「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」を読んでいたところ、

医療・介護関係事業者においてはプライバシーポリシーや規則を策定・公表することが求められる

 

って書いてあるんですね（同P3）。

ただ、法律上の義務ではないんで、ガイダンスで上乗せした義務なわけですよね。

そこで、同ガイダンスP2を読んでみたところ、

本ガイダンスの【法の規定により遵守すべき事項等】のうち、「しなければならない」等と記載された事項については、法の規定により厳格に遵守することが求められる。また、【その他の事項】については、法に基づく義務等ではないが、達成できるよう努めることが求められる。

って書いてあるんですよね。

 

これ、法的にはどう理解すればいいのでしょうか。

法律上の義務ではないけれども、達成できるよう努めることが求められるっていうのは、いわゆるガイドライン行政の典型かと思いますが、なぜ法律にかかれていない義務を、ガイドラインで求めることができるのか。

こういう場合、通常はガイドラインでは「強く推奨される」「推奨される」「適切である」「重要である」みたいな書かれ方をするのが一般的であって、なぜならば、法律じゃなくてガイドラインで義務を新たに創出することはできないので。

それか、義務化したいんであれば、法律上の例えば安全管理措置として具体的に何をすればよいかが法文上明確でないような義務の中身として、ガイドラインではそれを具体化しているにすぎず、義務自体は法律でかかっているので、っていう構成ならわかるんですけど、法律上の義務じゃないのに、ガイダンスで「求められる」っていうのは、法的にはなかなか意味がわからないのではないかなと思いました。

 

P2では個人情報保護法3条が根拠っぽく書かれているんですが、いやさすがに根拠っぽくは考えていないのかな。とりあえず3条が書かれてはいるんですが、これを根拠に「求められる」とまでは言えないと思うんですよねえ。そりゃ、医療・介護関係事業者は個人情報の適正な取り扱いに取り組む必要はあるにせよ、だからってなぜ、法律に書かれていない義務が、ガイダンスで「求められる」と書けるのかというのは、謎な気が。