Comments
Description
Transcript
個人情報相談窓口から-[PDF形式]
記者説明会資料 平成 18 年 12 月 7 日 独立行政法人 国民生活センター 保険調査における病院等からの個人情報の取得をめぐる問題について ―個人情報相談窓口から― 1. はじめに 平成 17 年 4 月 1 日に個人情報の保護に関する法律(以下、 「個人情報保護法」という。 )が全 面施行され、国民生活センター(以下、当センターという。 )では、当初から個人情報に関する 相談を受け付けている。 その中で、保険会社が医療保険契約の保険金を支払う際の被保険者の個人情報の取得方法に 関する相談が寄せられた。そこで、消費者・事業者に対して注意を呼びかけるために当センタ ーが調査した結果について情報提供することとした。 2. 相談事例 病院の婦人科にて手術をしたので、医療保険金の請求を保険会社にした。請求をした際に、 告知義務違反を疑われてしまい、医師の診断書や健康診断の結果が問題となった。健康診断の 結果について当時特に医師からの説明はなく、自分では、健康診断の結果についてよく認識し ているわけではなかった。 その後、告知義務違反があるか否かを調査するために、当該保険会社が依頼した調査会社か ら、病院に対して個人情報を聞くことについての承諾書を3枚書かされた。1枚目、2枚目は、病 院名と診療科を記入して同意をしたが、 3枚目の承諾書には、 病院名を記入する場所がなかった。 不審に思い調査員になぜ、病院名の記入欄がないのか尋ねたが、「他の2枚と変わらない。これ に記入しないと保険会社に対して報告書が書けない」等と言われ、承諾書に署名した。調査員 の説明から、調査は自分の診療対象科のみと思っていたが、近所のかかりつけの内科医から問 合せの電話があり、調査員が近所の病院を回り、自分のことを調査していることを知った。ま ずは、 現在の主治医から直接聞き取り調査をし、 それでも告知義務違反のおそれがあるならば、 かかりつけの医師から事情を聞くのは理解できる。しかし、主治医から聞き取りもせず、1回も 通ったことのない病院にまで聞き取り調査をするのは問題だ。保険の請求とは関わりのない過 去の治療歴等が近隣の人達に知られてしまう可能性があり心外である。病院名を特定しない承 諾書をもとに自分のことを調査するのは問題ではないか。 (40歳代・女性・無職) (*:保険金については、保険会社の調査の結果、相談者の告知義務違反はなかったとして保険 金全額が支払われた。 ) 3. 処理概要 (1)当センターは、苦情の申し出を受け、保険会社及び委託先の調査会社が、被保険者から病 院名を特定しない承諾書を取得し、それをもとに調査を行うことは、保険契約とは直接関係の ない個人情報を取得している可能性があるとして、保険会社に対して話を聞いた。その主な内 容は以下の通りである。 1 <当該保険会社から聞き取った内容> ① 病院名なしの承諾書に関しては、近隣の病院を回るための方法であり、病院名を空欄にし て後でこちらが病院名を補充する承諾書自体に問題があるとは認識していない。ただ、調 査会社に対しては、被保険者に説明をするように指導はしている。 ② 告知義務違反を調査するためには、主治医や既往症、近隣の病院等を調べないとわからな い。調査の方法や病院を回る順番についてはこちらの判断である。本来は主治医から回る べきかとは思うが、主治医を飛ばして近隣病院から調査をすること自体は問題とは認識し ていない。 ③ 承諾書の控えは通常、被保険者に渡していない。控えを希望した被保険者に対してのみ渡 している。 (2) 「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」 (後掲、 参考資料参照)によると、医療機関は、民間保険会社等からの患者の治療結果等に関する照会 があった場合、本人の同意書が提出されたとしても、当該同意書の内容について本人の意思を 改めて確認する必要があると規定されている。当該ガイドラインは、医療機関を対象にしたガ イドラインではあるが、保険会社が、本人の同意書があるからといって、医療機関から本人の 意思の再確認なしに情報を取得することは、個人情報の不適正な取得にあたる可能性があり、 問題があるといえよう。 そこで、当該保険会社の所属している業界団体であり、認定個人情報保護団体である社団法 人日本損害保険協会に対して、調査の際の同意書の取得方法等について聞き取りを行った。 <日本損害保険協会から聞き取った内容> ① 「金融分野における個人情報保護に関するガイドライン」 (後掲、参考資料参照)にあるセ ンシティブ情報の項目からいっても、本件のような個人情報に関しては、慎重に収集し調 査すべきであろう。ただ、実務上、どのような方法をとるかは、各社の判断になろう。 ② 「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」 (後掲、 参考資料参照)については、国民生活センターから指摘を受けるまで把握していなかった。 (3)以上の聞き取りを踏まえて、 当センターから以下の点を当該保険会社と日本損害保険協会に 対して申し入れた。 ① 告知義務違反等の調査において、病院等から行うセンシティブ情報の取得については、細 心の注意を払うこと。 ② 調査会社に対する委託元として保険会社は、監督責任を果たし、調査会社に対して説明義 務を尽くすよう指導すること。 ③ その他、 「金融分野における個人情報保護に関するガイドライン」及び「医療・介護関係事 業者における個人情報の適切な取扱いのためのガイドライン」の周知徹底を図ること。 (その後、同協会より加盟会社への説明会において、厚生労働省の医療・介護関係のガイ ドラインの取扱い等も含めて当センターの指摘を事案として取り上げた旨の報告があっ た。 ) 2 4. その他の事例 平成 18 年 11 月末日現在、本件と同様の相談が当センターに寄せられている。以下に代表的 な事例を紹介する。 <事例1> 交通事故で入院した病院が、本人の同意なく個人情報を加害者の保険会社に対して教えた。 病院には第三者提供に同意する書面を提出することになっていたが、その書面を提出する前に 病院が保険会社に対して情報を提供してしまった。このようなやり方は、個人情報保護法上、 問題ではないか。 (20歳代・男性・給与生活者) <事例2> A病院からB病院へ紹介状を書いてもらい、B病院で治療をし、保険会社にB病院での治療 に要した保険金の請求をした。本件の保険金請求はB病院での治療のものであり、B病院から の情報の入手については同意をし、承諾書を書いたが、保険会社はB病院だけでなくA病院か らも自分の治療に関する情報を取得した。 同意のない病院から病歴等の情報を入手することは、 違法ではないか。 (60歳代・男性・給与生活者) 5. 消費者へのアドバイス 同意書の内容を精査し、不明な点に関しては納得いくまで説明を求めること。 なお、保険会社の調査に対しては消費者側も協力する必要がある旨約款に記載されている。 保険金等の請求に際し、保険会社側に過去に治療を受けたことのある病院等への調査に対する 同意を求められた場合は、当該病院名を指定した同意書には応ずることが求められよう。 6. 認定個人情報保護団体への要望 (1)保険会社は消費者に対して個人情報の取扱いについて、消費者の理解を得られるように 説明を尽くすこと。 (2)保険会社は、 調査会社に調査を委託する場合は、 委託元としての監督責任を尽くすこと。 (3)保険会社は、患者の同意書があるからといって、医療機関から直ちに患者の情報が取れ るわけではないという「医療・介護関係事業者における個人情報の適切な取扱いのための ガイドライン」を委託先調査会社や従業員等に周知を図ること。 (4)医療機関は保険会社が患者の同意書を持参してきても、それによって直ちに患者の個人 情報を保険会社等に提供するのではなく、 「医療・介護関係事業者における個人情報の適切 な取扱いのためのガイドライン」に則り、対応すること。 【要望先】 社団法人 日本損害保険協会 社団法人 生命保険協会 社団法人 全日本病院協会 3 【情報提供先】 金融庁総務企画局企画課調査室 厚生労働省医政局総務課 内閣府国民生活局企画課個人情報保護推進室 4 参考資料 金融分野における個人情報保護に関するガイドライン<金融庁> (http://www.fsa.go.jp/common/law/kj-hogo/01.pdf) 第6条 機微(センシティブ)情報について 1 金融分野における個人情報取扱事業者は、政治的見解、信教(宗教、思想及び信条をいう。 ) 、労働組合への 加盟、人種及び民族、門地及び本籍地、保健医療及び性生活、並びに犯罪歴に関する情報(以下「機微(センシ ティブ)情報」という。)については、次に掲げる場合を除くほか、取得、利用又は第三者提供を行わないこと とする。 ① 法令等に基づく場合 ② 人の生命、身体又は財産の保護のために必要がある場合 ③ 公衆衛生の向上又は児童の健全な育成の推進のため特に必要がある場合 ④ 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力 する必要がある場合 ⑤ 源泉徴収事務等の遂行上必要な範囲において、政治・宗教等の団体若しくは労働組合への所属若しくは加盟 に関する従業員等の機微(センシティブ)情報を取得、利用又は第三者提供する場合 ⑥ 相続手続による権利義務の移転等の遂行に必要な限りにおいて、機微(センシティブ)情報を取得、利用又は 第三者提供する場合 ⑦ 保険業その他金融分野の事業の適切な業務運営を確保する必要性から、本人の同意に基づき業務遂行上必要 な範囲で機微(センシティブ)情報を取得、利用又は第三者提供する場合 ⑧ 機微(センシティブ)情報に該当する生体認証情報を本人の同意に基づき、本人確認に用いる場合 2 金融分野における個人情報取扱事業者は、機微(センシティブ)情報を、前項各号に定める事由により取得、 利用又は第三者提供する場合には、各号の事由を逸脱した取得、利用又は第三者提供を行うことのないよう、 特に慎重に取り扱うこととする。 第13条 第三者提供の制限(法第23条関連) 1 金融分野における個人情報取扱事業者は、法第23条に従い、次に掲げる場合を除くほか、あらかじめ本人 に同意を得ることなく、個人データを第三者に提供してはならない。 ① 法令に基づく場合 ② 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。 ③ 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ること が困難であるとき。 ④ 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力 する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。 (注)上記①~④の具体例は、第5条第3項①~④における例示と同じ。 なお、第三者提供についての同意を得る際には、原則として、書面によることとし、当該書面における記載を 通じて、 ① 個人データを提供する第三者 ② 提供を受けた第三者における利用目的 ③ 第三者に提供される情報の内容 5 を本人に認識させた上で同意を得ることとする。 「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」に関するQ &A(事例集)<厚生労働省> (http://www.mhlw.go.jp/topics/bukyoku/seisaku/kojin/dl/170805iryou-kaigoqa.pdf) Q5-6 民間保険会社等から医療機関に対して、患者の治療結果等に関する照会があった際、民間保険会社等 が患者本人から取得した「同意書」を提示した場合は、回答に当たり、本人の同意が得られていると判断して 良いのでしょうか。 A5-6 個人データの第三者提供に当たっては、個人データを保有し、第三者提供を行う個人情報取扱事業者 である医療機関が、本人の同意を得る必要があります。このため、民間保険会社から照会があった際に、本人 の「同意書」を提出した場合であっても、医療機関は、当該同意書の内容について本人の意思を確認する必要 があります。 これは、本人が、同意書に署名する際に提供して良いと考えていたものの、その後、考えが変わっている場合 もあり得るからです。このため、病院が民間保険会社に第三者提供を行う際に、提供する個人データの範囲(い つからいつまでの時期の情報を提供するのか、診療録の要約等を作成するのか、検査結果のデータも提供する のか、など)や、どのような形態で提供するかなどについて、具体的に説明し本人の意思を確認する必要があ ると考えます。 なお、開示の求めを行い得る代理人として、当該患者の保有個人データの開示の求めがあった場合の取扱いに ついては、ガイドライン36ページ10~17行目の、本人の意思の確認に関する記載を参照してください。 <title>保険調査における病院等からの個人情報の取得をめぐる問題について-個人情報相談窓口から-</title> 6