新着コンテンツ

- 歯科医院の経営 -

2018.08.01 DRCエクスプレス

医療情報の流出に対する医療従事者の責任


 

 東京地方裁判所平成25年3月28日判決[平成24年(ワ)第28965号]は、車上荒らしによって患者の個人情報データを流出させてしまった病院側について、患者の精神的苦痛に対する慰謝料として30万円の賠償を命じた。判決で認定された事実は概ね次のとおりである。
①当該患者は、被告が運営するA病院において、平成16年10月4日に乳がんの手術、平成21年1月20日に乳房の再建手術を受けた。
②A病院の勤務医は、平成23年10月19日、当該患者を含む個人情報データをノートパソコンおよびUSBメモリに複製し、A病院の規程に従うことなく院外に持ち出した。
③当該勤務医は、同日夜、友人宅を訪問し、上記パソコンを自動車内に放置したところ、車上荒らしにあって当該パソコンを盗難された。
④上記データには、患者の病気に関する情報、時系列で手術前後3方向からの臨床写真(患者氏名入)が含まれていたが、当該写真には患者の顔は写っていなかった。
⑤上記パソコンにはパスワードロックが付されており、本件データが公開されているといった事実も確認されていない。
⑥当該患者は、A病院を運営する被告に対し、患者の個人情報を適切に管理しなかった過失があるとして、慰謝料141万円の損害賠償を求め、東京地方裁判所に提訴した。

 
 

■裁判所は慰謝料請求を認容

 上記事案について、裁判所は、まず本件データが「プライバシーに属するものの中でも、とりわけ秘密性の高い情報に属する」と認定し、「自身に関する電子情報が外部に流出したことを知って、今後、あらゆる人がこの電子情報を閲覧することができるような状態になるかもしれず、自分の知らないうちにそのような状態が生じているかもしれないなどといった思いが念頭を離れなくなり、このことによって強い精神的苦痛を被っているものと認められる。」と指摘した。その上で、「原告の内心の静穏な感情に対する侵害は、受任すべき限度を超えており、不法行為の成立を認めるのが相当である」と判示し、慰謝料30万円の支払いを命じた。

 
 

■第三者に流出・悪用までは求めず

 本判決では、パソコンにパスワードロックが付されていたと認定し、「その意思及び能力を有する者が、このパスワードを解除した上で本件データを公開するなどしない限り、本件データが多数の者に知れ渡る状態に置かれることはあり得ないと考えられるし、本件データが公開されるなどした事実があるものともうかがわれない」と指摘し、本件データが第三者に流出・悪用された事実は否定した。
 
 すなわち、「内心の静穏な感情」それ自体が侵害されたことをもって不法行為と認定しており、本件データが第三者に流出又は悪用されたことまでは求めなかったのである(ただし、盗難されたパソコンにパスワードロックが付されていたことは、慰謝料の算定にあたって減額要素として考慮されている)。
 他方、平成26年に発覚したベネッセコーポレーションの顧客情報流出事件についての東京地方裁判所平成30年6月20日判決は、実際に何らかの実害が生じておらず「抽象的な不安感に止まる」とし、同社がお詫びの文書と500円相当の金券を配布したことを考慮した上で、さらなる慰謝料請求までは認めなかった。
 ベネッセの事件では、複数の名簿業者を経て500社以上に情報が流出していたことが判明しているが、それでも裁判所は慰謝料について認めることはなかった。冒頭判決とのベネッセの事件の違いは、流出した情報の内容・性質による。すなわち、前者では「乳がんの治療を受けた際の情報及び臨床写真」というプライバシー性の高いものであったのに対し、後者では、氏名、住所、生年月日等というプライバシー性が低いものであった。

 
 

医療現場等における情報連携での利用

 

 

 

厚生労働省 医療等分野情報連携基盤検討会「『医療等分野における識別子の仕組み』の概要」より出典
https://www.mhlw.go.jp/content/12601000/000339138.pdf

 
 

■ 診療情報は「要配慮個人情報」である

 患者の身体状況、病状、治療等といった診療情報や調剤情報等は「要配慮個人情報」として、その取扱いに特に配慮を要するものとされている(個人情報保護法第2条3項)。
 本事案では「乳がんの治療を受けた際の情報及び臨床写真」という診療情報の中でも特にプライバシー性が高いのものであったが、それ以外の診療情報も基本的には他人に知られたくないものでる。
 この点、エステ大手のTBCの顧客情報流出事件に関する東京高等裁判所平成19年8月28日判決(判例タイムズ1264号299頁)の判示が参考になる。当該判決は、エステに係る情報について「個々人の美的感性の在り方や、そうしたものに関する悩み若しくは希望といった個人的、主観的な価値に結びつく、あるいは結びつくように見られる種類の情報である点で…より高い保護を与えられてしかるべき種類の情報である」と判示し、各3万5000円の範囲で原告14名の請求を認容した。
 歯科医院が保有する診療情報等も、患者の悩み、病歴、症状、治療内容及び治療費が含まれるものであり、原則としてプライバシー性が高いものである。ちなみに、個人の健康診断の結果は内容にかかわらず、個人の病歴も一般的かつ軽微な疾患を含め要配慮個人情報とされる。
 したがって、管理者である歯科開業医にはそれ相応の管理責任が求められ、万が一診療情報が流出した場合、本判決のように民事責任を問われたり、個人情報保護委員会から勧告・命令を受けたりするおそれがある。

 
 

■ 歯科開業医も「個人情報取扱業者」である

 平成29年5月30日に改正法が施行される前の個人情報保護法では、取り扱う個人データの数が過去6カ月間に一度も5000件を超えたことがない小規模事業者は、個人情報取扱事業者としての義務等は課せられないこととなっていた。
 しかし、法改正によって、個人データの数にかかわらず、個人情報データベース等を事業の用に供する全ての個人情報取扱事業者が、個人情報保護法の対象となり、これには歯科開業医も当然含まれている。
 この点、厚生労働省は、上記法改正に伴い医療従事者が個人情報を適正に取り扱うことができるよう、平成29年4月14日付「医療・介護関係事業者等における個人情報の適切な取扱いのためのガイダンス」を公表した。
 同ガイダンスは、具体的な留意点・事例等に照らして、「法の規定により厳格に遵守することが求められる事項」と「法に基づく義務等ではないが、達成できるよう努めることが求められる事項」をそれぞれ紹介している。
 したがって、歯科開業医は、上記ガイダンス及び同ガイダンスに関するQ&A(事例集)等を参考にしながら対処していくことになる。

 
 

■ ガイダンスが示す「安全管理措置」

 例えば、上記ガイダンスでは、個人情報保護法第20条が定める「安全管理のために必要かつ適切な措置」について、以下の取り組みを参考例として示している。
 すなわち、①個人情報保護に関する規程の整備、公表、②個人情報保護推進のための組織体制等の整備、③個人データの漏えい等の問題が発生した場合等における報告連絡体制の整備、④雇用契約時における個人情報保護に関する規程の整備、⑤従業者に対する教育研修の実施、⑥物理的安全管理措置、⑦技術的安全管理措置、⑧個人データの保存、⑨不要となった個人データの廃棄、消去である。
 上記ガイダンスでもこれら全ての履行を求めているものではなく、事業規模や従業員の様態等を勘案して、各自において必要な措置を行うことが求められている。

 
 

■ 無形資産としての信用

 以前は紙媒体で管理していた診療情報も、現在ではデータにより管理がなされていることが大半であり、そのため、一瞬で何十件・何百件の情報が容易に拡散し、その回収・回復は事実上不可能である。よって、事後的な被害回復は期待できず、事前の情報漏洩の予防が最善の対応策となる。
 上記ガイダンスで求められた必要な措置を実施していなければ、管理者である歯科開業医が責任を問われ、そのときには、上記のとおり、慰謝料賠償等の民事上責任とともに行政指導等の行政責任を負うことも覚悟しなければならない。
 さらにいえば、必要な措置を講じていないことで患者の診療情報が流出したり、それが還付金詐欺などに悪用されたりすれば、歯科開業医が築き上げた地域における信用も失ってしまう虞(おそれ)がある。患者からの信頼・信用は歯科開業医にとって金銭には代えがたい無形資産であり、この喪失だけは回避しなければならない。

 
 

■ 2020年から開始予定の医療等ID

 厚生労働省の医療等分野情報連携基盤検討会は、平成30年7月26日、マイナンバーの医療版とも呼ばれる「医療等ID」を2020年度から本格運用するとの工程表案を提示した。
 個人の健診結果や診療録などの保険医療記録が共有され、無駄な検査の減少にもつながると期待されている(診療現場等における情報連携のイメージは参考資料のとおり)。
 医療等IDについては新たに発行するのではなく、公的医療保険の被保険者番号を活用するとのことである(被保険者番号は、2020年度中に現状の世帯単位から個人単位に変更することが予定されている)。
 保険医療記録の共有方法・セキュリティについては現在検討が進んでいるものの、上記検討会でも「医療機関等は医療情報システムについて適切なセキュリティ対策を講ずる必要がある」とされ、医療機関における情報管理の必要性が大きくなることが予想される。
 そのため、やはり歯科開業医においても、それぞれの事業規模等に応じて必要な取り組みを行っていくことが求められる。

 
 

ページトップへ矢印