事例で学ぶ!情報化社会における医療現場の落し穴に注意して備えたい

医療現場の現状 基礎知識 事例と対策 パソコン盗難事例 USB紛失事例 ガイドライン

医療現場における個人情報保護・情報管理の現状

臨床検査技師は患者や受診者のプライバシー情報*1や個人情報*2を取り扱う機会が多くあります。臨床検査技師をはじめ医師、看護師、薬剤師などの医療従事者が患者の個人情報を含んだ情報を、USBメモリ等の情報記録可搬媒体で院外に持ち出し紛失したり、院内で盗難等にあったりという報道が今も時々報じられています。

厚生労働省は、平成16年12月24日に「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」について通知しその後、最終改正を平成22年9月17日 1)に行っています。

また、(社)日本臨床衛生検査技師会は平成17年4月に「個人情報保護ガイドライン第1集〜第3集」 2)3)4)を作成しています。

さらに、電子カルテの導入など医療現場でも電子媒体を利用することが多いため、厚生労働省は、平成17年3月に医療情報システムの安全管理に関するガイドラインを策定し、平成22年2月には第4.1版 5)を公表しています。

臨床検査技師が取り扱う情報は、個人情報とプライバシー情報の両方の性質を持つことが多いので、個人情報保護の視点、医療者の守秘義務、さらには、医療者や医療業務に携わる者としての倫理的配慮のもとに、適切に管理をする必要があります。

そこで今回は個人情報の取り扱いについて再確認すると共に、実際の事故事例から対策を考えていきたいと思います。

*1:プライバシー情報とは
「個人の私生活の情報」「まだ社会一般の人が知らない情報」「一般人なら公開を望まない情報」の3つの条件を全て満たす情報をいいます。
*2:個人情報とは
「個人情報」とは、「個人情報の保護に関する法律」(平成15年法律第57号)第二条第一項で「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日、その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」をいう。なお、当該患者・利用者が死亡した後においても、医療・介護関係事業者が当該患者・利用者の情報を保存している場合には、漏えい、滅失又はき損等の防止のため、個人情報と同等の安全管理措置を講ずるものとする。
医療機関等における個人情報の例としては、診療録、処方せん、手術記録、助産録、看護記録、検査所見記録、エックス線写真、紹介状、退院した患者に係る入院期間中の診療経過の要約、調剤録 等である。
(「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」より抜粋)

個人情報の取扱いに関する基礎知識

個人情報を取り扱う場合の義務

医療機関で個人情報を取り扱う場合の義務について、法の第十五条第一項で「個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的をできる限り特定しなければならない。」と決められています。これは、医療機関では、個人情報を医療サービスの提供や、医療保険事務、入退院等の管理などの目的で利用していることは、一般の患者さんも想像がつき理解できることですが、個人情報を取り扱うにあたっては、個人情報の利用目的を特定することが必要であるということです。

また、法第十六条第一項目で「個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。」と決められています。これは、この利用目的以外の目的で個人情報を利用してはならないということです。

さらに利用目的の通知について、法第十八条第一項で「個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。」と義務付けられています。これは、利用目的以外の利用をする場合は、その利用目的を患者さんに通知や公表などの手段で明示する必要があり、利用に際しては患者の同意が必要であるということです。

個人情報の利用に際して同意を得る方法については、個人情報保護法上での規定はなく、文書によるものや、口頭や電話による方法が認められます。口頭や電話による同意の場合は、やり取りについてカルテなどの記録に残すことが必要になります。多くの医療機関では、患者一人ひとりに個人情報の利用目的について、そのつど説明し同意を得ることが困難なため、個人情報の利用目的や利用範囲と利用に同意しない場合は申し出るように、病院のホームページに掲載したり、施設の入り口や待合室などに掲示したりするなどの方法をとっている場合が多いようです。これを『黙示の同意』*3と言います。

*3:黙示の同意とは
通知や公表に対して、同意をしない旨を申し出なかった人は同意とみなすことをいいます。
個人情報の匿名化

個人情報から、情報に含まれる氏名、生年月日、住所等、個人を識別する情報を取り除くことで、特定の個人を識別できないようにすることを「個人情報の匿名化」といいます。 例えば個人が特定されない符号又は番号に置き換えるなどです。学会などでの発表や学会誌などに報告する場合は氏名、生年月日、住所等を消去することで匿名化されると考えられます。しかし、症例や事例によりこれらの消去では十分な匿名化が困難な場合は、本人の同意を得る必要があります。

安全管理措置

法の第二十条では医療・介護関係事業者が講ずるべき安全管理措置として、「個人情報取扱事業者は、その取り扱う個人データ*4の『漏えい』『滅失』又は『き損』の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。」と安全管理措置について決められています。具体的には、個人データの安全管理のため、組織的、人的、物理的、及び技術的安全管理措置を講じるということです。〔図1参照〕

また、法の第二十一条・第二十二条では従業員・委託先の監督について記載されています。ここで言う「従業者」は、医療資格者のみならず、当該事業者の指揮命令を受けて業務に従事する者すべてを含みます。また、雇用関係のある者のみならず、理事、派遣労働者等もみます。医療・介護関係事業者は、安全管理措置を遵守させるよう、従業者に対し必要かつ適切な監督をしなければならないということです。

*4:個人データとは(法第二条第四項)
「個人データ」とは、「個人情報データベース等」を構成する個人情報をいいます。
「個人情報データベース」(法第二条第二項)とは、特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した個人情報を含む情報の集合体、又はコンピュータを用いていない場合であっても、紙面で処理した個人情報を一定の規則(例えば、五十音順、生年月日順など)に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態においているものをいいます。
(「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」より抜粋)

〔図1 個人情報の安全管理措置〕

事例と対策

パソコン盗難の事例

物理的安全管理措置には、

  • 入退室者の管理や盗難等の予防対策、
  • 機器・装置の固定

が挙げられています。個人情報が保存されている機器・装置は、入退室管理ができる保管場所に保管する事が必要です。また保管場所のドアの施錠や、パソコンなどの機器・装置を鎖(チェーン)などで持ち運べないように固定するなどの対策が必要になります。

技術的安全管理措置には、

  • パスワード等を設定、
  • 業務範囲に応じたアクセス制限を実施、
  • 個人データにアクセスした記録を残す仕組みを作る、
  • 個人データに関するファイアーウォールを設置する

等の対策が必要になります。

事例1
患者情報入りパソコン盗難  2008(平成20)年4月17日《共同通信社報道より改変》

患者約1万7000件の個人情報が入ったパソコン1台を紛失した。記録されていたのは、運動負荷をかけて心疾患の有無を調べる検査を受けた患者のデータで、患者の氏名、病名、識別番号、検査結果が入力されていた。住所や電話番号、生年月日は記録されていなかった。パソコンには1999年からの情報が入っていたという。

午前10時ごろ、病棟3階のリハビリ室のワゴンに載せてあったデスクトップ型のパソコンを、看護師がリハビリの邪魔になるとワゴンごと廊下に運び出した。午後4時ごろ、臨床検査技師がワゴンを室内に戻したが、すでにパソコンはなくなっていたという。翌日午前11時半ごろ、他の臨床検査技師が、パソコンがなくなっているのに気付き、上司に報告。盗難届を出した。パソコンは内規に反してパスワードは設定されておらず、チェーンで固定もされていなかったという。リハビリ室前の廊下は患者や出入り業者など不特定多数の人間が出入りする場所だった。

事例2
患者情報入りパソコン盗難 2009(平成21)年4月20日 《共同通信社報道より改変》

患者46人の個人データが入ったノートパソコンが盗まれたことが分かった。被害届を受け、警察は窃盗事件として捜査を始めた。病院によると、ノートパソコンは脳波測定装置に付属している解析用のもので、耳鼻科の患者46人の名前や生年月日、脳波データなどが入っていた。パスワードなどがなくても閲覧できる。

午後2時半ごろ、臨床検査技師が生理検査・脳波室からノートパソコンがなくなっていることに気付いた。被害があった部屋は、昼間鍵がかかっておらず、誰でも出入りできる状態だった。

上記の事例1、事例2共に物的安全管理措置や技術的安全措置が十分されていませんでした。また、組織・人的安全管理措置で考えると、個人データを取り扱う情報システムの安全管理措置に関する規程等の整備や個人情報の管理者・監督者等を定める、委員会等を設置するなどの個人情報保護推進のための組織体制等の整備など従業者の個人情報保護に関する規程を整備や、従業者に対する個人情報の教育研修の実施等により、個人データを実際の業務で取り扱うこととなる従業者の啓発を図り、従業者の個人情報保護意識を徹底するなどが十分とは言えなかった可能性があります。

リスク回避のコツ

パソコン等の盗難を予防するためには、組織的・人的安全管理措置、物理的安全管理措置、技術的安全管理措置をしっかり実施する事が必要です。そして個人データを適切に保存することと、不要となった個人データの廃棄・消去を適切に実施する事も必要です。「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン(厚生労働省平成22年9月17日)」 6)を基に各施設で対応してください。

USBメモリの紛失

「医療情報システムの安全管理に関するガイドライン 第4.1版(平成22年2月 厚生労働省)」では、〔6.9 情報及び情報機器の持ち出し〕 7)の中で、情報記録可搬媒体としてノートパソコン、フロッピーディスク、USBメモリなどを挙げています。

情報を持ち出す場合は、盗難、紛失、置き忘れ等のリスクが大きくなることを十分理解して対策を検討していきます。特にUSBメモリの紛失等の事故報道は少なくありません。事例3は臨床検査技師が関わったUSBメモリの紛失事例です。

事例3
患者48人の個人情報紛失2008(平成20)年7月30日《共同通信社報道より改変》

検査科の臨床検査技師が、ほかの10医療機関と共同研究で得たC型慢性肝炎の患者48人の名前や性別、検査数値などの情報を保存した私物のUSBメモリを紛失したと発表した。病院によると、臨床検査技師は新たな研究のため、検査科のパソコンに記録した患者101人のデータから48人分をUSBメモリに保存。使用後、メモリを白衣のポケットにしまい、その後に洗濯に出した。3日後に紛失に気づいた。同病院では私物のUSBメモリの使用を禁止しているが、技師は「自分のものが使いやすかった」と話している。

上記の事例3は、研究目的で患者の情報を使用するにあたり、病院の取り決めに違反して、病院のパソコンから患者の個人情報を情報記録可搬媒体である私物のUSBメモリを使用して保存し、使用後にUSBメモリを紛失したというものです。

リスク回避のコツ

各施設で許可された情報記録可搬媒体に情報を写す場合は、必ずアクセスした記録が残る仕組みや、台帳に記載し管理することが必要です。また、UBBメモリなどの情報記録可搬媒体体に個人情報を保存する場合は必ず「匿名化」を実施することや、パスワード等を設定することが必要になります。

特にUSBメモリは小さく盗難、置き忘れ、紛失等のリスクが高いので、取り扱いに関する十分な配慮が必要になります。またUSBメモリをパソコンに接続することで、インターネットファイル交換ソフト(Winny等)を介して個人情報が漏洩するリスクも高まります。さらにウイルスの媒体になる可能性もあります。そのため、USBメモリを使用する場合は、管理体制をより確実に実施する事が求められます。

前掲の「医療情報システムの安全管理に関するガイドライン 第4.1版(平成22年2月 厚生労働省)」 8)の情報及び情報機器の持ち出しについての最低限のガイドラインを以下の枠内に記しますので、このガイドラインに沿ってそれぞれの施設で対応してください。

情報及び情報機器の持ち出しについて

最低限のガイドライン

  1. 組織としてリスク分析を実施し、情報及び情報機器の持ち出しに関する方針を運用管理規程で定めること。
  2. 運用管理規程には、持ち出した情報及び情報機器の管理方法を定めること。
  3. 情報を格納した可搬媒体もしくは情報機器の盗難、紛失時の対応を運用管理規程に定めること。
  4. 運用管理規程で定めた盗難、紛失時の対応を従業者等に周知徹底し、教育を行うこと。
  5. 医療機関等や情報の管理者は、情報が格納された可搬媒体もしくは情報機器の所在を台帳を用いる等して把握すること。
  6. 情報機器に対して起動パスワードを設定すること。設定にあたっては推定しやすいパスワード等の利用を避けたり定期的にパスワードを変更する等の措置を行うこと。
  7. 盗難、置き忘れ等に対応する措置として、情報に対して暗号化したりアクセスパスワードを設定する等、容易に内容を読み取られないようにすること。
  8. 持ち出した情報機器をネットワークに接続したり他の外部媒体を接続する場合は、コンピュータウイルス対策ソフトの導入やパーソナルファイアウォールを用いる等して、情報端末が情報漏えい、改ざん等の対象にならないような対策を施すこと。なお、ネットワークに接続する場合は「6.11 外部と個人情報を含む医療情報を交換する場合の安全管理」の規定を順守すること。
  9. 持ち出した情報を、例えばファイル交換ソフト(Winny等)がインストールされた情報機器で取り扱わないこと。医療機関等が管理する情報機器の場合は、このようなソフトウェアをインストールしないこと。
  10. 個人保有の情報機器(パソコン等)であっても、業務上、医療機関等の情報を持ち出して取り扱う場合は、管理者の責任において上記の6、7、8、9 と同様の要件を順守させること。

《医療情報システムの安全管理に関するガイドライン 第4.1版 p51より抜粋》

実際には学会等の発表や学会誌への掲載等で患者個人に関する情報を施設外に持ち出す場合があります。そこである病院では情報の院外利用申請書のフォーマットを工夫しています 9)

具体的には、「個人に関する情報の院外利用申請書」の表側に

① 研究・教育等における個人情報保護に関する三原則、
② 匿名化の具体例、
③ 「個人情報」や「個人情報に関する情報」という用語の定義を記載しています。

申請するたびに、持ち出し情報管理方法が再確認できると同時に、具体的な匿名化の 例が記載されているので、正しい情報の取り扱いが可能になります。

社団法人 日本臨床衛生検査技師会の個人情報保護ガイドラインの
第1集 は「個人情報保護方針」「プライバシー規約」「日臨技総合情報管理システム利用規約」「検査情報システムの安全管理に関するガイドライン」で構成されています。

第2集 は「医療安全管理に関するガイドライン」になっています。

第3集 は「検査室における個人情報保護ガイドライン」が二部構成(一部:検体検査を中心にして、二部:生体検査を中心にして)になっています。具体的な取り組みが記載されていますので、皆様の施設での情報管理の参考にしてください。