個人情報保護法とは
平成15年に制定された法律で、個人情報を保有する事業者が個人情報を安易に取り扱わないよう①取得 ②利用 ③保管 ④提供 ⑤開示等について規制をかけ、個人の権利利益の保護を目的としています。
皆さんご存知の通り、たとえ個人のケアマネージャー事業所であろうと、小さな訪問介護事業所であろうと、全ての事業所はこの法律の規制に服しますので、最低限の措置をしなければなりません。
そして、法人の皆様は個人情報保護規定というものを持っていますが、令和2年の改正で、これを令和4年4月1日に合わせてアップデートしなければいけなくなりました。
改正個人情報保護法はよく聞くし、やらなければいけないこともわかっているけれど、でもそこまで正直手が回らない、或いは勉強する時間もないし何をすればいいのか手っ取り早く教えて欲しいといったニーズがあると思い、今回ポイントを絞って解説する次第です。
ちなみに、令和3年にも改正がありましたが、これは民間と行政の保護規定を一本化するというテクニカルなものなので、介護事業所にはあまり関係ありませんので割愛します。
令和2年の改正について
改正された項目はたくさんあります。「これを1から勉強するんですか?」や、「いやでも絶対間に合わない」という方には耳寄りな情報があります。実は東京都社会福祉協議会が、この改正法に対応したモデル規定を一般公開しています。
都社協のモデル規定では、「今日何とかしければいけないんですけど、どうしたらいいですか?」という方のためにポイントを8つ挙げてありますので、それを解説していきます。
8つの改正ポイント
個人情報保護法の主な改正内容は、(1)~(8)まであります。この中で一番大事なポイントは(4)の『個人の権利利益を害するおそれが大きい個人データの漏えい等が発生した場合の個人情報保護委員会への報告及び本人への通知を義務化した』です。
個人情報保護委員会とは
いわゆる行政機関です。内閣府に関係する日本全国の個人情報の問題を総括する機関ですが、今までここへ報告するのが努力義務でしたが、改正によって法令上の義務となりました。
改正ポイント(4)の内容
該当する出来事が起きた場合、個人情報保護委員会へ報告しなければ違法となりますので、ここをまず気をつける必要があります。その上、個人情報の対象者であるご本人にも、「こういった漏えいをしてしまいました」と通知しなければいけないということです。
実務の扱いとしては、何かあった時に適切に報告通知をできるようにしておくことが一番大事です。
モデル規定の条文の内容
条文には何と書いてあるかも見ていきます。第15条に赤字で書いてありますが、下線部分はプラスαで、ここまで書く必要はありません。最低、下線部分以外をそのまま書き写せばアップデート完了ですが、個人的にはコンプライアンスの観点から、一応下線部分も含めて規定するのをおすすめします。
第15条1項の内容
第15条の1項の部分は、『当法人は、その取り扱う個人データの漏えい、滅失、毀損、その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして、次に掲げる漏えい等事案が生じたときは、法令の規定に従い、当該事態が生じた旨その他の事項を個人情報保護委員会に報告する』となっています。
通報しなければならない4つの事態
具体的にはどんな場合なのか、(1)~(4)までありますが、これが一番大事な部分です。4月1日以降にどんなことがあったら個人情報保護委員会に報告しなければならないのか、ひとつずつ見ていきましょう。
(1)要配慮個人情報が含まれる個人データの漏えい等が発生し、又は発生したおそれがある事態
まず「要配慮個人情報」とは何かですが、これは本人の人種、信条、社会的身分、病歴、犯罪の経歴、あるいは犯罪により害を被った事実になります。
現場で一番多いのは、例えば新型コロナウイルスの陽性になったといった病歴です。もしそのような内容がケアプランや介護日誌に書いてあり、それを失くしてしまったらこの場合に該当します。そうなれば個人情報保護委員会へ報告するわけです。
ですから結構いろんな場合が当てはまるかと思いますが、こういう場合にはこう動くということが大きく変わりますから、ぜひチェックしておいてください。
(2)不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
これも結構ケースバイケースでして、解釈によっては幅が出てくるところですが、例えば認知症のご利用者がここに住んでいるといった住所とセットで情報が漏れたとして、それを詐欺師や悪徳業者などが知った場合、犯罪に巻き込まれてしまうかもしれません。
やはり介護の世界はご利用者が無防備な場合が多いので、このようなことが想定されるならご利用者を守らなければいけないという要請が非常に高いわけです。ですからご利用者の関連情報が漏えいした場合には、「これは個人情報保護委員会に通報しなければいけない? 報告しなければいけない?」とすぐに思えることが大事だと思います。
(3)不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
例えば、サイバー攻撃やウイルスによって流出した場合が典型的ですが、介護の現場で言いますと悩ましいのが、訪問介護で職員が独立する時に担当のご利用者の情報を持って行く場合です。
こういうケースでのトラブルが本当に多いのですが、独立する人からすればちゃんと大義名分があります。ブラックな事業所なので職員が辞めたいと思った時に、担当したご利用者が「あなたに付いて行きたい」と言ったので、仕方なくそう対応したという理由があるのですが、それは持ち出されてしまう事業者からすれば「不正の目的だ」となります。
悩ましいところですが、やはり迷ったら委員会に報告するのを心がけるのが大事だと思います。
最後の(4)については名簿を取り扱う事業所が対象であり、介護事業所で大規模にリストを失くしてしまうことはあまりないと思いますので、そんなに重要ではありません。
以上、主に(1)~(3)の事態に遭遇したら、保護委員会へ報告することがまず一番大事な点になります。
第15条2項の内容
次に2項ですが、『当法人は、前項に規定する漏えい等事案が生じたときは、法令の規定に従い、当該事態が生じた旨その他の事項を本人に通知する』とあります。
これは例えば80代のご利用者のケアプランを失くしてしまった場合、そこには薬は何を飲んでいたか、糖尿病や肺炎などの病歴があれば要配慮個人情報ですから、それを失くした場合、本人にちゃんとその旨を伝えるのが法令的な義務になります。
もしこれを怠ったり、怒られるのが怖いからと隠ぺいしたりしたら違法になりますので、十分注意してください。ご本人にも通知するということです。
本人への通知方法
具体的にはそれを書面でするのか口頭なのか、そこまでの規定はされていませんが、やはり記録に残すためにも書面にした方が良いです。ただ、その書面をまた失くしたりすると問題なので、その辺を考える必要はあるかと思います。
もしご本人が認知症で理解できない場合には、ご家族に伝えるなどのオペレーションも必要になるかと思います。
第15条3項の内容
次に3項ですが、ここは下線が引いてありますのでオプショナルです。
やはり違反があった時には、ホームページで公表するなど公明正大にやってくっていうこともコンプライアンス的には重要かと思います。
改正ポイント(4)のまとめ
ポイントを繰り返しますが、大事な情報を漏洩した場合には、個人情報保護委員会とご利用者本人両方に伝えてください。それが法的な義務になりましたというのをしっかり覚えておいてください。
改正ポイント残りの7つの解説
都社協が出しているモデル規定にある改正ポイント(1)~(8)のうち、残りの7つについての解説をしていきます。
改正ポイント(1)の内容
(1)6か月以内に消去される短期保有データも保有個人データに該当するものとして、開示・訂正・利用停止等の対象となることに対応した
6ヶ月以内に消されてしまうようなデータも、ご利用者、個人情報の持ち主がコントロールする対象になったので、これはこの通り対応しておけば十分です。
改正ポイント(2)の内容
(2)不適正な方法により個人情報を利用してはならない旨を明確化した
知らない人から見ると「何で今更こんな当たり前のことを謳わなきゃいけないのか」と思われるかもしれませんが、背景事情として『破産者マップ事件』というものがありました。
その反省を込めて「不正に使っちゃいけませんよ」と追記されただけですので、これもこのまま謳っておけば良いと思います。
破産者マップ事件とは
借金が多くて自己破産をしてしまうと、“官報”というものにその人の名前と住所が公表されてしまいます。しかし一般的に官報は読まれないので、自己破産者は誰にも知られることなく過ごしていけるのですが、何を思ったかある人が官報に掲載された情報をGoogleマップに転載し、「破産者の人がここに住んでます」と公表してしまいました。
そうなると破産者の情報が世間に知れ渡り、差別を助長するので由々しき問題となります。しかし「不正が目的で使ってはいけませんよ」という当たり前のことが、改正前の法律ではカバーされていなかったのです。
改正ポイント(3)の内容
(3)下記(4)と併せて、漏えい事案に対する措置を明記した(第14条)
この第14条はプラスαになりますが、これも書いておくと良いと思います。(4)は前述したので飛ばして、
改正ポイント(5)の内容
(5)保有個人データに関する公表事項に、「法人の代表者の氏名」及び「安全管理のために講じた措置」を追加した
これも素直に書いておけば良いと思います。
改正ポイント(6)の内容
(6)保有個人データの開示請求について、電磁的記録の提供による方法等、本人が請求した方法によるべきことを規定した
ここが実務上のポイントになってきますが、自分の介護日誌などを「出してくれ」と言われた時に、今までは紙で出していましたが、「それだとかさばるからデータでくれ」と言われたら、そう対応しなければいけないとなりました。
圧縮して送れるのであればメールで渡すかもしれませんし、USB等に入れて渡すことも増えるかもしれません。そうなりますと本当に小さくなりますから、間違って送信したり失くしてしまうリスクが非常に高く、危険になるわけです。そこも気をつける必要があります。
ですからこの(6)は、実務の扱いにも関係してくる大事な改正点になります。
改正ポイント(7)の内容
(7)本人による開示請求の対象に第三者提供記録を追加した
令和2年の改正の趣旨は、事業者に対しては規制を厳格にし、一方で本人の権限を拡張したことになります。これはその流れにあり、この文はそのまま追加しておけば良いと思います。
改正ポイント(8)の内容
(8)保有個人データの利用停止・消去・第三者提供停止について、保有個人データが違法に取り扱われる場合に追加して、利用する必要がなくなった場合、重大な漏えい等が発生した場合その他個人の権利又は正当な利益が害されるおそれがある場合にも、本人が請求できるように拡充した
(7)と似たようなベクトルですが、個人情報保護法について実務で一番悩むケースは、記録の開示請求を外部の人からされた場合です。外部とは言ってもご利用者の実のお子さんだったりするのですが、よくあるのが兄弟で揉めていて、お兄さんがキーパーソンで身元保証人として契約に関わっているけれども、そのお兄さんではなく妹さんから開示請求が来た場合です。
そういう場合に開示していいのか非常に悩みますが、実はこの都社協のモデル規定もそこまではフォローおよびカバーをしていません。ですから、私の考える『外部から開示請求があった場合、どういう時には応じてどういう時は拒否すべきなのか』は、また別の機会に整理してお伝えします。
先ほどのケースの場合、妹さんに情報を提供しようとする時にお兄さん側から「これは利用者の権利が害されるおそれがあるから、提供を停止してくれ」と、保護法の文言になぞらえて言われることも考えられますが、正直これからいろんなケースが出てこないとわからないところもあるので、とりあえずはこのまま文章を追加しておけば良いと思います。
罰金1億円について
あと改正でよく言われるのが、罰金1億円というインパクトのあるフレーズです。これは条文からポイントだけ伝えますと、新個人情報保護法の第八十四条にはこう書いてあります。
個人情報取扱事業者は、若しくはその従業者又はこれらがあった者が、その業務に関して取り扱った個人情報データベース等を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、一年以下の懲役又は五十万円以下の罰金に処する
不正な目的で情報を持ち出した人には、1年以下の懲役または50万円以下の罰金とありますが、恐ろしいのはここからで、第八十七条にはこう書いてあります。
法人の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、次の各号に掲げる違反行為をしたときは、行為者を罰するほか、その法人に対して当該各号に定める罰金刑を、その人に対して各本条の罰金刑を科する。
そして八十四条に違反した場合は、一億円以下の罰金刑と書いてあります。
違反行為をした行為者については、八十四条によって50万円以下の罰金だけれども、法人は何でいきなり1億円なのか。目を疑ってしまう数字ですが、これにも背景事情がありまして、これは『ベネッセの漏洩事件』を教訓にしています。
ベネッセの漏洩事件とは
平成26年に、ベネッセの子会社が委託した個人情報管理会社の社員が、不正目的で顧客情報を持ち出した事件がありました。これによって各地で裁判が起きまして、民事の賠償義務が数百億円に上ったわけですが、刑事上のペナルティは旧法で上限が50万円だったのです。
これは、個人で違反した場合の罰金としては意味があるかもしれませんが、ベネッセみたいな大企業にとっては痛くも痒くもありません。これでは抑止力にならないという反省のもと、罰金が1億円となったという経緯です。
罰金よりも注意する点
上限額が1億円になったというだけの話なので、いきなりこの上限額になることはあまりないとは思いますが、注意しなければいけないのが、民事の賠償と違ってあくまで罰金ですので、損害保険に入っていたとしても保険でカバーされません。
少し悩ましい事件になるのが、前述したように訪問介護やケアマネが独立して利用者の情報を持ち出す場合、持ち出された法人が同じくペナルティを受けるケースです。
理屈上では何千万円の罰金になるかとは思いますが、そうなると在宅事業者の独立トラブルが一番多いです。なぜかというと、ご利用者が担当者に付いていくからです。ご利用者からすれば良いヘルパーさんが来てくれれば、A事業所からかB事業所からかは関係ありません。ヘルパーさんが「私独立で辞めるんです」となった時、たいてい起きるのがその人に「付いていきます」という現象です。
やはり人気者にお客様は付いていきますので、それを止めることはなかなかできないのですが、働いているところに内緒でデータを持ち出したり、悪質なケースになると「今の事業所は閉鎖するから、私が新しく立ち上げるところと契約し直してくれ」と言って、ご利用者を騙すことも結構あります。
そういった時に改正個人情報保護法のペナルティが絡んできますので、こうしておけば絶対安全という方法は残念ながらなかなか無いのですが、やはり訪問系に関しては、ますます独立トラブルに目を光らせておく必要があると思います。
個人情報保護法の改正ポイントのまとめ
以上が令和2年の改正に関するポイントでしたが、まとめるとやはり(4)が一番大事です。何か漏えいがあった場合、これからは個人情報保護委員会とご本人にちゃんと伝えることを現場が理解して、みんなで動けるようになることが大変大事です。
あとはこの都社協のモデル規定を見ていただき、赤字の部分を追加しておけば当座は安心ですので、そのように対応していただければと思います。
覚えるための『知ったかフレーズ』
最後に、個人情報保護法の改正ポイントを、にわか仕込みだけれど周りにドヤ顔するためのフレーズです。
「令和2年の改正で、ますます個人情報の慎重な取り扱いが求められるようになったね。ご利用者の介護記録を紛失したら、基本、個人情報保護委員会に報告しなきゃいけないし、ご利用者本人にも通知する義務があるから大変だよね。現場にも「万一記録を漏洩したら、すぐ報告!」と徹底しておかないといけないね」
これは要するに、介護記録を失くしたらすぐ報告ということではありません。要配慮個人情報が含まれていたり、何か犯罪に使われる恐れがある場合に限定されるので、最終的にはケースバイケースで判断していきますが、やはり迷う場面では委員会に報告するとしておくのが無難かと思います。
ちなみに各保険者に対して、転倒事故のように事故報告として通知する必要があるのかと言えば、それは基本的にはありません。ですから保護委員会には言うけれど、保険者にも言わなければならないという必要ありませんので、そこは安心してください。
改正ポイントを覚えるために、このフレーズを何度か復唱してみてください。そしていざという時に、そのように動けるよう準備をしておきましょう。