医療機関の情報セキュリティ

医療機関が取り扱う「個人情報」とコンプライアンス

Q1.「個人情報とは、具体的にどのようなものがありますか。

A1.医療・介護関係事業者が保有している個人情報には様々なものがありますが、具体的には、以下のようなものがあります。

  • 患者、利用者の情報
  • 医師、歯科医師、薬剤師、看護師、介護職員、事務職員などの従業者の情報
  • 仕入先業者の従業者の情報など

特に、医療機関が取り扱う個人情報には、以下の情報が含まれています。

診療録、処方せん、手術記録、看護記録、検査所見記録、エックス線写真、紹介状、退院した患者に係る入院期間中の診療経過の要約、調剤記録など

加えて、診療録や介護関係記録に患者・利用者の情報のほか、患者・利用者の家族に関する情報が記載されている場合、その家族の個人情報も含まれている場合があります。

Q2.医療・介護関係事業者が取り扱う「個人識別符号」には、具体的にどのようなものがありますか。

A2.「個人識別符号」とは、その情報単体から特定の個人を識別することができるものとして政令で決められた文字、番号、記号その他の符号をいい、これに該当するものが含まれる情報は個人情報となります。

医療・介護関係事業者が取り扱う「個人識別符号」の具体的な内容としては、例えば、細胞から採取されたデオキシリボ核酸(別名DNA)を構成する塩基の配列に基づく保険者番号や被保険者など記号・番号及び介護保険法に基づく被保険者証の記号、番号及び保険者番号などがあります。

なお、上記の保険者番号及び被保険者など記号・番号や、被保険者証の記号、番号及び保険者番号については、それぞれこれらの記号、番号などが全て含まれる情報が、個人識別符号に該当します。

Q3. 医療介護関係事業者において、取り扱う「要配慮個人情報」には、具体的にどのようなものがありますか。

A3.「要配慮個人情報」とは、不当な差別や偏見その不利益が生じないように、その取扱いに特に配慮を要するものとして、法律、定令及び規則で定める技術が含まれる個人情報をいいます。要配慮個人情報の取得や第三者提供には、原則として本人の同意が必要であり、法第23条第2項の規定による第三者提供(オプトアウトによる第三者提供)は認められておりません。

医療・介護関係事業者が取り扱う「配慮個人情報」の具体的な内容としては、診療録などの介護関係記録に記載された病歴、診療や調剤の過程で、患者の身体状況、病状、治療などについて、障害(身体障害、知的障害、精神障害など)の事実、犯罪により害を被った事実などがあります。

講じなければならない措置 手法の例示
(4)情報システムの仕様に伴う漏洩などの防止
  • 情報システムの設計時に安全性を確保し、持続的に見直す(情報システムの脆弱性をついた攻撃への対策を講ずることも含む。)。
  • 個人データを含む通信の経路または内容を暗号化する。
  • 移送する個人データについて、パスポートなどによる保護を行う。

*出典:個人情報委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」

このように、医療情報は、医療従事者と患者だけがアクセスすべき機密性の高いデータであり、データの暗号化などより厳重なデータセキュリティ対策が必須です。

D’Amo KEを活用した医療情報暗号化

ご使用中の医療機関ソリューションとD’AmoKEを連携することで、医療情報における高度な暗号化を実現できます。

D'Amo KE

D’Amo PACSを活用した医療用映像管理システムセキュリティ

お問い合わせ

当社製品やソリューションに関する詳しい情報はこちらよりご確認ください。
お問い合わせ