治療院の患者情報・個人情報保護|要配慮個人情報の扱い・同意・漏えい対応の実務【2026年版】
お役立ち情報

治療院の患者情報・個人情報保護|要配慮個人情報の扱い・同意・漏えい対応の実務【2026年版】

2026年7月11日24分で読める

治療院の患者情報・個人情報保護|要配慮個人情報の扱い・同意・漏えい対応の実務【2026年版】

「整骨院や鍼灸院の患者情報は、どこまで法律で守る義務があるの?」「1人院でも個人情報保護法は及ぶの?」——患者の症状や施術内容を毎日扱う治療院には避けて通れない疑問です。

結論から言うと、治療院が扱う病歴・症状・施術内容は個人情報保護法の要配慮個人情報に当たり、規模を問わず全治療院に保護義務が及びます。本記事は取得・利用・保管・漏えい対応の実務を、個人情報保護委員会(PPC)のガイドラインを根拠に早見表で整理します。施術録の5年保存は療養費の受領委任に由来する別系統のため、ここでは個人情報保護法の観点に絞ります。

結論: 治療院の患者情報は要配慮個人情報、1人院でも保護義務がある

治療院の患者情報は要配慮個人情報に該当し、開業形態や患者数にかかわらず保護義務があります。法律用語と規模別の義務を整理します。

要配慮個人情報とは — 治療院の患者データはどこまで該当するか

要配慮個人情報とは、不当な差別や偏見が生じないよう取扱いに特に配慮を要する情報で、個人情報保護法第2条第3項に定義されています。具体的には人種・信条・社会的身分のほか、病歴や医師等が行った診療・調剤・健康診断結果などが含まれます(個人情報保護委員会「ガイドライン(通則編)」)。

治療院では、患者の症状・既往歴・施術内容・身体の状態の記録は、健康状態の情報として要配慮個人情報に該当すると考えるのが安全です。取得時に原則として本人の同意が必要で、本人同意なしのオプトアウトによる第三者提供は認められません(同ガイドライン)。氏名・連絡先など一般の個人情報より厳しい扱いが求められます。

治療院の患者データを個人情報保護法の区分に対応づけたマッピング表
治療院の患者データを個人情報保護法の区分に対応づけたマッピング表

個人事業の1人院・スタッフ3名院でも義務は及ぶ(規模別早見表)

患者数や従業員数にかかわらず、事業として個人情報を扱う限り義務が及びます。かつての「取扱件数5,000件以下は対象外」要件は2017年5月施行の改正で撤廃され、現在は1件でも扱う事業者はすべて個人情報取扱事業者です(個人情報保護委員会)。義務の中身は規模共通で、運用負荷だけが変わります。

場面1人院(個人事業)スタッフ3名院
利用目的の特定・通知公表義務義務
要配慮個人情報の取得時の同意義務義務
安全管理措置義務(合理的範囲)義務(権限分担・教育を追加)
従業者の監督対象外(従業者なし)義務(入退職時のアクセス管理)
漏えい時の報告・本人通知義務義務

1人院では従業者監督こそ問われませんが、利用目的の明示・同意・安全管理措置・漏えい対応はすべて課されます。なお治療院(柔整・はり・きゅう施術所)も、患者の個人情報を扱う限り個人情報保護法本体(通則編ガイドライン等)の適用を受けます(個人情報保護委員会)。医療機関・介護事業者向けの「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」は施術所を直接の対象事業者としていませんが、要配慮個人情報を扱う事業者として、その安全管理や本人同意の考え方を参照し同等の配慮を行うことが望まれます(個人情報保護委員会・厚生労働省)。

取得・利用の実務 — 利用目的の明示と同意の取り方

患者情報の取得では「何のために使うか」を特定して伝え、要配慮個人情報は同意を得るのが基本です。問診票と院内掲示で組み立てます。

利用目的の特定・明示(問診票・院内掲示・受付での実務)

利用目的はできる限り特定し、取得時に本人へ通知または公表しなければなりません(個人情報保護法・通則編ガイドライン)。「施術のため」だけでは不十分なので用途を具体的に書き出し、問診票の冒頭や院内掲示に明記します。記載例は次の通りです。

用途利用目的の記載例
施術・カルテ管理施術内容の記録・経過管理・次回施術の参考のため
予約・連絡予約確認・変更連絡・施術後のフォローのため
再来案内・お知らせ再来のご案内・健康情報やキャンペーン配信のため
療養費請求保険施術に係る療養費の支給申請手続きのため

ポイントは、施術以外の用途(再来案内・販促配信など)もあらかじめ利用目的に含めて書いておくことです。後から目的外で使うと別途同意が必要になるため、入口で広めに特定します。

要配慮個人情報の取得とLINE配信・口コミ依頼で必要な同意

要配慮個人情報の取得には原則本人同意が必要なので、問診票に同意欄を設けるのが確実です。署名やチェックで「症状等の情報を施術・記録のために取得・利用すること」への同意を得ます。

LINEでの再来案内や口コミ依頼は、施術の範囲を超える販促・配信に当たり得ます。前述のとおり利用目的に含めて明示するか別途同意を得るのが安全で、配信停止の導線も整えましょう。

治療院HUBのLINE自動配信は配信対象を患者ごとに管理でき、配信停止の希望も顧客情報に紐づけて記録できます。同意の範囲内で再来案内を送る運用を、個人スマホのLINEより整理しやすい構成です。

LINE配信の設計や再来導線の作り方は整骨院のLINEを使ったリピート対策で解説しています。

問診票・院内掲示・LINE配信の同意取得フローを示した図
問診票・院内掲示・LINE配信の同意取得フローを示した図

保管・クラウド管理の安全管理措置

患者情報の保管では、組織的・人的・物理的・技術的の4区分で安全管理措置を講じます。チェックリストと委託先選びを示します。

安全管理措置の4区分(組織的・人的・物理的・技術的)チェックリスト

個人情報取扱事業者は、組織的・人的・物理的・技術的の4区分で安全管理措置を講じなければなりません(個人情報保護委員会「ガイドライン(通則編)」)。治療院では規模に応じた合理的な範囲で実施すれば足ります。現場のチェックリストは次の通りです。

区分治療院での具体例
組織的管理責任者を決める/取扱手順を文書化/漏えい時の連絡先を共有
人的入職時に守秘の誓約/患者情報の取扱い研修/退職時の返却・削除
物理的カルテ棚の施錠/受付PCの覗き見防止/USB等の持ち出し制限
技術的ログインID/パスワード管理/アクセス権限の限定/通信の暗号化

紙台帳や個人スマホ・私用Excelに患者情報を分散させると、特に技術的措置(アクセス制御・ログ・暗号化)が手薄になりがちです。誰がいつどの情報を見たかを管理できる仕組みが要になります。

クラウドシステム・委託先の選び方(Pマーク/ISMS・委託先監督)

クラウド利用自体は、委託先を適切に監督し安全管理措置を満たせば法的に問題ありません。個人データの取扱いを外部に委託する場合、委託先への必要かつ適切な監督が求められます(同ガイドライン・委託先の監督)。確認点は次の通りです。

確認軸見るべきポイント
第三者認証プライバシーマーク(Pマーク)やISMSの取得
アクセス制御利用者ごとの権限設定・操作ログの取得可否
通信・保管通信の暗号化・データのバックアップ体制
契約・規約安全管理措置・再委託の条件が規約で確認できるか

むしろ、施錠もログもない紙台帳や、退職者のスマホに連絡先が残るLINE運用のほうがリスクは高くなりがちです。クラウドへの集約は、安全管理措置を満たしやすくする選択肢になり得ます。

治療院HUBはクラウドで患者情報を一元管理し、利用者ごとにアクセス権限を設定できます。退職スタッフのアクセス遮断や操作の記録を、紙やExcelの分散管理より整えやすくなります。

記録設計や選定基準は整骨院の電子カルテ導入ガイドも参照ください。

安全管理措置4区分を満たすクラウド一元管理と紙・Excel分散管理の比較図
安全管理措置4区分を満たすクラウド一元管理と紙・Excel分散管理の比較図

万一の漏えい時にやること — 報告・本人通知の要否と手順

患者情報が漏えいした場合、要配慮個人情報を含む漏えい等は原則として個人情報保護委員会への報告と本人通知が必要です。要否判定から記録までを示します。

個人情報保護委員会への報告・本人通知の要否判定と対応フロー

報告・通知が必要になる代表的なケースは、(1)要配慮個人情報を含む漏えい等、(2)財産的被害のおそれ、(3)不正の目的による行為のおそれ、(4)1,000人を超える漏えい——です(個人情報保護委員会)。治療院は症状・施術情報を扱うため、1件でも(1)に該当しやすい点に注意が必要です。

報告には2段階の期限があります。事態を知ってからおおむね3〜5日以内の速報と、原則30日以内(不正の目的のおそれは60日以内)の確報です(個人情報保護委員会)。本人通知も状況に応じて速やかに行います。流れは次の通りです。

手順内容
1. 把握・初動事実・範囲・原因を確認し、被害拡大を止める
2. 要否判定(1)〜(4)に当たるか判定(要配慮個人情報は該当しやすい)
3. 速報おおむね3〜5日以内に個人情報保護委員会へ速報
4. 本人通知対象者へ概要・個人データの項目・原因・二次被害又はそのおそれの有無及び内容・その他参考となるべき事項を通知
5. 確報・記録原則30日以内(不正目的のおそれは60日)に確報・記録

なお、高度な暗号化等で第三者が内容を判読できない措置が講じられている場合は、報告・通知が不要となる例外もあります。該当判断は最新ガイドラインで確認しましょう。

漏えい発生から速報・本人通知・確報・記録までの対応タイムライン図
漏えい発生から速報・本人通知・確報・記録までの対応タイムライン図

紙・Excel管理のリスクとシステムでの一元管理

患者情報の分散管理は漏えいリスクを高めます。要配慮個人情報を扱う治療院こそ、アクセス制御とログを備えた一元管理が備えになります。

紙カルテは施錠・持ち出し管理が属人的になりやすく、私用Excelや個人スマホのLINEは「誰が見たか」を追えず、退職者の端末に患者情報が残るリスクもあります。

クラウドの患者管理システムで情報を集約すれば、利用者ごとのアクセス権限・操作の記録・通信の暗号化・バックアップを一括で備えられ、4区分の安全管理措置を満たしやすくなります。保険施術の療養費請求は既存のレセコンが担うため、システムは「再来・顧客管理側の安全管理措置」を補う役割分担と考えると整理しやすいでしょう。進め方は整骨院の顧客管理システム導入ガイドを参照ください。

よくある質問

Q1. 治療院の患者情報は要配慮個人情報に当たりますか?

はい、当たります。病歴・症状・施術内容など健康状態に関する情報は要配慮個人情報に該当します。取得時に原則として本人の同意が必要で、オプトアウトによる第三者提供は認められません(個人情報保護委員会「ガイドライン(通則編)」)。一般の個人情報より厳しい扱いが求められます。

Q2. 1人で経営している整骨院でも個人情報保護法は適用されますか?

適用されます。2017年5月施行の改正で旧法の「5,000件以下は対象外」要件は撤廃され、件数にかかわらず全事業者が義務を負います(個人情報保護委員会)。1人院でも利用目的の明示・安全管理措置・漏えい対応の義務があります。

Q3. LINEで患者に再来案内やお知らせを送るのに同意は必要ですか?

施術目的の範囲を超える販促・配信は、当初の利用目的に含めて明示するか別途同意を得るのが安全です。問診票や院内掲示に「再来のご案内・お知らせの配信」を利用目的として記載し、配信停止(オプトアウト)の導線も整えましょう。

Q4. 患者情報が漏えいしたら個人情報保護委員会への報告は必要ですか?

要配慮個人情報を含む漏えい等は、原則として個人情報保護委員会への報告と本人通知が必要になり得ます。治療院は症状・施術情報を扱うため1件でも該当しやすい点に注意してください。報告はおおむね3〜5日以内の速報と、原則30日以内(不正の目的のおそれは60日以内)の確報の2段階です(個人情報保護委員会)。まず事実確認と被害拡大防止を行い、要否を判定します。

Q5. クラウドの患者管理システムを使うと情報漏えいが心配です。安全ですか?

クラウド利用自体は、委託先を適切に監督し安全管理措置を満たせば法的に問題ありません(同ガイドライン・委託先の監督)。むしろ紙台帳・私用Excel・個人スマホのLINEでの分散管理のほうがリスクは高くなりがちです。選定時はPマーク/ISMSの取得や利用者別の権限設定・操作ログの可否を確認します。

まとめ

治療院の患者情報は要配慮個人情報に当たり、規模を問わず全院に保護義務があります。骨子は、(1)利用目的を特定して問診票・掲示で明示し、取得とLINE配信の同意を得る、(2)4区分で安全管理措置を講じる、(3)漏えい時は報告・本人通知の対象になりやすいと心得て速報・確報・記録を準備する、の3点です。紙やExcelの分散管理はリスクが高く、アクセス制御とログを備えた一元管理が現実的な備えです。

治療院の個人情報保護を取得・利用・保管・漏えい対応で整理した要点まとめ図
治療院の個人情報保護を取得・利用・保管・漏えい対応で整理した要点まとめ図

※本記事は2026年6月時点の個人情報保護委員会・厚生労働省の公開情報に基づく一般的な解説です。具体的な判断は最新のガイドライン・専門家へご確認ください。


患者情報の安全管理措置を、月5,000円で

治療院HUBは整骨院・鍼灸院特化の業務管理SaaS。クラウドで患者情報を一元管理し、利用者別のアクセス権限・操作ログで紙やExcelの分散管理より安全管理措置を整えやすくします。

月額5,000円 (税抜)ぽっきり。14日間の無料トライアルで全機能をお試しいただけます。

治療院HUBを試してみる →

初期費用0円・クレカ登録不要です。


関連記事

関連記事