今回の患者カルテを無断閲覧させた問題は、患者さんの個人情報漏えいだけでなく、医師個人や医療機関の倫理にも波紋を投げかけています。
個人情報が流出すると、不注意によるものであっても医療機関は法的・社会的制裁を受け、経済的損失を被るリスクがあります。
今回の問題から浮かび上がった3つの課題を取り上げ、注意点を解説します。
「個人情報の保護に関する法律」は2003年5月に成立し、2007年4月1日から施行されました。 病院、診療所、助産所、薬局、訪問看護ステーションなどの医療機関をはじめ、介護施設や介護サービス、老人ホームなどもこの法律の対象となっています。法律の制定当初は5000件以上の個人情報を保持している施設が対象でしたが、2017年5月30日に施行される改正法により、保持している情報が5000件未満の小規模事業者も本法の適用対象となります。
保護すべき情報には、患者さんの氏名、生年月日、住所など、個人を特定できるものに加えて、レントゲンフィルム、処方箋、検体、紹介状など診療記録になっていないものも含まれます。加えて、患者さんだけでなく、医師や看護師など施設で働く人の情報も保護しなければなりません。 医療関係者の便宜のため、厚生労働省では「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」を作成しています。
さらに、日本病院会、全日本病院協会も個人情報保護法に関する手引書やQ&Aを公開していますので、こうした資料を参照して、医師のみならず、看護師や理学療法士、介護士などすべてのスタッフに個人情報保護意識を徹底することが大切です。
今回のバイエル薬品の社員のケースは、営業社員が患者の同意があるかを確認しないまま、医師からカルテを閲覧させてもらっていました。 しかし、医療現場における情報漏えいは、USBメモリーやSDカードといった記録媒体の紛失など、関係者によるものが最多となっています。記録媒体にパスワードを設定することは必須ですが、根本的に防ぐには、院内の診療記録などをUSBなどの記録媒体に移して、持ち出すこと自体を禁止することが必要です。
最近は院内のファイルを暗号化したり、ファイルを外部記録媒体にコピーしようとすると、自動的に暗号化するソフトを導入したりしている施設もあります。まずは、個人情報の取り扱いに関して院内のルールをしっかりと定め、職員に徹底することが肝心です。
一方、ハッキングやウイルスメールなど外部からの攻撃や、不正な情報の持ち出しを防ぐためには、院内のサーバーやコンピューターに、ファイアウォールを設置したり、最新のセキュリティーソフトを導入したり、IDに生体認証を加えた強度が高い認証方式を採用することなどが重要です。
厚生労働省の資料「医療情報システムの安全管理に関するガイドライン」の最新版などを参照し、専門家に協力を求めるなどして対策をとりましょう。
ここで2011年にアメリカで行われた調査結果をご紹介しましょう。 2008年に著名医学雑誌6誌(Annals of Internal Medicine, JAMA, Lancet, Nature Medicine, New England Journal of Medicine, PLoS Medicine)に発表された約2300の論文のうち、およそ630を調べたところ、その21%が代筆もしくは名誉著者(名義貸し)によるものであったことが分かりました。
つまり、5本に1本の論文は著者本人が書いていないのです。 今回のバイエル薬品のケースでは、製薬メーカーが論文を代筆し、医師から名義を借りて医学誌に発表。その内容を販売資料に引用し、自社製品の優位性を強調して売り上げにつなげていました。 安易に論文に名前を貸してしまうと、知らないうちに企業の利潤追求に利用されてしまいかねません。
営利目的となると、論文の信用性にも疑いが生じ、医学研究や医療全体が社会的信用を失ってしまう可能性があります。また、論文の執筆を代行するサービスもありますが、利用の仕方によっては研究倫理違反に問われる可能性もありますので、利用には注意が必要です。
患者さんの利益と医療に対する信用を守るためには、施設内の個人情報保護意識の徹底、個人情報取り扱いのルール策定とその順守、さらには厚生労働省のガイドラインなどに沿った、セキュリティー対策が鍵となります。 加えて、論文への安易な名義貸しや代筆サービスの利用は、権威や信用の失墜を招くリスクがありますので、十分な注意が必要です。