カルテの不正閲覧

山形県酒田市の日本海総合病院（栗谷義樹病院長、646床）で、看護師2人が患者の電子カルテを不正に閲覧したとして今年３月に訓告処分されていた、という記事をスポニチが一昨日(24日)に報じています(『知り合いなので興味あった』看護師がカルテ不正閲覧 」)。

記事は、

それぞれ別の部署に所属していた40代の男女の2人の看護師が、今年2月14日に、同じ患者の電子カルテをそれぞれ閲覧していたことが、病院が実施した不正閲覧の調査で判った。

電子カルテを閲覧した理由について、女性看護師は「患者が知り合いだったので、興味があった」と、男性看護師は「前の職場にいた時から閲覧の習慣があった」と話している。

病院を経営する山形県・酒田市病院機構の脇川清道法人管理部長は「再発防止のため職員への指導を徹底したい」としている。

というものです。

ところで、個人情報保護法は、個人情報の漏えい等の事故が発生しないようにするため、個人情報事業者に、安全管理措置を講ずること（20条）や従業者への適切な監督（21条）を義務付けています。

（安全管理措置）

第20条   個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

（従業者の監督）

第21条  個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

今回、 看護師2人が患者の電子カルテの不正閲覧は、

日本海総合病院から見れば、病院が管理している患者の個人情報が漏えいしたということになります。

日本海総合病院については、個人情報の安全管理措置が十分でなく、従業者への適切な監督がなされていなかったとして、(罰則はないものの、） 個人情報保護法20条および21条に違反する事実があったことになると考えます。

個人情報の漏えい事故が発生した場合に、個人情報取扱事業者が講ずるべき措置について、個人情報保護法は何も定めていません。

しかし、それでは困ることになるので、行政は、個人情報取扱事業者に対して、二次被害や類似した事件の発生を防ぐことを目的に、省庁のガイドラインを定め、

〇 被害者本人への連絡

〇 ウエッブページなどによる事実関係の公表

〇 主務官庁への事故報告

の三つの措置を事実関係を把握したうえで、可能な限りすみやかに行うことを求めています。

このガイドラインは分野ごとに各省庁がガイドラインを定めていますが、今回は、病院における個人情報の取扱いとなります。

そのため、ガイドラインとしては、厚生労働省が定める 「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン（局長通達）」」に準拠することになります。

この「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」では、20ページで、

個人情報の漏えい等の問題が発生した場合には、二次被害の防止、類似事案の発生回避等の観点から、個人情報の保護に配慮しつつ、可能な限り事実関係を公表するとともに、都道府県の所管課等に速やかに報告する。

と定めています。

この記述から、個人情報取扱事業者が、「被害者本人への連絡」、「ウエッブページなどによる事実関係の公表」、「主務官庁への事故報告」の措置を取るようことをガイドラインが定めていると読みことになります(ちょっとキツイのではないかと思いますが)。

日本海総合病院での今回の、個人情報の漏えい事故は、「情報公開請求に基づき開示された文書など」から分かったとういうことですから、病院側が公表していたわけではないようです。

また、日本海総合病院のホームページにも、病院を経営している独立行政法人山形県・酒田市病院機構のホームﾍﾟｰｼﾞにも、今年2月14日に発生した今回の事故に関する公表は掲載されていません。

山形県・酒田市病院機構の脇川清道法人管理部長が、「再発防止のため職員への指導を徹底したい」と記者に対して話したようですが、当然、それだけでは足りません。

本来、日本海総合病院としては、

①  被害者であるカルテの内容を閲覧された患者への連絡、

②  ウエッブページなどによる事実関係の公表

③ 山形県の健康福祉部地域医療対策課への事故報告

という措置をとる必要があることになります。

しかし、日本海総合病院は、個人情報の漏えい事故が発生したことを自発的に公表していなかったことらすると、

被害者である患者への連絡も、県への報告も、

何もしてない可能性が高そうです。

(補足) 

本ブログでは、個人情報の漏えい事故が民間の病院で起きたとの前提で、個人情報保護法の条文を引用して、ブログを書いていますが、実は正確ではありません。

今回の個人情報の漏えい事故は、独立行政法人である、独立行政法人山形県・酒田市病院機構が経営する日本海総合病院で起きた事故です。

独立行政法人の場合には、個人情報保護法の特別法(?)となる、「独立行政法人等の保有する個人情報の保護に関する法律」が適用され、

個人情報保護法は適用されません。

また、引用しています「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」についても、

同ガイドラインは、個人情報保護法が適用される、民間病院向けのガイドラインとなっています。

そのため、個人情報保護法が適用されない日本海総合病院には、このガイドラインも適用されません。

日本海総合病院に適用されるガイドラインに変わるのは、総務省行政管理局が定める「独立行政法人等の保有する個人情報の適切な管理のための措置に関する指針（局長通知）」となります。

正確な説明をするためには、「独立行政法人等の保有する個人情報の保護に関する法律」の条文を引用し、「独立行政法人等の保有する個人情報の適切な管理のための措置に関する指針（局長通知）」の該当個所を指摘させていただくべきではありますが、

内容が複雑となるだけで、わざわざ正確な説明をする実益があるとは言えないと考えました。

そのため、病院での個人情報の漏えい事故が、民間病院で発生しており、個人情報保護法の適用があるとの前提でブログを書いています。