令和5年施行改正個人情報保護法第58条：公立病院等（規律移行法人）の現在地と法規範適用― 施行後の運営実態：何が起きているか、何が変わらないか ―

令和5年（2023年）4月1日、改正個人情報保護法が全面施行され、公立病院や公立大学などは「規律移行法人」として、原則として民間事業者と同じ「法の規律」の下に置かれました。制度変更から時間が経過しましたが、現場の運営はうまくいっているのでしょうか？本記事では、施行後の現状と課題をレポートするとともに、改めて第58条の法的ポイントを解説します。

【現状レポート】規律移行法人の運営はうまくいっているか？

施行から1年以上が経過し、公立病院等の現場では「制度上の移行」は完了したものの、「実務的な適応」において多くの課題が浮き彫りになっています。

1. 安全管理措置の「民間水準」への対応に苦慮

規律移行法人は、民間企業と同等の高度な「安全管理措置（法23条）」が求められるようになりました。しかし、慢性的な人材不足や財政難を抱える公立病院等では、セキュリティシステムの刷新や、アクセス制御（誰がどのカルテを見られるか）の厳格化が追いついていないケースが見受けられます。特に、「医療職の利便性」と「厳格なアクセス権限管理」のバランスに悩み、結果として不適切な閲覧権限が放置され、内部での情報漏えいリスクが懸念される事例も散見されます。

2. 「二重の基準」による現場の混乱

最も現場を悩ませているのが、「個人情報保護法（民間ルール）」と「情報公開条例（公的ルール）」の併存です。例えば、患者からの「カルテ開示請求」は個人情報保護法に基づいて処理されますが、病院の運営に関する文書などは依然として自治体の「情報公開条例」の対象となり得ます。「この文書はどっちのルールで出すべきか？」「黒塗りの基準が法律と条例で微妙に違う」といった判断に迷う事例が増えており、窓口担当者の負担が増しています。

3. 漏えい等報告の激増

個人情報保護委員会（PPC）の年次報告（令和5年度）によれば、法改正により報告義務が厳格化されたことで、行政機関等や公的部門からの漏えい報告件数も可視化され、増加傾向にあります。「USBメモリの紛失」や「誤送信」といったヒューマンエラーに対し、これまでは自治体の内部処理で済んでいたものが、現在は「委員会への報告義務（法26条）」として法的義務の対象となりました。この「報告事務の負担」が現場に重くのしかかっています。

法第58条と規律移行法人の基礎知識

法改正の重要ポイントを整理した基本ルールの確認

1．規律移行法人とは何か

規律移行法人とは、新法において、これまで公的部門（地方公共団体、国、公務機関等）の一部として扱われてきた公立病院・公立診療所・大学・研究機関などが、原則として民間の病院・大学等と同等の規律（個人情報取扱事業者としての義務）を適用される主体を指します。

法第58条により、「別表第2に掲げる法人」及び、地方独立行政法人であって「病院事業」を主たる業務とするものなどがこの規律移行法人に含まれます。

2．第58条で適用される主な責務：何が変わったか

規律移行法人となったことで、公立病院等には以下の民間規律に関する義務が適用されています。これは従来の「条例」よりも厳格な規範を含みます。

義務項目	内容
利用目的の特定・通知	個人情報を取得する際、利用目的を具体的かつ明確にし、公表・通知する責務。従来の「自治体の慣行」で曖昧だった部分は許されません。
安全管理措置	情報セキュリティ、アクセス制御、委託先管理など、民間事業者と同様の水準で講じる義務。
漏えい等報告	（重要）一定の漏えい等が発生した場合、個人情報保護委員会への報告および本人への通知が法的義務となりました。
第三者提供の制限	患者情報の第三者提供を行う場合の同意取得、記録保存などの規律が厳格化されました。
学術研究の特例	学術研究目的での取り扱いについて、一律の適用除外ではなく、精緻な規律（義務と例外のバランス）が適用されます。