個人情報保護法施行から10年(2)個人情報保護法が施行された2005年。先月の本欄で書いた当院の「患者名簿流用事件」と並んでもう1つ、私の記憶に強く残っているのは、4月25日に発生したJR福知山線の脱線事故である。107人の死者を出す大惨事となったこの事故は、「組織の安全文化」という側面で、医療を含めた安全管理の現場に大きな問題提起を投げかけたが、もうひとつ、「個人情報保護」の奥深さに関しても、とても考えさせられるケースだった。すなわち、「過剰反応」の問題である。
当時、負傷者が搬送された一部の病院が、個人情報であることを理由に、意識不明患者の特徴などをJR西日本などに情報提供しなかったことが問題となった。個人情報保護法や関連指針を読むと、個人情報を取り扱う事業者はたしかに顧客本人の同意なしに彼の個人情報を第三者に提供することは非常に厳しく規制されているので、病院の場合で言えば、少々の事情があろうがとにかく「患者さんの個人情報なので提供できません」と対応するのが無難かつ正しい、となりがちだ。また、そのように割り切って対応すればケースごとにあまり考えずに済み、楽でもある。だが、そのような「思考停止」が、JR福知山線事故のさいに起きたような「過剰反応」を引き起こし、家族らの安否確認といった切実な願いが退けられてしまうのであれば、やはり問題であると言わねばならない。
このような「過剰反応」事例が教えるのは、第一に、このような場面に立ち会った担当者としては、思考停止してはいけないということ。第二に、その際、ルールや決まりだけで考えず、背景にある考え方(何のための個人情報保護か)を理解する必要があるということ。第三に、「個人情報保護」の価値だけでなく、他の価値(たとえば「患者家族の安心」という価値)とのバランスを考慮すべきであり、一方の価値だけを絶対視してはならないこと、などである。
個人情報保護というのは、本当に奥が深い。