かつての個人情報保護法では、5000人以下の個人情報を取り扱う事業者は対象外でしたが、2015年の法改正により、すべての事業者が義務者となりました。事業者とは、「個人情報データベース等を事業の用に供している者」であり（法2条5項）、医院・クリニックなどの診療機関も含まれます。つまり、医師1名といった小規模な診療機関であっても、個人情報保護法を遵守する義務を負うこととなります。

個人情報とは、生存する個人の情報であり、氏名、生年月日、そのほかの記述等により特定の個人を識別できるものを指します（法2条1項）。
医療分野において、特に注意しなければならないのは、診療録、処方箋、手術記録、助産録、看護記録、検査所見記録、X線写真、紹介状、退院した患者にかかる入院期間中の診療記録の要約、調剤録など、個人を識別できる情報が多岐にわたるためです。
これらの記録は、すべて個人情報保護法上の個人情報として適切に取得・保管する必要があります。なお、死者に関する情報が、同時に遺族等生存する個人に関する情報でもある場合は、生存する個人の情報として保護対象となります。

事業者は、個人情報の漏えい、滅失・毀損の防止のため、個人データの安全な管理のための適切な措置を講じることと、その安全管理のために従業者を監督することが必要です（法20条、21条）。
個人情報が記載された記録・データの保管方法や、従業者の責任体制の明確化、問題が発生した場合の報告連絡体制の整備など、個人情報保護体制の構築を予め行っておくべきです。
また、従業者には、勤務医師・看護師などの医療資格者のほか、事務員などの業務に従事する者などすべてを含み、理事や派遣労働者も従業者に含まれます。
医療機関の施設内には、さまざまな個人情報があります。診療所内の清掃業務を第三者に委託する場合などにおいても、委託契約の内容に個人情報保護に関する規程を盛り込むなどして、注意を払う必要があるでしょう。
加えて、情報の安全管理のための措置の一環として、苦情への適切な対応を行えるよう、相談窓口も整えておくべきです。相談窓口は、専用の窓口を設けることが望ましいとされていますが、診療所内の受付・会計等の窓口と相談窓口を兼ねることもできます。
個人情報保護に関する規程を整備して診療所内に掲示し、従業者にも、患者さんや利用者から相談がありうることを伝え、その場合の対方法などを予め指導しておくとよいでしょう。
このほかにもたとえば、診察時に患者の氏名で呼び出すことについて配慮するなど、患者さんや利用者の視点に立って、従業者らと対応方法を協議することが望ましいでしょう。

事業者は、個人情報の利用目的をできる限り特定し、その利用目的を本人に通知ないしは公表しなければならないとされています（法15条、18条）。診療所内に取得した個人情報の利用目的を掲示し、受付時などに従業者から、適宜、患者さんに利用目的を案内するようにするようにしましょう。

事業者は、本人の同意を得ずに利用目的以外での情報の取り扱いは、できないものと定められています（法16条）。医療分野で目的外利用として特に問題となりうるのは、ほかの医療機関等への情報提供です。
一般論として、患者の治療行為の一環であれば、情報取得時の目的の範囲内といえるので目的外利用にはあたりません。これに対して、研究機関への提供など、研究を目的とする情報提供は治療目的から外れます。目的外利用にあたっては、本人の事前同意が必要です。

医療分野における個人情報保護の在り方については、厚生労働省がガイドライン（「医療・介護事業者における個人情報の適切な取り扱いのためのガイダンス」）を策定し、また、同ガイダンスに関するQ&A（事例集）も公表されています。これらガイドライン・Q&Aを活用して個人情報の適切な保護を図るようにしましょう。

【参考】
医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス｜厚生労働省
「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」に関するQ＆A（事例集）｜厚生労働省

個人情報は、漏えい・滅失が起きてからでは対応できず、手遅れになってしまいます。こうしたことが起きないように定められた法律が個人情報保護法であり、すべての診療機関・医療機関が個人情報保護法を遵守すべき義務を負っています。
情報保護体制に不備はないかなど、厚生労働省のガイドラインなどを参照しながら、今一度、機関内での個人情報保護の在り方を見直してみましょう。