カルテの開示請求があったら拒否できるのか?個人情報保護法を詳細解説

患者さんや家族などからカルテの開示を求められる場合があります。

患者さんから開示請求があった場合、医院・クリニック側は、「何か不満があるのか?」「訴訟を起こされるのか?」という懸念から、開示を拒否しようとするケースもあります。

しかし、患者さん本人から開示請求があった場合は、個人情報保護法により例外を除いて開示を拒否することができません。

一方、患者さん本人ではなく、患者さんの家族、税務調査官、警察、保険会社など、第三者からカルテの開示を求められた場合は、逆に開示請求を拒否しなければいけません。

医院・クリニックの先生が知っておきたい個人情報保護法について解説しながら、対処法や注意点を解説します。

カルテ情報の開示請求に関連する個人情報保護法とは？

カルテ情報の開示請求の対応方法については、原則として個人情報保護法(個人情報の保護の法律)に従うことになります。

個人情報保護法は、個人情報の不正利用や不適切な取り扱いを防ぐため、個人情報を取り扱う事業者を対象に個人情報の取り扱い方について義務を課す法律です。

カルテ情報には、患者さんや医師を特定することができる個人情報が多く含まれています。

つまり、カルテ情報を開示することは個人情報を開示することでもあるので、「個人情報保護法」が適用されるのです。

患者さん本人からカルテ開示請求があった場合は例外を除いて拒否できない

2017年の個人情報保護法改正により、すべての医療機関が「個人情報取扱事業者」になりました。

個人情報保護法では、個人情報取扱事業者が、本人の同意なく個人情報を開示できないと同時に、本人の要請があれば開示しなければなりません。

カルテ情報の開示で言えば、患者さん本人が医療機関に対してカルテなどの個人情報の開示の請求ができるということです。

医療機関は、カルテの開示請求があれば原則として本人の個人情報を法令の定める方法により開示しなくてはならず、例外を除いて拒否できません。

患者さん本人以外からカルテ開示請求があった場合は原則許可なく開示できない

カルテ情報の開示請求については、あくまで「患者さん本人から開示請求があれば拒否できない」という点がポイントです。

患者さん本人以外から、カルテ情報の開示請求があった場合は、逆に本人の許可なく開示してはいけません(患者さんの死亡時など例外あり)。

例えば、税務調査で「調査官からカルテを出してほしいと言われた」という話をよく聞きますが、この場合は調査官の要求を拒否しなければいけません。

税務調査の対象となる医院・クリニックの特徴と調査官が必ず見る8つのポイント

はじめに 医院・クリニックを経営する開業医の先生にとって、税務調査が入るとなれば「どう対応すればいいのか」と不安になるのではないでしょうか？ しかし税務調査の具…

開業医の教科書®｜税理士法人テラス | 医院開業、経営塾、医療法人化、承継、相続、分院開設、Ｍ＆Ａ、閉院

その他、警察官、保険会社などから「カルテを見せてほしい」と言われても、患者さん本人の許可なく開示してはいけません。

また、研究目的でカルテなど個人情報を利用する場合も、個人情報保護法が適用されるため、患者さんの同意が必要なことがあります(適用除外条件あり)。

つまり、カルテ情報は大切な個人情報で、勝手に第三者に公開できないものであるため、漏洩にも十分注意しなければいけません。

取得したカルテ情報については、安全に管理・保管するためのルールを定め、スタッフに周知・教育を行う必要があります。

患者さん本人からの開示請求を拒否できる場合

先ほどお伝えしたように、患者さん本人からカルテの開示請求が来た場合は、原則拒否できません。

しかし、個人情報保護法には、次のいずれかに該当する場合に、開示を求められても拒否できると定められています。

【個人情報保護法第33条第2項】

個人情報取扱事業者は、前項の規定による請求を受けたときは、本人に対し、同項の規定により当該本人が請求した方法（当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法）により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。

一 本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

二 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合

三 他の法令に違反することとなる場合

また、厚生労働省医政局医事課が発令した「診療情報の提供等に関する指針」には、以下のいずれかに該当すれば開示を拒否できると定められています。

(1)診療情報の提供が、第三者の利益を害するおそれがあるとき

(2)診療情報の提供が、患者本人の心身の状況を著しく損なうおそれがあるとき

＜(1)に該当することが想定され得る事例＞

患者の状況等について、家族や患者の関係者が医療従事者に情報提供を行っている場合に、これらの者の同意を得ずに患者自身に当該情報を提供することにより、患者と家族や患者の関係者との人間関係が悪化するなど、これらの者の利益を害するおそれがある場合

＜(2)に該当することが想定され得る事例＞

症状や予後、治療経過等について患者に対して十分な説明をしたとしても、患者本人に重大な心理的影響を与え、その後の治療効果等に悪影響を及ぼす場合

※個々の事例への適用については個別具体的に慎重に判断することが必要である。

しかしながら、実際にこれらの例外事由に該当するか否かの判断が難しいケースもあります。

医院・クリニック側が自らの解釈で判断するのではなく、弁護士に相談するなど慎重に検討しましょう。

【診療情報の提供などに関する指針】

9.遺族に対する診療情報の提供

・医療従事者などは、患者が死亡した際には遅滞なく、遺族に対して、死亡に至るまでの診療経過、死亡原因などについての診療情報を提供しなければならない。

・遺族に対する診療情報の提供に当たっては、3、7の（1）、（3）及び（4）並びに8の定めを準用する。ただし、診療記録の開示を求め得る者の範囲は、患者の配偶者、子、父母及びこれに準ずる者（これらの者に法定代理人がいる場合の法定代理人を含む。）とする。

・遺族に対する診療情報の提供に当たっては、患者本人の生前の意思、名誉などを十分に尊重することが必要である。

第三者からカルテ情報を開示請求された場合の対処法

患者さん本人からではなく、患者さんの家族、保険会社、税務調査官、場合によっては警察など第三者からカルテ情報の開示請求をされる場合があります。

個人情報保護法においては、こういった場合、あらかじめ本人の同意を得ていなければ、開示は原則禁止となっています。

つまり、本人から開示請求があった場合とは逆に、医院側は開示を拒否しなければいけません。

個人情報取扱事業者による、外部への情報の流出はあってはならないからです。 ただし、この場合も例外があり、以下の場合に該当すれば開示が可能になります。

【個人情報保護法第27条】

個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

一　法令に基づく場合

二　人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

三　公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

四　国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

五　当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき（個人の権利利益を不当に侵害するおそれがある場合を除く。）。

六　当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データを学術研究目的で提供する必要があるとき（当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）（当該個人情報取扱事業者と当該第三者が共同して学術研究を行う場合に限る。）。

七　当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき（当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）。

たとえば、裁判所や弁護士会等の機関による開示請求など、法令に基づく手順が遵守されている場合は開示しても問題ありません。

しかし、開示請求が法令に基づくか否かの判断は、医療機関が独断で決めるのはやはり難しく、法令の内容を知っている弁護士の力が必要です。

患者さんの個人情報漏洩事例

医療機関は、個人情報取扱事業者として、個人情報の取り扱いには十分に注意しなければなりません。

しかし、実際には次のようなケースで、病院やクリニックでも患者さんのカルテ情報などの個人情報の漏洩が発生しています。

【個人情報が漏洩してしまったケース】

・待合室で患者と世間話をした後、持っていたカルテを待合室に置き忘れてしまった

・院内でパソコン作業中に、不正プログラムの入ったソフトウェアがダウンロードされ、患者の個人情報が漏洩してしまった

・業務を自宅に持ち帰った際に、患者の個人情報が入ったUSBメモリを紛失してしまった

・看護師が、うっかり患者の個人情報を家族に話し、その家族が患者の両親に話したことで情報漏洩として訴えられた

こうした個人情報の漏洩は、少しの心がけで防げるものばかりです。

2020年には新型コロナウィルス感染者の電子カルテの画像がLINEで流出したケースもあります。 SNS上のトラブル対策を含めて、就業規則などで情報セキュリティのルールをスタッフに周知徹底するようにしましょう。

患者さんが死亡した場合のカルテ情報の取扱い

死亡した個人の情報については、個人情報に該当せず、個人情報保護法の対象にはなりません。

しかし、厚生労働省「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」によれば、患者が死亡した場合も、情報漏洩などの防止のため、生存する個人の情報と同様の安全管理措置が求められています。

遺族から故人の生前の情報が求められた場合は、厚生労働省が2003年9月に作成した「診療情報の提供などに関する指針」に基づいて提供する必要があります。

事業承継でカルテ情報を引き継ぐ際の注意点

事業承継(親子承継やM&A)によって継承者である医師にカルテ情報を引き継ぐ場合は、患者さん一人ひとりに同意を得る必要はありません。

【個人情報保護法第27条】

個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

(中略)

第5項

次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。

一　個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合

二　合併その他の事由による事業の承継に伴って個人データが提供される場合

三　特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。

ただし、カルテの引き継ぎを受けた医師は、医療行為の目的を超えて個人情報を利用しないように注意しなければいけません。

【個人情報保護法第18条第2項】

個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。

【まとめ】カルテ情報などの個人情報の取扱いには十分注意する

個人情報取扱事業者である医療機関は、個人情報が漏れることがないように徹底的に管理し、第三者に知られることがないようにしなければいけません。

また、例外を除いて患者さん本人から開示請求された場合は原則拒否できません。

個人情報でもあるカルテの取り扱いには、細心の注意を払う必要があります。

誤った対処法をしてしまわないよう、医院・クリニックにおいてきちんとルールを決め、関係スタッフ全員に周知徹底するようにしましょう。

こちらの記事を読んだあなたへのオススメ