電子カルテの情報保護責任と事業譲渡
1 はじめに
医療法人がその有する医療機関を別の医療法人へ譲渡するという事業譲渡について、ご依頼を受けました。事業譲渡に伴い、電子カルテを移管する場合に、譲渡側の医療法人が負っていた電子カルテの情報保護責任を譲受側の医療法人が負うことになりますが、ご依頼者は、譲渡側の情報保護責任はなくなるのか、という点を心配されていました。
2 診療録の保存義務
医師法24条2項では、「前項の診療録であって、病院又は診療所に勤務する医師のした診療に関するものは、その病院又は診療所の管理者において、その他の診療に関するものは、その医師において、5年間これを保存しなければならない。」として、管理者に診療録の保存義務を負わせています。
事業譲渡により医療機関を譲渡した後も、診療録の保存義務が残るのではないかが問題となります。
3 医療情報システムの安全管理に関するガイドライン
医療情報システムの安全管理に関するガイドライン第6版において、医療情報(電子カルテを含む)を第三者に提供する「第三者提供」の場合の医療機関等における責任について定められています(経営管理編 3頁、8頁)。
遵守事項として、
①医療情報を第三者提供する場合、法令等(個人情報保護法等)を遵守し、手続き等の記録等を適切に管理する体制を整備すること。
②医療情報を第三者提供する場合、医療機関等と第三者それぞれが負う責任の範囲をあらかじめ明確にし、認識の齟齬等が生じないよう、書面等により可視化し、適切に管理すること。
が定められています。
同ガイドライン8頁において、
「提供された医療情報を受領した第三者は、当該情報を適切に管理する責任が生じる。なお、提供元の医療機関等においては、原則として適切な第三者提供がなされる限り、その後の当該情報の保護に関する責任は離れる。
なお、情報を第三者に提供しても、提供元の医療機関等の側で当該情報を完全に削除しない限り、当該情報はなお当該医療機関等の下に存在するため、その場合は当該情報に対する適切な管理責任が残ることになる。」
と記載されています。
4 情報保護責任の所在
同ガイドラインの第三者提供の責任分界について、Q&Aの企Q-6(27頁)に、以下の通り回答がなされています。
「適切な第三者提供がなされる限り、提供された後の情報保護責任は、提供した医療機関等の管理者ではなく、提供を受けた第三者が負うことになります。
ただし、例外的に、提供先で適切に扱われないことを知りながら情報提供をしたような場合は、提供元の医療機関等の責任が追及される可能性があります。
一方、電子化された情報の特性に着目すると、医療情報が第三者提供されても、医療機関等の側で当該情報を削除しない限り、当該医療情報を引き続き保存し続けることになります。」
「一旦、適切・適法に提供された医療情報については、提供元の医療機関等に送付先での情報保護責任がないことは先に述べたとおりですが、第三者提供の主体は提供元の医療機関等であることから、患者等に対する関係では、少なくとも情報が提供先の第三者に到達するまで、原則として、提供元の医療機関等に責任があると考えることができます。
その上で、医療機関等と医療情報システム・サービス事業者との間の内部的な意味での「善後策を講ずる責任」をいかに分担するかは、医療情報システム・サービス事業者と医療機関等の間で、あらかじめ協議して明確にしておくことが望まれます。
医療情報システム・サービス事業者の選任・監督義務を果たしており、特に責任が明記されていない場合に、医療情報システム・サービス事業者の過失で何らかの不都合な事態が生じた場合は、医療情報システム・サービス事業者が全ての責任を負うのが原則です。」
5 第三者提供の成立時点
また、同ガイドラインの第三者提供の成立時点について、Q&Aの企Q-7(28頁)に、以下の通り回答がなされています。
「第三者提供では、原則本人の同意の下に情報が第三者に提供され、説明責任を含む管理責任が第三者に生じます。
第三者が明確に自己の管理範囲に情報が存在することを確認した時点が、第三者提供の成立した時点になります。
したがって、何らかの方法で受領確認を行う必要があり、受領確認がなされた時点と考えることができます。
オンラインで情報を送付する場合も同様であり、例えば相手のデータベースに格納されたことを電子的に確認する手続きを明確にした上で、その確認をもって第三者提供が成立することを、契約等で合意することが必要です。
送り手は送付したと考えているものの、受け手が受領したと認識していない等、責任の空白ができないようにする必要があります。」
6 結語
結論として、患者の同意を得た上で電子カルテの適切な提供がなされ、譲渡側で電子カルテの情報の完全な削除をすれば、譲受側に情報保護責任が移り、その後譲渡側は情報保護責任を負わなくなる、ということになります。
ただし、
①譲渡側と医療情報システム・サービス事業者との間で「善後策を講ずる責任」の分担について、あらかじめ協議して明確にしておく必要がある。
②譲受側が明確に譲受側の管理範囲に情報が存在することを確認した時点が第三者提供の成立した時点となるため、受領確認を行う必要がある。
③受領確認をもって第三者提供が成立することを契約等で合意することが必要である。
という点に注意が必要です。
【参考】厚生労働省HP https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html