なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:損害賠償

doctor_isya_warui
1.はじめに
NHKの5月14日のニュースによると、帯広中央病院、済衆館病院、JA広島総合病院、福井赤十字病院、府中病院(大阪)の5か所の病院の眼科医5名が、米医療機器会社の日本法人「スター・ジャパン」社に対して、患者の白内障手術をスター・ジャパン社のカメラで撮影した画像データを3年間にわたり繰り返し第三者提供し現金(40万円~105万円)を受け取っていたことが発覚したとのことです。

・“手術動画”無断で外部提供か 病院側「再発防止に努めたい」|NHKニュース

本事件は、センシティブ情報の要配慮個人情報である医療データについて、①取得にあたり「本人の同意」は適正に取得されていたのか、②医療機器メーカーに販売するという利用目的での本人の同意は取得されていたのか、あるいは目的外利用に本人の同意はあったのか、③医療機器メーカーに販売するという第三者提供について本人の同意は得られていたのか、④各病院の安全管理措置、⑤医師の守秘義務などが主に問題になると思われます。

2.要配慮個人情報
白内障手術の画像データは、「医師等により心身の状態の改善のための指導又は診療」に該当する「診察情報」(個人情報保護法施行令2条3項)に該当するので、要配慮個人情報に該当します(個人情報保護法2条3項)。そして要配慮個人情報の収集にあたっては原則として「本人の同意」が必要となります(法20条2項)。(岡村久道『個人情報保護法 第4版』237頁、91頁。)

3.「医療・ 介護関係事業者における個人情報の適切な取扱いのためのガイダンス」における「本人の同意」
この「本人の同意」について、平成29年4月29日・個人情報保護委員会・厚生労働省「医療・ 介護関係事業者における個人情報の適切な取扱いのためのガイダンス」の「Ⅳ 医療・介護関係事業者の義務等」の「9.個人データの第三者提供(法第27条)」の「(3)本人の同意が得られていると考えられる場合」は、つぎのような場合は本人の同意は得られているとしています(黙示の同意)。

「(略)このため、第三者への情報の提供のうち、患者の傷病の回復等を含めた患者への医療の提供に必要であり、かつ、個人情報の利用目的として院内掲示等により明示されている場合は、原則として黙示による同意が得られているものと考えられる。(後略)」
病院の本人の同意
(個人情報保護委員会・厚生労働省「医療・ 介護関係事業者における個人情報の適切な取扱いのためのガイダンス」より)

つまり、①患者への医療の提供に必要であり、かつ、②個人情報の利用目的として院内掲示板等により明示されている場合、には、患者本人からの明確な本人同意がなくても黙示の同意が得られており、「本人の同意」は適法に取得されていると本ガイダンスはしています。

この点、例えば今回問題となった帯広協会病院は、同病院サイトでプライバシーポリシーのなかで利用目的を表示しています。

帯広病院1
帯広病院2
(帯広協会病院サイトより)

しかしこの帯広協会病院のプライバシーポリシーの利用目的には、「外部の医療機器メーカーなどの医療機器の研究開発に協力する」であるとか、「外部の医療機器メーカーなどに患者の医療データを販売(第三者提供)する」などの利用目的は記載されていません。(個人情報保護委員会等の本ガイダンスに記載されている利用目的の例をみると、他の4つの病院にも記載はないものと思われます。)

4.小括
(1)そのため、本事件において、5つの病院は本人の同意なしに要配慮個人情報の患者の白内障手術の画像データを取得している点で法20条2項違反であり、また本人の同意なしに患者の個人データを目的外利用し、またスター・ジャパン社に第三者提供しているので、法18条1項違反および法27条1項違反であると思われます。さらに、所属する眼科医がこのような違法な行為をしていたことを見逃していた帯広協会病院など5つの病院は、病院内の個人情報に関する安全管理措置に重大な落ち度があったといえると思われます(法23条、24条)。

(2)加えて、今回違法に提供された白内障手術の画像データの全部または一部をスター・ジャパン社に提供し、現金を受け取っていた5名の医師および病院は、1年以下の懲役又は50万円以下の罰金の個人情報データベース等提供罪に該当する可能性があるのではないでしょうか(法174条)。同時にこの医師らは守秘義務違反として刑事責任を問われる可能性があります(刑法134条)。

5.被害にあった患者の方などについて
本事件では、白内障手術の画像データという個人データが本人の同意なしに目的外利用され、また第三者提供されているので、被害にあった患者の方は、各病院に対して、個人データの利用の停止または消去と、第三者提供の停止請求を行うことができます(法35条1項、3項)。また、被害にあった患者の方々は、各病院および各医師に対してプライバシー権の侵害として不法行為に基づく損害賠償責任を請求することができます(民法709条、715条)。

6.個人情報保護委員会など
本事件は個人情報漏洩事故といえるので、各病院は個人情報保護委員会および厚労省に対して報告をし、被害者に通知するとともに公表することが義務付けられています(法26条)。

一方、個人情報保護委員会および厚労省は、各病院に対して報告を徴求し立入検査を行い(法143条)、指導・助言や勧告・命令などの行政指導・行政処分を出すことができます(法144条、145条)。

7.まとめ
このように本事件は、センシティブ情報の要配慮個人情報である医療データについて、①取得にあたり「本人の同意」が適正に取得されておらず違法であり、②医療機器メーカーに販売するという利用目的での本人の同意は取得されておらず違法な目的外利用であり、③個人データの医療機器メーカーへの第三者提供について本人の同意は得られておらず違法であり、④各病院の安全管理措置は尽くされておらず、⑤医師の守秘義務違反による刑事責任やプライバシー侵害による不法行為に基づく損害賠償請求権が問題となる事案であると思われます。

■追記(5月17日)
NHKのニュースによると、本事件について、厚労省はスター・ジャパン社に聞き取りをするなどの調査を開始したとのことです。また、業界団体の「医療機器業公正取引協議会」も調査を開始したとのことです。今後の展開が気になるところです。

追記(2022年11月2日)
本事件について個人情報保護委員会が行政指導を行った旨のプレスリリースと、注意喚起のページを公開しています。
・手術動画提供事案に対する個人情報の保護に関する法律に基づく行政上の対応について|個人情報保護委員会
・「医療機関における個人情報の取扱い」に関する注意喚起(PDF)|個人情報保護委員会

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・岡村久道『個人情報保護法 第4版』237頁、91頁、400頁、405頁
・平成29年4月29日・個人情報保護委員会・厚生労働省「医療・ 介護関係事業者における個人情報の適切な取扱いのためのガイダンス」

■関連する記事
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-デジタル・ファシズム













このエントリーをはてなブックマークに追加 mixiチェック

爆発事故現場
(毎日新聞2018年12月17日付より)

新聞報道などによると、昨日(12月16日)夜に札幌市豊平区3条8丁目の複数の店舗の入った2階建ての建物で大規模な爆発・炎上が発生し、40人を超える方々がケガを負ったとのことです。

ところで、その事故原因は、

「不動産仲介会社の従業員2人は16日、店内の片付けをしていて、室内で100本以上の除菌消臭スプレーを放出した後、手を洗おうとして湯沸かし器をつけた際に爆発した」(朝日新聞2018年12月17日付)

ということで、驚きというか呆れてしまいます。
・100本以上スプレー放出、湯沸かし器つけ爆発か 札幌|朝日新聞

ネットのニュースなどをみていると、どうもこの不動産仲介業者は業界大手のアパ〇ンショップの豊平支店だそうですが、ア〇マンショップは従業員に対して一体どういう社内教育をやっているのでしょうか?

・アパマンショップ親会社の株価急落 従業員の「スプレー缶穴開け」が札幌爆発事故の原因か|ITmedia

今回、被害にあった居酒屋店や整骨店は、おそらく火災保険の一種である店舗総合保険に加入しているものと思われます。火災保険は火災だけでなく、「破裂・爆発」による損害も保障の対象としているので、建物の被害にあった居酒屋店や整骨院はその損害賠償を損害保険会社に請求することができます。あるいは、居酒屋店や整骨院は直接、アパ〇ンショップに対して損害賠償請求を行うことができます(民法709条、715条)。

また、今回の事故でケガを負った40名以上の方々は、生損保の身体に関する保険(傷害保険・医療保険など)に加入していれば、今回の事故は不慮の事故を原因とするものとして、入院や手術をした場合、給付金の支払い対象となるでしょう。同様に、被害にあった方々は直接、アパ〇ンショップに対して損害賠償請求を行うことができます。

こういったアパ〇ンショップに対する損害賠償の合計金額は、場合によっては何十億円単位くらいのレベルになるのではないでしょうか。レピュテーション上の損害はその何十倍、何百倍もあるでしょう。

一方、アパ〇ンショップ豊平支店の従業員2名は、店舗のなかで100本を超える消臭スプレーを放出し、湯沸かし器を点火したところ引火して爆発したとのことで、これは火災保険の保険約款の免責条項のなかの「保険契約者の重過失」に該当するものと思われます。アパ〇ンショップ豊平支店も火災保険に加入しているものと思われますが、約款の免責条項により損害保険金は支払われないでしょう。

同様に、爆発事故を起こした従業員2名も、「被保険者の重過失」の約款の免責条項により、傷害保険や医療保険の給付金は支払われないものと思われます。

同時に、このような常軌を逸した大失態の爆発事故を起こした2名の従業員と支店長のクビも雇用契約的に吹っ飛ぶのではないでしょうか。爆発・炎上事故だけに。アパ〇ンショップの運営会社の株価は本日、この事故を受けて急落したようですし。

なお、事件から約1日たった17日夜になっても、アパ〇ンショップ本社が記者会見やプレスリリースの発表などを行わないことは、コンプライアンスや会社の危機管理の観点からいかがなものかと思われます。

■追記
アパマンショップの運営会社APAMANは、18日に謝罪の記者会見をするとともにプレスリリースを発表しました。

・札幌市豊平区の爆発事故に関するお詫びとお知らせ|APAMAN

損害保険の法務と実務(第2版)

実例解説 企業不祥事対応: これだけは知っておきたい法律実務

このエントリーをはてなブックマークに追加 mixiチェック

ベネッセトップ
(ベネッセのウェブサイトより)

1.はじめに
本日の日経新聞によると、2014年のベネッセの個人情報漏洩事件に関する個人情報が漏洩した被害者約180人による損害賠償を求める民事訴訟において、東京地裁は「慰謝料が発生するほどの精神的苦痛は発生していない」として被害者側の訴えを退けたとのことです(東京地裁平成30年6月20日判決)。これには驚いてしまいました。

・個人情報流出「慰謝料生じず」ベネッセ事件で東京地裁、賠償請求退ける|日経新聞

■関連するブログ記事
・ベネッセの個人情報漏洩事故につき経産省ガイドラインの法的拘束力を認めるも情報処理推進機構のガイドラインの拘束力は認めなかった裁判例-千葉地判平成30・6・20

2.ベネッセ事件に関する平成29年10月の最高裁判決
このベネッセの個人情報漏洩事故に関しては、別の被害者らによる民事の損害賠償請求訴訟が提起されており、地裁・高裁が被害者側の主張を認めなかったところ、最高裁はつぎのように述べて被害者側の主張を認め、事案を大阪高裁に差し戻しているところです(最高裁平成29年10月23日判決)。

『本件個人情報は、上告人らのプライバシーに係る情報として法的保護の対象となるというべきであるところ(最高裁平成14年(受)第1656号同15年9月12日第二小法廷判決・民集57巻8号973頁参照)、上記事実関係によれば、本件漏えいによって、上告人は、そのプライバシーを侵害されたといえる。
 しかるに、原審は上記のプライバシーの侵害による上告人の精神的損害の有無およびその程度について十分に審理(していない。)』

3.早稲田大学講演会リスト提供事件
この平成29年の最高裁判決が引用している最高裁平成15年9月12日第二小法廷判決とは、早稲田大学で当時の中国の元首が講演をした際にそれを聴講した学生らの氏名、住所などのリストを大学当局が学生らに無断で警察当局に提供したという事件です。

この平成15年の最高裁判決は、ごくおおまかに要約すると、「たとえ氏名、住所などの情報は私的な情報として秘匿されるべき程度が低いとしても、それらの情報と、中国の要人の講演会に出席していたという情報がセットで第三者に提供されたことにより、本人の思想・信条などが推知されることとなるので、プライバシー権の侵害はあったといえる」というものです。

つまり、平成29年10月の最高裁は、平成15年の早大講演会リスト提供事件の判例を引用することにより、「氏名、住所などの情報は個人情報として保護されるべき程度が低い」と言い切ってしまったかつての住基ネット訴訟における最高裁判決とは違った立場をとっているのです。

4.本日の東京地裁判決を考える
今回のベネッセ個人情報漏洩事件においても、顧客の生徒・その親などの氏名、住所などが漏洩しただけでなく、それらの個人情報が、ベネッセの会員であった、ベネッセの〇〇の講座を受講していた等の情報とセットで漏洩してしまっています。

その結果、生徒やその親がベネッセの会員であり、進学に関心をもっていることなどの秘匿されるべきプライベートな事柄がセットで漏洩してしまっているのですから、従来の住基ネット訴訟判決ではなく早大講演会リスト提供事件の判断枠ぐみを採用すべきことは明らかです。

ところが、本日出された東京地裁の判決は、住基ネット訴訟の「氏名、住所などの個人情報はかりに漏洩しても私的な情報として価値が低い」という点を重視しているようであり、法的判断を誤っています。もし大学法学部の憲法の期末試験などで学生がこんな答案を書いたら単位はもらえないでしょう。

5.出産予定日などの情報の漏洩
なお、今回のベネッセ個人情報漏洩事件においては、妊娠中の女性の出産予定日というデリケートな個人情報も漏洩してしまっています。近年改正された個人情報保護法は、病歴などのセンシティブ情報を「要配慮個人情報」として明文化しました(2条3項)。妊娠している事実や出産予定日などは病歴ではありませんが、それに準じるセンシティブな個人情報です。

このようなデリケートでプライベートな度合いの高い個人情報が漏洩しているのに、「精神的損害は発生していない」とする本日の東京地裁が正しいとは、この点でも思えません。

6.お詫び料と損害賠償
さらに、本東京地裁判決は、ベネッセが被害者の顧客らに対して一人あたり500円の「お詫び料」を支払っていることも総合考量において重視して、「原告らに精神的損害はない」との判断をしているようです。しかしこの点も正しくありません。

お詫び料とは、あくまでも加害者企業が被害者顧客に対して「誠意の意思」を示すことや、「企業イメージの低下を防ぐため」に出捐する金銭であって、損害賠償とは性質が異なります。東京地裁は考慮してはならない事項を考慮して判決を出しているので、この点も間違っています。

本日の東京地裁判決に関しては、原告らが即日控訴したそうであり、東京高裁などがまともな判断を出すことが待たれます。

7.具体的な損害額の値段
ところで、上級審がベネッセ側の損害賠償責任を認めたとして、具体的な損害賠償額がいくらとなるかも気になる点です。

この点、大組織による個人情報漏洩事故における被害者の損害が争点となったリーディングケースである、宇治市住基台帳漏洩事件においては、被害者一人あたり1万円の損害が認定されました(大阪高裁平成13年12月25日判決)。

また、上でみた早稲田大学事件においては、被害者一人あたり5000円の損害が認定されています。

さらに、女性のスリーサイズなどの情報を含む個人情報の漏洩が問題となった、TBC事件においては、被害者一人あたり1万7000円または3万円の損害が認定されています。

したがって、つぎの東京高裁が被害者側の損害の発生を認めた場合、その金額は、出産予定日などのセンシティブな個人情報が漏洩してしまった被害者については1万7000円~3万円、それ以外の被害者については5000円~1万円の損害が認定されるのではないかと思われます。東京高裁のまともな判断が待たれます。

■関連するブログ記事
・ベネッセの個人情報流出事件の民事訴訟(最高裁平成29年10月23日)ー損害賠償額はいくらに?

■参考文献
・竹内朗・鶴巻暁『個人情報流出対応にみる実践的リスクマネジメント』37頁
・棟居快行「講演会参加者リストの提出とプライバシー侵害」『憲法判例百選Ⅰ 第6版』44頁
・日経コンピュータ『あなたのデータ、「お金」に換えていいですか?』60頁、61頁

個人情報流出対応にみる実践的リスクマネジメント (別冊NBL (No.107))

プライバシー大論争 あなたのデータ、「お金」に換えてもいいですか?

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ

このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ