個人情報保護法の施行に伴う、介護事業者の課題

主任研究員 渥美 由喜

2005年10月

要旨

本年4月に、個人情報の適切な取り扱いを企業や自治体に義務づける「個人情報保護法」（以下、保護法）が全面施行された。これにより、既に適用されている国や自治体に続いて、介護事業者などにも同法が適用された。

他の業務と比べて介護業務では、多くの個人情報を扱うのみならず、個人のプライバシー度も高いという特徴がある。したがって、介護事業者が取り組むべき課題は大きい。しかしながら、大半の介護事業者の対応は遅れているようである。

そこで本稿では、介護事業者に求められる対策について述べたい。

保護法は個人単位、介護保険制度は世帯単位

日本における個人情報保護への取り組みは、あくまでも「輸入品」に過ぎないため、現時点では日本の諸制度とは相容れない側面もある。その一つが、社会福祉制度である。日本の社会福祉制度は、家族福祉でまかなえない部分を社会福祉で支えてきたという経緯がある。したがって、介護保険制度の仕組みにも、世帯単位が色濃く反映されている。例えば、介護事業者が介護サービスを提供するに際しては、利用者の個人情報の範疇にはおさまらない、世帯構成員に関する情報を知っておかなければならないこともある。このように、介護業務と個人情報保護対策には相反する要求事項もあることを認識した上で、今後の対応策を考えていく必要がある。

介護関連事業者が直面する3つのリスク

保護法の施行に伴い、介護保険事業者には3つのリスク～行政から処罰されるリスク、訴訟リスク、信用喪失リスク～に直面することになる。

第1に、保護法違反を理由に行政から改善命令が下されたり、処罰されるリスクがある。最悪の場合は、業務停止とさえなりかねない。

第2に、個人情報を漏洩させた場合、利用者から訴訟を起こされて、多額の損害賠償をしなければいけなくなるリスクがある。

第3に、介護事業者には介護サービスの特性から「信用喪失リスク」がある。介護サービスは「地域密着型の対人サービス」という特徴を持つため、仮に個人情報が漏洩した場合、利用者の口コミで不祥事は瞬時に広がってしまい、業績悪化に直結しかねない。

漏洩事件が多い「医療・福祉業」は判例が蓄積されるまで、迷走する可能性大

実際に、介護事業者の情報漏洩事件は多発している。2004年6月にNPO法人の日本ネットワークセキュリティ協会（JNSA）がまとめた報告書によると、個人情報漏洩事件の多かった業種TOP8に「医療・福祉」も入っている。今後、介護事業者は早急に個人情報保護への対応を図らないと死活問題になりかねない。

個人情報として厚労省ガイドラインが例示しているのは、ケアプラン、サービス提供計画、サービス内容の記録、事故の状況等の記録である。では、これ以外の情報漏洩であれば問題ないかというと、そうではない。プライバシーに関する情報が問題になりうる。介護分野のプライバシー保護に関しては、個人の健康維持や回復に関わる極めてデリケートな情報を扱うことから、とりわけ、その取り扱いに細心の注意が必要である。

判例では、プライバシーは、以下の3つの用件を満たす必要があるとされる。(1)私生活上の事実に関する情報、(2)社会一般の人々の感受性を基準として、開示を欲しないであろうと考えられる情報、(3)一般の人々にまだ知られていない情報。

上記3つの要件をみると、介護事業者が取り扱う情報の多くがプライバシーに該当することに気付く。仮に、利用者や家族のプライバシーを漏洩させたことにより、精神的なダメージを与えた場合、不法行為責任を問われることもありえる。なお、不法行為責任は民事判例上の概念なので、明確に定められてはいない。今後、個人情報の漏洩に関連した判例が蓄積されていく中で、プライバシーの侵害に関する不法行為責任についても定まっていくが、それまでには10年近く要するのではないか。

他方で、厚生労働省等の対応は、いまだ不明確な現状があり、今後も紆余曲折が予想される。このような状況の中で、介護事業者は自分でリスクコントロールをしなければならない。

人材の倫理コンプライアンス確立が最優先課題

今後は、どのようなマネジメントシステムが必要であろうか。事業者の中には、情報管理というとコンピュータのセキュリティに重点をおきがちだが、実際には大半の介護事業者は紙媒体で、顧客情報をキャビネットに施錠保管・管理しており、電子データは介護保険料請求のみというのが一般的である。したがって、コンピュータ上のセキュリティ管理だけでは十分ではない。

先述のJNSAによると、情報漏洩の原因は、「誤動作、設定ミス」といったコンピュータ関連の原因の他に、「内部犯罪、情報持ち出し、盗難」という人材に関連した原因も多いようだ。したがって個人情報保護の観点からは、以下のような取り組みが必要不可欠なものとなるであろう。

介護スタッフには入所時にオリエンテーションと個人情報保護の同意書を提出してもらう。介護スタッフは資格を取得する際に、個人情報保護の教育を受けているものの、更にプライバシー保護への意識を向上させるために、定期的な研修も必要であろう。ヘルパーは、退職など移動が激しいために、退職後の守秘義務も大切である。

介護業務は、介護利用者の利便性向上のため、情報開示が必要な部分もある。利用者との介護契約書では、守秘義務と第三者への情報開示同意書をとる。・委託先には、委託契約書の中に守秘義務を入れる。

顧客サービスの質の向上、社会的責任としても大切なので、事業者としてプライバシーマークを取得することも検討の余地があるだろう。

以上述べたように、個人情報保護法の施行を契機として、事業者、介護サービスに従事する者双方にとって、「倫理コンプライアンスの確立」が最優先課題となっており、積極的に取り組むかどうかが、介護事業者の将来性を大きく左右するであろう。