No.160/患者個人情報の取扱い 〜健康診断の結果の事業者への提供や、他の患者への誤交付について〜

No.160/2024.8.1
弁護士 福﨑 龍馬

患者個人情報の取扱い
〜健康診断の結果の事業者への提供や、他の患者への誤交付について〜

(はじめに)

医療機関が取り扱う患者個人情報は、そのほとんどが個人情報保護法上「要配慮個人情報」に位置付けられており、慎重な取扱いが求められています。今回は、医療機関において問題になることが多いと思われる患者個人情報の取扱いに関する疑問点を、4つの場面について解説したいと思います。

【質問1】

健康診断の実施を事業者から委託されている医療機関において、労働者から、「健康診断の結果は、事業者に渡さないで欲しい」との強い要望を受けた場合、医療機関は、労働者の意思に反してでも、健康診断の結果を、事業者に渡すことができるか。 また、健康診断を行う前提として、医療機関は、事業者から、労働者の個人情報の提供を受けなければならないが、この事業者から医療機関への個人情報の提供は、個人情報保護法上適法か。

【解説1】

(1)個人情報保護法上の規定

いかなる場合に個人情報を第三者提供できるかについては、個人情報保護法27条1項において詳細に規定されています。原則として、あらかじめ本人の同意が得なければ、個人情報の第三者提供は許されませんが、①法令に基づく場合、②人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき③公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき・・・等について、本人の同意を得ずに第三者提供が可能とされています(上記①~③以外にも、学術研究目的の第三者提供の例外規定もあります。詳細は、臨床医療法務だよりNo.117等を参照。)。 したがって、健康診断に関する個人情報の提供が適法となるためには、本人の同意が得られているか、上記の例外規定のいずれかの要件を満たす必要があるということになります。

(2)「雇用管理分野における個人情報のうち健康情報を取り扱うに当たっての留意事項」

厚労省は、健康情報の取扱いについて「雇用管理分野における個人情報のうち健康情報を取り扱うに当たっての留意事項」(以下「留意事項」という。)を発出しています。同留意事項においては、労働安全衛生法66条に基づき、事業者には、「労働者の健康を確保するために健康診断を行う義務」があり、また、事業者は健康診断の結果(健康情報)を記録し(同法66条の3)、健康診断の結果(健康情報)を従業員に通知しなければならない(同法66条の6)ほか、健康診断の結果(健康情報)に基づいて医師の意見を聴かなければなりません(同法66条の4)。これらは労働安全衛生法に基づく事業者の義務であることから、これらに伴う第三者提供は、上記個人情報保護法上の第三者提供の例外規定①「法令に基づく場合」に該当し、労働者の同意なく第三者提供を行うことができる、との見解が示されています。
具体的には、労働安全衛生法上「・・・事業者は、健康診断結果の労働者に対する通知が義務付けられている。事業者がこれらの義務を遂行するためには、健康診断又は面接指導の結果が外部機関から事業者に報告(提供)されなければならない。これらのことから、事業者が外部機関(=医療機関)にこれらの健康診断又は面接指導を委託するために必要な労働者の個人情報を外部機関に提供し、また、外部機関が委託元である事業者に対して労働者の健康診断又は面接指導の結果を報告(提供)することは、それぞれ安衛法に基づく事業者の義務を遂行する行為であり、法第27条第1項第1号の「法令に基づく場合」に該当し、本人の同意を得なくても第三者提供の制限は受けない。」としています。 すなわち、①事業者から医療機関に、健康診断等の委託をするために必要な労働者の個人情報を提供すること、②医療機関が、委託元である事業者に労働者の健康診断等の結果を報告すること、いずれについても、「法令に基づく場合」として、労働者本人の同意を得ずとも、第三者提供が可能ということになります。

(3)労働者のプライバシーへの配慮について

しかし、上記個人情報保護法のルールは、医療機関から事業者への報告が個人情報保護法上適法である、ということを意味するに過ぎず、医療機関に対し、事業者への健康診断の結果(健康情報)を報告すべき義務を課しているわけではありません。例えば「てんかん」の既往歴等という特にセンシティブな健康情報を取り扱うことになった場合、医療機関としては、そのような健康情報を提供すべきか葛藤することがあるかもしれません。 一方で、健康診断を委託した事業者は、労働安全衛生法に基づいて労働者の健康状態を把握する義務を負っており、そのために医療機関に健康診断を委託しています。それにもかかわらず、医療機関が健康診断で得た「てんかん」という健康情報を当該事業者に報告しなかったばかりに、当該労働者が運転中に交通事故を起こし、当該事業者が損害を被るような事態が発生した場合、医療機関は、委託元の事業者に対して損害賠償責任を負うという事態にもなりかねません。 以上からすると、労働安全衛生法上の健康診断による健康情報は、仮に労働者から、事業者へ報告しないよう要求されたとしても、事業者に報告せざるを得ないように思われます。 なお、厚労省は、てんかん等の既往歴は、特にセンシティブな健康情報であるために、その取扱いは検討を要するとして検討会を実施しているようです。そして、「既往歴の情報収集取り扱い規定作成ガイド」が定められており、そこでは、労働安全衛生法に基づく健康診断において、既往歴としてどこまで聴取すべきか等の指針が定められています。「てんかん」については、「高所作業、運転業務、その他危険作業」に従事する場合には、健康診断において既往歴として聴取すべき疾病名として挙げられています。一方、その他の作業従事者については、聴取すべき疾病名として挙げられていませんので、この場合、当該労働者のプライバシーを考慮して、健康診断において聴取しないという取り扱いが妥当なのだと思われます。 以上の通り、健康診断の結果の事業者への提供は、適法ではありますが、プライバシー性が特に高い既往歴などは、そもそも、健康診断において聴取すべきか否か、慎重にご検討いただく必要がありそうです。

【質問2】

健康診断を実施した事業者において、健康診断の結果に問題のあった労働者に、精密検査の受診を促したいと考えている。労働者がなかなか精密検査を受けてくれないため、対象労働者の部署の直属の上司等に、当該労働者の健康診断の結果を共有し、再検査の受診を促したいと考えているが、直属の上司等に健康診断の結果を共有することは適法か。

【解説2】

(1)目的外利用の禁止

健康診断の結果に問題があり、精密検査を受ける必要がある労働者に対して、精密検査を受けるよう注意喚起をしても、なかなか受診しようとしない労働者も多いようです。 直属の上司から、精密検査を受けるよう促すのは効果的な方法だと思いますが、一方で、健康診断の結果は、要配慮個人情報に該当し、また、特にプライバシー性の高い情報ですので、会社の職員の誰もが見られるという事態は当然許されません。個人情報の目的外利用は禁止されていますので、健康診断の結果の共有は、当該労働者の健康指導等のために必要な範囲に限られるべきであり、労働者への健康指導等に全く関与しない職員に、健康診断の結果を共有することは許されません。一方、精密検査の催促のために、直属の上司に健康診断の結果を共有することは、個人情報の目的内での利用ですので、適法と思われます。

(2)第三者提供の制限との関係

なお、上述の通り、個人情報保護法上、個人情報の第三者提供をする場合、原則として本人の同意が必要ですが、同一法人内における個人情報の共有については、個人情報の第三者提供に該当せず、第三者提供に関する本人の同意は不要です。 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン」に関するQ&A A7−2」においては、「同一事業者内での個人データの提供は、第三者提供には該当しないため、第三者提供に関する本人の同意は必要ありません。ただし、他の部署によって、当初特定した利用目的の達成に必要な範囲を超えて個人情報が利用される場合には、あらかじめ、目的外利用に関する本人の同意を得る必要があります。」とされています。

【質問3】

医療機関において、ある患者の検査結果を、誤って別の患者に交付してしまった。もっとも、検査結果の誤交付の発生は、当該患者1名の情報のみです。医療機関において、何か対応が必要か。

【解説3】

令和4年4月1日より、個人情報の漏えい等が発生し、「個人の権利利益を害する恐れが大きい場合」には、個人情報保護委員会への報告、及び本人への通知が義務化されました。個人情報保護委員会の規則で、「個人の権利利益を害する恐れが大きい場合」について、①要配慮個人情報の漏えい等、②財産的被害のおそれがある漏えい等、③不正の目的によるおそれがある漏えい等、④1,000件を超える漏えい等の4つの類型が規定されています。 このうちの①の要配慮個人情報の漏えいが、医療機関では一番問題になるかと思います。要配慮個人情報とは何かについて、個人情報保護委員会・厚労省「『医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス』に関するQ&A」(以下「ガイダンスQ&A」)の「A2-4」では、「『要配慮個人情報』とは、不当な差別や偏見その他不利益が生じないようにその取扱いに特に配慮を要するものとして法律、政令及び規則で定める記述が含まれる個人情報をいいます。・・・医療・介護関係事業者が取り扱う『要配慮個人情報』の具体的な内容としては、診療録等の診療記録や介護関係記録に記載された病歴、診療や調剤の過程で、患者の身体状況、病状、治療等について、医療従事者が知り得た診療情報や調剤情報、“健康診断の結果”及び“保健指導の内容”、障害(身体障害、知的障 害、精神障害等)の事実、犯罪により害を被った事実などがあります。」とされています。 診療情報や調剤情報、健康診断の結果、保健指導の内容等、医療機関で扱う患者個人情報のほとんどは要配慮個人情報に該当します。そして、上記4類型のうち「④1,000件を超える漏えい等」以外の類型は漏えい件数に関係なく、1件でも漏えいしたら報告義務が課されることになります。個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン」に関するQ&A A6−9」では、医療機関において、健康診断等の結果を誤って本人以外の者に交付した場合について、「健康診断の結果等の要配慮個人情報が含まれる個人データを漏えいした場合に該当するため、件数にかかわらず報告対象となります。」との見解が示されています。本件では、誤交付は患者1件に関するものだけですが、それでも報告義務の対象ということになります。 日頃から、健康診断の誤交付が起きないよう患者情報の取り扱いに注意するとともに、仮に漏えいが発生した場合にはすぐに報告することが必要です。なお、個人情報保護委員会への報告自体は、同委員会のホームページ上の入力フォームから簡単に行うことができるようです。報告すること自体の作業はあまり負担にならないと思いますので、漏えいが発覚したら、必ず報告するようにしましょう。

【質問4】

治療費を滞納している患者について、患者のご親族より、「未払の治療費があるなら、立て替えて支払いたいので、未払額を教えて欲しい。」との申し出を受けた場合、当該患者の未払情報を、ご親族に教えてよいか。なお、当該患者は、認知能力の衰えなどにより判断能力が疑わしく、あらかじめ本人の同意を得ることが困難である。

【解説4】

本人の個人情報を第三者に提供する場合、本人の同意を得るのが原則ですが、判断能力が疑わしく、有効な同意を得るのは難しそうです。 しかし、上述の通り、個人情報保護法第27条1項2号では、「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。」には、本人の同意を得ずに第三者提供が可能とされています。患者ご本人が、治療費の未払を継続している状況では、医療機関は、法的には当該患者の財産に強制執行も可能な状況でありますし、また、治療費について遅延損害金も発生し続けている状況となります。ご親族の治療費の立替払いは、患者本人の当該状況から救うことになりますので、「患者本人の財産保護のため」と評価し得るのではないでしょうか。そして、ご本人の判断能力もなさそうということであれば、個人情報保護法第27条1項2号の例外規定により、未払情報の提供は可能なように思われます(私見)。