ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

【個人情報Q&A】A市立病院で保有する個人情報をA市で利用する場合の法律上の規制

情報法 自治体 医療

A市では、A市市長部局で保有する健診情報を分析して、健診受診率向上のための施策を検討しています。A市市長部局では、公立病院も運営しており、公立病院の健診情報も分析したいと考えていますが、病院では分析の人手が不足しているためA市市長部局担当部署にて分析したいです。公立病院は、民間と同等の個人情報保護法規制がかかると聞きましたが、2023年4月以降の適用法令についてどう考えればよいのでしょうか。

 

1.適用法令

自治体は、2023年度から個人情報保護法の適用となります。基本的には行政機関と同等の規律となり、個人情報保護法第5章が適用されます。

もっとも、医療・学術分野のデータ流通促進のために、公的機関であっても医療・学術については、民間相当の規律とされることになりました。おっしゃる通り、公立病院は、基本的には民間事業者と同等の規律となり、個人情報保護法第4章が適用されます。

 

2.提供とは何をいうか

提供とは、一般的には、法人格をまたがる同士の個人情報の授受をいいます。行政機関であれば、A省内であれば提供に該当しませんし、民間事業者であればAホールディングス傘下であってもA1社とA2社の間であれば提供に該当します。

しかし、地方公共団体の場合は、「機関」をまたぐと提供に該当することになります。首長部局と教育委員会間の個人情報の流れは、「利用」ではなく「提供」に該当するということです。これは、マイナンバー法番号法)でも同じでしたね。

 

なぜかというと、法律の規定ぶりが「地方公共団体の機関」という規定ぶりだからです。機関単位で考えるように規定されているのです。

個人情報保護法第2条

11 この法律において「行政機関等」とは、次に掲げる機関をいう。
一 行政機関
二 地方公共団体の機関(議会を除く。次章、第三章及び第六十九条第二項第三号を除き、以下同じ。)
三 独立行政法人等(別表第二に掲げる法人を除く。第十六条第二項第三号、第六十三条、第七十八条第一項第七号イ及びロ、第八十九条第四項から第六項まで、第百十九条第五項から第七項まで並びに第百二十五条第二項において同じ。)
四 地方独立行政法人地方独立行政法人法第二十一条第一号に掲げる業務を主たる目的とするもの又は同条第二号若しくは第三号(チに係る部分に限る。)に掲げる業務を目的とするものを除く。第十六条第二項第四号、第六十三条、第七十八条第一項第七号イ及びロ、第八十九条第七項から第九項まで、第百十九条第八項から第十項まで並びに第百二十五条第二項において同じ。)

 

Q3-3-2 同一の地方公共団体の異なる機関間における保有個人情報の提供について制限はあるか。

A3-3-2 同一の地方公共団体の異なる機関間における保有個人情報の提供が行われる場合であって、当該保有個人情報について、法令に基づかずに、かつ、利用目的以外の目的のために提供する場合は、本人又は第三者の権利利益を不当に侵害するおそれがなく、かつ法第69条第2項第3号の要件を満たす必要があります。なお、法第69条第2項第3号の「地方公共団体の機関」には議会が含まれるため(法第2条第11項第2号)、地方公共団体の機関が法令に基づかずに保有個人情報を利用目的以外の目的のために議会に提供する場合も、本人又は第三者の権利利益を不当に侵害するおそれがなく、かつ法第69条第2項第3号の要件を満たす必要があります。 (令和4年4月追加)

なお、上記A3-3-2は不正確ですね。2項3号だけじゃなくて4号と1号も該当するでしょう。まあ例外的と考えて、3号だけを記載したんでしょうか。謎です。

 

3.A市立病院で保有する個人情報をA市に渡すことはできるか

(1)同一機関の場合

提供元のA市立病院と提供先のA市担当部署が、同一機関(例えば、首超部局)である場合は、規律移行法人と非規律移行法人間ではありますが、同一機関内ですので、「提供」ではなく「利用」に該当します。

市立病院側は、個人情報保護法4章適用です。提供ではなく利用であるため、第三者提供の制限(27条)ではなく、目的内取扱い(18条)が問題となります。

まず、市立病院で提供する個人情報の利用目的を、病院のプライバシーポリシー等(個人情報ファイル簿も許容されるか、関連QAとして1-1-8があるが、別法人の場合のQA)で確認し、今回やりたいこと、つまり設例でいえば、健診受診率向上のための施策検討が、利用目的の範囲内か考えます。大雑把にいうと、今の利用目的を読んで、この利用目的なら、健診受診率向上のための施策検討も範囲内だよね、含まれるよね、と一般人が思えるのであれば、目的内と考えて良いでしょう。

もし利用目的の範囲外ということであれば、

  • ①本人同意を得るか
  • ②「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき」に該当するか
  • ③「国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき」に該当するか

を考えます。

 

②本設例だと公衆衛生の向上のためには該当しそうだが、「特に必要がある」旨を説明できるか。例えば市の状況として、健診受診率を分析することや受診率向上のための施策検討の重要性を根拠をもって説明できるか。「同意を得ることが困難」については、同意を得た者だけの受診率を分析すると、全体を表さない分析となって意味がなくなる等の論証が可能か。

 

自治体が法令に定める事務を遂行することに協力する必要があるといえるか。「協力の必要性」を根拠をもって説明できるか。市立病院の健診受診率を分析することの意義を具体的根拠をもって説明できるかどうか。また同意を得た者だけの受診率を分析すると、全体を表さない分析となって意味がなくなる等の論証をもって、同意を得ると支障のおそれがあるといえるか。

 

次に、A市担当部署は、個人情報保護法5章適用で、こちらも目的内利用(69条)が問題となります。A市担当部署の担当事務における個人情報の利用目的を、個人情報ファイル簿で確認します。上記同様で、大雑把にいうと、今の利用目的を読んで、この利用目的なら、健診受診率向上のための施策検討も範囲内だよね、含まれるよね、と一般人が思えるのであれば、目的内と考えて良いでしょう。

もし利用目的の範囲外ということであれば、

  • ①本人同意を得るか
  • ②「行政機関等が法令の定める所掌事務又は業務の遂行に必要な限度で保有個人情報を内部で利用する場合であって、当該保有個人情報を利用することについて相当の理由があるとき」に該当するか

を検討します。

②は、具体的状況にもよりますが、概ね該当するように思います。

 

なお、上記は、本設例とは異なる「A市で保有する個人情報をA市立病院に提供する場合」にも該当します(=この場合でも、同じ規制となります)。

 

Q3-3-3 地方公共団体の同一の機関内に、病院の運営の業務を行っている部署と他の業務を行っている部署がある場合であって、当該地方公共団体の機関と同一地方公共団体における他の地方公共団体の機関との間ではなく、当該病院の運営の業務を行っている部署において取得した個人情報を他の部署で取り扱うとき、又は他の部署で取得した個人情報を当該病院の運営の業務を行っている部署で取り扱うときに、個人情報のやり取りについてそれぞれどのような法の適用関係になるか。

A3-3-3 地方公共団体の機関が行う病院の運営における個人情報の取扱いについては、民間規律(開示請求等に関する規律を除く。)が適用されますが(法第58条第2項第1号及び法第125条第1項)、病院の運営業務を行っていることをもって「地方公共団体の機関」(法第2条第11項第2号)から除かれるものではないため、地方公共団体の同一の機関内における他の部署への個人情報の提供は、ひとつの「地方公共団体の機関」内における利用に当たります。 病院の運営の業務を行っている部署、他の部署のそれぞれに関する法の適用関係は以下のとおりです。  

(1)病院の運営の業務を行っている部署において取得した個人情報を同じ機関内部の他の部署で取り扱う場合 病院の運営の業務を行っている部署において取得した個人情報を同じ機関内部の他の部署で取り扱う場合のやり取りは、法第27条の第三者提供には当たりませんが、法第18条の利用目的による制限の規律が適用されます。  こうした個人情報の取扱いが行われる場合には、法第17条の規定により、同じ機関内部のどのような他の部署が、どのような利用目的で利用するのか本人が想定できる程度に具体的に特定を行う必要があります。その上で、特定された利用目的の達成に必要な範囲を超えて個人情報の取扱いが行われる場合には、法第18条の規定により、あらかじめ本人の同意を得る必要があります。  

(2)同じ機関内部の他の部署で取得した個人情報を病院の運営の業務を行っている部署で取り扱う場合 同じ機関内部の他の部署で取得した保有個人情報を病院の運営の業務を行っている部署で取り扱う場合のやり取りは、法第69条の定めに従って行われることが必要です。

① 利用目的の範囲内で利用を行う場合には、法第69条の規定により利用が制限されることはありません。

② 利用目的以外の目的で利用を行う場合には、法令に基づく場合を除き、法第69条第2項第2号に基づいて利用が行われる必要があります。 (令和4年4月追加)

 

(関連)

Q1-1-8 病院事業の経営の業務を目的とする地方独立行政法人が、取得する個人情報に関して当該法人を所管する地方公共団体の機関が作成・管理する「個人情報取扱事務登録簿」に利用目的を記載し、これを当該地方公共団体の機関が管理するホームページにおいて公開している場合、法第21条第1項の「あらかじめその利用目的を公表している場合」に当たるか。

A1-1-8 法第21条第1項の「公表」とは、個人情報を取り扱う主体が、広く一般に  個人情報の利用目的に関する自己の意思を知らせること(不特定多数の人々が知ることができるように発表すること)をいい、公表に当たっては、事業の性質及び個人情報の取扱状況に応じ、合理的かつ適切な方法による必要があります。 病院事業の経営の業務を目的とする地方独立行政法人は「個人情報取扱事業者」として、他方、当該法人を所管する地方公共団体の機関は「行政機関等」として、それぞれ別の主体であることから、一般に、当該法人を所管する地方公共団体の機関が作成・管理する個人情報取扱事務登録簿に当該法人が取り扱う個人情報の利用目的を記載し、当該法人を所管する地方公共団体の機関のホームページにおいて公表することをもって、当該法人が法第21条第1項に規定する「公表」を行っているとは認められません。 法第21条第1項については、個人情報の保護に関する法律についてのガイドライン(通則編)3-3-3(利用目的の通知又は公表)を参照してください。 (令和4年4月追加) 

 

(2)他の機関の場合

市立病院とA市担当部署が別機関の場合、これは「提供」に該当します。また提供を受けた上で利用する行為は「利用」にも該当しますので、提供規制と利用規制双方を確認する必要があります。

 

市立病院からA市への提供行為は、法27条を満たす必要がありますので、

  • ①本人同意
  • ②公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
  • ③国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
  • ④共同利用 ※公的機関と共同利用できるかという論点はある

を考えます。

 

A市において受領して利用する行為は、法69条を考えます(上記と同様なので記載割愛)。64条適正取得も遵守する必要がありますが、基本的には64条適法でしょう。

 

逆に、A市で保有する個人情報をA市立病院に提供する場合は、

A市には法69条の提供制限がかかりますので、

  • 本人同意
  • 他の行政機関、独立行政法人等、地方公共団体の機関又は地方独立行政法人保有個人情報を提供する場合において、保有個人情報の提供を受ける者が、法令の定める事務又は業務の遂行に必要な限度で提供に係る個人情報を利用し、かつ、当該個人情報を利用することについて相当の理由があるとき
  • 専ら統計の作成のために保有個人情報を提供するとき、本人以外の者に提供することが明らかに本人の利益になるとき、その他保有個人情報を提供することについて特別の理由があるとき

に該当するかを考え、私立病院側は20条1項適正取得と、18条目的内取扱いを検討します。

 

参考

cyberlawissues.hatenablog.com