【患者の同意を得ない保険会社の病歴照会は,保険業界の自主規範に抵触する】
医師は守秘義務を負っているため,ご質問の回答を患者の同意を得ずに生命保険,損害保険会社などにした場合,刑法第134条第1項(秘密漏示罪)に違反します。そのため,医師(医療機関)としては「患者の同意書が提出されなければ応じられません」と回答するでしょうし,その回答を受けた保険会社は,その段階で同意書を患者から取り付けるか,もしくは病歴照会を諦めるでしょう。
なお,患者が保険会社の行う病歴照会に対して,正当な理由なく同意しなかった場合,直ちに保険会社の保険金支払義務が免責されるわけではありません。そのような特約を定めても無効です1)。しかし,保険会社に支払査定の資料が収集されないため,保険金の支払いが留保される(保険会社はその間の支払遅延の責任を負わない)状態が続くことになります。
結局のところ,医療機関が患者の同意がないことを理由に回答を拒否すれば事なきを得るわけですが,ご質問者は,保険会社が,患者の同意を得ずして病歴照会する行為自体を問題にしているものと思われます。
保険会社は,改正個人情報保護法(2017年5月30日全面施行)にいう個人情報取扱事業者に当たります(同法第2条第5項)。個人情報取扱事業者は,一部の例外を除き,あらかじめ本人の同意を得ないで病歴などの「要配慮個人情報」を取得してはなりません(同法第2条第3項,第17条第2項柱書)。
もっとも,その一部の例外として,「人の生命,身体又は財産の保護のために必要がある場合であって,本人の同意を得ることが困難であるとき」は,あらかじめ本人の同意を得ないで,「要配慮個人情報」を取得できるとされています(同法第17条第2項2号)。個人情報保護法のガイドラインでは,この条文の解釈として「人(法人を含む)の生命,身体または財産…」と記載していることから2),保険会社(法人)は,この例外規定を根拠に,モラルリスク(被保険者が故意により不正,不当,過剰な保険給付を得ようとすること)を排除するために,患者の同意を得ないで「要配慮個人情報」を取得できると解釈する余地があります。
他方で,保険会社の業務の健全性や適切性に関する問題については,金融庁が監督部局の役割を担っています。2017年2月28日に告示された金融分野における個人情報保護ガイドラインでは,保険業その他金融分野においては,病歴などの「機微(センシティブ)情報」を取得できる場合を,本人の同意に基づき,かつ,業務遂行上必要な範囲に限定しました(同ガイドライン第5条第1項7号)3)。
先述の個人情報保護法およびそのガイドラインが,本人の同意を得ることなく「要配慮個人情報」を入手しうる一部の例外を認めているのとは異なり,この金融庁ガイドラインは,その規制を前提にしたうえで,保険業をはじめとする金融分野における個人情報取扱事業者が「機微(センシティブ)情報」を取得する場合には,本人の同意を必須の要件としており,より厳しい規制を定めています(なお,「要配慮個人情報」は「機微(センシティブ)情報」に含まれます)。
保険会社が,患者の同意を得ることなく医療機関に病歴照会をした場合には,たとえモラルリスクを排除するために患者の病歴を取得するという正当な目的であったとしても,上記の金融庁ガイドラインに違反することになります。ただし,同ガイドラインでは,「機微(センシティブ)情報」を「取得してはならない」とまでは記載しておらず「取得しないこととする」としか記載していないため,同ガイドライン違反をもって,個人情報保護法違反とまで判断されるものではありません。あくまでも,同ガイドラインは,金融分野における個人情報取扱事業者に特に厳格な措置が求められる事項として遵守に努めるべき(努力義務)との位置づけにとどまります3)。
もっとも,個人情報保護の取扱いとして不適切であることには変わりないため,改正個人情報保護法により新たに設置された個人情報保護委員会(内閣府の外局として設置された監督機関)が,保険会社に対して,立入検査,指導および助言を行うことはあります(同法第40,41条)4)。また,金融庁から行政指導がなされる可能性もあります。もちろん,同ガイドライン違反があれば,一般社団法人生命保険協会や一般社団法人日本損害保険協会が定める行動規範,指針,自主ガイドライン等に抵触します。両協会は,個人情報保護委員会から個人情報の保護を推進する法人として認定を受けており(「認定個人情報保護団体」:同法第47条),個人情報等の取扱いに関する苦情の処理をしなければなりません(同法第52条)。
今後,保険会社から同様の病歴照会があった場合,両協会に対して上記の問題点を指摘してみてはいかがでしょうか。
【文献】
1)宮島 司, 編著:逐条解説 保険法. 弘文堂, 2019, p290.
2)個人情報保護委員会:個人情報の保護に関する法律についてのガイドライン(通則編) 平成28年個人情報保護委員会告示第6号. [https://www.ppc.go.jp/files/pdf/guidelines01.pdf]
3)個人情報保護委員会:金融分野における個人情報保護に関するガイドライン 平成29年個人情報保護委員会・金融庁告示第1号. [https://www.ppc.go.jp/files/pdf/kinyubunya_GL.pdf]
4)金融庁:「金融分野における個人情報保護に関するガイドライン(案)」に関する意見募集結果. 2017年2月28日.
【回答者】
服部達夫 アクシス法律事務所弁護士/ 一般社団法人京都府医師会監事