トップ 特　　　集 いわてのこんなところ 第15回通常総代会 定例協議会 購買担当職員研修会 女性部セミナー 常務理事会報告 厚生部より 組合員の異動状況 あ と が き

特 　集 「医療機関における個人情報保護法対策」�U 〜先進的な取り組み実例から学ぶ〜 ＡＩＵ保険会社　営業開発本部 営業開発部　担当部長 杉山　幹久 　平成17年４月発行の「いわて医師協だより」57号で、東京の診療所における対策の実例をご紹介させて戴きました。今回は病院における医療情報システムならびに情報セキュリティ対策についてご紹介させて戴きます。 　個人情報保護法施行後も医療機関からの情報漏洩事故が後を絶ちません。やはり事故原因として多いものが、ノートパソコンの盗難と内部者の個人情報の持ち出しです。 そこで、個人情報保護対策として徹底して戴きたい従業者の教育と内部者の犯行が頻発する要因についての情報を提供させて戴きます。 【病院における個人情報保護対策】事例―１ �@ 医療機関名：NTT東日本関東病院   �A 医療情報システム ◆ 新総合医療情報システム（KHIS-21）（2000年12月） ◆ 電子カルテ採用(外部と完全遮断)、医事会計と接続   �B 個人情報に対する基本的な考え方 ◆ ITの医療への活用と社会への還元 ◆ 法律が施行されれば対応、日本の患者が自分の個人情報に関心を示さない患者自身の意識変更がない限り完全なプライバシー保護対策は実現できない ◆ 電子カルテのアクセス制限よりも、医療を優先する   �C 情報セキュリティ現状と対策 ◆ 電子カルテのアクセスは医師と看護師全員に許可 ◆ アクセスログの情報で、誰が、どの情報に、何時アクセスしたかが判る定期的にアクセスログ監査を実施 ◆ 全面告知を原則とし、カルテを開示病状説明として、その日のカルテの内容等を印刷媒体で患者に手渡す ◆ カルテ情報は外部と接続していないカルテ情報等を電子媒体として外部に持ち出すことはできない ◆ 臨床検査を担当の常勤医師を配置し、院内検査を実施、一部の外部の臨床検査センター等に検査依頼をした検査結果については、カルテに直接取り込まない ◆ 医師が治験情報のみ選択して印刷媒体のものを製薬企業の治験担当者に渡す ◆ 画像情報には患者の個人情報が含まれていて扱いに注意が必要 ◆ インシデント・アクシデント情報の収集・管理・分析を徹底し、継続的に安全対策を実施 ◆ 診察室から「名前」での呼び出しをしない ◆ 病診連携で患者を紹介してくれた医師へ、診察結果の報告は印刷物を郵送する   �D 個人情報保護法課題と対策 ◆ 被験者を患者から選び出す時には、治験に参加する患者の3倍以上の患者のカルテにアクセスしているが、これを制限すると治験の運用に支障をきたす ◆ 疫学的な研究(癌など)では個人を特定できない形で学会発表に利用する許可を希望する ◆ 研究目的でカルテの閲覧をすると院内に掲示し、患者の承諾を得る対策が必要 ◆ 既往症を聞いて診察の参考にするとプライバシーの侵害と患者が意識する可能性がある   【病院における個人情報保護対策】事例―２ �@ 医療機関名：（社）北里研究所病院   �A 医療情報システム ◆ オーダリングシステム、医用画像システム、診療支援システム、看護支援システム、薬歴や検査データも電子化 ◆ 電子カルテは採用していず ◆ 医事会計では会計業務まではシステムが連続。レセプト請求はまだ   �B 個人情報に対する基本的な考え方 ◆ 厳密にやりすぎて業務が滞らないように、臨機応変、迅速に物事を進める   �C 情報セキュリティ現状と対策 ◆ １患者１ホルダー方式入院と外来は別のカルテ ◆ 医師、看護師など職務権限でアクセス範囲を制限している ◆ 各人にパスワードを与えて管理 ◆ 外部からアクセスが出来ない ◆ GCPに準拠して治験を実施 ◆ 製薬企業のモニタリングには、カルテのコピーを貸出す ◆ 閲覧申請書提出⇒借り出し⇒治験管理室の担当者が立合で実施   �D 個人情報保護法課題と対策 ◆ 今まで法律を遵守してきたので個人情報保護法施行による大きな問題になるとは思わない ◆ 治験は一番厳密に実施されている ◆ 市販後調査は専用の用紙に医師が必要事項を記入して手渡す個人を特定できる情報は記載しない   【病院における個人情報保護対策】事例―３ �@ 医療機関名：医療法人社団康心会   �A 医療情報システム ◆ 電子カルテとレセプト関連業務のネットあり ◆ 事務系はイントラネット   �B 個人情報に対する基本的な考え方 ◆ 基本方針に医療記録と守秘を厳守することを決めている ◆ 患者の権利宣言に個人情報保護を宣言している ◆ 個人情報保護も大切だが、医療上のミスが起こらないシステムのほうがより大切 ◆ 治療を最優先させて、その残った部分について個人情報を保護する   �C 情報セキュリティ現状と対策 ◆ 日本医療機能評価機構の認定を申請中（個人情報保護に関する項目が盛り込まれている） ◆ 電子カルテを採用のため、紙情報が少なく、管理方法が整備している ◆ 入退室管理は職員のIDとパスワードを使用 ◆ パスワードの入力を３回以上間違えるとダメパスワードの有効期間を設定 ◆ カルテ印刷が必要な場合は、情報課の室内で許可されたものが印刷をする ◆ セキュリティのため、院内のネットワークは多重構造になっている ◆ カルテ情報は病院外には物理的に接続できない外部と完全に遮断しておけば進入は不可能 ◆ インターネットやメール接続のPCは、一般回線用カルテ情報やレセプト関連のネットワークには接続してない ◆ バックアップ構造は三重構造になっている ◆ 紙媒体はシュレッターに、CDはハサミをいれ、パソコンはハードデスクを物理的に壊す ◆ 保険請求業務は外部委託しない ◆ 委託先の管理として守秘義務を守る契約にしている ◆ 信頼できる企業を探して、委託契約をきっちりと交わす ◆ 食事の名札、薬袋に書いた氏名記入は継続する ◆ 入院患者の名簿を見舞いの家族等が自由に閲覧できない   �D 個人情報保護法課題と対策 ◆ ガイドラインが出されてから対応する予定ガイドラインの内容が抽象的なものなら、院内で基本方針をきめて取り組む。具体的なものならそのとおりに実施する ◆ ハード面をいくらやってもダメ。最終的には組織全体の意識づけが必要   発行者および出展：（株）シード・プランニング 「病院／医療・健康サービスの個人情報保護とセキュリティ対策―現状と課題―」 　以上の通り、かなり厳格な個人情報保護対策を実施されています。 　最後に個人情報保護対策として是非、積極的な取り組みが望まれることに従業者への反復・継続的な教育が掲げられます。 　内部からの情報持ち出しが多い要因の一つには、現在わが国には「情報窃盗罪」なるものが存在せず、いくら情報を盗取しても罰則がないことです。 　情報漏洩に対処するための法的枠組みに抜け穴があり、一向に内部者からの情報漏洩が止まりません。大量の個人情報漏洩事件は内部者が関与しているケースが殆どです。 　現在、我が国には、不正アクセス禁止法・不正競争防止法・刑法・個人情報保護法がありますが、 不正アクセス禁止法では第一条に「・・・電気通信回線を通じて行われる電子計算機に係る犯罪の防止及びアクセス制御機能により実現される電気通信に関する秩序の維持を図り・・・」と規定しているためネットワークにつながったサーバーにローカルのコンソールからアクセスして情報を取得しても罰則の対象外です。 　2003年５月に改定された不正競争防止法でも刑事罰の対象となると規定した「営業秘密」の要件（第２条４項）に「個人情報」が該当せず、罰則の対象外となります。 また、刑法では、いわゆる「窃盗罪」の客体は「有体物」に限られ、無形の「個人情報」は該当しません。更に個人情報保護法では事業者を罰するように、法律の狭間で処罰の対象になっていないことが、内部犯行が頻発する一つの大きな要因となっています。 　このような状況に鑑み自民党の電子的情報漏洩罪検討プロジェクトチーム（座長・山口　俊一衆議院議員）は「法的なすき間を早く埋めるべきだ」（与党筋）として自民、公明両党で党内手続きを急ぎ、議員立法で今国会での成立を目指しています。 内部職員からの漏えい事故等は、医療現場においてはマスコミが取り上げやすく、かつ委託先からの漏えい事故等とともに、罰則の対象になりやすい箇所と言えますので、最も重点的に対策を講じなければなりません。 　人的安全管理措置としての取り組みとして従業者教育を徹底することが肝要です。 　最初に行う必要があるのが、全従業者への個人情報保護についての教育の実施です。 　対象には派遣社員・パート・アルバイトも含めることが重要です。 　また、誰がどのような教育を実施し、その教育には誰が出席したか記録を取っておき、教育効果を高めるため、受講後のアンケートを取ることをお勧めいたします。 　更に雇用契約書の守秘義務項目には、在籍中のみならず退職後も将来に亘って守秘義務があることを明記し、就業規則違反に伴う懲戒処分ならびに法的責任追求を受ける可能性があることを十分認識させる必要があります。 　個人情報保護の重要性を認識させるという意味も含めて雇用契約書の見直しをされることをお勧めしたいと思います。

IWATE　MEDICAL　COOPERATIVE　ASSOCIATION●No.58