ブログ
1.92020
個人情報の管理に関する義務 〜障害福祉サービス事業者が遵守する個人情報保護に関する義務〜

障害福祉サービス事業者が負う個人情報保護法における義務は以下の6つです。
・利用目的に関する義務
・取得に関する義務
・管理に関する義務
・第三者提供に関する義務
・保有個人データの取扱いに関する義務
・苦情処理に関する義務
今回は管理に関する義務について説明致します。
障害福祉サービス事業者が負う個人情報の管理に関する義務
障害福祉サービス事業者が個人情報を管理する際は以下の義務を負います。
・データ内容の正確性の確保(努力義務)
・安全管理措置
・施設職員の監督
・委託先の監督(個人情報の取扱を外部に委託している場合)
データの内容の正確性の確保
障害福祉サービス事業者は、利用目的達成に必要な範囲内において、個人情報を正確かつ最新の内容に保つよう努めなければなりません。
長年経営している共同生活援助(グループホーム)や障害者支援施設であれば、利用者の高齢化により家族の死去や服薬の増減など様々な変化が多くなります。更新を後回しにせず、その都度更新していくクセを付けていくことが大切です。
合わせて、利用不要となった個人情報に関しては消去するよう努めなければなりません。
合わせて読みたい
データ内容の正確性の確保は努力義務となっています。そのため、正確性の確保を障害福祉サービス事業者が保証できなかったとしても、罰則等の法的制裁を受けることはありません。
安全管理措置
障害福祉サービス事業者は取り扱う個人情報の漏洩、滅失又は毀損の防止等安全に個人情報を管理するために、組織内において安全管理措置を講じなければなりません。この安全管理措置は組織的、人的、物理的、技術的な面から講じる必要があります。
組織的安全管理措置
・組織体制の整備
例)責任の所在の明確化
・個人情報の取扱に係る規律に従った運用
例)雇用契約時における個人情報保護規程の整備、公表
・個人情報の取扱状況を確認する手段の整備
・漏洩等の事案に対応する体制の整備
例)報告連絡体制の整備
・取扱状況の把握及び安全管理措置の見直し
人的安全管理措置
・施設職員の教育
例)施設職員に対する教育研修の実施
物理的安全管理措置
・個人情報を取り扱う区域の管理
・機器及び電子媒体等の盗難等の防止
例)入退館の管理、盗難予防対策の実施
・電子媒体等を持ち運ぶ場合の漏洩等の防止
・個人情報の削除及び機器、電子媒体等の廃棄
技術的安全管理措置
・アクセス制御、アクセス者の識別と認証
例)パスワード設定
・外部からの不正アクセス等の防止
例)機器の更新、ファイアウォール等の設置
・情報システムの使用に伴う漏洩等の防止
ワンポイントアドバイス
安全管理措置を一層推進するために、必要に応じて福祉サービス第三者評価による検証を受け、措置の改善を図ることが望ましいです。
施設職員の監督
障害福祉サービス事業者は勤務する施設職員に個人情報を取り扱わせるにあたり、個人情報の安全管理が図られるよう、施設職員に対する必要かつ適切な監督をしなければなりません。
施設職員は常勤、非常勤、職種を問いません。実習生やボランティアも含みます。
その際、障害福祉サービス事業者は個人情報が漏洩等した場合に利用者等が被る権利利益の侵害の大きさを考慮し、リスクに応じた教育や研修を実施するなど、適切な措置が求められます。
合わせて読みたい
守秘義務とは利用者等から情報を得る場合、業務上必要な範囲に止め、その秘密を保持する義務のことです。この義務は退職した後も遵守しなければなりません。
守秘義務は社会福祉士、介護福祉士といった有資格者の他にも障害福祉サービス事業に勤める施設職員にも課せられています。
委託先の監督
障害福祉サービス事業者は個人情報の取扱を外部に委託する場合は、委託した個人情報の安全管理が図られるよう、委託先の必要かつ適切な監督が義務付けられています。
施設職員の監督と同様、障害福祉サービス事業者は個人情報が漏洩等した場合に利用者等が被る権利利益の侵害の大きさを考慮し、適切な措置が求められます。
アドバイス
①委託先に個人情報の管理を委託する場合は、委託契約を締結しましょう。
その際、以下の事項を定めておくことが大切です。
・委託先の個人情報の取扱に関する事項
・委託先の秘密の保持に関する事項
・委託された個人情報の再委託に関する事項
・契約終了時の個人情報の返却等に関する事項
・契約内容が遵守されたかった場合の措置に関する事項
②プライバシーポリシー等を策定する際には、利用者等の権利利益の保護の観点から、「委託の有無、委託する事務の内容を明らかにする等、委託処理の透明化を進める」といった文言を盛り込むことが望まれます。
③施設外就労を行う場合、就労先が個人情報を取り扱う場合には、委託契約を締結していなくても、委託先として適切な監督を行うことが望まれます。
最後に
個人情報を管理する義務についておさらいすると、以下を遵守する必要があります。
・利用目的達成に必要な範囲内において、取り扱う個人情報を正確かつ最新の内容に保つよう努める
・取り扱う個人情報の漏洩の防止等安全に個人情報を管理するために、組織内において安全管理措置の実施
・施設職員に個人情報を取り扱う時に、個人情報の安全管理が図られるよう、施設職員に対する必要かつ適切な監督
・個人情報の取り扱いを外部に委託する場合、委託した個人情報の安全管理が図られるよう、委託先に対する必要かつ適切な監督
最後までお読みいただきありがとうございました。
参照:「個人情報保護ハンドブック」平成29年6月(個人情報保護委員会発表)
参照:「福祉分野における個人情報保護に関するガイドライン」平成28年2月一部改正(厚生労働省発表)
参照:「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」平成29年4月14日(個人情報保護委員会・厚生労働省発表)
Copyright © 埼玉の障害福祉サービス事業に関するご相談 行政書士YTRディア法務事務所