個人情報漏洩～歯科医院トラブル事例と対策

1. ■歯科医師が個人情報を漏洩させた場合

歯科医師は、情報が漏洩してしまった個人に対して損害賠償義務、すなわち「金銭で補償する」責任を負うことになります。

2. ■歯科衛生士などのスタッフが個人情報を漏洩させた場合

そのスタッフの雇用主である歯科医師（経営者）は、使用者責任の名のもとで同様の責任を負うことになりますので、この場合も損害賠償発生義務が生じます。
また、歯科医院が医療法人の場合は、「医療法人」も監督責任として同様の義務を負うことがあります。

1. ・自治体の住民基本台帳のデータシステムから住民の住所、氏名、性別、生年月日が流出：1万円
2. ・TBCグループの顧客の住所、氏名、職業、スリーサイズ、身体の悩みなどの情報が流出：3万5000円

という金額の賠償が認められています。

歯科医院で情報が漏洩するならば、氏名等と併せて「診療履歴」等も漏洩してしまう可能性が高いです。
これらの診療情報は、（先のTBCグループの例とまではいかないものの）他人には公開されたくないセンシティブな情報といえるので、損害賠償額もこの金額に近くなることが予想されます。

個人情報の漏洩で問われる可能性がある刑事罰は、以下のものが考えられます。

1. ○業務上知り得た秘密をわざと漏洩
2. 秘密漏洩罪（6月以下の懲役又は10万円以下の罰金）
3. ○不正な利益を得る目的で、第三者に個人情報等を提供
4. 個人情報保護法違反（6月以下の懲役または30万円以下の罰金）
5. ○なりすましやハッキングにより他社のサーバーに侵入
6. 不正アクセス禁止法違反（3年以下の懲役又は100万円以下の罰金）

なお、刑事罰は「不正な目的を持って行う行為」を対象としており、うっかりミスの場合には刑事罰まで問われることはありません。

また、刑事罰の対象になるのは、名簿屋に情報を売ってお金にする場合や、漏洩件数が多かったり、反復継続して個人情報を悪用していたりなど、相当程度悪質な場合に限られますので申し添えておきます。

どの程度のルールを定めるかは、歯科医院の規模等によって変わってきますが、下記の項目はぜひご検討ください。

その他にも、データをUSBなどにより外部に持ち出せないように書き出し制限をかける、管理者権限を強化する、定期的にアクセスログをチェックするなどの措置を講じましょう。

例えばその方法として、個人情報を取得する「利用目的」を院内へ掲示しておくことが、厚労省のガイドラインや日本歯科医師会により推奨されています。

また最近では、ホームページにプライバシーポリシーも掲載している歯科医院も増えています。

また、就業規則とは別に個人情報管理規定を制定し、スタッフ全員へ個人情報を適切に管理することの重要性を周知させるのも良いですね。

さらに、紙媒体の診療録や患者名簿がある場合には、毎日の業務終了時に所定の保管場所に収納されているか確認するのを日課にしてください。

・個人情報管理規定を制定し、守秘義務の誓約書を提出させており
・毎月1回開催される会議においての指導をした　にもかかわらず
「その指導は具体的に注意を喚起するものではなく十分ではなかった」と、裁判で認定されています。

このように、裁判で争われた場合には「医院側の指導内容」を非常に細かくチェックされるでしょう。
形式的に守秘義務の誓約書提出などを整えても、監督責任は免れない可能性が高いので注意が必要です。

万が一漏洩してしまった場合は、まずは責任者に報告するように医院内で周知し、報告後は医院内で事故の原因を調査する必要があります。
その後、再発防止策をまとめた報告書を作成して行政機関に報告しなければなりません。

歯科医院の保有する個人情報が漏洩してしまった場合の対応についてを詳しく知りたい方は、以下の記事も合わせてチェックしてみてください。

このような事後的な対応を行うことも、歯科医院側の責任減少のために重要な行為ですので、適切な処置を講じましょう。