|
<< FAQ一覧に戻る
Q3-6.産業医、健康診断委託先についてのご相談です。
弊社は社内に診療所はなく、一般の医療機関に地域ごとに個別に契約しております。産業医は業務委託契約があり、一般的な「守秘義務」の条項が入っています。この契約のみで個人情報保護の観点から十分と言えるのでしょうか。
他の委託先については、プラスして「個人情報保護」の「覚書」を締結し、監督責任があるということで、体制や教育などについても提出してもらっています。医師は医師の法律でもっと厳しく個人情報の扱いは決められていると聞きました。あえて個別に覚書を締結する必要はないと判断してよろしいのでしょうか。
健康診断委託先は、年1回のテンポラリーなものなのでベースになる業務委託契約はありません。今のところ、発注書の備考欄に個人情報保護の内容を入れて請書をもらおうと考えていますが、このやり方で個人情報保護の観点から十分と言えるのでしょうか。
ご質問は今一番難しい領域です。医療業界の個人情報保護は遅れています。しかしながら、その業務の性格上、委託元である貴社から、細かな注文を付けにくい領域でもあります。つまり、健康診断を実施する医療機関の多くが個人情報保護体制未整備の現状で、貴社側で医療機関を選定する基準の確立が困難であるからです。
「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」(厚生労働省05年12月24日告示)の目次を見ると、多くの項目で明らかに「経済産業分野のガイドライン」と異なっています。現在Pマークを取得している数少ない医療機関であっても、このガイドラインを実現しているかどうか難しいところです。
>> 医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン(目次は2ページ目にあります)
このような環境を前提に貴ご質問にお答えすることをご了解下さい。
健康診断というプロセスの中で、貴社から提供する個人情報は従業員から見れば、第三者提供であり、業務委託の視点で見れば第三者ではない事になります。全社のケースでは、利用目的を通知して本人同意をとり、健診機関に提供することになります。この場合の同意は個々に毎年とる必要はなく、入社時等に従業員の健康福祉のために利用することで同意をとっておけば充分です。また、最近の健診時の個人情報収集方法として、個別に健康調査票の形で本人に提出してもらう方法もあります。これは、法18条第4条第4号の、「個人情報が取得される状況から見て利用目的が自明であると認められる場合は、その適用を受けない。」を適用し、健康診断という自明の利用目的のために本人が自ら個人情報を健診機関に届ける形をとる方法です。このケースでは企業側は関与せず健診機関による本人からの直接収集になります。後者の例では通常通り業務委託契約、秘密保持契約、個人情報覚書を交わします。しかし、この場合も、適正に個人情報保護をする健診先を選定しておかないと、漏えい時に企業側の責任がゼロである訳ではありませんから注意が必要です。更に医療現場における個人情報の扱いは難しい点が多くプライバシー保護の難度の高い領域です。
実際の健診の課程での個人情報保護は医療機関側の個人情報保護の問題です。医療機関が個人情報保護体制を作り個人情報保護法、医療・介護関係事業者における個人情報の適切な取扱いのためのガイドラインを遵守して、健診サービスを提供し、個人情報を適正に管理する必要があります。
委託契約時の「秘密保持」は、医療関係者は医療法や刑法134条「秘密漏示」条項で厳しく定められています。しかし、個人情報保護に関しては医療機関も事業者として個人情報保護法、医療・介護関係事業者における個人情報の適切な取扱いのためのガイドラインを守らねばならないのですから、貴社と医療機関側で合意できれば「個人情報保護覚書」を締結することも可ですが、医療機関は診断データを保存しなければならい義務(医療・介護関係法令において医療・介護関係事業者に作成・保存が義務づけられている記録)がありますから、自らの「保有個人データ」として管理するでしょう。したがって、覚書の中身にもよりますが実効性を確保することが難しい面もあります。
<< FAQ一覧に戻る
|
