改正個人情報保護法（以下、改正法）が2017年5月30日に全面施行された。 　今後は、個人情報保護委員会が厚生労働省と共同で「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」が適用される。 　ガイダンスに基づき、医療・介護現場での取扱場面毎の必要な対応について、主要なポイント（原則、実務対応、事例）をまとめたので、参考になれば幸いである。

1. 改正個人情報保護法が全面施行
医療・介護現場への影響と実務対応
小川 敏治 公認情報セキュリティ監査人 / プライバシーマーク審査員研修主任講師 / 認定登録 医業経営コンサルタント
「ガイドライン」から
「ガイダンス」に
改正個人情報保護法（以下、改正法）が 5 月
30 日に全面施行された。これまでは、各省庁が
所管分野ごとに「個人情報保護法ガイドライン」
を策定し個人情報取扱事業者（以下、事業者）
を監督していたが、改正法施行で内閣府の外局
に設置された第三者機関「個人情報保護委員会」
に監督権限が一元化され、すべての分野に共通
の汎用的なガイドライン（昨年 11 月 30 日に公
表済み）が適用されることになった。ただし、
特定分野（医療関連、金融関連、情報通信関連
など）については、個人情報の性質、利用方法
や従来の規律の特殊性を踏まえて、汎用的なガ
イドラインを基本としつつ追加的な特定分野ガ
イドラインを定めるとされていたため、医療関
連分野については、個人情報保護委員会が厚生
労働省と共同で「医療・介護関係事業者におけ
る個人情報の適切な取扱いのためのガイダンス」
（4 月 14 日に公表、以下、ガイダンス）を策定。
改正法施行に伴い従来の厚生労働省のガイドラ
インは廃止となり、ガイダンスが適用された。
まず、本法は民間事業者を対象とする。しか
しながらガイダンスでは適用対象の「医療・介
護関係事業者」について、「他の法律や条例が適
用される国、地方公共団体、独立行政法人等が
設置するものを除く。ただし、医療・介護分野
における個人情報保護の精神は同一であること
から、これらの事業者も本ガイダンスに十分配
慮することが望ましい」と明記しており、公民
を問わず、ガイダンスへの準拠が求められる。
併せて注目すべきが、改正前は、取り扱う個
人情報が 5,000 件以下の小規模事業者は法適用
の対象外とされていたが、その基準が撤廃され
（図表 1）、小規模の医療・介護関係事業者も法
令遵守が義務となったことである。
そのような状況下で、当協会の医業経営コン
サルタントの皆さんには、顧問先の医療・介護
関係事業者から改正法対応に関する質問やアド
バイスを求められることが増えると予想する。
そこで医療・介護現場での取扱場面ごとに、ガ
イダンスに基づく必要な対応について主要なポ
イント（原則、実務対応、事例）をまとめた。
なお、紙面の都合上、グローバル化（外国にあ
る第三者への提供、域外適用）については割愛
させていただく。
想定取扱場面①
「取得時」において
（1）原則（図表 2）
改正法では、個人情報の定義の明確化が図ら
れ、新しく「要配慮個人情報」が定義された。
これは不当な差別や偏見、その他の不利益が生
じないように、その取り扱いに特に配慮を要す
る情報で、人種、信条、社会的身分、病歴、犯
罪の経歴、犯罪による被害事実、身体・知的・
寄 稿 1
●図表 1 個人情報取扱事業者の定義
個人情報数 改正前 改正後
5,000件超
個人情報
取扱事業者 個人情報取
扱事業者
5,000件以下 対象外
10 JAHMC 2017 July

2. め、提供を受けた医療・介護関係事業者が、改め
て本人から同意を得る必要はないものと解され
る」と解説しており、第三者からの提供による取
得の場合はあらためて本人同意をとる必要はな
い。
「個人データ」の第三者からの提供による取得
時の確認・記録は、いわゆる名簿業者等で転売
され転々流通する個人データのトレーサビリ
ティ確保が目的である。正常な事業活動を行っ
ている医療・介護関係事業者に対する過度な負
精神障害、健康診断等の結果、保健指導・診察・
調剤の内容等が含まれる個人情報を示す。その
取得には原則として「本人同意」が必要となった。
医療・介護現場で扱う個人情報の多くは、この
「要配慮個人情報」に該当する。
また、個人識別符号（たとえば DNA の解析
結果、指紋や顔等の認識データ、医療・介護保
険等の被保険者番号等）についても、患者の氏
名等がなくても「個人情報」に該当することが
明確化されたことにも注意したい。
さらに、「個人データ」注 1
について、そのデー
タを第三者からの提供により取得する場合は、
その第三者の氏名等や取得経緯を確認するとと
もに、法令に定める事項を記録し、かつ、その
記録を保存しなければならないこともルール化
された。
（2）実務対応
「要配慮個人情報」取得時の本人同意について、
ガイダンスでは、「医療・介護関係事業者が要配
慮個人情報を書面又は口頭等により本人から適
正に直接取得する揚合は、本人が当該情報を提
供したことをもって、当該医療・介護関係事業
者が当該情報を取得することについて本人の同
意があったものと解される」と解説しており、
医療・介護現場で本人から適正に直接取得する揚
合は、そのやりとりをもって黙示的な本人同意
を得たことになる。また、「第三者提供の方法に
より取得した揚合、提供元が法に基づいて本人か
ら必要な同意を取得していることが前提となるた
●図表 3 第三者からの提供による取得時の確認・
記録の適用除外項目
❶第三者が法第 2 条第 5 項各号に掲げる者である
揚合
1）国、2）地方公共団体、3）独立行政法人等、
4）地方独立行政法人
❷法第 23 条第 1 項各号に該当する揚合
1）法令に基づく揚合
2）人の生命、身体または財産といった具体的な
権利利益が侵害されるおそれがある場合
3）公衆衛生の向上または心身の発展途上にある
児童の健全な育成のために特に必要な揚合
4）国の機関等が法令の定める事務を実施する
上で、民間企業等の協力を得る必要がある揚合
❸法第 23 条第 5 項各号に該当する揚合
1）委託、2）合併及び事業継承、3）共同利用
❹本人に代わって提供している揚合
❺本人と一体と評価できる関係にある者に
提供する揚合
❻個人データに該当しない揚合
❼個人情報に該当しない揚合
①～③、⑥、⑦は、法の明文上の適用除外項目。④、⑤は「形式的に
は第三者提供の外形を有するが、確認・記録義務の趣旨に鑑みて、実
質的に確認・記録義務を課す対象たる第三者提供には該当しない」と
する解釈上の適用除外項目。
注 1）媒体の如何にかかわらず、特定の個人情報を容易に検索で
きるように体系的に整理された集合体（個人情報データベー
ス等）を構成する個人情報
●図表 2 取得時に求められる対応
種別 改正前 改正後
個人情報 利用目的の通知または
公表
（直接書面取得の場合
は、利用目的の明示）
利用目的の通知または公表
（直接書面取得の場合は、利用目的の明示）
要配慮個人情報 本人同意
個人データ注1
第三者からの提供による取得時の確認・記録
11JAHMC 2017 July

3. 利用の場合、法令に定める共同利用に関する必
要事項をあらかじめ、本人に通知し、または容
易に知り得る状態に置いていること（たとえば、
共同利用に関する必要事項を院内掲示やホーム
ページへの掲載等）が前提であり、利用目的を
含む複数事項の周知が必要である。
地域包括ケアシステムなどで地域の医療・介
護関係事業者間で、患者情報の共同利用をして
いる場合、法令に定める共同利用に関する事
項（図表 4）を院内・事業所内の掲示やホーム
ページへの掲載等を実施していると思うが、必
要事項に漏れがないかどうかなど、念のため、
再点検することが望まれる。
想定取扱場面②
「第三者への提供」において
（1）原則（図表 5）
「個人データ」を本人の同意なしに第三者へ提
供できる手続き（オプトアウト）のルールが厳
格化され、「要配慮個人情報」はオプトアウトの
適用外とされるとともに、「個人データ」をオプ
トアウトで第三者へ提供する場合は個人情報保
担を回避するために、ガイダンスでは様々な適
用除外項目（図表 3）が設けられている。その
ため、当該確認・記録義務が課される場面は限
定的である。
（3）事例
❶患者が医療機関の受付等で、問診票に身体
状況や病状などを記載し、保険証とともに
受診を申し出る場合
本人から適正に直接取得する場合に該当し、
黙示的な同意があったと解されるため、本人同
意を得たことになる。ただし、直接書面で「個
人情報」を取得するため、あらかじめ院内掲示
等によりその利用目的の明示が必要である。
従来から、利用目的の院内掲示やホームペー
ジへの掲載などを実施していると思うが、ガイ
ダンスの「別表 2」を参照し、記載漏れなど再
点検することが望まれる。
❷患者への医療の提供のため、連携先の他の
医療・介護関係事業者から患者情報を取得
した場合
連携先で本人から必要な同意（要配慮個人情
報の取得及び第三者への提供に関する同意）を
取得していることが前提となるため、あらため
て本人同意を得る必要はない。第三者からの提
供による取得時の確認・記録については、適用
除外項目（図表 3）の「③ 3）共同利用の場合」
または、「④本人に代わって提供している場合」
に該当し、適用除外される。ただし、③ 3) 共同
●図表 4 共同利用に関する事項
❶特定の者との間で共同して利用する旨
❷共同して利用される個人データの項目
❸共同利用者の範囲
❹利用する者の利用目的
❺当該個人データの管理について責任を有する
者の氏名または名称
●図表 5 個人データを第三者へ提供する場合に求められる対応
種別 改正前 改正後
個人情報
オプトアウトによる第三者への
提供可
オプトアウトによる第三者への提供可
個人情報保護委員会への届出
第三者への提供時の記録
要配慮個人情報
本人同意
12 JAHMC 2017 July

4. 寄 稿 1
なお、「患者の傷病の回復等を含めた患者への
医療の提供に必要であり、かつ、個人情報の利
用目的として院内掲示等により明示されている
場合」以外の「要配慮個人情報」の第三者への
提供は、黙示的な本人同意があったと解されな
いため、たとえば、民間保険会社、職場、学校
等からの照会があった場合、患者の同意を得ず
に患者の症状等を回答してはならない。
想定取扱場面③
「加工時」において（匿名加工情報）
（1）原則（図表 7）
改正法では、個人情報の有用性の確保として、
新しく「匿名加工情報」が定義された。これは、
特定の個人を識別することができないように基
準に従い適切に加工し、当該個人情報を復元で
きないようにしたものを指し、ある一定の「加
工基準・取扱いルール」（次頁図表 8）の下で本
人同意なしに第三者に提供ができる。一般的な
手法（氏名、住所等の削除）で匿名化したとし
ても、「他の情報と容易に照合することができ、
それにより特定の個人を識別することができる
こととなるもの」である場合は、単体として「匿
護委員会への届出が必要になった。一方、オプ
トアウト如何にかかわらず、提供の際には、法
令に定める事項を記録・保存しなければならな
い。
（2）実務対応
「要配慮個人情報」（個人データ）の第三者へ
の提供に関する本人同意について、ガイダンス
では、「第三者への情報の提供のうち、患者の傷
病の回復等を含めた患者への医療の提供に必要
であり、かつ、個人情報の利用目的として院内
掲示等により明示されている揚合は、原則とし
て黙示による同意が得られていると考えられる」
と解説しており、前提条件（患者への医療の提
供に必要であり、個人情報の利用目的として院
内掲示等により明示されている）を満たせば、
黙示的な本人同意が得られていることになり、
明示的な本人同意までは必要ない。
また、「個人データ」の第三者への提供時の記
録についても、前述した「第三者からの提供に
よる取得時」と同様、医療・介護現場での過度
な負担を回避するために適用除外項目（図表 3
の①～⑤）が設けられており、当該記録義務が
課される場面は限定的である。
（3）事例
患者への医療の提供のため、他の医療・介護
関係事業者に患者情報を提供した場合（当該
利用目的の院内掲示等あり）
前述の前提条件を満たしているため、黙示的
な本人同意が得られていることになり、あらた
めて同意を得る必要はない。
ガイダンスでは、院内掲示等に図表 6 に示す
3 事項を併記することが示されている。院内掲
示等に、利用目的として、「患者への医療の提供
のため、他の医療機関等との連携を図る」等が
記載されていることや、3 事項の併記、さらに
患者情報を共同利用している場合、共同利用に
関する事項（図表 4）の記載漏れがないかどうか、
再点検することが望まれる。
●図表 6 併記すべき3事項
❶患者は、医療機関等が示す利用目的の中で同意
しがたいものがある揚合には、その事項につい
て、あらかじめ本人の明確な同意を得るよう医
療機関等に求めることができること。
❷患者が、❶の意思表示を行わない揚合は、公表
された利用目的について患者の同意が得られた
ものとすること。
❸同意及び留保は、その後、患者からの申出により、
いつでも変更することが可能であること。
●図表 7 匿名加工情報作成時の必要な対応
種別 改正前 改正後
匿名加工情報 ―
本人同意なしに第三者
提供可（加工基準・取り
扱いルール有）
13JAHMC 2017 July

5. 寄 稿 1
情報保護推進のための組織体制の構築、職員へ
の教育研修や安全管理措置などが不十分である
ことが懸念され、早急な対応が求められる。
一方、従来からの個人情報取扱事業者におい
ては、新しい定義「要配慮個人情報」などが導
入され、その取り扱いの原則がこれまでと大幅
に変わったため、規程等の改訂が必要である。
院内掲示やホームページ等の掲載内容の見直し
や、さらに安全管理措置の点検などの実施も望
まれる。
なお、安全管理措置のうち「医療情報システ
ムの導入及びそれに伴う情報の外部保存を行う
場合の取扱い」においては、厚生労働省「医療
情報システムの安全管理に関するガイドライン」
に拠るとされている。このガイドラインも、改
正法の施行に合わせて大幅に改訂された「第 5
版」が公表されたので一読が必要である。
以上、改正法レベルでは明確ではなかったと
ころがガイダンスにおいてその解釈や基準が明
らかになった。しかしながら、それだけでは十
分とは言えず、医療・介護現場で判断に迷う場
面が多々発生すると思われる。現場で勝手に判
断せず、管理者の判断を求めるように周知して
おくとともに、改正法施行日に公表された『「医
療・介護関係事業者における個人情報の適切な
取扱いのためのガイダンス」に関する QA（事
例集）』も併せて参照することが望まれる。顧問
先の医療・介護関係事業者が改正法に対して、
過度な負担を回避し適切に対応できるように、
拙稿をご活用いただければ幸いである。
名化した情報」であっても、「個人情報」に該当
するので注意したい。
さらに、「匿名加工医療情報」が新聞等で取り
上げられている。これは、4 月 28 日に成立し 1
年以内に施行される次世代医療基盤法「医療分
野の研究開発に資するための匿名加工医療情報
に関する法律」で定義されたもので、改正法に
おける「匿名加工情報」と利活用の仕組みが全
く異なるので、こちらとも混同しないように注
意したい。
（2）実務対応
特定の患者・利用者の症例や事例を学会で発
表したり、学会誌で報告したりする場合等は、
氏名、生年月日、住所、個人識別符号等を消去
することで匿名化されると考えられるが、この
ような学会での発表等のために用いられる特定
の患者の症例等の一般的な手法での個人情報の
匿名化は、「匿名加工情報」と加工基準・取り扱
いのルール（図表 8）が異なるので留意が必要
である。
ガイダンスでは、当該発表等が研究の一環と
して行われる揚合には学会等関係団体が定める
指針に従うものとしている。
ガイダンス、QA 集を一読し
安全管理措置の点検実施も
取り扱う個人情報が 5,000 件以下の小規模の
医療・介護関係事業者においては、法の対象外
だったため、個人情報保護に関する規程や個人
おがわ としはる : 1981 年千葉大学機械工学部卒、帝人（株）
入社。1990 年エイコー産業(株）(現社名：one（株））入社。
2002 年南大阪大学経営情報学科講師、2004 年日本経営品
質賞・審査員((公財）日本生産性本部）、2006 年 IT-WG 研
究員(（一財）日本情報経済社会推進協会）、2009 年 P マー
ク研修委員会委員((一財）関西情報センター）。2014 年に日
本セキュリティ監査協会 会長賞受賞（日本セキュリティ監査
協会）。2016 年より当協会常任委員会総務委員。現在 one（株）
代表取締役。ICT 利活用、情報セキュリティや個人情報保
護に関する執筆、講演、講師（プライバシーマーク審査員研
修主任講師や当協会継続研修講師など）、審査員を務める。
PROFILE
●図表 8 匿名加工情報の加工基準・取扱いルール
❶基準に従った適正な加工（5 つの加工基準）
❷加工方法等情報の漏えい防止のための安全管理
措置義務
❸作成時の公表義務
❹提供時の公表・明示義務
❺識別行為の禁止
❻匿名加工情報の安全管理措置等努力義務
14 JAHMC 2017 July