3省2ガイドラインGLが適用される場合

3省2ガイドラインとして以下が公表されています。

医療情報を取り扱うなら3省2GL適用という意識が数年前と違ってかなり根付いているようにも思いますが、そもそも、3省2GLが適用される場合はどのような時なのか、このブログでまとめたいと思います。

厚生労働省GLの適用対象

「医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)」
https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html

  • 対象者:医療機関等(病院、一般診療所、歯科診療所、助産所、薬局、訪問看護ステーション、介護事業者、医療情報連携ネットワーク運営事業者等を想定)において、すべての医療情報システムの導入、運用、利用、保守及び廃棄に関わる者(概説編1P)
  • 対象情報:医療情報とは、医療に関する患者情報(個人識別情報)を含む情報を想定する(概説編1P)。
  • 対象システム:医療情報システムは、医療情報を保存するシステムだけではなく、医療情報を扱う情報システム全般を想定する。これには、医療情報システム・サービス事業者(医療情報システムの製造、開発、販売及び保守を行う事業者や、医療情報システムを活用したサービスの提供、保守等を行う事業者など、医療機関等が医療情報システムを利用・管理する上で関係する事業者全般を想定する)により提供されるシステムだけでなく、医療機関等において自ら開発・構築されたシステムが含まれる。 なお、医療情報を含まない患者への費用請求に関する情報しか取り扱わない会計・経理システム等は、本ガイドラインにおける医療情報システムには含まない。
  • 対象文書:医療情報を含む文書全般を想定し、法定の保存義務の有無を問わない(概説編1P)

対象情報である「医療情報」を掘り下げていきましょう。

用語集P2には、医療情報の解説として以下の記述がありますが、定義の解説としてはあまり参考になりません。具体例が挙げられていますが、ガイドラインの成り立ち上e文書法などが記載されており、グレーゾーンや限界事例の該当性はここからは読み解けません。また、用語集には「患者情報」「個人識別情報」の解説はありません。


医療に関する患者情報(個人識別情報)を含む情報。 具体的には、
①「民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律等の施行等について」(平成17年3月31日付け医政発第0331009号・薬食発第0331020号・保発第0331005号厚生労働省医政局長・医薬食品局長・保険局長連名通知。平成28年3月31日最終改正。以下「施行通知」という。)に含まれている文書 
②施行通知には含まれていないものの、民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律(平成16年法律第149号。以下「e文書法」という。)の対象範囲で、かつ、患者の医療情報が含まれている文書等(麻薬帳簿等) 
③法定保存年限を経過した文書等 
④診療の都度、診療録等に記載するために参考にした超音波画像等の生理学的検査の記録や画像 
⑤診療報酬の算定上必要とされる各種文書(薬局における薬剤服用歴の記録等)等が対象となる。

医療情報を定義する法律はあるでしょうか。
あるにはあるのです。次世代医療基盤法(医療分野の研究開発に資するための匿名加工医療情報及び仮名加工医療情報に関する法律)2条1項で以下の定義があります。しかし、「医療情報システムの安全管理に関するガイドライン」の対象情報である医療情報の定義として、この次世代医療基盤法の医療情報の定義が使われるわけではなく、あくまで参考ですね。次世代医療基盤法の医療情報の定義は、簡単に言うと、死者・生存者の心身の状態に関する個人情報です。個人情報保護法上の個人情報は、死者情報を含まないのですが、次世代医療基盤法の医療情報は死者情報を含みます1

(定義)
第二条 この法律において「医療情報」とは、特定の個人の病歴その他の当該個人の心身の状態に関する情報であって、当該心身の状態を理由とする当該個人又はその子孫に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号(個人情報の保護に関する法律(平成十五年法律第五十七号)第二条第二項に規定する個人識別符号をいう。以下同じ。)を除く。)をいう。以下同じ。)であるものが含まれる個人に関する情報のうち、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの

個人識別情報はどうでしょう。
ガイドライン用語集にも個人情報保護法にも次世代医療基盤法にも定義はありません。
しいていうなら個人情報保護法2条1項の個人情報の定義の「情報であって…特定の個人を識別できるもの」に似ているので、おそらくそれと同様の意味ではないかと思われるということはいえるかもしれません。

(定義)
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの

このように、「医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)」の対象情報には、法律やガイドライン上明確な定義規定がないように思われます。ただ、次世代医療基盤法の医療情報と同様の意味を指しているのではないかと思われます。すなわち、医療に関する死者・生存者の個人情報を指しているのではないかと思うということです。

総務省・経産省GLの適用対象

総務省・経済産業省「医療情報を取り扱う情報システム・サービスの 提供事業者における安全管理ガイドライン 第2.0 版(令和2年8月 (令和7年3月改定)」
https://www.meti.go.jp/policy/mono_info_service/healthcare/teikyoujigyousyagl.html

  • 対象者:①医療機関等との契約等に基づいて医療情報システム等を提供する事業者
    ②医療機関等と直接的な契約関係になくても、医療機関等に提供する医療情報システム等に必要な資源や役務を提供する事業者
    ③患者等の指示に基づいて医療機関等から医療情報を受領する事業者
    (これらを総称して「対象事業者」)(GL6P、FAQ1Pも参照)。
  • 対象情報:医療情報:「医療に関する患者情報(個人識別情報)を含む情報」。
    この定義は医療情報安全管理ガイドラインにおける定義と同一である(GL6P)。
    医療情報には、医療従事者が作成・記録した情報のほか、医療従事者の指示に基づき介護事業者が作成・記録した情報がある。これらの医療情報は、その情報を作成・記録した者が所属する医療機関等で保管される場合や、その医療機関等から他の医療機関等に提供される場合のほか、患者等(患者本人のほか、患者の家族等で、患者の医療情報を閲覧する権限を有する者を含む。以下同じ)に提供される場合が想定される。

総務省・経済産業省GLの方も、対象情報は厚労省GLと同一にしていて、明確な定義はないように見えます。

3省2ガイドラインにおける課題

定義を法律に合わせるなりして明確化した方がよいでしょう。

また、その際、誰から見て個人(識別)情報なのかということを明記した方がよいでしょう。なぜなら病院から見て個人(識別)情報であっても、事業者から見て個人(識別)情報ではない場合などもあり得なくはないためです(その逆もありえなくはない)。

病院から見て個人(識別)情報であれば、事業者から見て個人(識別)情報ではない場合であっても、厚労省ガイドラインは適用されると思います。総務・経産省ガイドラインもおそらく適用されるとは思います。なぜならば、病院から見て個人(識別)情報であれば、事業者側から見て個人(識別)情報ではなくても、病院は安全管理措置義務を負い続けるからです。但し、事業者からみて統計情報であったりするなどの場合は別でしょう。

それにしても、3省2ガイドラインも昔よりはずっと読みやすくなったし記載も整理されて良かったですね。この読みやすさの改善に私結構貢献していると思うのですが。

  1. 「死者…の個人情報」というと、その意味で論理矛盾的ですが、論理矛盾なく解説しようとするとかなりややこしくなるので、目をつむっていただけるとうれしいです。 ↩︎

タイトルとURLをコピーしました