改正個人情報保護法が施行 医療・介護現場での個人情報の取り扱いを見直そう

個人情報漏洩時の報告義務や罰則規定が強化される

個人情報を取り扱う事業者が遵守すべき義務等を定めた法律が個人情報保護法です。今回の法改正では、各種健診のデータなどを仮名化してデータ分析の研究に使いやすくするなど、個人情報の利活用を容易にして、イノベーションを促進するという観点が盛り込まれています。その一方で、事業者に対しては、個人データの漏洩や滅失などが発生した場合の個人情報保護委員会への報告義務や本人に対する通知義務が新たに設けられるほか、罰金額が引き上げられるなど罰則規定が重くなりました（図表）。

今回の改正は、個人情を取り扱う事業者の責任をより明確にするもので、現場での職員の働き方の大きな変更を迫るものではありません。しかし、個人情報の取り扱いに関しては、世間からの要求水準は高まっています。個人情報の多くは、他人が容易には知り得ない、また知られたくないセンシティブな情報であり、医療・介護現場ではそのような情報が多く存在しており、一歩間違えると情報が漏洩してしまう恐れがあることを、常に意識しておきましょう。

オンラインを使った作業時や職員間の会話、廃棄物などに注意

働き方が変わるわけではないとはいえ、個人情報は患者・利用者のものであり、医療・介護現場で働く人は、あくまでサービス提供のためにそれを預かり、使っているということを、改めて職場全体で確認し、その取り扱い方を見直す良い機会です。ここからは、具体的にどのように見直すべきかを考えていきます。

まずはパソコンやIT機器の取り扱い方です。前述のように、改正法では個人データ流出時の報告義務など、個人情報を取り扱う事業者側への義務が強化されています。ここでいう個人データとは、特定の個人情報を検索できるよう体系的に構成したもの、つまり介護事業者であれば、利用者を名前などで検索できるように整理したリストが、医療機関であればカルテなどが該当します。これらのリストは通常、パソコンに格納されていますが、誤った情報をメールで流したり、USBメモリに入れて紛失してしまうなどの漏洩を防ぐためには、次のような点に注意することが大切です。

・ウイルス対策ソフトを導入するとともに、常に必要なアップデートを行う
・パスワードを設定し、そのパスワードは複数の職員で共有しない
・心当たりのないメールを受けった場合、添付ファイルやリンクを開かないで削除する
・私物のUSBメモリを、自施設のパソコンに差し込まない
・業務に関係ないサイトを閲覧しない　など

特に、新型コロナウイルス感染症の流行が続く中、職場内のミーティングをウェブ会議の形で行う、また患者・利用者と家族の面会もリアルではなく、オンラインで実施している医療機関・介護施設が増えています。　ウェブを使った業務で、個人情報が漏洩することがないように、初期の設定などに誤りがないか、もう一度、確認しておきましょう。

最近、病院が外部からサイバー攻撃を受け、院内情報が暗号化され業務に支障が生じるという事例がありました。介護事業者においても、利用者情報などがデータ化されている場合は、外部の専門家と相談してより高度なセキュリティ対策を検討することも求められています。

また、外部侵入によりパソコンや書類が盗まれたという事例もあります。盗難対策としては施設の施錠が基本ですが、外部侵入者対策として、警報装置などの設置も検討するとよいでしょう。さらに職場外での同僚との会話、あるいはSNSへの投稿などで、患者・利用者や家族のことを漏らさないようにすることが必須です。

さらに、法律で定められた保存期限を過ぎた書類は廃棄することができますが、安易な廃棄を行うと、それが個人情報の漏洩につながりかねません。シュレッダーや焼却処分などの形で完全に廃棄します。廃棄業者に出すつもりで置いてあったものが、燃えるゴミとして外部流出した例もあります。

患者・利用者の個人情報を守るためにやるべきことは、どれをとってみても基本的なものですが、それを全職員で徹底することが重要です。改正個人情報保護法の施行を機会に、もう一度、自施設の個人情報保護マニュアルに立ちかえり、個人情報の適切な保護と利用に努めましょう。