医療法務コラム
医療法人のM&Aにおける情報承継
1.はじめに
患者の医療データには、診療録(医師法24条1項)だけでなく、手術記録、麻酔記録、検査記録、エックス線写真、看護記録等の様々なものがあります。例えば、M&Aにより、A医療法人がB医療法人の事業を承継する場合、これらの医療データを引き継ぐことに問題はないでしょうか。
なお、M&Aのうち、出資持分の譲渡による場合は、その前後で医療法人は同一であるため、医療データの引き継ぎは生じないことから、ここでは、合併及び事業譲渡による事業承継を前提としています。
2.個人情報
医療データに含まれる患者の情報は、生存する個人に関する情報であって、特定の個人を識別できるものであるため、「個人情報」にあたります(個人情報保護法2条1項)。
3.個人データと個人情報取扱事業者
医療データは、個人情報をパソコン等を用いて検索することができるように体系的に構成されているため、「個人データ」にあたります(同法16条1項、3項)。
医療法人は、個人データのデータベースを事業のように供しているため、「個人情報取扱事業者」にあたります(同条2項)。
4.個人データの第三者への提供
個人データを第三者に提供する場合は、本人の同意が必要なのが原則です(同法27条1項本文)。
そこで、A医療法人がB医療法人が保有する医療データを引き継ぐ場合、患者本人の同意が必要なのかが問題となります。
5.第三者に該当しない
事業承継にともなって個人データの引き継ぎを受ける場合、個人データの引き継ぎを受ける者は、「第三者」に該当しないとされています(同法27条5項2号)。
A医療法人がB医療法人から事業を承継することにともなって患者の医療データを引き継ぐ場合、A医療法人は、そもそも第三者にならないため、患者本人の同意は不要ということです。
6.利用目的の制限は残る
このように、医療データを引き継ぐことについて、患者の同意は必要ありませんが、A医療法人は、患者の事前の同意を得ずに、B医療法人が患者の個人情報を取得するにあたって定めた利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならないという制限は残ります(同法18条1項)。
7.医療データが外部で保管されていた場合
B医療法人が医療データの全部または一部を、情報処理業者のサーバに電子データとして保管したり、倉庫業者の倉庫に紙媒体で保管している場合があります。
このような場合、事前のデューデリジェンス等において、外部保管に関する契約内容を精査し、医療データの保管の形態、権利義務、チェンジオブコントロール条項(M&Aなどで経営権の変動が生じた場合に、契約内容に制限がかかったり、他方の当事者による契約解除が可能になったりする条項)がないか等の分析が必要となります。場合によっては、医療データの保管に係る契約の終了や承継等の手続の完了を、M&Aの前提条件とすることも考えられます。
8.まとめ
このように、医療法人のM&Aにおいては、医療データの承継に関しての分析が重要となることから、弁護士等の専門家に相談することをお勧めします。