特集　個人情報保護　～事業者としての留意点

　平成17年４月から「個人情報の保護に関する法律」（個人情報保護法）が全面施行されました。同法では国および地方公共団体の責務と個人情報取扱事業者（以下、「事業者」という）の責務を定めています。社会福祉事業を行う事業者としての留意点を整理しました。

厚労省 ガイドラインを策定
　これまでも事業所の最低基準として従事者の守秘義務等を定めてきましたが、個人情報保護法では、個人情報の取扱いがより具体的に示されることになりました。
法の施行に先立ち、厚生労働省では「福祉関係事業者における個人情報の適正な取扱のためのガイドライン」、「医療・介護関係事業者における個人情報の適切な取扱のためのガイドライン」を策定しました。
　これらのガイドラインは、個人情報保護に関する考え方や大臣の権限行使、事業者が遵守すべき事項等が盛り込まれ、法を運用していく際の判断基準、実施基準となります。
福祉関係事業者および医療・介護関係事業者はこれらを踏まえ、個人情報の適正な取扱いに努めなければなりません。

個人情報とは
　法にいう個人情報とは、①生存する個人に関する情報、②当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるものを指します。具体的には、氏名や性別、財産、職種、病歴や健康状態といった情報に加え、写真や映像、音声等の情報も個人情報にあたります。対象となる情報は福祉サービスの利用者本人のみならず利用者の家族、事業所の従業員、ボランティア、実習生等の個人情報も含みます。




個人情報取扱事業者とは
　社会福祉法人に限らず個人情報を活用している事業者は「個人情報取扱事業者」となります。ただし、法では「小規模事業者」（※別欄参照）を別に定め、小規模事業者は法令上の義務を負わないこととされています。しかしながら、規模の大小に限らず、良質なサービスを提供する事業者の責務として個人情報の管理に関しては最大限の注意を払う必要があります。なお、個人情報の適正な取扱いが求められるのは正職員、パート、アルバイト等を問わず全従業員が該当します。

利用目的をはっきりと
　法では、個人情報を取扱う際には利用目的をできる限り特定しなければならないとしています。これは、自分の個人情報が予期せぬことに使われることを防ぐためです。利用目的は、「入退所の管理のため」、「費用請求の事務処理のため」など本人がどのように情報が利用されたかが判断できる具体的内容にしなくてはなりません。福祉サービスの利用契約時にしっかり説明するとよいでしょう。もちろん、個人情報を目的外に使用することは原則として禁止されています。
　
第三者提供の禁止
　事業者はあらかじめ本人の同意を得ていない個人情報を第三者へ提供することが原則として禁止されています。「第三者」とは、当該本人と事業者以外の全ての者を指します。目的に沿って事業所内での職員同士の情報交換などに利用する場合は第三者への提供にあたりません。また、個人情報を外部の業務委託先や監査機関へ提供することも該当しません。ただし、その場合においても漏えい防止について細心の注意が必要です。
　外部委託に際して、事業者には個人情報の安全管理が図られるよう委託先の監督義務があります。委託先が個人情報を漏えいした場合は委託元である事業者が監督責任を問われることがあります。同様にボランティアや実習生に対しても適切な指導や監督が必要になってきます。

事例研究・ケース検討会では
　福祉サービスの提供にあたって関係機関との連携を図る際、多くの現場では事例研究やケース検討会が開催されています。その際注意すべきことは、個人情報を「匿名化」するということです。
「匿名化」とは個人情報から氏名、生年月日、住所の記述など個人を識別する情報を取り除き、個人を識別できなくすることを指します。また、匿名化した場合でも利用目的に照らして必要な情報のみを活用・提供するよう注意が必要です。

データの保存・廃棄について
　「個人データ」（個人情報をパソコン入力したデータベースやリストのデータを指す）の保存については、保存媒体（書類やフロッピーなど）が劣化して個人データが消失しないよう適切に保存することが大切です。また、廃棄時に情報の漏えいが起きないよう、紙媒体であればシュレッダー処理、電子データの場合であれば、完全消去を行うことが必要です。

体制整備に向けて
　個人情報保護の体制整備に向けては事業所全体で取り組まなくてはならなりません。具体的には、事業所の個人情報保護に関する考え方の指針（プライバシーポリシー）の策定及び各種規程の整備、規程に基づいた窓口や管理者等の設置、役職員全体への周知を図る研修会の開催などが挙げられます。
現場においては事業所の規程に則り、管理の徹底を日常業務に反映させることが重要です。例えば、個人情報を取り扱う情報システムのパスワードの管理や名簿・日誌といった各種記録つづりの保管・廃棄については十分留意し、情報漏えいの防止に努めなければなりません。
　事業者には、個人情報の当該者本人から開示や訂正、利用停止等の請求があった場合の対応も求められます。開示の際の本人確認などとあわせて手続きを定め、明示する必要があります。
　市町村社協では実施する事業が多岐にわたります。そのため、事業ごとに「個人情報取扱業務概要説明書」を作成の上、窓口に掲示するなどして利用目的や利用方法等の通知・公表を行うなどの対応が求められます。
各種規程の整備については、全国社会福祉協議会が作成した福祉関係者向けの個人情報保護規程等のモデルを活用してもよいでしょう。

苦情処理の体制は
　事業者は個人情報に関する苦情に対し、適切かつ迅速に処理するため、苦情処理窓口や責任者を設置し、対応の手順を定めておく必要があります。この役割については、すでに福祉サービスの苦情解決にあたることを目的に事業所内に設置されている「苦情解決体制」の各担当者が兼務することが望ましいでしょう。


最後に
　今回の個人情報保護法の全面施行にあたり、福祉サービス提供事業者に求められているのは社会福祉法の理念である、個人の尊厳、良質なサービスの提供に向けた取り組みに他なりません。個人情報は人権を構成する大切な要素です。利用者一人ひとりを大切にし、誰からも信頼される事業者となるために、個人情報の保護に事業所総ぐるみで取り組むことが求められています。

個人情報取扱業者に課せられる主な義務 　□利用目的をできる限り特定すること 　□利用目的に達成に必要な範囲を超えて取り扱わないこと 　□偽りその他不正の手段によって取得しないこと 　□取得したときは利用目的を通知または公表すること 　□正確かつ最新の内容に保つよう努めること 　□安全管理のために必要な措置を講じること 　□従業者・委託先に対する必要な監督を行うこと 　□本人の同意を得ずに第三者に提供しないこと 　□利用目的等を本人の知りえる状態に置くこと 　□本人の求めに応じて保有個人データを開示すること 　□本人の求めに応じて訂正等を行うこと 　□本人の求めに応じて利用停止等を行うこと 　□苦情の適切かつ迅速な処理に努めること 　　　　　　　　　　※各義務規定には適宜除外事由あり。

鍵言葉
※小規模事業者
　法では、個人情報取扱事業者のうち、「事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去６ヶ月以内のいずれの日においても５，０００件を超えない者」は、法令上の義務を負わないものとされています。ただし、５，０００の個人情報を保有しているか否か以前の問題として、法令の趣旨等に照らし、福祉関係事業者および医療・介護関係事業者は個人情報の適正な取扱いにのぞむことが求められます。



（トップページ）


（次のページ）

---