「先日、ご家族から『息子の介護記録を見せてほしい』と連絡があったので、そのままFAXで送ってしまいました」——こうした対応をされたご経験をお持ちの方も多いのではないでしょうか。介護現場では、日々の業務に追われる中で、利用者様の氏名・住所・医療情報・家族構成といった非常にデリケートな個人情報を大量に取り扱っています。スタッフが善意で行った行動が、後になって重大な問題に発展してしまうことも少なくありません。
また、ホワイトボードに利用者様のお名前が書かれたまま外部の方の目に触れていたり、退職したスタッフが利用者様の情報を持ち出してしまったりといった場面は、多くの施設で起こり得るリスクです。「うちの施設ではそんなことは起きていない」と感じていても、実は気づかないまま情報が外部に流出しているケースもあり得ます。
個人情報の漏洩は、利用者様・ご家族との信頼関係を大きく損なうだけでなく、法的な責任問題に発展する可能性もあります。今回のコラムでは、介護施設における個人情報漏洩のリスクと、現場で取り組むべき具体的な対策について解説します。
介護施設が扱う個人情報とは? その特殊性を理解する
介護施設の個人情報が「特に慎重な扱い」を求められる理由
個人情報保護法(正式名称:個人情報の保護に関する法律)では、病歴・障害・要介護状態といった健康や身体に関する情報を「要配慮個人情報」として位置づけており、通常の個人情報よりも厳格な取り扱いが求められています。介護施設が日常的に扱う情報——たとえば、利用者様の疾患名、服薬内容、身体機能の状態、認知症の程度、生活歴——これらのほぼすべてがこの「要配慮個人情報」に該当する可能性があります。
つまり、介護施設は他の業種と比べても、法律上とりわけ慎重な情報管理が求められる業種のひとつといえます。「個人情報だから気をつけよう」という漠然とした意識ではなく、自施設が扱う情報の重さを具体的に認識することが、適切な対策の第一歩となります。
どんな情報が「個人情報」にあたるのか
現場ではつい見落とされがちですが、以下のような情報も個人情報に該当します。
- 利用者様の氏名・住所・電話番号・生年月日
- 介護認定情報(要介護度・認定調査の内容など)
- ケアプランや個別支援計画の内容
- 医療・服薬・既往歴に関する記録
- 家族構成・緊急連絡先・経済状況
- 日常の介護記録・申し送り内容
- 顔写真・動画(施設内で撮影したもの)
こうした情報は、紙の書類だけでなく、介護ソフトのデータ、スタッフが使用するスマートフォン内の写真、グループLINEでのやり取りといった形でも存在しています。管理が必要な情報の範囲は、思っている以上に広いといえるでしょう。
漏洩が起きた場合、施設にはどのようなリスクがあるのか
法的責任と行政対応のリスク
個人情報の漏洩が発生した場合、施設は複数の方向から法的責任を問われる可能性があります。
まず、個人情報保護法上の義務違反が問題となり得ます。2022年の法改正により、一定規模以上の個人情報漏洩が発生した場合は、個人情報保護委員会への報告と本人への通知が義務づけられるようになりました(同法第26条)。これを怠った場合、行政指導や勧告、さらには命令・罰則の対象となる可能性があります。
また、介護保険法に基づく指定基準においても、利用者の秘密保持に関する規定が設けられており、重大な違反があれば指定取消しや効力停止といった行政処分につながる可能性も否定できません。経営の根幹に関わるリスクとして認識しておく必要があります。
損害賠償請求と信頼失墜のリスク
漏洩によって精神的苦痛を受けたと判断された場合、利用者様やご家族から民事上の損害賠償請求を受ける可能性があります。金額の大小はケースによって異なりますが、訴訟に発展すれば時間的・経済的な負担は相当なものになり得ます。
さらに見過ごせないのが、施設の社会的信頼の失墜です。介護サービスはとりわけ「信頼」が選ばれる理由になる業種です。漏洩の事実がご家族間の口コミやSNSで広まれば、利用者様の退去や新規契約の減少に直結することも考えられます。こうした間接的な損失は、罰則よりも長期的に施設経営を圧迫するリスクになるかもしれません。
今日から取り組める 現場での具体的な対策
物理的な情報管理のルールを整える
まずは、日常業務の中でのルール整備から始めることをおすすめします。難しく考える必要はなく、以下のような基本的な取り組みから着手できます。
- 書類の保管場所と施錠管理:ケアプランや医療情報を含む書類は、スタッフ以外が立ち入れる場所に放置しない
- FAX・メール送信時の確認ルール:送信前に必ず宛先を2名で確認する、誤送信時の対応手順を定める
- ホワイトボード・掲示物の管理:氏名や居室番号が来訪者から見える位置に掲示されていないか定期的に確認する
- 書類の廃棄方法:個人情報が記載された書類はシュレッダー処理を徹底し、ゴミ箱に直接捨てない
デジタル情報・スタッフ管理のルールも整備する
近年は、デジタル面での情報漏洩リスクも無視できません。特に以下の点については、早めに対応を検討されることをおすすめします。
- 私用スマートフォンでの利用者様の写真撮影を禁止し、業務上の記録撮影は施設の端末のみで行うルールを設ける
- LINEなど個人のSNSを業務連絡に使わないよう徹底し、業務用のコミュニケーションツールを導入する
- 退職者のアクセス権限を速やかに削除し、介護ソフトへのログインができない状態にする
- 個人情報保護に関する研修を定期的に実施し、スタッフ全員が基本的なルールを理解している状態を維持する
また、就業規則や雇用契約書に守秘義務・情報管理に関する条項を明記しておくことも重要です。万が一スタッフが情報を持ち出すといった問題が起きた際に、法的対応の根拠となる可能性があります。これらの整備がまだできていない場合は、一度専門家に確認していただくことをおすすめします。
漏洩が発生してしまったら 初動対応の重要性
発覚直後に取るべき対応の流れ
どれだけ対策を講じていても、漏洩のリスクをゼロにすることは難しいのが現実です。万が一漏洩が発生・発覚した場合、初動対応の適切さがその後の被害の大小を左右するといっても過言ではありません。
まず行うべきは、被害の拡大を防ぐための即時対応です。流出した情報の範囲の特定、関係者への報告(管理者・理事長等)、必要に応じた行政機関(個人情報保護委員会、都道府県など)への報告を速やかに行う必要があります。その上で、影響を受けた利用者様・ご家族への丁寧な説明と謝罪が求められます。
この際、対応の記録を残しておくことが非常に重要です。どの時点で何を把握し、どのような対応を取ったかを記録しておくことで、後の行政対応や万が一の訴訟において、施設が誠実に対応したことを示す証拠となり得ます。初動対応については、あらかじめマニュアルを整備し、担当者を決めておくことを強くおすすめします。
おわりに
介護施設における個人情報の管理は、法律上の義務を果たすという側面だけでなく、利用者様やご家族との信頼関係を守るという意味でも、施設運営の根幹をなすテーマです。「何か問題が起きてから考える」ではなく、日頃からルールを整え、スタッフに周知しておくことが、いざというときの施設の守りになります。
個人情報保護に関する規程の整備や就業規則の見直し、また万が一漏洩が起きてしまった場合の対応については、法律の専門家に相談しながら進めることで、より確実な体制を構築できるでしょう。
当事務所では、札幌を中心として、介護福祉業界に特化した顧問弁護士サービスを提供しています。利用しやすい安価なスタートアッププランもご用意しておりますので、これから法的観点からの予防体制を構築したいという方や、万が一に備えた相談先を確保しておきたいという方は、お気軽に当事務所までご相談ください。