストを個人的に行っている別事業のダイレクトメール送付に利用すること」(上記書籍252頁)とされています。要するに、「外部に提供する行為」が無くても、「盗んだ人自身で不正利用する行為」があれば処罰対象となります。
盗用罪の処罰については、まだ実際に処罰された事例はないものと思われますが、盗用罪についても「利を図る目的」要件が課されますので、興味本位や私怨を目的とした業務外での電子カルテの閲覧・悪用行為については、「自己の経済的な利益を得る目的」がないため、処罰対象にならない可能性が高いと思われます。
ウ 両罰規定(個人情報保護法第184条)
個人情報保護法上の不正提供等罪には両罰規定が設けられており、従業員等が、法人の業務に関し、犯罪行為を行った場合は、法人に対しても、1億円以下の罰金刑が科されることになっています。病院の医療従事者が電子カルテを利を図る目的で外部に提供した場合、当該職員だけでなく、病院にも重い罰金が科される可能性があるということになります。
(2)行政機関等の職員に該当する場合(個人情報保護法181条 職権濫用による収集罪)
ア 職権濫用による収集罪
前述のように、公的部門の職員については、処罰対象行為が拡大されています。特に、別紙③の職権濫用による収集罪が最も処罰対象行為の範囲が広い刑事罰であり、「個人の秘密」が記録された文書・電磁記録等を、「収集」しただけで処罰されます(他の刑事罰は、外部への「提供」や、自分で悪用する「盗用」行為が要件となります。)。さらに、他の刑事罰と異なり、「利を図る目的」は要求されていません。そのため、「単に好奇心を満足させるため」という目的での収集であっても処罰対象となります(宇賀克也著「新・個人情報保護法の逐条解説」633頁)。ただし、「収集」というには、閲覧して頭に記憶するだけではなく、プリントアウトするなどして所持する必要がある、とされています。
イ 公的部門に属する病院の職員への職権濫用収集罪の適用の有無
従前(個人情報保護法の令和3年改正以前)は、国立大学病院や独立行政法人・地方独立行政法人が運営する病院の職員は、公的部門の職員として、職権濫用収集罪の処罰対象となっていました。したがって、自身が担当していない、患者のカルテをプリントアウトする等した場合、仮に興味本位でのプリントアウトであったとしても、処罰対象となっていました。しかし、前述の通り、個人情報保護法の令和3年改正により、公的部門のうち、病院・大学・研究機関については、民間のルールを合わせることになりましたので、同改正以降については、職権濫用収集罪を含む行政機関等の職員に対する罰則(別紙①〜③)は適用されません。民間と同様に、不正提供等罪(別紙④)だけでの処罰となります(ただし、これら病院職員においても、組織内の規程等により懲戒処分等がなされる可能性がることは忘れないで下さい。)。
4 不正競争防止法上の営業秘密侵害罪
(1)「営業秘密」該当性について
病院の職員が、自己の利益を得る目的で患者情報を外部に流出させた場合、不正競争防止法上の営業秘密の侵害での処罰もあり得ます(不正競争防止法第21条)。
ここに「営業秘密」というのは、①秘密として管理されている生産方法、販売方法その他の(秘密管理性)②事業活動に有用な技術上又は営業上の情報であって(有用性)③公然と知られていないもの(非公知性)をいうとされています。そして、「秘密管理性」については、「従業員等からみて、その情報が会社にとって秘密としたい情報であることが分かる程度に、アクセス制限やマル秘表示といった秘密管理措置がなされていること。」が必要とされています(経産省 知的財産政策室「不正競争防止法」21頁以降)。
報道によると、令和4年3月、長野県松本市の病院において勤務していた臨床工学技士が、「病院のパソコンから人工透析の患者186人分の名前や住所といった個人情報」を記録媒体にコピーし外部に持ち出したとして、不正競争防止法違反(営業秘密の侵害)の罪に問われ、令和5年12月7日に、執行猶予3年付きの懲役1年6か月及び罰金50万円の有罪判決を受けています。また、同裁判における検察側の主張によると「転職先のクリニックと、患者を紹介すれば紹介料を受け取る約束をしたうえで情報を持ち出していた」とのことです(令和5年12月7日NHKネットニュース記事)。
(2)不正競争防止法上の営業秘密侵害罪と個人情報保護法上の不正提供等罪の関係
上記の事案では、「人工透析の患者186人分の名前や住所といった個人情報」が、営業秘密の要件を満たしていたため、不正競争防止法による対処が可能となりましたが、従前より、厳格な営業秘密の要件を満たさない個人情報の漏洩をどうやって規制するかが議論にとなっていました。そして、厳格な営業秘密の要件を満たさない個人情報漏洩へ対処するために、平成27年の個人情報保護法改正で創設されたのが、上記3で説明した、個人情報保護法上の不正提供等罪になります。
不正提供等罪で初めての逮捕事案として紹介した、前述の名刺データの外部漏洩事案も、営業秘密侵害罪での立件を検討したようですが、名刺データは、第三者に渡すことが予定されており、営業秘密の要件③「非公知性」を満たさない可能性が高いとして、営業秘密侵害罪ではなく、個人情報保護法上の不正提供等罪での立件に踏み切ったようです。
なお、営業秘密侵害罪の法定刑は、「10年以下の懲役若しくは2000万円以下の罰金(又はこれの併科)」とされており(不正競争防止法第21条)、一方、個人情報保護法上の不正提供等罪は「1年以下の懲役又は50万円以下の罰金」となっています(個人情報保護法第179条)。営業秘密侵害罪の法定刑が圧倒的に重くなっていますので、今後は、営業秘密に該当する場合は営業秘密侵害で立件され、営業秘密の要件を満たさない場合に、不正提供等罪が検討されるのではないかと思います。
(3)両罰規定(不正競争防止法第22条1項2号)
不正競争防止法上の営業秘密侵害罪についても、両罰規定が設けられており、従業員等が、法人の業務に関し、これらの犯罪行為を行った場合は、法人に対しても、5億円以下の罰金刑が科されることになっています。
5 内部規律違反による懲戒処分・不正アクセス禁止法・民事上の賠償責任等
(1)興味本位や私怨を目的とした業務外での電子カルテの閲覧等について
以上、関連する処罰規定を検討してきましたが、興味本位や私怨を目的とした、業務外での電子カルテの閲覧については刑事罰が科される可能性は低そうです。
そのため、業務外での電子カルテの不正閲覧については、病院としての対応は、基本的に内部規律違反による懲戒処分等で対応してくほかないものと思われます。例えば、報道によると、「徳島県は2022年4月22日、勤務先の病院で患者の電子カルテを閲覧し情報を漏えいしたとして、県立海部病院看護局の職員を停職4カ月の懲戒処分にした。県によると、2019年1~2月、患者2人の電子カルテを閲覧し、LINE(ライン)で2回、自分の家族に病名や病状などを漏らした。」(令和4年7月22日産経新聞ネットニュース記事)とされています。停職4か月と比較的重い処分が課されていますが、個人情報保護への社会的な意識の高まりを前提とすると、このような重い処分が、今後多くなるのかもしれません。
(2)不正アクセス禁止法違反の可能性
不正アクセスとは「他人の識別符号(ID・パスワード等)を悪用することにより、本来アクセスする権限のないコンピュータを利用する行為」をいいます。仮に、医師が、同僚医師のID・パスワードを勝手に使用して、電子カルテを盗み見ていたような場合、不正アクセス禁止法の処罰対象となり得ます。もっとも、自分のID・パスワードを使ってログインし、担当外の患者の電子カルテを見ても、「他人の識別符合の悪用」がなく、不正アクセス禁止法違反にはなりません。医療従事者は、それぞれID・パスワード等の識別符合を付与されているのが通常かと思いますので、不正アクセス禁止法違反の事案はニュース等でもあまり見当たらないように思います。
(3)不正閲覧に関する民事上の損害賠償責任(東京地裁平成25年3月28日判決)
また、刑事罰が科されなかったとしても、患者カルテの不正閲覧を行った医師等に対しては、不正閲覧をされた患者のプライバシー、その他の権利を侵害するものとして民事上の損害賠償責任を負う可能性があります。東京地裁平成25年3月28日判決において、「医師が、乳がんの治療を受けた患者の臨床写真を含む患者個人情報を、ノートパソコン(以下「PC」)に複製し、病院規定に従うことなく院外に持出し、自動車に放置していたところ車上荒らしにあい、患者個人情報ごとPCを盗難された」という事案において、患者の個人情報を適切に管理しなかった被告(病院)の過失によって、原告は内心の静穏な感情を侵害され、その程度は受忍すべき限度を超えているとして、30万円の慰謝料を認めています(なお、本件において、原告は、病院のみに対して管理責任を追及し、訴訟提起しているようですが、仮に、患者個人情報を持ち出した医師に対しても訴訟提起していたら、医師自身も賠償責任を負う(病院との連帯債務)ことになっていた可能性が高いと考えられます。)。
個人情報の漏洩事件における慰謝料額について、裁判所は、従前、一人当たり、5000円~3万円程度の慰謝料額を認めるものが多かったのですが(宇治市住民基本台帳事件、ヤフーBB事件、TBC事件等)、本件では、「(乳がんの治療を受けている患者個人情報は)とりわけ秘密性の高い情報に属する」として、大幅に増額されています。さらに、本事案では、PCにパスワードロックが付されており、外部に情報が公開されるなどした事実は認められない、との裁判所による認定がされていますが、それにもかかわらず、高額な慰謝料が認められています。したがって、“外部・第三者に情報が公開されること”は、賠償責任発生の必須要件とは考えられていないことが分かります。すなわち、外部・第三者に公開する行為を伴わなくとも、医療従事者が、患者情報を不正閲覧したこと自体により、「内心の静穏な感情を害された」ものとして、賠償責任が認められる可能性があるといえます。
6 事業者側(病院等)の義務
個人情報保護法上の義務の名宛人は、「個人情報取扱事業者たる法人や事業者」となっていますので、病院としては、個人情報保護法上、安全管理措置義務や、従業者の監督義務を負っています。したがって、従業員が業務外で電子カルテを不正閲覧したり、外部流出をさせた場合、病院は、安全管理措置義務違反や、従業者の監督義務違反となり、個人情報保護委員会からの改善命令等を受ける可能性があります。
また、個人情報保護法上の不正提供等罪と不正競争防止法上の営業秘密侵害罪については、前述の通り、両罰規定が設けられており、従業員だけでなく、法人(病院)にも、数億円規模の罰金が科される可能性もあります。監督義務を怠り、従業員が患者情報漏洩による犯罪行為を行った場合、病院は社会的なバッシングを受けるだけでなく、大きな経済的負担がのしかかることになりかねません。
病院としては、個人情報の取扱いに関する就業規則等の内部規定を整備し、従業者の監督を怠らないよう、組織としてしっかり対応していく必要があります(例えば、「診療情報管理規定」という内部規定を設けて、「診療記録の閲覧を業務外で行わないこと。」と定める病院もあるようです。)。特に、当該職員が刑事罰を問うことができない場合にも、内規等を改訂し懲戒処分が可能となるようにしておかないと、組織内秩序等の統制ができない可能性が出てきます。