医療機関・介護サービス事業者・健保組合における個人情報保護　|ニッセイ基礎研究所

1――はじめに

本稿では、医療機関を受診する、介護サービスを受ける、あるいは健康診断を受けるにあたって、個人情報の保護がどのように図られ、どのように活用されているのかを見ていきたい。適用される法律については、2022年3月末までは民間病院や介護サービス業者、および健康保険組合については個人情報保護法（以下、個情法）であったが、独立行政法人である病院には独立行政法人等の保有する個人情報の保護に関する法律が適用されるなど、法が分立していた。2022年4月1日に個情報に一本化され、原則として個情法の規律が適用されるようになった¹。

個情報が定める個人情報の中でも、医療機関が取得する情報には、病歴等の差別等を生じさせないようその取扱いに特に配慮を要する要配慮個人情報（個情法2条3項）に該当するものが多い。そして要配慮個人情報の取得にあたっては原則として本人同意が必要であり、かつ第三者の提供にあたっても本人同意が原則として必要である（学術研究機関に係る特例あり、後述）。

本稿の素材としては「医療・介護関係事業者における個人情報の適切な取り扱いのためのガイダンス（以下、医療ガイダンスという）²」と「健康保険組合等における個人情報保護の取扱いのためのガイダンス（以下、健保ガイダンスという）³」を用いる。関係する指針として「人を対象とする生命科学・医学系研究に関する倫理指針（以下、指針）」がある。指針については基礎研レポート「医学研究にかかわる倫理指針―個人情報保護法とインフォームドコンセント」で取り上げているので、そちらをご覧いただきたい。

以下、医療機関受診に関する個人情報に関する情報の取扱い(下記2)、介護サービス事業者における個人情報の取扱い(下記3)、健康診断に関する個人情報の取扱い(下記4)、医療・介護機関、健保組合関連の研究と個人情報(下記5)の順で解説を行う。

¹ ただし、県立病院など地方公共団体のもとにある病院についての規律は2023年の政令で定める日までは条例が適用される。また、独立行政法人国立病院機構（規律移行法人という）などは個情法の規律が適用されるものの、保有個人データの開示などについては行政機関と同様の規律が適用される。<
² https://www.mhlw.go.jp/content/000909511.pdf　参照。
³ https://www.ppc.go.jp/files/pdf/02_kenpokumiai_guidance4.pdf　参照。

2――医療機関受診に関する個人情報の取扱い

1｜保険診療の流れ
保険診療の流れは図表1の通りである。この流れに沿って個人情報のやり取りが行われる。まず、最初の個人情報の取得については、本人（患者）が医療機関に受診し、検査を受け、調剤や治療を受けることで行われる。

医療機関が診療を行った場合、診療録(カルテ)が作成保管される(保険医療機関及び保険医療養担当規則22条）。そして一般の保険診療であれば、カルテを基に診療報酬明細書（レセプト）を作成し、本人の自己負担分を除く診療報酬を審査支払機関（国民健康保険団体連合会または社会保険診療報酬支払基金）に送付することとなる。

審査支払機関はその内容を了承した場合には、保険者（健康保険組合など）に対してレセプトを送付し、支払を求める。保険者が支払いをすると、審査支払機関から医療機関に対して報酬支払いが行われる。健保組合等でその経営改善のためにレセプトの分析が行われるが、この際に外部機関への分析依頼をすることが行われることがある。なお、医療機関では、医療研究のため医療機関にある情報が学術研究機関等に研究目的で提供されるほか、学会発表などにも用いられる。

ここでは診療録、処方箋、手術記録、助産録、看護記録、検査書記録、エックス線写真、紹介状、診療経過の記録、調剤録などが個人情報に該当する（医療ガイドラインp7）。

2｜本人同意取得に関する取扱い
本人から情報を取得する場面において、上述の通り、傷病という事実は要配慮個人情報に該当するため、その取得には本人同意が必要である（個情法20条2項）。そして、その前提として目的を特定する必要がある（個情法17条）。また、個人情報を第三者に提供することが予定されている場合はその取得時に同意を得ておく必要がある。医療ガイダンス（別表2）に記載されている利用目的は図表2の通りである。

医療機関はここで挙げられている利用目的のうち、必要な利用目的（第三者提供目的を含む）をプライバシーポリシーなどで特定する（医療ガイダンスP25）。

医療ガイダンスによると、患者が問診表に記載し、受診を申し出ることは、「患者自身が自己の要配慮個人情報を含めた個人情報を医療機関等に取得されることを前提としていると考えられるため、医療機関等が要配慮個人情報を書面又は口頭等により本人から適正に直接取得する場合は、患者の当該行為をもって、当該医療機関等が当該情報を取得することについて本人の同意があったもの」とする（医療ガイダンスP32）。なお、当該患者に対する治療以外の目的であっても、たとえば医療機関内部での学生の実習、内部での症例研究も通常の利用目的の範囲内とされている（別表2）。

また、患者の治療のための他の医療機関との連携や公的医療保険へのレセプト提供などについては「第三者への情報の提供のうち、患者の傷病の回復等を含めた患者への医療の提供に必要であり、かつ、個人情報の利用目的として院内掲示等により明示されている場合は、原則として黙示による同意が得られている」（医療ガイダンスp47）とする。

第三者提供が認められるための同意が黙示的に得られている場合として、医療ガイダンスは、ア）他の医療機関宛てに発行した紹介状等を本人が持参する場合、イ）過去に受診した患者に関する情報で、その患者が現在かかっている他の医療機関等からの照会に回答する場合、ウ）本人同席のもとで家族に病状を説明する場合、エ）事業主や保険者（＝健保組合等）から健康診断を委託され健康診断を実施した場合の事業主・保険者への結果を通知する場合を挙げている（医療ガイダンスｐ48）。

ちなみに、検査業務の委託など業務委託に該当する場合や、異なる診療科間の情報交換など同一事業者内での個人情報のやり取りは第三者提供にあたらないので同意は不要とされている。

なお、本項で触れなかった医療機関からの学術研究機関への情報提供、および健康保険組合等における経営改善分析については下記５で解説を行う。

3｜医療機関特有の事情
ここでは個人情報保護に関する医療機関特有の事情を見ていくこととする。具体的には(1)インフォームドコンセント（IC）、(2)地域医療情報連携ネットワークである。

(1)インフォームドコンセント（以下、IC）
医学研究のICについては「人を対象とする生命科学・医学系研究に関する倫理指針（以下、指針）」で細かく規定されていた（上述基礎研レポート参照）が、医療行為のICに関しては詳細な規定はない。刑法で傷害罪に該当しかねない人体への侵襲（手術等）が法的に認められる重要な要件として、適正な医療行為であることと、患者本人の同意（IC）があることがその要件となるとして説明されている。また、医療法では、医療行為にあたってのICには「医療提供施設の開設者及び管理者は、医療を受ける者が保健医療サービスの選択を適切に行うことができるように、当該医療提供施設の提供する医療について、正確かつ適切な情報を提供するとともに、患者又はその家族からの相談に適切に応ずるよう努めなければならない。」（医療法6条の2第2項）と情報提供義務が規定されている。医学研究とは異なり、臨床医療では目の前にいる患者からのICであり、ICを取得できることが当然の前提となっているものと思われる。問題となるのは、傷病により意識のない人や意思表示に支障がある場合の問題であるが、これは他の問題と同様に、本人の意思をできるだけ尊重するとともに、これが不可・困難の場合には本人の意思を推定できる家族等からのICを得るということが原則となる。

(2) 地域医療情報連携ネットワーク（以下、地連NW）
地連NWでは、A病院での診療履歴のある患者Bが、C病院を受診したとする。この場合にC病院においてA病院での診療履歴を参照することが必要と判断したときに、A病院から診療録を第三者提供してもらうものである。これにはC病院からA病院のサーバにアクセスして情報を取得するか、あるいは中間に受託業者を挟んで情報の授受を行うか、いずれかの方法がとられる。これはA病院からの要配慮個人情報の第三者提供となるので、A病院において患者Bの同意を得ることが必要となる。

本人からは、地連NW参加医療機関等において、院内掲示、または口頭（及び同意を得たことの記録）によって、地連NW経由で第三者提供を行うとの表示を行い、拒絶がないことをもって同意を得たものとみなし、そのうえで情報をやり取りすることとされている（医療ガイダンスp33⇒厚労省事務連絡「地域医療情報連携ネットワークにおける同意取得の例について⁴」）。

地連NWは日本版EHR(Electric Health Record)として各地に設置されたが、予算等の制約等によりあまり利用実績はない模様である。

⁴ https://www.mhlw.go.jp/content/000621515.pdf　参照。

3――介護サービス事業者における個人情報の取扱い

1｜介護サービスの流れ
介護保険を利用した介護サービスを受けるための流れは以下のようなものである（図表3）。この流れに沿って個人情報の利用・提供が行われる。

すなわち、(1)介護サービスを受けようとする本人は、市町村から要介護認定（または要支援認定）を受ける。この申請にあたっては市町村に対して主治医からの意見書を提出する。(2)要介護認定を受けた場合は、本人の申し出によりケアマネジャー（介護支援専門員）によってケアプラン（居宅サービス計画書、施設サービス計画書、介護予防サービス計画書）が作成される。(3)ケアプランに基づいて介護ケアが実施され、その内容が記録される。(4)提供されたサービス内容について介護給付費として国保連合会経由で保険者たる市町村へ請求が行われる。また(5)介護（または介護予防）に関係する事業者が集まり、介護ケアの方針等について調整が行われる（サービス担当者会議）。また、(6)医的ケアが必要な場合は医療機関より公的健康保険に基づく医療が行われる。

介護事業者からみた個人情報（医療情報を除く）は大きくは、ｉ）ケアプラン、ii）そしてケアプランに基づく本人への介護サービス実施状況の記録（基礎疾患の症状を含む）となる⁵。ケアプランに本人の障がいの程度や病気の症状が記載されていることが通常であると思われる。また実施状況にも本人の障がいの現況が記載されることが多いと思われる。したがっていずれも要配慮個人情報と捉えるべきものと思われる。

⁵ ケアプランや本人の障がいの状況、基礎疾患に関する情報、提供したサービス内容の記録、事故の記録等が個人情報に該当する（医療ガイダンスp8）。

2｜本人同意取得に関する取扱い
医療関係では院内掲示をし、また本人が能動的に受診することで要配慮個人情報取得についての黙示の同意があるものとされているが、介護関係事業者についてはそのような取り扱いは医療ガイダンスには記載されていない。したがって要配慮個人情報取得にあたっては、本人からの同意を得る必要がある。ただし、介護事業者が本人から直接情報を取得する場合には、その情報の取得同意があったものと解されるとする（医療ガイダンスp22）。そのため通常業務で困ることはないと思われる。

そして、介護事業者からの利用者情報の第三者提供にあたっては、利用者の同意を文書でとることが明示的に求められている（医療ガイダンスp49）。これは厚生省令第38号「指定居宅介護支援等の事業の人員及び運営に関する基準」でケアマネジャーから医師等への情報提供に本人同意が必要とされていることを受けている⁶。したがって、ケアプラン作成手続におけるケアマネジャーから各介護事業者への情報提供、及びサービス担当者会議で各介護事業者からの本人の状況報告については本人から文書での同意を得る必要がある。

また、介護保険における支払審査機関へのレセプト（介護給付費請求書）の提出については、介護サービスの契約時に示される利用目的に含まれている（図表4参照）のが通常と思われる。ただ、これは利用目的として明らかである（医療ガイダンスp26)とされているので、仮に明示的に利用目的として示されていなかったとしても問題となることはないであろう。

⁶ 省令13条13号の2「介護支援専門員は、指定居宅サービス事業者等から利用者に係る情報の提供を受けたときその他必要と認めるときは、利用者の服薬状況、口腔機能その他の利用者の心身又は生活の状況に係る情報のうち必要と認めるものを、利用者の同意を得て主治の医師若しくは歯科医師又は薬剤師に提供するものとする。」