コープデリとパルシステムの違い 注文して生協の宅配を比較
個人情報保護ガイドライン・行政機関等編を歯科医院で正しく理解する
歯科医院の患者情報が1人漏れるだけで、個人情報保護委員会への報告が義務になります。
個人情報保護ガイドライン「行政機関等編」と歯科医院の関係を整理する
「行政機関等編ガイドライン」という名称を聞くと、「自分たちには関係ない」と思いがちです。しかし、これは誤解です。
令和4年(2022年)4月1日、それまで別々に存在していた「行政機関個人情報保護法」と「独立行政法人等個人情報保護法」が廃止され、民間向けの個人情報保護法(個人情報の保護に関する法律)に統合されました。この改正によって、個人情報保護委員会が策定した「個人情報の保護に関する法律についてのガイドライン(行政機関等編)」が新たに設けられ、公的医療機関(国立病院機構や地方公共団体の病院部門など)に適用されるようになりました。
民間の歯科医院が直接このガイドラインに縛られるわけではありません。ただし、重要な点があります。歯科医院が適用を受けるのは、個人情報保護委員会と厚生労働省が共同で策定した「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」(以下、医療介護ガイダンス)です。この医療介護ガイダンスは、通則ガイドラインを基礎としており、行政機関等編ガイドラインと共通する規律が多数あります。
つまり、行政機関等編ガイドラインを理解することは、歯科医院が守るべきルールの背景と構造を正確に把握することにつながります。知識が深まれば、実務対応の精度も上がります。なお、最新の医療介護ガイダンスは令和7年(2025年)6月に一部改正が施行されており、最新版の確認が必要です。
個人情報保護委員会による監視や行政機関の権限行使も、今や民間歯科医院に及ぶ可能性があります。報告徴収・立入検査・勧告・命令という一連の行政処分フローは、医療介護ガイダンスにも明記されています。法の体系を正しく理解しておくことが、実務上のリスク回避につながります。
参考:個人情報保護委員会「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」
個人情報保護委員会|医療・介護関係事業者ガイダンス(令和7年6月一部改正)
個人情報保護ガイドラインで定める「要配慮個人情報」と歯科医院の実態
要配慮個人情報とは何かを確認しましょう。
個人情報保護法第2条第3項では、「病歴」「身体障害・知的障害・精神障害があること」「医師等による指導・診療・調剤が行われたこと」などが要配慮個人情報として定義されています。歯科医院では、患者さんの診療録(カルテ)・レントゲン画像・口腔内写真・パノラマ画像・処方箋・紹介状・来院履歴・支払情報がすべて要配慮個人情報に該当します。
これが重要な理由です。要配慮個人情報は、通常の個人情報よりも取り扱いが厳格に制限されています。取得の際は原則として本人の同意が必要で、第三者への提供にも厳しい制限がかかります。さらに決定的な点があります。「要配慮個人情報が含まれる個人データが漏えいした場合、たとえ対象が1人であっても個人情報保護委員会への報告と本人への通知が義務になる」という規定です。
| 漏えい等の態様 | 報告義務の有無 |
|---|---|
| 要配慮個人情報を含む漏えい(1人でも) | ✅ 義務あり |
| 財産的被害が生じるおそれがある漏えい | ✅ 義務あり |
| 不正の目的による漏えいのおそれ | ✅ 義務あり |
| 本人の数が1,000人超の漏えい | ✅ 義務あり |
つまり、「患者さん1人のカルテが入ったUSBメモリを紛失した」だけで、行政への報告義務が発生するわけです。これは多くの歯科従事者にとって意外な事実ではないでしょうか。
報告の流れとしては、速報(事態覚知後おおむね3〜5日以内)と確報(30日以内、不正アクセスによる場合は60日以内)の2段階があります。報告窓口は個人情報保護委員会の専用フォームで受け付けており、厚生労働大臣にも同時に報告が求められます。報告を怠ったり虚偽の報告を行ったりすると、50万円以下の罰金が科されます。
医療介護分野の個人情報は特に機微性が高いだけに、報告義務の敷居も低く設定されています。まずこの事実を院内で共有することが最初のステップです。
個人情報保護ガイドラインが求める歯科医院の安全管理措置4分類
安全管理措置は4種類あります。
医療介護ガイダンスおよび行政機関等編ガイドラインが求める安全管理措置は、「組織的」「人的」「物理的」「技術的」の4つに分類されます。歯科医院の実務にあてはめると、次のように整理できます。
① 組織的安全管理措置
個人情報保護の責任者を明確に選任し、取扱規程(プライバシーポリシー)の整備・院内掲示が必要です。また、漏えい等が発生した際の連絡体制と対応手順をあらかじめ定めておくことが求められています。責任者が不明確なまま漏えいが発生すると、対応が後手に回り、報告期限(速報3〜5日)を超えてしまうリスクが高くなります。院長だけが全権を持つ小規模医院ほど、担当者を明示した文書化が重要です。
② 人的安全管理措置
スタッフ全員への教育・研修の実施と、採用時および必要時の秘密保持誓約書の取得が必要です。退職後も守秘義務が継続する点を明確にした誓約書が有効で、就業規則の服務規律への記載と合わせて整備します。教育は入社時だけでなく、月1回程度の定期的な確認が推奨されます。
③ 物理的安全管理措置
電子カルテや診療記録を扱うエリアの入退室管理、機器・電子媒体の施錠保管、廃棄時の適切な処理が求められます。廃棄の場面は見落とされがちです。紙カルテのシュレッダー処理や、PCの専門業者への廃棄委託(データ消去証明書の取得)がこれにあたります。
④ 技術的安全管理措置
電子カルテへのアクセス制御(退職者のID即時削除・パスワード定期変更)、不正アクセス対策(ファイアウォール・OSの定期アップデート)、操作ログの保存が必要です。特に「退職スタッフのID削除を忘れる」という人的ミスは非常に多く、アクセス権限管理の台帳を整備することで防げます。
4つすべてを同時に整備することが理想ですが、まず「現状でどの分類が弱いか」を確認し、優先度の高い箇所から着手するのが現実的です。
個人情報保護ガイドラインにおける「委託先の監督」義務と歯科医院の落とし穴
電子カルテ業者に任せていれば安心、は通じません。
歯科医院は多くの業務を外部に委託しています。電子カルテ・レセコンのサポート業者、クラウドストレージサービス、医療廃棄物の処理業者、レントゲン現像・スキャン業者などが代表例です。医療介護ガイダンス(行政機関等編ガイドラインも同様の規律を持つ)では、患者の個人データ取り扱いを委託する場合、委託先に対しても「必要かつ適切な監督を行う義務」が委託元(歯科医院)に課されています。
具体的に何をすべきかを整理します。まず、委託先の選定時には、個人情報保護体制・セキュリティ対策・ISMSやプライバシーマークの取得状況を確認することが有効です。次に、契約書の内容として、データの取り扱い範囲・目的外利用の禁止・再委託の条件・事故発生時の報告義務・契約終了後のデータ消去・返却を明記します。そして契約後も、定期的な報告確認や状況把握を行うことが求められています。
実務上の落とし穴として特に多いのが「再委託」の問題です。電子カルテ業者がデータ保管をさらに別のクラウド業者に再委託している場合、歯科医院がその事実を把握していないケースがあります。再委託先での漏えいが発生した場合でも、委託元である歯科医院の責任が問われます。契約書の中に「再委託を行う場合は事前に書面で通知・承認を得ること」を盛り込んでおくことが重要です。
参考:個人情報保護委員会「個人情報の保護に関する法律についての事務対応ガイド(行政機関等向け)令和7年4月一部改正」
個人情報保護委員会|事務対応ガイド(行政機関等向け)令和7年4月改正版PDF
個人情報保護ガイドライン違反の罰則と歯科医院が直面する法的リスク
命令違反は1年以下の懲役または100万円以下の罰金です。
個人情報保護法の違反に対する罰則は、改正を経てかなり強化されています。歯科医院に関係する主要な罰則を確認しておくことが重要です。
まず、不正な利益を図る目的で個人情報データベース等を提供・盗用した場合(不正提供等罪)は、個人が1年以下の拘禁刑または50万円以下の罰金、法人(医院)には1億円以下の罰金が科されます(両罰規定)。1億円というのは東京ドームのグラウンド整備費用に匹敵する規模です。スタッフ1人の不正持ち出しが、院全体に天文学的なペナルティをもたらす可能性があるということです。
次に、個人情報保護委員会からの命令に違反した場合(命令違反罪)は、1年以下の懲役または100万円以下の罰金、法人には1億円以下の罰金が適用されます。報告を怠ったり立入検査を拒否したりすると50万円以下の罰金です。
さらに刑法第134条(秘密漏示)も忘れてはなりません。歯科医師が正当な理由なく業務上知り得た患者の秘密を漏らした場合は、6ヶ月以下の懲役または10万円以下の罰金です。刑法罰なので、前科がつく可能性があります。
| 違反類型 | 個人への罰則 | 法人への罰則 |
|---|---|---|
| 不正提供等罪 | 拘禁刑1年以下or罰金50万円以下 | 罰金1億円以下 |
| 命令違反罪 | 懲役1年以下or罰金100万円以下 | 罰金1億円以下 |
| 報告懈怠・虚偽報告 | 罰金50万円以下 | 罰金50万円以下 |
| 刑法134条(秘密漏示) | 懲役6ヶ月以下or罰金10万円以下 | 適用なし |
金銭的なリスクだけではありません。行政処分による医業停止、患者・地域社会からの信頼喪失という非財産的な損害も非常に深刻です。患者が漏えいを理由として損害賠償請求を行った裁判では、1件当たり110万円の賠償が認められた事例もあります(参考:医療現場における個人情報・プライバシー保護に関する裁判例)。
罰則の知識は「怖いから守る」ではなく、「患者さんの権利と医院の信頼を守るために必要だ」という理解の土台にするべきものです。
個人情報保護ガイドラインを踏まえた歯科医院の日常管理と独自の対策視点
「うっかりSNS投稿」は懲戒解雇にもなりえます。
法令・ガイドラインを遵守するだけでなく、日々の業務の中で具体的にリスクを減らす運用が重要です。多くの歯科従事者が気づいていない視点として、「スタッフのスマホ撮影」と「SNS投稿」があります。
珍しい症例のレントゲンを「家で勉強したい」と個人スマホで撮影する行為は、たとえ善意であっても個人情報保護法違反です。スマホ内のクラウド自動同期(Googleフォト・iCloudなど)によって、撮影した画像が瞬時に外部サーバーに転送されてしまう点が特に危険です。これは紙カルテの持ち出しより技術的に発覚しにくく、かつ拡散速度が圧倒的に速い問題です。
SNS投稿については、「今日こんな症例があった」という一文だけでも、投稿日時・アカウントの所在地・写り込んだ内容から医院と患者が特定されるリスクがあります。24時間で消えるストーリーズも、スクリーンショットによってデジタルタトゥーとして永続します。過去には大手ドラッグストアの店員が来店した有名人の情報をSNS投稿して大炎上した事例があり、医療現場でも看護師が患者の症例写真を投稿して問題になったケースが確認されています。
これらのリスクへの対策として、就業規則への秘密保持規程の明記・入社時の誓約書取得・月次ミーティングでの事例共有が推奨されます。「スマホを診療エリアに持ち込まない」というシンプルなルールが、大きな漏えい防止効果を生みます。
日常業務チェックリストとして以下を参考にしてください。
- 🔑 離席前に電子カルテ画面をロックしているか
- 📱 私用スマホを診療エリアに持ち込んでいないか
- 🗣️ 受付での呼び出しや会話が待合室に届く音量になっていないか
- 🗂️ 退職スタッフの電子カルテIDは即日削除したか
- 📋 委託先(電子カルテ業者など)と秘密保持契約を結んでいるか
- 🗑️ 古いPCや紙カルテの廃棄方法は適切か
参考:厚生労働省「厚生労働分野における個人情報の適切な取扱いのためのガイドライン等」
厚生労働省|厚生労働分野の個人情報ガイドライン等一覧(最新版)