介護施設では、日常のケアにおいてもご利用者様の個人情報を取り扱っています。具体的には、ご利用者様の氏名や生年月日、住所や顔写真のほか、ケアプラン等の記録も個人情報に含まれます。スタッフ間で情報を共有する機会も多いため、個人情報の取り扱いについて関係者内で周知する必要があります。

2022年4月の法改正では、介護事業者に対して個人情報の漏えいが起きた際の個人情報保護委員会への報告や、本人への通知が義務化されたほか、罰則規定にも変更がありました。
改正前と改正後の主な違いは以下の通りです。
 
◆本人の請求による保有個人データの開示方法
改正前：原則書面にて行う
改正後：書面ほか、メールなどによる電子記録データの提供も可
 
◆個人が利用停止・消去を請求する場合について
改正前：目的外利用や不正取得の場合など、個人情報保護法違反の場合に限定される
改正後：すでに利用していないデータや本人がデータの利用を望まない場合も請求可
 
◆事業者による不適正な方法での個人情報利用について
改正前：個人情報保護法に言及なし
改正後：利用禁止である旨が明確化
 
◆個人データが漏えいした場合の個人情報保護委員会への報告と本人への通知
改正前：努力義務
改正後：義務
 
◆個人データの第三者提供に関する本人の同意について
改正前：本人への通知または本人が容易に知りうる状態
改正後：原則として本人の同意なしには不可
 
◆個人情報保護委員会への虚偽報告等に関する罰則について
改正前：30万円以下の罰金
改正後：50万円以下の罰金
 
改正法では、個人情報を海外移転する際の規制が強化されたことに加え、企業への情報開示や情報削除を求める個人の権利の強化、データ保護に対する企業の対応の責任が拡大されています。また、措置命令違反や義務違反があった場合の罰則についても強化されました。

個人情報の取り扱いについてはもちろん、万が一漏えいした際にも正しく管理を行えるよう、組織体制を整備することです。
 
◆対策例 

個人情報の非開示契約の締結や教育・訓練を職員に対して行うことです。
 
◆対策例

情報漏えいを防ぐために行う物理的なセキュリティ対策のことです。各種機器を導入するためにコスト的な負担が発生しますが、安全な環境の構築において重要な対策です。
 
◆対策例

情報システムを使用して個人データを取り扱う場合に、不正アクセスなどから情報を守るために行うセキュリティ対策のことです。不正アクセスの手法は複雑化・巧妙化するため、定期的な見直しが必要です。
 
◆対策例

介護施設ではどのような個人情報漏えいが起こりうるのか、具体的な事例と対策方法をご紹介します。

メールの送り先を間違えて個人情報が漏えいするケースがあります。特に注意したいのが、ファイルを添付してメールを送信するときです。送信先は間違っていなくとも、添付するファイルを間違えてしまうというケースもあります。
 
◆対策例

◆対策例

◆対策例

◆対策例

不正アクセスとは第三者がサーバーや情報システム内部に侵入することです。企業への不正アクセスは国内外問わず頻発しており、個人情報が窃取されることもあるため対策が必要です。
 
◆対策例

個人情報の漏えいが発覚した場合、事業者は個人情報保護委員会に報告しなければいけません。あわせて、本人への通知が必要です。
 
例えば、ご利用者様の介護情報や、健康診断結果の情報が漏えいしたときには、速やかに個人情報保護委員会への報告と該当するご利用者様への通知を行います。
 
なお、個人情報の取り扱いを外部に委託している場合は、委託元と委託先の両方が個人情報を取り扱っていることになるため、委託先についても個人情報保護委員会への報告が義務づけられています。

個人情報を取り扱う事業者は、個人情報の取り扱いに関する苦情に対して適切かつ迅速に対応しなければなりません。相談窓口の設置、他部署や関係機関と連携が取れる体制構築、手順のマニュアル化も必要です。
 
また、原則として、本人（あるいは代理人）から個人データの提供記録の開示請求を受けたときは、請求に応じてデータを開示しなければなりません。
ただし、情報の開示がご利用者様とご家族様の利益を害する場合や、本人へのケアや治療に重大な悪影響をおよぼす場合には、例外的に開示に応じないことも可能です。その場合、開示に応じない理由を本人に説明します。そのとき、苦情への対応を行う体制についても説明します。

介護のIT化が進む昨今、介護施設においては個人情報とされる各種データを慎重に取り扱い、情報漏えいを防止することが重要です。
 
改正された個人情報保護法を遵守することは、ご利用者様とそのご家族様の安心・安全にもつながります。職員の個人情報保護への意識向上を図るために、教育研修などを通して理解の促進に努めましょう。