個人情報保護法を守るために、経費が増えてもやるべきことがある

住所
医療関連のコンサルティング
医院経営/病院経営コンサルティング > 徹底的な経費削減を行うと医療経営が効率化できる > 個人情報保護法を守るために、経費が増えてもやるべきことがある
2015/10/20
個人情報保護法を守るために、経費が増えてもやるべきことがある

個人情報保護法を守るために、経費が増えてもやるべきことがある

2016年の1月1日から、マイナンバー制度が始まります。
マイナンバーは、税金、社会保障で使われることが決まっています。
現時点では、マイナンバーの個人番号カードを、保険証と一緒に提示するという制度は検討中のままです。

もし、患者がマイナンバーを保険証と一緒に提示すれば、医院や病院は、電子カルテ・レセプト等に書いて保存しておき、同意を得て、他の医院や病院と情報を共有することで、相互の連携ができるようになると想定されています。

子供であれば、今までの予防接種履歴も一瞬で、確認でき、打ち忘れや重複も防げます。
処方箋にも、マイナンバーを書いておけば、調剤薬局同士でもデータの連携ができ、「お薬手帳」を忘れても、患者の同意を得て、薬剤師が過去に出された薬のデータを見ることができます。

このマイナンバーは、1人の情報でも漏えいしたり、管理を怠ると、罰則規定があるので、医院経営や病院経営では、厳重に保管すること、閲覧できる人も限定したり、暗号化するなどの対策が必要となります。

ただ、このような医院や病院でマイナンバーを提示するという制度は、2017年7月以降で検討となっていて、早急な対応が必要になるわけでありません。
当面は、看護師や社員の給料に対する住民税の支払いで、マイナンバーを知る必要があり、医院内での保管に気を付ければよいことになります。

看護師や社員のマイナンバーでも漏えいすれば、罰則規定があるので、当然、保管や閲覧、暗号化はやっておくべきでしょう。

 

実は、今回のマイナンバーが議論されるよりもかなり前、2005年4月1日から、個人情報保護法が施行されていて、それに関して、医院や病院としては対応しているはずです。

個人情報保護法では、6ヶ月間で、いずれの日でも、5000件以上の個人情報法を扱う医院や病院を対象に、罰則規定が作られています。
個人情報とは、「個人が特定できる情報」という定義のため、すべての患者のカルテだけではなく、医院や病院で働いている看護師や社員の名簿も含まれます。

何年も医院経営や病院経営を行っていれば、カルテが貯まっていき、5000件以上の情報が貯まることもあるはずです。
もし、5000件以上を扱っていない医院や病院であっても、実際に、個人情報が漏れてしまえば、民事での損害賠償請求ということも考えられます。

 

そのため、個人情報を保護するために、それなりに経費をかけて対策を打っておくべきです。
マイナンバーの制度が始まっても、個人情報保護の法律も並行して、守らなくてはいけません。

ということで、マイナンバーの制度が始まるので、これがちょうどよい機会だと思うのです。
ここでは、最低限の対策について、解説していきます。

 

(1)医院や病院内の鍵の施錠

医院や病院の玄関、もしくは扉に鍵をかけるのは、当然です。
最近は、医院や病院からパソコンを盗んで、その転売が目的で盗まれてしまうこともあるのです。

ここでの鍵とは、医院や病院内で、重要な書類が保管されている部屋の戸、その書類を保管している棚は、施錠できるようにすることです。
そして、この施錠した鍵については、誰が保管して、誰がいつ使ったのかという履歴を残しておきます。

カルテが、誰でも自由に入れそうな部屋で、むき出しの棚のボックスの中に無造作に入れられているという医院や病院も多いと予想されます。
昔は、それで良かったのかもしれませんが、今は、許されるものではありません。

実際に、マイナンバー制度が始まれば、マイナンバーの記載がある書類は、すべて施錠される棚に入れておく必要があるのです。

経費はかかりますが、戸が施錠できるようにする、また棚は入れ替えるか、備え付けの棚であれば、内装業者に戸が付けられるか、確認してください。

 

(2)情報セキュリティ

電子カルテを導入すると、医院や病院のサーバやパソコンに、患者のデータが保存されます。
この電子カルテのデータは紙のカルテなどと違い、盗まれても、気づきません。
しかも、紙のカルテは、かなり多いので持ち出すのは難しいのですが、電子カルテのデータは、USBなどに入れてしまえば、手のひらに収まってしまいます。

そのため、情報セキュリティに関しては、本当に厳しく管理すべきです。

まず、患者のデータが保管されているパソコンは、IDやパスワードがないと、使えなくします。
アクセス権限も細かく分けて、データのバックアップも随時行ってください。

特に、IDを看護師や社員で共通で使わせなければ、誰が、アクセスしたのか、監視することもできます。
監視というと大げさですが、誰が、アクセスしたのか分かると宣言するだけで、抑止力にはなります。

また、インターネットなどにつながったり、メールを出すパソコンに、患者のデータを保存しないように、物理的に切っておくことをお勧めします。
インターネットにつながると、外部から不正アクセスされるリスクがあるだけではなく、内部から、インターネットを通じて、データを送信することもできてしまうのです。

どうしても、患者のデータが保存されたパソコンやサーバが、インターネットにつながるのであれば、不正ソフトウェアをインストールするだけではなく、それを使える看護師や社員を、かなり限定してください。

 

(3)看護師や社員の教育

看護師や社員に個人情報を漏らしてはいけないことを認識してもらうことです。
そのため、入社時には「機密保持に関する契約書」を締結し、就業規則にも、「機密情報を漏らしたときの罰則」を定めておきましょう。

このとき、契約書に捺印してもらうだけ、もしくは就業規則に書いておくだけではなく、本人に説明して理解してもらうことが大切です。

また、大病院が患者の個人情報を漏らした事件が、インターネットで検索すれば、すぐに大量に出てきます。
朝礼や一斉のメール送信などで、看護師や社員に、個人情報が漏れたことで、医院や病院が、どのようになってしまうのかを紹介して、注意を喚起してください。

さらに、故意ではなく、過失で、個人情報の入ったパソコンを落とした、無意識に間違ったアドレスにメールを送ってしまい、あとで気づいたなどが起こったら、すぐに院長先生に報告することを徹底させておきます。

最後に、パソコンの使い方が不慣れな看護師や社員がいたら、医療機器メーカーなどに頼んで、使い方を教えてもらう人を派遣してもらいましょう。
本人に、悪気がなかったとしても、過失でも医院経営や病院経営に多大な損害を与えてしまう琴もあり得ます。

 

(4)業務の委託先

親族が経営しているMS法人などに業務を委託するならば、問題ないと思いますが、純粋に、医院や病院の業務を第三者に委託することもあります。
その委託先がずさんに個人情報の保管をしていると、そこから漏れる可能性があります。

私も会計事務所を経営しているため、クライアントの大量の情報を管理する立場にあります。
そのため、サーバへのアクセスするときには、二種類のパスワードを設定し、社員がアクセスできるフォルダーも制限しています。

サーバの情報を、いつ、誰が、何の目的でコピーしたのかが分かるようになっています。

当然、社員とは機密保持契約を締結して、役員の承諾なく、社外に個人情報を持ち出すだけで、罰則を設けているのです。
これだけやっても、完璧に個人情報を漏らさずにやれるのか、不安なのです。

というのも、本当は、インターネットにつながるパソコン自体を減らしたり、使えるアプリケーションを制限したいのですが、現実には、仕事が滞ってしまう危険があるから、できないのです。

医院や病院が、外部の第三者に一部の仕事を委託している場合には、その委託先の情報管理についても、ヒアリングして確認してください。
委託先が情報を漏らした場合でも、医院や病院は、自分が漏らした場合とほぼ同じ責任を負うことになります。

 

これらの対策は、経費を削減するどころか、増やしてしまう結果になります。

ただ、法令を順守する、個人情報を保護するという要請は、ドンドン強くなる一方です。
今までは、「何となくで、いいよね」「他の医院や病院だって、そんなに厳密にやっていないよ」「1回、失敗したら、次から気を付けよう」という甘い考えは許されないのです。

医院や病院の不祥事は、すぐにインターネットで拡散し、民事でも損害賠償も請求されてしまうのです。
ちょっとした経費をケチったばかりに、そのあと、莫大な経費を使うハメになるのです。

院長先生も「面倒だな」とは考えずに、時代がそれを要請していると理解して、ぜひ、情報の管理を徹底してください。

 

最後に、どんなに厳しい対策をしていても、看護師や社員のうっかりミスもありますし、外部から狙われたら、逃れられないこともあります。
そのため、情報が漏えいしたときのことも想定して、事前に準備しておきましょう。

まずは、損害保険会社には、情報漏えいしたときに保険金が下りる商品があります。
保険料は高くないので、加入してください。

次に、情報が一部漏えいした場合に、その対応を行う責任者を決めておきます。
特に、苦情などがあった場合に、それを責任者に報告することを決めておかないと、二次的被害に広がってしまうことにもなります。

迅速な対応ができるように、マニュアルまで作っておけるならば、完璧です。

facebook
twitter
google+