介護事業関係者が知っておきたい個人情報保護に関するルールの改正点

介護経営ドットコム編集部
2022.05.31
ホーム ニュース 介護 介護事業関係者が知っておきたい個人情報保護に関するルールの改正点
#リスク管理 #居宅系サービス #施設系サービス

事業運営に深く関わる2022年度の法改正に、個人情報保護法の改正がありました。この施行に併せ、介護や医療関係事業者等が取り組むべき内容がまとめられている「医療・ 介護関係事業者における個人情報の適切な取扱いのためのガイダンス」(以下・ガイダンス)も改正されています。個人情報が漏洩してしまったときの報告に関する規定などが示されています。リスク管理の徹底やICT活用による業務効率化を進めるための前提情報としてご確認ください。

改正個人情報保護法・ガイダンスの内容と介護事業の関係

そもそも個人情報保護法とは、個人情報を扱う事業者が守る義務を定めている法律で、原則3年ごとに見直されています。

この4月の改正では、
・情報漏洩が起きた場合の個人情報保護委員会への報告・本人への通知の義務化
・個人情報を海外移転する際の規制強化
・企業への情報開示や情報削除を求める個人の権利強化
・データ保護に向けた企業による対応の責任拡大
・措置命令違反や義務違反があった場合の罰則強化
などが行われています。

*参考情報:改正個人情報保護法対応チェックポイント(個人情報保護委員会ウェブサイト)

なお、”ガイダンス”は、この法律を基にして介護保険事業者や医療機関などが適正に個人情報を取り扱うための留意点や事例などを示すものです。

なお、2021年度の介護報酬改定では、このガイダンスなどに示されているルールを前提として、運営基準や加算の算定要件などで実施が求められている各種会議(サービス担当者会議、運営推進会議、リハビリテーション会議など)などを、テレビ電話などのテクノロジーを活用して実施することが認められています。

今回の改正で介護事業者が対応すべきこと

では、ガイダンスを参考にして、主な法改正の内容とそれに伴う対応を確認していきましょう。

不適正な利用の禁止に関する規定

介護や医療関係者を含む個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法によって個人情報を利用してはなりません。

これは、個人情報保護法上の規定ですが、それに関する補足事項として、介護事業者などが個人情報を第三者に提供して、その第三者がその個人情報を違法な行為に用いた場合でも、個人情報取得の目的などを偽っていたなどしていて、介護事業者が違法な利用を予見できない状況だったと合理的に判断される場合は、直ちに介護事業者が同法を違反したとは認められません。

安全管理措置の実施

事業者は、個人データの漏えい、滅失、毀損などが無いよう、組織的、人的、物理的、技術的な安全管理措置等を講じなければなりません。

この安全管理措置について、改正の趣旨に沿い事業者で必要な対応は主に以下の通りです。

・安全管理措置等を講じていることについて、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
・外国で個人データを取り扱う場合には、外的環境の把握を行ったうえで、安全管理措置を講じなければならない
・個人データに対するアクセス管理をする上では、『記憶』、『生体情報』、『物理媒体』のうち、 2つの独立した要素を組み合わせて認証を行う方式(二要素認証)を採用することが望ましい

漏えい等があった場合の報告

要配慮個人情報が含まれるデータや大量の個人データ漏洩等が起きたとき、事業者はデータの漏えいが起こったことを個人情報保護委員会に報告し、本人に通知しなければなりません。

報告が必要な事項としては、
・患者の診療情報や調剤情報を含む個人データを記録した USB メモリーを紛失した場合
・従業員の健康診断等の結果を含む個人データが漏えいした場合

などが想定されます。

*報告や通知の対象となる事態、報告・通知の方法等について詳細はこちらをご参照ください:「個人情報の保護に関する法律についてのガイドライン(通則編)/個人情報保護法委員会ウェブサイト

なお、個人データの取扱いを外部に委託している場合は、こうした情報漏洩があった場合には原則として委託元と委託先の双方が報告義務を負います(連名での報告可、委託先が委託元に報告が必要な事態が発生したことを通知したときは、委託先の報告義務を免除)

感染症に関する情報の第三者への提供(例外規定への対応)

介護や医療関係事業者は、原則として本人の事前同意を得ずに個人データを第三者に提供してはいけません。ただし、人の生命・身体・財産の保護のために必要で、本人同意を得るのが困難な場合には、例外規定が設けられています。

今回の改正で、この例外規定に「濃厚接触者の迅速な把握のために、他の医療機関等に対して必要な個人情報を迅速に共有することが非常に重要な場合」における感染症患者の家族の情報などが加わりました。

利用者からの個人情報の開示請求があった場合の対応

今回の法改正では、事業者が保有する自身に関する情報の開示を求める個人の権利が強化されました。
事業者は、電磁的記録の提供や書面の交付などのうち、本人から請求された方法で情報を開示する必要があります。請求された方法による情報開示が困難な場合などは事業者から本人に通知しなければなりません。

#リスク管理 #居宅系サービス #施設系サービス
介護経営ドットコム編集部

介護経営ドットコムの記事を制作・配信している編集部です。日々、介護事業所を経営する皆さんに役立つ情報を収集し、発信しています。

関連記事
介護経営ドットコム編集部
2025.02.19
「介護人材確保・職場環境改善等事業」(介護保険事業費補助金)に関するQ&Aが発出
#人材採用/定着 #サービス共通 #補助金・助成金
介護経営ドットコム編集部
2025.02.19
2025年度の介護職員等処遇改善加算の取り扱いが決定―新たな職場環境等要件に猶予期間を設定
#人材採用/定着 #サービス共通 #要件緩和
介護経営ドットコム編集部
2025.01.22
【告知】対職員・家族のトラブルを回避!介護現場のリーダー向けセミナー東京・大阪・福岡で開催
#人材採用/定着 #サービス共通 #リスク管理