｜Home｜前のページに戻る｜

個人情報保護に関するガイドライン

2005年4月1日 制定
2007年3月20日 改訂

はじめに

個人情報法の保護を目的に、「個人情報の保護に関する法律」が平成17年4月1日から新たに全面的に施行された。

　この法律は医療・介護を含む全ての事業分野を対象にし、個人情報データベースなどの事業の用に供している事業者を「個人情報取扱事業者」とし、守るべき措置が講じられている。ポイントを一言で表すと、個人の名前、住所、電話番号はもとより、職業、資産および負債、出身校、家族構成、趣味嗜好にいたるまで、経済的価値を有し個人情報が取引されるようになってきている、個人情報が漏洩しないように、また誤った情報が流通しないようにするということを主たる目的として法律が成立した。

　個人情報保護の観点から、医療機関・衛生検査所の１機能を果たすジェネティックラボ・グループとして取り組むべきこととしては、患者から情報を取得すること、すなわち、氏名・検査データ等を入手することは、個人情報の取得であるので、「利用目的の特定」をしなくてはならない。医療機関においては、院内・施設内掲示をしておくと、個々の患者に通知する必要はない。取得した個人情報を適切に管理するために「管理措置」を講じなければならない。これらの措置の中には「従業者の監督」、「委託先の監督」も含まれる。 　以上の個人情報に関する状況に鑑み、当グループ会社においても「個人情報取扱事業者」としての「個人情報の安全管理」の責務を履行することを目的に、以下のガイドラインを作成した。

個人情報の適切な取り扱いのためのガイドライン

1．基本理念

1）目的；当グループ会社の全職員（以下、従業者）は、この「ガイドライン」および「個人情報の保護に関する法律」、「同施行令」、厚生労働省「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」にもとづき、関係者に関する個人情報を適切に取り扱い、受託先から信頼される検査機関であるよう、たゆまぬ努力を続けていくものとする。

2）個人情報の範囲；衛生検査所の１機能を果たす当グループ会社の保有する病理診断を受けた個人を｢被検者｣とする。「被検者」について従業者が職務上知りえた情報を「個人情報」と規定する。氏名、住所生年月日、性別等個人を特定できる情報で当グループ会社における被検者の情報の他、取引業者、名刺の類の情報までを含む。衛生検査所たる当グループ会社における個人情報の例としては、検体、病理組織標本、検査依頼書、検査結果報告書、委託検査管理台帳、検査結果報告台帳、苦情処理台帳等を含む。

3）利用目的の特定および制限；衛生検査所の1機能を果たす当グループ会社が医療機関・他の衛生検査所から委託を受ける個人情報の利用目的は、医療機関が患者・利用者に対し公表した利用目的のうち、医療機関との間において締結した委託契約において定まる業務に従うものとする。基本的には、被検者の個人情報を当該業務の受託以外の目的で利用することはできない。

4）守秘義務；すべての職員は、その職種の如何を問わず、当グループ会社の従業者として、職務上知り得た患者の個人情報を、正当な理由なく第三者に漏らしてはならない。退職した後においても同様とする。すべての職員は、この義務を遵守することを書面によって誓約しなければならない（書式1）。

5）範囲；業務に従事するもので、正職員のほか、役員(含；取締役員)、嘱託職員、出向職員、派遣職員、臨時職員を含む。これらの｢職員｣とは、医療資格者のみならず、業務に従事する者すべてを含む。業務委託契約を締結する事業者に雇用され委託された業務に従事する者については、委託先業者において「個人情報保護に関する検討委員会」の規則に準じた取り扱いを定め、管理するものとする。

6）継続的改善：当グループの品質・信頼性保証におけるラボ・マメジメント・システムは、個人情報の保護に関しても、自らの規定するマニュアル並びにSOP（標準作業書）に基づく点検、会議体における審議・討議などをもって、継続的に改善するものとする。

2．病理検査依頼書・報告書等の取り扱いと保管

1）保管・利用時の注意；診療記録等の保管については、毎日の業務終了時に所定の保管場所に収納し、滅失、毀損、盗難の防止に充分留意するものとする。また事務作業中など、業務に利用する際には、滅失、毀損、盗難の防止に充分留意するとともに、記録の内容が他の部外者等の目に触れないように配慮しなくてはならない。

2）診療記録等の施設外持ち出しの禁止；原則としては持ち出し禁止であるが、職務遂行上やむを得ずもちだす場合は、所属長の許可を得ることとし、返却後の所属長の確認を得なくてはならない。持ち出しや返却の日時・利用者の記録を保存しなければならない（別表1）。特に、個人情報の漏洩のリスクの源泉となる「個人情報を持たない、作らない」ことを念頭におき、原則的に個人情報のコピー・メモを作成しないこととし、やむを得ず作成する場合は、用途に応じた保存期間を定め、短期間で確実・安全な方法により廃棄するとか、匿名化をしなければならない。

3）電磁的な記録；コンピューターを用いて保存している場合は、利用実態に応じて、情報へのアクセス制限等を適宜実施する。通信回線を経由しての不正侵入等の被害を未然に防ぐよう、厳重な措置を講じる。特に、職員以外の者が立ち入る場所またはその近くにおいてコンピューターを利用する際には、モニター画面を通じて外部の者に触れることのないよう留意しなければならない。バックアップファイルおよび記録媒体の取り扱い、保管は各部署の責任者の管理のもとに厳重に取り扱う。施設外での利用のための、データのコピーは原則禁止する。データをプリントアウトした場合、使用目的を終えた場合には、他の者が見読不可能な状態にして速やかに廃棄する。また電話回線を介してファックスを使用する場合は個人情報を特定できないよう配慮する（氏名・生年月日等の匿名化等）。

4）業務委託先の監督；個人情報取扱事業者が他の事業者などに業務委託する場合には、委託先が個人情報保護に留意して業務をおこなっているかどうかを監督することが求められる（書式2）。清掃、廃棄物処理などを対象とする。

5）安全管理措置として考えられる事項；事業者は、その取り扱う個人データの重要性に鑑み、データの漏洩、滅失または毀損の防止その他の安全管理のため、個人情報の利用目的を踏まえた個人情報の安全管理のため、必要な措置を行う。

6）個人情報保護推進のための組織体制の整備；従業者の責任体制の明確化を図り、具体的な取り組みを進めるため、管理者・監督者を定め、委員会「個人情報保護に関する検討委員会」を設置する（附則1）。

7）本人の同意；個人情報の取り扱いに当たっては、契約内容に従って業務を遂行する限りにおいて、被検者本人の同意を必要とする場合は委託元において、その手続きが行われているものとして取り扱う。従って衛生検査所の１機能を果たす当グループ会社が直接被検者に開示することはできない。被検者に対し、医療機関等との委託契約上、自己に対応する権限がないことを通知する。委託先である医療機関等の名を示した上で直接請求するよう案内するとともに、委託契約の趣旨に基づき、医療機関等に対し、被検者より開示の請求があったことを報告する。

3．学会・研究会・学術誌などへの報告

学会・研究会・学術誌などへの報告に際しては、匿名化が必須であり、その目安は一般人がみて特定の個人を識別できない程度とする。

4．個人情報の第三者への提供

被検者の個人情報を第三者に提供する際には、原則として本人の同意を得なければならない（書式3）。

5．本人からの求めによる保有個人情報の開示

被検者本人から、当該本人が識別される保有個人情報の開示を求められたときは、本人に対し、書面の交付による方法等により、遅滞なく、当該保有情報を開示しなければならない（書式3）。

6．個人情報の漏洩等の問題が発生した場合の取り扱い

個人情報の漏洩、滅失または毀損など、予測されるリスクに対して予防措置を講ずるとともに、個人情報の取り扱いに関する規程等に違反している事実または兆候があることに気づいた場合には、個人情報保護管理者に報告しなければならない。個人情報の漏洩等の問題が発生した場合には、二次被害の防止・類似事案の発生回避の観点から、関係機関に報告するとともに、速やかに是正措置を講ずるものとする。

7．７． 苦情への対応

1）個人情報の取り扱いに関する苦情・相談等は受付あるいは「相談窓口」で対応する。

2）「相談窓口」による対応が困難な場合には、「個人情報保護に関する検討委員会」で対応を協議する。本検討委員会は、必要に応じて所属長が招集する（附則1）。

8．雑則

この「ガイドライン」は、制定後少なくとも２年毎に一回見直すこととする。