個人情報漏えい事件は相変わらず各地で起きているが、その一方で表面化してきたのが、個人情報への「過剰反応」という問題だ。

　前回の記事では、個人の認識不足から起きた患者情報の流出事件を取り上げたが、一方では、医療機関が厳格に個人情報を管理しようとする余り、行き過ぎではないかと思われるような問題も起きている。今回は、この「過剰反応」について考えてみたい。

個人情報の「第三者提供」で混乱したＪＲ宝塚線脱線事故の教訓

　2005年4月25日に、兵庫県尼崎市でＪＲ宝塚線（福知山線）の脱線事故が発生した。当時、負傷者が搬送された一部の病院が、個人情報であることを理由に、意識不明患者の特徴などをＪＲ西日本などに提供しなかったことが明らかになった。

　また、沿線の自治体が、見舞金の支払いや安否確認などのため、ＪＲ西日本に負傷者の名前や連絡先について情報提供を求めたところ、個人情報保護法の規定を理由に拒否されていたことも明らかになった。

　個人情報保護法では、あらかじめ本人の同意を得なければ、第三者に個人データを提供できないのが原則である。病院から見れば、患者の家族も、患者の勤務先の会社も、事故の当事者であるJR西日本も「第三者」には違いない。しかし、意識不明の相手から同意を得るのは、ほぼ不可能なはずだ。

　厚生労働省は、「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」で、第三者提供の例外として、「人の生命・身体または財産の保護に必要で、本人の同意を得ることが困難な場合」を挙げている。しかし実際にはこの規定を知らない医療機関が多かったため、条文が杓子定規に解釈されて、混乱に拍車がかかる結果となってしまった。

　その後，厚生労働省は、「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」に関するＱ＆Ａ（事例集）などで、具体的なケースに即した説明を追加するようになった。医療機関などが対象だが、中堅中小企業（SMB）の経営者や個人情報管理者にとっても、個人情報保護法の基本的な概念を理解するために役立つ具体的な情報が掲載されているので、一読しておくとよい。

まだまだ手探り状態だが「過剰反応」対策も始まっている

　2005年11月7日、国民生活センターは「最近の個人情報相談事例にみる動向と問題点−法へのいわゆる「過剰反応」を含めて−」を公表したが、医療機関や事故現場での問題点が具体的に指摘されている。

　医療・福祉分野の場合、「個人情報漏えい事件を斬る(5)：「金融・信用」と「情報通信」で目立つ個人情報相談」で取り上げた金融・信用や情報通信に比べると、相談件数は少ない反面、法律施行後の「過剰反応」に対する戸惑いの声は大きくなっている。

　企業も消費者も行政も、手探りで試行錯誤しているのが実情だろうか。「過剰反応」を線引きする明確な基準はないので、個人情報を管理する側にとっては厄介な問題だ。

　相談を受ける国民生活センターは、「個人情報保護法の理念や適用範囲、内容が社会に浸透するにはまだまだ時間を要するものと思われる」と言っている。これは、個人情報保護対策が遅れている日本のSMB全体に対する問題提起でもある。

　顧客の信頼を獲得するために、法令・ガイドラインの遵守をうたうのは当然だが、形式的、機械的に対応してしまうと、「過剰反応」と受取られて逆効果となりかねない。社員や業務委託先を対象とした個人情報管理でも、同じような事態に陥る可能性がある。

　個人情報保護対策が進めば進むほど、「過剰」を「適正」に引き戻す力も必要になるだろう。SMBならではの小回りが効く組織の強みを生かせるか否かが、鍵を握っている。

　次回は、企業の安全衛生管理との関わりの観点から医療機関の事例を考えてみたい。

※毎週火曜日に「SMB+ITメール」を発行しています。「SMB+IT」の新着情報を、いち早くお知らせする無料メール配信サービスです。お読みになりたい方はこちらへ！