なぜ、医療機関では個人情報保護研修が重要なのか
なぜ、医療機関では個人情報保護研修が重要なのか。
超情報社会と言っても過言ではない現代において、個人情報の保護に関する重要性は誰しもが理解できることです。しかしながら、個人情報の流出や漏洩という不祥事を起こす企業のニュースは後を絶ちません。
医療機関は、一般企業と比べると個人情報を従業員レベルで扱う場合も多いでしょう。そのため、従業員の一人一人が個人情報に関する正しい知識と適切な対応や不適切行動などを理解して実践することが求められます。
そもそも個人情報保護法とは?
個人情報保護法は、正式名称を個人情報の保護に関する法律といい、2003年に制定、2005年4月に全面施行された法律です。生年月日や住所など、個人のプライバシーに関する大切な情報ですが、その情報を活用することで行政や医療など様々な分野でサービスの向上や業務の効率化を図ることができます。
個人情報を活用する有用性に配慮しながら、個人の権利や利益を守ることを目的として定められた法律です。
個人情報保護法は個人情報を取り扱うルールを定めた法律
個人情報保護法は、個人情報を取り扱うすべての事業者に対して、個人情報の取得や利用、提供、管理などに関する共通のルールや義務を定めた法律です。すべての事業者に対して、ですので医療機関の規模や従業員数などは関係ありません。また、取り扱われる個人情報には様々なものがあり、何が個人情報に当たるのかを正しく理解しておかないと、個人のプライバシーとデータを適切に保護できなくなる恐れがあります。個人情報保護法に違反した場合は、罰則があるほか違反の事実を公表されることもあるため、個人情報を多く取り扱う医療機関においては順守への意識が重要な法律の一つです。
どんな情報が個人情報になる?
個人情報保護法における個人情報とは、生存する個人に関する情報で、特定の個人を識別することができる情報のことを言います。氏名や顔写真などは、それ自体で個人を特定することができるので個人情報に該当します。それ以外にも、他の情報と照合することで特定の個人を識別できるものも個人情報になります。例えば、生年月日や電話番号など、その情報単体では特定の個人を識別できないですが、氏名などと組み合わせることで特定の個人を識別できるので、個人情報に該当することになります。
さらに、マイナンバーや住民票コード、保険証番号など、特定の個人を識別できる情報で政令や規則で定められたものを「個人識別符号」といい、この個人識別符号が含まれる情報は個人情報にあたります。
個人関連情報取扱事業者とは?
個人関連情報取扱事業者とは、個人情報保護法において「個人情報データベースなどを事業の用に供している者」と定義されています。つまりは、個人情報を取り扱う法人や事業者のことで、顧客などの個人情報をリスト化して保存している企業や組織などが個人情報取扱事業者に該当します。医療機関では、個人情報や個人データを多く取り扱っています。先にも書いたとおり、その規模や取り扱う情報の数には関係がありません。すべての医療機関が個人関連情報取扱事業者に該当します。
個人情報や個人データを取り扱うときの基本ルールとは?
個人情報を取り扱うには、どのような目的で個人情報を利用するのかを具体的に特定しなければいけません。その利用目的は、あらかじめホームページ等により公表、本人に告知する必要があります。また、取得した個人情報は、利用目的の範囲内で利用しなければならず、特定した利用目的の範囲外で利用する場合は、あらかじめ本人の同意が必要です。
取り扱う個人情報やデータは、紛失や漏洩が起きないように安全管理を徹底しなければなりません。例えば、紙で管理している場合はカギのかかるキャビネットで保管する、パソコンでの管理であればパスワードやセキュリティソフトで保護する、などです。
取り扱う個人データを第三者に情報を提供する場合は、原則として、あらかじめ本人の同意を得る必要があります。また、第三者に個人データを提供した場合、「いつ、誰の、どのような情報を、誰に」提供したのか、逆に第三者から個人データの提供を受けた場合には「いつ、誰の、どのような情報を、誰から」提供されたのかを記録する必要があります。(記録の保存期間は原則3年)
本人からの保有個人データの開示請求があった場合は、開示、訂正、利用停止などに対して適切に対応する必要があります。また、個人情報の取扱いに対して苦情があった際には、適切かつ迅速に対処しなければなりません。この開示請求は、前項の第三者に個人データを提供した記録も対象となります。開示方法については、電子データの提供も含めて本人が請求した方法で対応する必要があります。
医療機関で取り扱う個人情報の事例
医療機関では、患者個人の基本的な情報から専門職が知り得るデータまで、非常に多くの個人情報および個人データを取り扱います。万が一、流出や漏洩などに繋がってしまった場合、それが個人情報に該当すると「知らなかった」では済まされないので細心の注意が必要です。
基本情報
患者に関する基本的な情報です。氏名、生年月日、住所、電話番号などが該当します。個人情報として広く認識されているので、保護に対する意識も比較的高くなります。
医療履歴
患者の健康に関する情報です。例えば、過去にどのような病気をしたのか、手術歴や薬物アレルギーの有無、病気の診断歴、治療の記録なども該当し、これまでの病歴などが含まれています。医療機関では、業務上知り得る情報として保護への意識を高めなければいけません。
診断情報
患者の診療の過程で知り得た情報です。医師による現在の診断情報、病状の詳細、治療計画、処方箋、検査結果や数値データなどがそうです。患者への説明などの場面や機会も多いと思いますので注意が必要です。
医療保険情報
患者の医療保険に関する情報です。保険証券情報、保険プラン、支払い情報、請求情報などが該当します。医療保険ですから、必然的に医療機関での取り扱いが多くなりますので、保護への意識が必要となります。
連絡先情報
患者以外の連絡先や保護者の情報など、緊急時に連絡を取るための情報です。その多くは家族や親族となりますが、患者本人以外の情報であるため改めて保護の意識が必要です。
その他
上記は、あくまで代表的な個人情報であり、記載されているものに注意すれば大丈夫というわけではありません。例えば、業務上知ることとなった患者本人や家族の所得や収入などの情報を「ついうっかり」で口外するということがあってはならないのです。業務上で知り得る情報のすべてが個人情報という意識と心構えが必要です。
医療機関で個人情報保護研修が重要な理由とは?
これまでにも記載してきたように、医療機関においての個人情報や個人データは、取り扱いを間違えれば信用の失墜や経営そのものを揺るがすほどの大きなリスクとなります。一方で、こういった情報やデータがなければスムーズで確実な医療の提供は難しくなります。情報やデータを活用しながら保護していくかということについて、職員全員が学び続けていく姿勢と取り組みが求められるのです。
医療現場は個人情報と隣り合わせ
医療機関は、様々な職種や関係者と連携しながら動いています。そのことから考えても、医療現場では、いかに多くの個人情報を取り扱う必要があるかがわかります。しかし、医療現場では個人情報の取り扱いに対する誤解や理解不足が多く存在することも事実です。決して軽視しているわけではなく、記憶違いや勘違いもあると思いますが、個人情報に関する研修を行い、個人情報と個人情報保護法についての理解や意識が深めることが重要です。
個人情報に関するトラブルを防ぐことができる
個人情報の適切な扱い方法を知ることで、個人情報の管理・運用についての意識が高まり、トラブルを防ぐことができます。日常的に個人情報を取り扱う機会が多い医療現場では、つい何の気なしに不適切な個人情報の扱いをしてしまうケースが少なくありません。何度も繰り返しになりますが、個人情報の取り扱いに関しては大きなリスクを伴います。故意ではなく過失であったとしても、決して許容されるものではありません。刑事罰や民事訴訟にまで発展することを「大げさ」と感じていては、後悔することになるでしょう。
個人情報漏洩事故による損害賠償のリスクを防ぐことができる
個人情報の漏洩は、事の大小にかかわらず非常に重大なリスクです。どれほどセキュリティを万全にしていても、ほんのちょっとしたヒューマンエラーによって、情報の漏洩につながり、その結果信用の失墜や損害賠償に至ることは十分に考えられます。個人情報保護研修を行い、職員が保護に対する高い意識と適切な対応を取ることで、個人情報漏洩事故のリスクを抑えることは、医療機関としての責務と言えるでしょう。
医療機関向けの個人情報保護研修の主な内容
個人情報保護研修を実施する場合、どのような内容でどのようなポイントを押さえる必要があるかを見てみましょう。
個人情報保護法の基礎
まずは、個人情報保護法に関する基本部分を学びます。個人情報保護法は何のために存在するのかという目的を理解することも、職員の保護に対する意識を高めるうえでは重要です。何が個人情報に該当するのか、個人情報にはどのような種類があるのか(例:個人識別符号、匿名加工医療情報、仮名加工医療情報など)を学びます。
個人情報取り扱いのポイント
個人情報保護法に則って、個人情報の取得時や利用時の取り扱い方を学びます。さらに、個人情報の正しい保管方法や、開示請求を受けた際の対応についてを学び、不適切な取り扱いや対応を未然に防ぎましょう。
現場や実務と照らし合わせて、現状のリスクや問題点と改善に向けた方法や取り組みまでを見据えた内容にするとより効果的でしょう。
個人情報が漏洩した場合の対応
あってはならないことですが、万が一、個人情報が漏洩してしまった場合の報告義務や対応方法についてを学びます。昨今の企業不祥事では、不祥事の内容もさることながら、その後の対応に非常に多くの注目が集まります。その結果次第で、企業の体制や風土、ガバナンスなどへの批判が起こるケースは少なくありません。
個人情報漏洩のリスクマネジメント
個人情報の漏洩は重大なリスクです。そのリスクをどのように防ぐかについてを学びます。特に、ヒューマンエラーに関する理解が必要です。そして、職場や組織全体で個人情報を漏洩させない仕組みづくりへの取り組みにつなげていきます。
取り扱いのポイントと同様に、現状と改善を意識して学ぶことで効果的な研修となるでしょう。
まとめ
いかがでしょうか。個人情報保護に対する重要性やリスクについては誰もが理解していることです。しかし、理解できているからと言って、必ずしもできているわけではないはずです。今後、情報+デジタル化はますます進んでいくと思われます。何かあってからでは遅いのです。
人の行動は意識の表れです。職員の一人一人が、いかに高い意識で取り組めるかが個人情報保護への最大のリスクマネジメントとなるでしょう。
患者や家族が、心から安心できるように個人情報の保護に取り組んでください!
