介護事業者の運営では、利用者様に関する様々な個人情報を取り扱うことになります。
そのような中で、「もし個人情報が漏洩してしまったらどうしたらいいの?」や「個人情報を漏洩しないためにはどうしたらいいの?」と感じることがあるかもしれません。
この記事では、介護事業の経営者・管理者の皆様に向けて、個人情報の漏洩にあたる事例や漏洩してしまった時の対応、漏洩しないための対策などについて解説していきます。
個人情報とは、生存する個人に関する情報で、氏名・生年月日・住所・顔写真などにより特定の個人を識別できる情報のことを言います。個人情報保護法では、以下のように定義されています。
(定義) 第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。 一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。) 二 個人識別符号が含まれるもの
(定義)
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
介護事業における個人情報の例として以下のような書類が挙げられます。
個人情報の漏洩とは、個人データが外部に流出することをいいます。ただし、以下の場合は漏洩に該当しません。
また、個人情報を扱う際には、漏洩以外にも滅失や毀損に注意する必要があります。
介護事業者において、個人情報の漏洩にあたると考えられる事例は以下のようになります。
介護事業者が個人情報を漏洩してしまった場合、以下のような対応をとる必要があります。
それぞれ詳しく見ていきましょう。
介護事業で個人情報の漏洩等が発生した場合、以下のような流れで状況を適切に把握し、再発防止策の検討を行います。
職員から個人情報の漏洩等の報告を受けたら、発覚時よりも漏洩等事案による被害が拡大しないよう、必要な措置を講じます。
当事者の職員へ聞き取りを行うなど、漏洩等事案の事実関係の調査や原因の究明を行います。
個人情報がどのくらいの規模で漏洩したのか、その影響範囲を特定するために必要な措置を講じます。PCへの不正アクセスなど、影響範囲を特定するために専門的な知識が必要な場合は、専門知識のある業者などへ依頼をしましょう。
事実関係や原因、影響範囲の特定が済んだら、その結果を踏まえ、漏洩等事案の再発防止策を検討・実施します。
再発防止策が実効性のあるものになるよう、職員への周知徹底を行いましょう。
令和4年度に改正された個人情報の保護に関する法律(個人情報保護法)では、個人データの漏洩等が発生し、個人の権利利益を害するおそれがあるときは、本人への通知および個人情報保護委員会への報告が義務化されました。
(漏えい等の報告等) 第二十六条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この限りでない。 2 前項に規定する場合には、個人情報取扱事業者(同項ただし書の規定による通知をした者を除く。)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
(漏えい等の報告等)
第二十六条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この限りでない。
2 前項に規定する場合には、個人情報取扱事業者(同項ただし書の規定による通知をした者を除く。)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
事業者が漏洩等事案を知ったら、状況に応じて速やかに本人への通知を行わなければならないとされています。
本人への通知は、
などの内容を含みます。
本人への通知方法の例としては、
などが考えられます。
ただし、本人への通知が困難な場合は、
といった代替措置を講ずることも可能です。
本人への通知と同様に、個人データの漏洩等が発生し、個人の権利利益を害するおそれがあるときは、個人情報保護委員会への報告が義務となっています。
報告が必要な事案が発生したら、発覚日から3~5日以内に第一報を報告します。さらに、発覚日から30日以内に続報を伝える必要があります(不正な目的で行われたおそれがある場合は、発覚日から60日以内)。
漏洩等の報告が必要な場合は以下の4つです。
漏洩等報告フォームに以下の必要事項を記入し、原則、個人情報保護委員会に直接報告します。
など
個人情報を漏洩してしまった際に、市町村などに事故報告書を提出しなければならない場合があります。
市町村によって報告する内容に若干の違いがありますので、事業所の所在地の市町村と利用者様の保険者である市町村のホームページ等を確認しましょう。
ここでは東京都豊島区の事故報告の流れを例としてご紹介します。
報告が必要な事案が発生したら、事故発生後速やかに、遅くとも5日以内に事故報告書または電子申請で第一報を報告します。さらに、事故処理が終了した時点で、1カ月以内に事故報告書または電子申請で最終報告を行います。
報告が必要な場合は、以下の2つです。
これらのうち、「職員、利用者又は第三者の故意又は過失による行為及びそれらが疑われる場合」に個人情報の紛失が含まれています。
事故報告書または事故報告書(電子申請)に以下の必要事項を記入し、豊島区介護保険課に報告します。
介護事業者が個人情報を漏洩しないためには、以下のような対策が考えられます。
【個人情報を漏洩しないための対策】
また、厚生労働省の「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」の内容を読み込み、理解することも大切になってきます。
ここまで、介護事業者が個人情報を漏洩してしまった場合の対応や、個人情報を漏洩しないための対策などについて見てきましたが、いかがでしたでしょうか。
個人情報漏洩にあたる事案をしっかりと把握した上で、利用者様などの個人情報を漏洩しないための対策を事業所内で進めていきましょう。
最後までお読みいただきありがとうございました。