介護経営・運営

個人情報取扱事業者とは?義務や定義、漏えい時の報告

本記事はアフィリエイト・プロモーションを含みます
個人情報取扱事業者とは?義務や定義、漏えい時の報告
広告

介護事業所や障害福祉サービス事業所では、日々の業務の中で利用者の氏名や住所だけでなく、病歴や障害の内容、家族状況など、漏洩したり、勝手に他の人に渡したりしたら非常にまずい情報を扱っています。

これらは法律上の「個人情報」にあたり、多くの事業所は「個人情報取扱事業者」としての責任を負っています。

この記事では、個人情報保護法に基づき、その定義や義務、届出が必要となる場面について、福祉現場の実務に沿って解説します。

個人情報取扱事業者とは何か

個人情報取扱事業者とは、個人情報保護法に基づき、「個人情報データベース等を事業の用に供している者」と定義されています

ここでいう「事業」とは営利目的に限られず、社会福祉法人やNPO法人、医療法人、株式会社など、形態を問わず反復継続して活動を行う組織が対象になります。

介護保険事業所や障害福祉サービス事業所は、利用者台帳、ケアプラン、支援記録、請求データなどを日常的に管理しています。これらはパソコン上のデータに限らず、紙媒体であっても検索可能な形で整理された「個人情報データベース等」にあたるため、原則として個人情報取扱事業者に該当します。

かつては「5,000人以下は対象外」という規定がありましたが、法改正によりこの人数要件は撤廃されています。

したがって、利用者が数十人規模の小規模事業所であっても、個人情報保護法の対象になります

広告

介護・障害福祉分野で扱う「個人情報」の範囲

個人情報とは、生存する個人に関する情報で、氏名や生年月日などにより特定の個人を識別できるものをいいます。介護・福祉分野ではこれに加え、病歴、障害の内容、要介護度、服薬状況などが含まれます。

これらは不当な差別や偏見が生じないよう特に配慮が必要な「要配慮個人情報」位置づけられており、取得には原則として本人の同意が必要です。要配慮個人情報は、原則として本人の同意なく取得してはならないとされています。サービス担当者会議や関係機関との連携の際に情報共有を行う場合には、あらかじめ文書による同意を得ておくことが重要です。

広告

個人情報取扱事業者に課される基本的な義務

個人情報取扱事業者には、個人情報保護法に基づく複数の義務が課されています。

まず、利用目的をできる限り特定し、その範囲内でのみ個人情報を取り扱う義務があります。たとえば「介護サービスの提供および関連する連絡調整」など、業務内容に即した目的を明確にしておく必要があります。

また、目的外利用の禁止、適正取得、安全管理措置の実施、従業者や委託先の監督なども義務です。安全管理措置には、書類の施錠管理、パスワード設定、アクセス権限の制限など、物理的・技術的・組織的な対策が含まれます。

さらに、本人から開示、訂正、利用停止等の請求があった場合には、法の定めに従い対応しなければなりません。

広告

人数規模と実務対応の関係

現在の法律では「何人以上で義務が発生する」という線引きはありません。利用者が10人でも100人でも、データベース化して管理していれば同じ義務が課されます。

ただし、実務上は人数が多くなるほど管理体制の整備がより重要になります。利用者が数百人規模になる場合、紙台帳のままではリスクが高まるため、アクセス管理やログ管理が可能なシステム導入など、より高度な安全管理措置が求められます。

広告

第三者提供と同意の考え方

利用者の個人情報を他の事業所や医療機関に提供する場合、原則として本人の同意が必要です。ケアプラン作成や地域連携では第三者提供が日常的に発生しますが、包括的な同意書を取得しておくことが実務上不可欠です。

家族の情報も個人情報にあたるため、家族に関する情報を第三者へ提供する場合は、家族本人の同意も必要になります。

関連記事:介護の仕事で大切なプライバシー保護・秘密保持

広告

漏えい等が発生した場合の届出義務

個人情報の漏えい、滅失、毀損が発生し、特に要配慮個人情報が関係する場合や、不正アクセスが原因の場合などは、個人情報保護委員会への報告と本人への通知が義務付けられています。これは令和2年改正法で強化された部分です。

福祉事業所では、USB紛失やFAX誤送信などが典型例となるため、事故時の対応フローを事前に整備しておくことが重要です。

広告

義務違反に対する罰則

個人情報保護法に違反し、個人情報保護委員会の命令に従わない場合、1年以下の懲役または100万円以下の罰金が科されることがあります。また、不正な利益目的で個人情報を提供した場合などには、より重い罰則が適用されることもあります。

法人に対しても罰金刑が科される可能性があり、社会的信用の失墜という影響も無視できません。

広告

まとめ

介護・障害福祉事業者は、その規模にかかわらず個人情報取扱事業者に該当し、厳格な法的義務を負っています。特に要配慮個人情報を日常的に扱う分野であることから、同意取得、安全管理、第三者提供のルールを正しく理解することが不可欠です。

個人情報保護は単なる事務作業ではなく、利用者の尊厳と信頼を守るための基盤です。法令に基づいた体制整備と職員への周知が、福祉事業所にとって重要な経営課題となっています。

広告