東京大学法学部 教授 樋口範雄氏
2003年5月30日「個人情報の保護に関する法律」(以下、「個人情報保護法」という)が公布され、一部を除いて即日施行されました。2005年4月1日からは完全施行される方針が決定しています。それまでの間に私たちで準備しておくべきことは何か。東京大学法学部教授の樋口範雄先生に伺いました。(取材日:2003年12月3日)
I ケーススタディ
-個人情報の取扱いについて医療機関では今後どのようなことが問題になってくるのでしょうか。すでに2003年4月からHIPPA法(注1) の医療個人情報保護ルールが施行されているアメリカの事例で、日本にも参考になりそうなことがあればあわせて教えて下さい。
(ケース1:患者からの電子メール)
例えば医師のところに普段通ってきている患者から電子メールがきたとします。症状を読んでみると、今までにない様子だが、現在の疾患と関係がありそうで痛みがあるとのこと。医師は仲間の医師に意見を聞きたくなってそのままメールを転送する。そして仲間からのアドバイスをあわせて患者へメールで返事を送る。ここまでのところ、皆ハッピーです。アドバイスした医師は良かったと思っているし、当の医師もすぐに対応が出来て良かったと思う。何より患者は一番喜んでいる。
しかし、法律上はいろいろな問題を含んでいるような気がしますね。まず、医師と患者の間だけで情報が行き来しているのではなく、患者の知らない別の人のところへ助言を求めている。仲間の医師は同じ医療機関内とは限りません。別の医療機関にいるけれど、親しくしている同期や先輩の医師に意見を聞いてみたくなることもあるでしょう。しかも電子メールで転送しています。患者の記録が電子媒体で存在すれば、それも一緒に送ってアドバイスを求めるということも考えられます。
このような場合、日本では個人情報保護法第23条(第三者提供の制限)(注2) に関わってきます。これに従うと、やはり本人の同意を得ることになる。方法としては患者にメールで一度打ち返すということになるでしょう。「こういう人に相談したいが、あなたは同意してくれますか」と。その返事を待った上で仲間にアドバイスを求める。それぐらい念を入れて情報の安全性を守っていくのがいいという考え方がひとつです。
この例のような場合、アメリカのルール(正式にはThe Standards for Privacy of Individually Identifiable Health Information、以下「プライバシー・ルール」と呼ぶ)では、治療を目的とする医療情報の利用に該当しますので、患者の同意を得なくてもいいということになっています。
治療のために最善でかつ迅速なことをやろうという場合に、どちらのルールがいいか。このようなケースでメールの転送を断る患者はあまりいないですよね。日本では個人情報保護法第23条があるために相談もできないということになると、これはどうかと思います。このような場合には本人の同意がなくても第三者に情報を提供して、医療の迅速な対応を図れるようにする、というように医療に特化した法律を作る必要があるかもしれません。
とはいえ、アメリカ医師会ではメールで患者と対応するのを勧めているわけではありません。会って話しているとニュアンスが伝わりますが、メールの文章だけでは誤解を生じます。メールは簡単に改竄することも出来ますし、記録として残るものでもあります。だから注意しなさいといっているのです。
実際には相当数の医師が患者とメールで対応しています。1つは親切からです。便利ですし、お互い時間の上でも効率的です。もう1つは競争からです。患者はメールで対応してくれる医師の方へ行きたくなる。そういう点から患者のメールを歓迎する医師もいます。しかし、その時に間違った指示で事故があってはいけないということでアメリカ医師会はガイドラインを設定しています。例えば、医師が家族とアドレスを共有することを禁止しています。家族といえども他人です。医師は自宅のパソコンでも患者情報にアクセスします。それを家族と共有していると、例えばこどもがそこで見たことを無意識のうちに外でしゃべってしまうかもしれないからです。
送られてきた情報を相談のためとはいえ、簡単に他人に転送していいか。日本でもこれだけ携帯でメールを簡単に送れる時代ですから、これは近未来の問題ではなく、もう身近な話です。
(ケース2:営利を目的とした患者リストの売却)
医師のところに、ある症状に関係した健康食品や保健薬品の売り込みがきたとします。さてここで「うちの患者にその商品を紹介してあげて下さい」として患者リストを渡していいか。これは完全にマーケティングなのでいけません。当たり前といえば当たり前ですが、今までルーズでした。
営利目的で個人情報を売却した場合、プライバシー・ルールでは最高で懲役10年、罰金25万ドルまでの罰則があります。
もちろん有益な情報であれば、患者ごとに「こういうものがあるけれど」と同意を求めればよいのです。「宣伝がくるのは構いません」と言ってもらえれば問題はありません。同意を求めずに情報を流してはいけないということです。いわんや営利目的だと罰則になりますよ、ということが決められているのです。
(ケース3:電話での問い合わせ)
例えば電話で「今日、樋口という人が入院していますか」と問われて、「はい、入院しています」と答えてよいか。アメリカのプライバシー・ルールでは、基本的には答えてはいけないことになっています。正確にいうと、入院期間中に問い合わせがあったらどうするかということをあらかじめ患者に確認することになっているのです。例えば病室の前に名前を表示することを望むかどうかということも患者に聞いておかなければなりません。
患者から了承を得たとして、電話による問い合わせに対し答えてよいのは次の3つだけです。(1)入院の事実、(2)病室、(3)一般的な病状(集中治療室にいるか、安定した状態で普通の病室にいるか、というレベル)。「こういう病名で入院しています」というところまで答えてはいけません。
また、名前を特定しないで「今日拳銃で撃たれた人が入院していますか」という問い合わせにも答えてはいけません。電話だと相手が誰かわかりません。「○○新聞社の者ですが」と言っても本当かわかりません。新聞社だから答えてもいいということもありません。
電話を受けた人によって差が出ないように、ここまでしか答えてはいけないというルールがあるべきです。
(ケース4:警察からの問い合わせ)
警察から「○○という人が入院していますか」という問い合わせがあった時にどう対応するか。アメリカでは患者が容疑者であるか被害者であるかは大きな違いです。プライバシー・ルールでは、患者が容疑者の場合は簡単に話せないことになっています。被害者の場合は、ある程度は話してもよいことになっています。
日本ではこうしたことに対するはっきりしたルールがありません。仮に、医療機関が警察に「容疑者ですか?」と聞いても、それは彼らの捜査上の秘密ですから簡単には答えてくれないと思います。結局、医療機関は容疑者か被害者かわからなくても警察からの問い合わせだから答えている、というケースが多いと思います。
(ケース5:SARS患者の情報)
SARSの場合は、感染症ですから、まず公的な機関に報告しないといけません。医療機関で「情報の保護です」とは言えません。医療情報は保護するだけでなく利用もしないと、とんでもないことになります。一方で患者が不必要に差別されるのは防がなければなりませんから、ある一定の範囲だけに情報をおさえておく。医療機関内でこういう場合には誰と誰が知っていて、他に感染しないような形でどのような措置をとるか、というものを作っておくべきです。準備しておかないと実際に起きた時に慌てることになります。
大規模な医療機関では、情報の遮断が機械的に行なわれています。例えば、レントゲン検査料の精算の際に会計担当者はレントゲン写真の中身まで見る必要はありません。会計担当者が必要な情報のみにアクセスできるようにしておいて、あとは機械的に遮断する。全部の情報にアクセスできる必要はない。そういうセキュリティをとる必要があります。
II 個人情報保護法完全施行に向けて
-2005年の完全施行までに、医療従事者が準備しておくべきことは何でしょうか。
個人情報保護法は一般的な個人情報を対象とするため、医療の場面で具体的に適用されるべきルールは必ずしも明らかではありません。全体的にきめが粗い。もっときめの細かな法律・ルールを作ってくれないと場合によっては個人情報保護法があるために適切な医療提供が阻害されるということもあります。例えば、「特定の個人の数の合計が過去6月以内のいずれの日においても5千件以下の個人情報取扱事業者は対象とならない」としていますが、医療の場合、5千件以下の小規模診療所の情報も保護してもらわないと困ります。そこでガイドラインのようなものを作成することが想定されます (注3)。
しかし、厚生労働省や日本医師会がガイドラインを作る話があればそれだけを待っていればいいのか。医療機関や個々の医療従事者は、自分たちが直接義務付けられる法律だということを自覚すべきです。
そこで、医療従事者が患者の情報を扱っていて、今はこうやっているがこれでいいのだろうか、あるいはこういう話がきて困った、という事例を集積していくことが大事だと思います。事例ごとにルールを考えていく。それをどのレベルで誰が考えるかというのはもう1つ次の問題としてありますが。それを1つひとつ答えていって、こういう答えが出てくるからには全体として抽象的にはこうなりますね、というようにルールを形成した方が役に立つと思います。
この「医療安全推進者ネットワーク」で可能かどうかはわかりませんが、医療情報に関して困ったこと、今のところ困っていないけれど本当はこれでいいのか疑問に思っているような話、これは医師だったからよかったけれど看護師だったらどうだったか、という事例を集めてみたらどうでしょうか。そして、ガイドラインを作ろうというところ-さしずめ、日本医師会、日本薬剤師会、日本看護協会、厚労省あたりになるのでしょうか-へぶつける。ルールを作るのは自分たちであり、現在困っていることを並べるのがその第一歩、というように考えられたらいいと思います。
アメリカのプライバシー・ルールも参考にはなりますが本筋ではありません。アメリカの医療機関と日本の医療機関のあり方は違いますから。アメリカにこういう細かいルールがあるなら、日本ではまだ問題は起きてないけれど今後あり得ますね、と付け足しで考えていくことです。何でもアメリカのルールに依存するのは問題です。医療の現場に根付かなくては意味がありません。日常問題に直面している人が問題を集めてくるというのが大切です。
III 個人情報保護は目的ではなく手段
-最後に、個人情報の保護について先生のお考えをお聞かせ下さい。
個人情報の保護は目的ではありません。手段です。医療機関が情報を保護するということは、それによって患者の気持ちを気遣っているということです。すると患者側も「私のそういう気持ちまで配慮してくれているような医療機関であれば、いわんや診断・治療のところでもちゃんとやってくれるだろう、信頼できる」となります。自分が良くなるために「実は3ヶ月前にこういうような症状があって云々」というような話も進んで提供するようになります。その結果、こういう病気の人はこういう症状も起こすのか、という類例が積み重なっていき、医療全体としてこの病気をどうすればよいかというところにつながるのです。
つまり、医療情報は個人情報であると同時に個人だけの情報ではないということです。他の人も同じ病気になりますから、それを集めて解析してどういう形で病気に立ち向かうかというのを考えるためのものです。そういう意味では情報の保護ではなく、情報の利用、活用の方が目的に近い。ただ、それをどんどん利用してよいかというと、やはり情報を守る仕組みがちゃんとあって、気配りや配慮があるというのが大事だと思います。その前提があってこそ、安心して話ができるというものです。自分のためだけではなく皆のために医療情報を活用し、その手段として情報を保護することが必要だ、というように考えていくべきだと思います。
確かにプライバシーは大事ですが、人間は交流しないと生きていけません。自分のことを話し、相手のことも聞く、お互い様です。誤解を恐れずに言うなら「たかがプライバシー」なんです。皆が自分のプライバシーを守っているだけでは社会のためになりません。人や社会のためには、自分の情報を活かしてくださいというのが筋。それによって人々が不利益を被らないような仕組みを作ることが大事です。情報の保護は必要ですが、それだけを金科玉条にしてしまうと本末転倒です。
個人情報保護法も手段です。安全と法の関わり方を法律家も考えなくてはいけないと思います。
- (注1)HIPPA法
- アメリカ連邦議会が1996年に制定したもの。Health Insurance Portability and Accountability Actの頭文字をとってHIPPA法と呼ばれている。法律名を直訳すれば、「医療保険の移転とそれに伴う責任に関する法律」。つまり、ある企業の被用者が別の州の企業に転職した場合、前の企業で掛けていた医療保険を一緒に持っていくことを可能にする法律という意味である。州を越えて医療保険をつなぐ→医療情報の移転→医療事務簡素化→情報のデジタル標準化→安全保護措置とプライバシー・ルールの確立の必要、という具合に話が進んだ。
- (注2)個人情報保護法 第23条
- (1)個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。((2)項以下省略) - (注3)個人情報の保護に関する法律案に対する附帯決議
- 衆議院「個人情報保護に関する特別委員会」
五 医療、金融・信用、情報通信等、国民から高いレベルでの個人情報の保護が求められている分野について、特に適正な取扱いの厳格な実施を確保する必要がある個人情報を保護するための個別法を早急に検討すること
法は手段。ならば現場の人が使えない法律では意味がありません。会員の皆様が医療情報の扱いに関して普段疑問に思っていることを書き出してみてはいかがでしょうか。そして2005年の個人情報保護法完全施行の前に、どこかへ提出することを一緒に検討していきませんか。Medsafe掲示板へのご投稿をお待ちしています。