目次
医院継承(承継)、クリニック売買、医療法人M&Aのメディカルプラスです。
今回の記事では、M&Aにて医院継承する場合の「カルテ引継ぎと個人情報保護法」についてお伝えいたします。譲渡をお考えの方も譲受をお考えの方も、カルテの引継ぎについては非常に気になっている方は多いのではないでしょうか。本コラムでは個人情報保護法に触れながら継承時のカルテの取り扱いについてご説明して参ります。本コラムがクリニックM&Aを検討されている方にお役にたてましたら幸いです。
年々高まる個人情報保護への意識
以前にGAFAをはじめとする巨大IT企業が個人情報を不正利用していた、もしくは流出してしまったというニュースが世間を賑わせていたこともありますが、個人情報保護法に対する消費者の意識は年々高くなっています。クリニックを継承する際には前経営者から新たな経営者に患者のカルテ情報を引継ぎますが、患者の事前同意なく後継医師にカルテの引継ぎをすることについて、個人情報保護法に抵触しないか?といったことを心配される方は少なくないのではないでしょうか。
個人情報保護法とは
個人情報保護法とは、正式名称を「個人情報の保護に関する法律」と言います。個人情報の有用性に配慮しつつ個人の権利利益を保護することを目的に、個人情報の取り扱いと保護について定めた法律であり、平成15年に成立し、平成17年から全面施行されました。その後、情報通信技術の発展や事業活動のグローバル化といった環境変化を踏まえ、平成27年に改正法が公布され、平成29年より全面施行されています。その後もデジタル社会において個人情報をどう取り扱うかなど、アップデートが繰り返されています。
以前の個人情報保護法では、過去6カ月間に5000人以下の個人情報しか取り扱わない中小企業や小規模事業者は個人情報保護法の適用除外とされていました。しかし、平成29年の法改正により、この規定は除外され、個人情報を取り扱うすべての事業者が個人情報保護法の適用を受けることとなりました。なお、平成27年の改正の際に3年ごとの見直し規定が追加されたため、規定に基づき、令和2年に改正(令和4年4月全面施行)が行われています。また令和3年には官民を通じた個人情報保護制度の見直しとしてデジタル社会整備法に基づいて改正され、令和4年4月・令和5年4月の二度に分けて施行されています。
個人情報保護法とカルテの関係
ここからは、個人情報保護法とカルテの関係について見ていきましょう。クリニックで保管するカルテには、患者の氏名・年齢、住所などの個人情報に加え、病歴や薬歴といった個人情報も含まれます。そのため当然ながら個人情報に該当し、個人情報保護法の適用を受けることになります。個人情報保護法第27条1項では、個人情報取扱事業者は、個人データを第三者に提供する場合には原則として、あらかじめ本人の同意を得ることなく個人情報を第三者に提供してはならないと定めており、本人の同意なく個人情報を第三者提供すると個人情報保護法に抵触します。この条項から、「カルテ引継は個人情報保護法に抵触するのでは?」と気にされている方がほとんどであるようにお見受けしております。
結論から申し上げますと、医院継承(承継)、クリニック売買、医療法人M&Aにおいて譲渡側(売主)から譲受側(買主)にカルテの引継ぎを行うことは個人情報保護法に抵触しません。
ではなぜカルテの引継ぎは、個人情報保護法に抵触しないのでしょうか。
医院継承時のカルテ情報の取り扱い
そもそもクリニックM&Aで医院継承する際は、譲渡側(売主)が高齢であったり、体調が悪かったりすることが多くあります。そうした状況のなかで、今まで診療してきた数千人~数万人以上にのぼる患者に対して一人一人、カルテ引継ぎの承諾を得ることは現実的ではありません。
そういったケースをも踏まえ、個人情報保護法では適用除外項目を定ています。
【個人情報保護法 第27条5項 第三者提供の制限】
次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
二 合併その他の事由による事業の承継に伴って個人データが提供される場合
三 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
医院継承におけるカルテ引継ぎについては、個人情報保護法第27条5項2号における、「合併その他の事由による事業の承継に伴って個人データが提供される場合」に該当することになります。よって、医院継承における前院長から後継医師へのカルテ情報の引継ぎに関しては、個人情報保護法に抵触することはありません。
抵触しなくとも継承時の注意点はある
義務は適用されませんが、カルテ等の個人情報の提供を受けた後継医師は、注意しなくてはならない点があります。それは、「前院長が患者から個人情報を取得した際に、どのような利用目的で取得したかを確認し、その利用目的の範囲内で患者の個人情報を利用する必要がある」ということです。
【個人情報保護法 第18条2項 利用目的による制限】
個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
つまり、カルテ情報を引き継いだ医師が、診療等の医療行為の目的を超えて個人情報を使う場合は個人情報保護法に抵触する可能性が大いにあり得るということです。
なお、個人情報保護委員会では、業種別に個人情報取り扱いに関する特定分野ガイドラインを発表しており、医療においては「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」というガイドラインが出ております。こちらも参照して適正な個人情報の取扱いにご留意ください。
【参照】 個人情報保護法 第27条5項2号、第18条2項
【参照】医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス
無料相談を実施中
当社では無料相談を実施しております。クリニックM&Aを確実に成功させるためにも、ぜひ早めにご相談ください。医院継承(承継)、クリニック売却買収、医療法人M&Aをお考えの方はこちらより【✉お問い合わせ】お気軽にお問い合わせください。
クリニック譲渡案件と、譲受希望者条件が閲覧可能になります。また最新の譲渡案件・継承開業に関する情報をいち早くお届けいたします。情報収集の効率化にお役立てください。
※本コラムは、2024年1月11日に加筆修正いたしました。