介護
洗たく屋さんのヘルパーステーション
総合ライフサポート合同会社 生活の困った!!をサポート致します☆
個人情報保護について
令和4年5月の研修報告です。
今月は「個人情報保護」の研修を行いました☻
1 介護サービスにおける個人情報の範囲
個人情報とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日、その他の記述等により特定の個人を識別することができる次のものが該当します。
①氏名、性別、生年月日等個人を識別する情報
②個人の身体、財産、職種、肩書き等の属性に関して、事実、判断、評価を表すすべての情報
③映像、音声による情報
④死者の遺族等の生存する個人に関する情報(死者個人の情報は法律の対象外)
上記に該当するものを介護サービスで取り扱われる情報に当てはめると、介護現場で使用している記憶等は殆どすべてが個人情報になります。
これらの個人情報をコンピューターを用いて検索することができるように体系的に構成した情報の集合体や、コンピューターを用いていない場合であっても、紙面で処理した個人情報を一定の規則(例えば、五十音順、生年月日順など)に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態においているものは「個人情報データーベース等」と言い、これを構成している個々の個人情報を「個人データ」と言います。したがって、介護関係記録については、通常、媒体の如何にかかわらず、体系的に整理され、特定の個人情報を容易に検索できる状態で保有していることから、「個人データ」に該当します 記録類の中では、"こんなものも"と思われるものもあり、ちょっとした取り扱い上の不注意で個人情報漏えいにつながるケースも少なくなくありません。例えばデイサービスの送迎バスに置いておいた「送迎表」や配食サービスの「配食サービス利用リスト」が送迎中や配食中に紛失したり、ヘルパーが訪問先に「訪問介護予定表」を置き忘れ、他のサービス利用者情報が漏れたりすることがあります。
②の「個人の身体等に関わる事実、判断、評価を表す情報」では代表的なものとして「利用者基本情報」や「ケアプラン」「ケース記録」「アセスメントシート」「介護サービス計画書」や「リハビリ評価表」等、多くのものが存在します。
③に該当するものとして、『施設だより』などに載る写真、廊下に掲示してある行事の際に撮った写真、利用者や家族、職員同士でやり取りした携帯電話の留守電録音内容などがあります。
このように、介護サービスは他の事業と異なり特定の範囲だけで個人情報を扱うのではなく、事業の殆どの場面で個人情報を使用してサービスを行っているので、対象は広範囲にわたるというのが特徴です。
なお、における個人情報の範囲として、利用者自体の個人情報ばかりではなく、利用者の家族に関する情報、介護職員等従業者の情報、さらには取引業者の従業者の情報も含まれます。前述の個人情報の保護法の対象となるか否かの件数カウントでは、これら家族や従業者数がカウントされます。
従業者の情報については、「雇用管理に関する個人情報の適正な取り扱いを確保するために事業者が講ずべき措置に関する指針」(平成16年7月1日厚生労働省告示259号)、「雇用管理に関する個人情報のうち健康情報を取り扱うにあたっての留意事項について」(平成16年10月29日通達)にその内容が示されています。
2 介護サービスにおける個人情報の特徴
情報の一般的な性質として、
1.情報は一度手にすると複製もでき、何度でも使え、いくら使ってもなくならない
2.大量に、且つ不特定多数の人の間でやり取りができる
3.累計すればするほど情報としての価値が高まる
4.他人に伝えても自分の手元にも残る
5.持ち出されても気づかないことがある
等がありますが、この情報が個人情報となると要注意であり、更に介護サービスにおける個人情報となると更に注意が必要です。
介護サービスの中で取り扱われる情報の特徴と重ね合わせますと、前項でも述べましたように、
1.介護サービスは他の事業と異なり特定の範囲だけで個人情報を扱うのではなく、事業の殆どの場面で個人情報を使用してサービスを行っているので、対象が広範であること
2.取り扱う個人情報が、多数の利用者やその家族について、他人が容易には知り得ないようなセンシティブな詳細な個人情報であること
3.良質なサービス提供のためには、他人が容易には知り得ないようなセンシティブな詳細な情報を十分に使わなければならないこと
4.第三者提供を始め、組織外に持ち出して使用するケースがあること
5.情報の使用者がサービス提供の現場が中心であり、管理が難しいこと
6.情報の種類が電子媒体におけるデータ的なものだけでなく、紙媒体、あるいは職員の頭の中にある情報も含めて種類が多様であること
7.小規模な事業が多く、そのうえ、労働集約的な業務が中心であるため、IT化とその安全管理が遅れていること
などがあります。
介護サービスにおける個人情報は、金融・信用や電気通信の分野と比較して、情報管理ライフサイクルが長く、センシティブな個人情報を取り扱う割に、投資に回せる予算にも限度がある。かといって、個人情報がいったん漏えいしたら、悪用されて二次被害が発生する可能性が高い。よって、一般的に情報が持つ上記1.~5.の特徴が個人管理の難しさと対応の重要さにつながっています。
例えば、ケアプランやケース記録は、継続性のある情報を積み重ねていくことで利用者の現状に即したサービス提供や今後必要なケアの方向につなげていくことができるものであるため、一定の期間使い続け、保管する必要があります。このことは、累積された情報としての価値が高まる一方で、漏出した際の影響の大きさを高めることにもなります。
また、安全で良質な介護サービスを提供するためには、取り扱いに注意を要する機微な情報を関わりのある多くの人が使わなければならないという状況があります。例えば、利用者の転倒防止のために、ふらつきや覚醒状態が原因になる転倒事故を防ぐために、向精神薬を服用している利用者であることを把握して介護や見守りをしなければならない場合があります。この情報は利用者に関わる全ての職員が共有していなければなりません。そこには雇用形態を問わず、新入社員を含めた全階層、全職種の職員の個人情報保護の強い認識が求められます。
情報の形態についても、情報を使用する場面が広いため様々なかたちをとります。サービス担当者会議で使用される個人情報は複写された紙媒体と口頭で伝え合う情報、事業所に直接戻らない訪問介護のヘルパーがFAXや電話もしくはメールなどで報告する利用者情報、理美容や調理を外部委託する場合に業者に提供する利用者情報、ボランティアが使用する利用者情報等管理が難しいものが多々あります。
以上の、情報が持つ特性と介護サービスで使用する情報の特徴を十分に踏まえた個人情報保護対策が必要です。
3 介護サービスの個人情報使用上の留意点
(1)第三者提供をする場合の同意取り付け方法
・個人情報保護法では、第三者提供の例外に該当する場合以外の第三者提供には本人の同意を得ることを求めていますが、文書で同意同意を取り付けることは求めていません。しかし、介護関係事業者については、介護保険法に基づく指定基準により、サービス担当者会議等において利用者または家族の個人情報を使用する場合は、利用者及び家族から文書による同意を得ておく必要があることに留意が必要です。方法としては、サービス利用開始時に適切に利用者から文書による同意を得ておくことが望まれます。
・実習の学生の受け入れのように第三者に個人情報を提供する場合には、あらかじめ文書により利用者または家族の同意を得ておく必要があります。
・介護サービスを提供するにあたり、利用者の病状によっては、第三者である家族等に病状等の説明が必要な場合もあります。この場合、利用者本人に対して、説明を行う対象者の範囲、説明の方法や時期等について、あらかじめ確認しておくなど、できる限り利用者本人の意思に配慮する必要があります。
(2)第三者提供以外の利用時の同意の取り付け
施設内の廊下や掲示板に行事等の写真を展示したり、「施設だより」やホームページ等に個人を識別できる写真を掲載する場合は本人の同意が必要です。
また、施設内で介護事故研究会等で利用者の個人情報を使用する場合は、利用者本人の同意を取り付ける必要はありませんが、施設職員以外の者が参加すると、第三者提供になりますので同意が必要となることに注意しなければなりません。
(3)個人情報の利用目的の通知
個人情報保護法第18条第4項第4号で、「個人情報の取得の状況からみて利用目的が明らかなもの」は、本人通知や公表を不要としていますが利用者等に利用目的をわかりやすく示す観点から、ガイドラインでは施設内に掲示等により公表することを求めています。
また、利用目的は個々の個人情報を記載する書類ごとに特定する必要はありませんが、利用者等が十分理解できるよう受付時に注意を促したり、必要に応じて受付後に改めて説明を行ったりするほか、利用者等の希望があれば詳細な説明や当該内容を記載した書面の交付を行うなどとして、個々の利用者や家族のニーズに適切に対応していくことが求められます。
(4)業務委託をする場合
・個人データの取り扱いに係わる業務を委託している場合には、委託する業務の内容により、利用者等の関心が高い分野については、委託先の事業者名を公表することをガイドラインは求めています。なお、委託先の事業者の担当者名、責任者名等については、当該本人の個人情報になりますので、それらを公表等する場合には、本人の同意を得る必要が出てきます。
・個人データを直接取り扱わない業務委託の場合であっても、清掃、理美容等利用者の個人情報に接する可能性は多々ありますので、業務委託に当たり、委託契約書に個人情報の取り扱いに関する事項をどのように記載するかについて、検討する必要があります。
4 介護サービスの個人情報漏えい事例とその対策
(1)介護サービス事業に関わる個人情報漏えい
介護サービス事業に関わる個人情報漏えい事件として公表されているものをみると、起こっている状況は他の分野で発生したものと特に特徴的なものは無いように思われます。漏えい事件となった状況や原因にやや違いがあるいくつかの例を挙げます。
1.利用者の個人情報含む書類が盗難にあったケース
介護施設において金庫の盗難が発生し、施設利用者192人分の個人情報含む書類が盗まれた。被害にあった書類には、施設利用者192人の氏名、住所、電話番号、口座番号、銀行および支店名、口座名義人などの個人情報が記載されていた。朝に職員が出勤した際、事務所の鍵が壊され内部が荒らされ、金庫が盗まれているのを発見し、警察へ届け出た。
2.利用者51名分の個人情報含むUSBメモリを紛失
介護保険利用者51名の個人情報が記録されたUSBメモリを紛失。
所在が不明となっているメモリには、介護保険利用者51人分の氏名、住所、電話番号、生年月日など個人情報のほか、介護予防サービス計画書や介護予防支援経過記録などの資料も保存されていた。〇月〇日にメモリを使用したのを最後に行方がわからなくなっており、〇日に紛失届を提出。
3.利用者情報をインターネット上に公開
インターネット上に公開されている地図検索機能に、送迎時の使用目的として利用者の情報を登録した際、設定操作を誤って、一般公開されていた。外部から閲覧可能になっていた。
4.「サービス提供票」をファックスで誤送信
A様とB様の介護保険にかかる「サービス提供票」をC事業所にファックスで送付すべきところを誤ってD様の自宅へ送付していた。担当職員が一人でファックス番号を入れ番号間違いに気がつかずに送信してしまった。
5.入居者の一部の個人情報がインターネット上に流出
介護老人保健施設を使用している入居者の一部の個人情報がインターネット上に流出した。介護職員が情報をUSBメモリーで自宅に持ち帰り、暴露ウイルスに感染したファイル交換ソフトが設定されたコンピュータに保管したため、流出した。
6.駐車していた車両から顧客情報記載書類が盗難
職員が駐車していた車両からから顧客情報記載書類が盗難された。原因は簡易ベッド搬入組み立てのため、車両後部のハッチバックを解放状態のまま放置したため。
7.通知書が入力誤りで別の事業者に誤送付
電算システムによる提供事業者の入力誤りが原因で、在宅福祉サービス提供事業者に対する通知書が別の事業者に誤送付された。
こうした公になっている例は、事務所からの盗難、車上荒らし、インターネット上の流出、USBメモリー紛失、FAXの誤送信など、特に介護サービスに特有な原因や状況でもなく、業種の如何に関わらない情報漏えい事故と言えます。また、対策も防犯設備の改善、USBメモリや書類の保管・取り扱いルールの見直し、FAX送信時や書類郵送時の二重チェックの実施等介護サービスに限らず取り組まなければならないものであります
(2)介護サービスにおけるリスク
介護サービスにおいては、次の様なリスクが考えられます
1.利用者の病歴、家族構成、現在の身体的・精神的支障内容、アセスメント結果、ケアプラン(介護サービス計画)、プリントアウトされたケース記録等すべての個人情報がファイルされた「個人ファイル」「利用者台帳」の存在と、これを常時使用している状態にあり、緊急入院時等やむを得ない場合はファイルごと持ち出す危険もあること
<対策>持ち出しルールの作成(原則禁止)と徹底
2.多数の個人情報書類と多量な個人情報の常時使用によるリスク
<対策>利用目的に沿った情報のみに限定
保管期間を超えた情報の破棄
個人情報の評価別管理
放置や容易な閲覧可能状態に対する管理
3.業務用に特定はされているが、携帯電話に残されている利用者氏名・電話番号、場合によっては家族とのメール内容
<対策>携帯記憶データの日毎消去
4.事業所、利用者宅、自宅間を行き来する訪問介護員が持ち運びする書類
<対策>専用収納携帯バッグの使用
5.居宅サービス事業所とサービス提供事業者間で使用されるFAXに記載された利用者情報
<対策>FAX情報のパソコン保存による紙情報の削減
同一番号の2回入力のみ送信されるFAX機の使用
FAX送信に際しての先方への一報
6.居室の表札、写真、ビデオ、面会簿、展示物の作者名など個人情報としての取り扱いの認識が弱いもの
<対策>利用者への表示や掲載可否の確認
面会簿のカード化とカード入れBOXの設置
7.親族であっても個人情報を提供してはならないケースがあること
<対策>対応マニュアル、個別対応の情報の共有化
8.実習生、ボランティア、施設内でサービスを行う外部委託業者が使用する個人情報の範囲と課する守秘義務
<対策>誓約書の取り交わし
実習上必要な情報の限定使用
閲覧の許可制
口頭のみの情報提供
職員と同様の個人情報保護意識の徹底
使用後の回収の徹底
上記のほか、インターネット等外部接続のパソコンと施設内データ専用パソコンの使用区分の徹底、小型外部メモリーの使用禁止または持ち出し禁止、パソコン(特にノート型パソコン)の施錠保管や盗難防止器具の取り付け、不要なソフトのインストール禁止、ウイルス対策実施、ログインパスワードの設定とパスワード管理(更新、使用権限者特定)等のパソコンに関した個人情報漏えい対策は欠かせません。
これらの具体的対策の実施と職員の意識強化のための教育の継続こそが肝要です。