介護現場における個人情報保護マニュアルとは？重要性や作成手順について解説

介護の現場ではよく、「利用者の個人情報を守りましょう」と聞くことがあると思います。しかし、個人情報保護についてよく分からないという介護職員の方も多いのではないでしょうか？介護現場において、個人情報の保護は極めて重要です。

この記事では、介護業務における個人情報の取り扱いや保護の必要性について解説します。さらに、個人情報保護マニュアルの作成手順や、情報漏洩のリスクと対策など、実践的な内容についても詳しく解説しています。

• 介護現場での個人情報保護マニュアルの必要性
• 個人情報保護に関連する法律
• マニュアル作成の手順とポイント
• 情報漏洩のリスクと対策
• まとめ「個人情報の保護」は信頼関係の構築から

介護現場での個人情報保護マニュアルの必要性

なぜマニュアルが必要なのか？

介護現場での個人情報保護マニュアルの必要性については、以下の３つの点が挙げられます。

1. 介護職員の教育のため
   介護職員が個人情報の取り扱いについて正しく理解し、適切な対応を取るためには、マニュアルを作成し使用することで、職員の教育やトレーニングが行いやすくなります。また、万が一の情報漏洩やトラブルが生じた際にも、迅速かつ適切な対応が可能となります。
2. 利用者・家族との信頼関係を構築するため
   マニュアルを用いて適切な個人情報の取り扱いを実施することで、利用者やその家族からの信頼を獲得し、サービス品質向上に繋げることができます。
   また、利用者一人ひとりを守ることにも繋がります。例えば、直接利用者の自宅に伺う訪問介護で、利用者に関する情報を途中で落としたり、どこかに置き忘れる可能性が考えられます。そのため、事前に個人情報を移動させる際の手順をマニュアル化しておくことで、情報が漏洩するリスクを下げられます。
3. 法令遵守のため
   個人情報保護法をはじめとする関連する法令や規制に対する遵守が求められるため、マニュアルがあれば、それらの遵守のための具体的な手順やルールを明確にすることができます。
   そして、マニュアルによる介護職員の教育と、利用者・家族との信頼関係の構築は、結果として事業所を守ることにつながります。介護現場での個人情報漏洩は、管理方法のマニュアル化によって確実にリスクを下げられ、万が一漏洩した場合でも、マニュアルに沿って迅速かつ丁寧に対処できれば、事業所のダメージを最小限に抑えられます。

介護現場での個人情報漏洩は、管理方法のマニュアル化によって確実にリスクを下げられ、万が一漏洩した場合でも、マニュアルに沿って迅速かつ丁寧に対処できれば、事業所のダメージを最小限に抑えられます。

このように、介護現場での個人情報保護マニュアルは、法令遵守や職員教育、利用者の信頼獲得、そしてトラブル時の適切な対応など、様々な面で重要な存在となります。

個人情報の定義

一言で個人情報と言っても、個人情報保護法では「個人情報」・「個人データ」・「保有個人データ」という用語を使い分けています。

1. 個人情報
   「個人情報」とは、生存する特定の個人を識別することができる情報を指します。例として、氏名、生年月日、住所に限られるものだけではなく、個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や、本人が映った映像、音声による情報も含まれます。
   また、個人情報保護法では、死者に関する情報は対象ではありませんが、死者に関する情報が同時に遺族等の生存する個人に関する情報でもある場合には、当該生存する個人に関する情報となり法律の対象となります。
2. 個人データ
   「個人データ」とは、個人情報のうち、特定の個人情報を検索できるよう体系的に構成したものを指します。例として、名刺単体は個人データに該当しませんが、その名刺が五十音順にファイリングされたり、名刺管理ソフトや営業管理クラウドなどのツールを使用し検索できるように保管されたりすれば、個人データとなります。
   したがって、「ケアプラン」や「施設介護計画書」などの介護関係記録については、通常、媒体の如何にかかわらず、体系的に整理され、特定の個人情報を容易に検索できる状態で保有していることから、「個人データ」に該当します。
3. 保有個人データ
   「保有個人データ」とは、個人データのうち、個人情報取扱事業者に開示・訂正・消去等の権限があり、6ヶ月を超えて保有するものを指します。委託を受けて個人データを取り扱う場合や、体系的に整理されていない個人データを取り扱う場合は、「保有個人データ」に該当しません。

介護現場における個人情報の特性

私たちが普段から目にしている「利用者基本情報」「ケアプラン」「ケース記録」「アセスメントシート」「介護サービス計画書」「リハビリ評価表」など、介護現場で使用している記録等はほとんど全てが個人情報です。介護サービスは他の事業と異なり特定の範囲だけで個人情報を扱うのではなく、事業のほとんどの場面で個人情報を使用してサービスを行っているので、対象は広範にわたります。それに伴い、以下のような特徴を踏まえた対策が必要です。

1. センシティブな情報
   介護現場で扱われる個人情報は、健康状態、病歴、身体的・精神的なニーズ、経済状況など、非常にセンシティブでプライベートな情報が含まれており、適切な取り扱いが求められます。なお、介護サービスにおける個人情報の範囲として、利用者自体の個人情報ばかりでなく、利用者の家族に関する情報、介護職員の情報も含まれます。
2. 情報の共有と連携
   複数のケアプランナーや医療従事者、ケアスタッフなど、複数の関係者が利用者の情報を共有し、連携する必要があるため、適切な情報管理が求められます。例えば、ふらつきの原因になる向精神薬を服用している利用者であることを把握して、転倒防止のために介護や見守りをしなければならない場合があります。この情報は利用者に関わる全ての職員が共有していなければなりません。そこには雇用形態を問わず、新入職員を含めた全階層、全職種の職員の個人情報保護の強い認識が求められます。
3. 入退所や移動の際の情報管理
   介護施設では利用者の入退所やフロアー間の移動が頻繁に発生するため、個人情報を適切に引き継ぐ必要があります。情報の形態についても、情報を使用する場面が広いため様々な形をとります。サービス担当者会議で使用される個人情報は、複写された紙媒体と口頭で伝え合う情報、事業所に直接戻らない訪問介護のヘルパーがFAXや電話もしくはメールなどで報告する利用者情報、理美容や調理を外部委託する場合に業者に提供する利用者情報、ボランティアが使用する利用者情報等、管理が難しいものが多々あります。

以上の、情報が持つ特性と介護サービスで使用する情報の特徴を十分に踏まえた個人情報保護対策が必要です。

介護サービスの個人情報使用上の留意点

1. 適切な情報取扱い
   利用者の個人情報は、法的基準と倫理的な観点から慎重に取り扱われなければなりません。情報収集、保存、利用、共有は適切な手順に基づく必要があります。利用者の個人情報にについて、アクセス制限やデータ暗号化などのセキュリティ対策を行いましょう　必要最小限の原則
   個人情報の使用は、利用者のサービス提供や健康管理などの業務遂行に必要な範囲内で行われなければなりません。不必要な情報の収集や使用は避けるべきです。よって利用目的の明確化が求められます。
2. 同意と透明性
   個人情報を新たな目的で利用する場合や第三者に提供する場合には、利用者やその家族からの同意を得て、情報の取り扱いについて明確かつ丁寧に説明することが重要です。利用者にとって個人情報の扱いについて理解しやすくするための努力と、利用者のプライバシーを尊重することが求められます。
3. 情報の正確性と更新
   利用者の個人情報は常に正確なものでなければなりません。利用者の健康状態やニーズが変化した場合には、個人情報を適切に更新し、正確な情報を維持することが重要です。

これらの留意点を遵守することで、介護サービスは利用者の個人情報を適切に取り扱い、プライバシーを尊重することができます。

個人情報保護に関連する法律

関連する法律と規則の把握

介護事業者は、他人が容易には知り得ないようなセンシティブな個人情報を詳細に知り得る立場にあります。個人情報の適正な取扱いが強く求められる分野であることから、厚生労働省が「医療・介護関係事業者における個人情報の適正な取扱いのためのガイダンス」を示して、その内容を遵守する努力を求めています。

訪問介護を例に、運営基準に示された個人情報保護や守秘義務の規定を以下に紹介します。

【介護保険法における「個人情報保護と守秘義務」の規定】
訪問介護・運営に関する基準第33条（秘密保持等）

1. 指定訪問介護事業所の従業者は、正当な理由がなく、その業務上知り得た利用者又は    その家族の秘密を漏らしてはならない。                                        
2. 指定訪問介護事業者は、当該指定訪問介護事業所の従業者であった者が、正当な理由がなく、その業務上知り得た利用者又はその家族の秘密を漏らすことがないよう、必要な措置を講じなければならない。
3. 指定訪問介護事業者は、サービス担当者会議等において、利用者の個人情報を用いる場合は利用者の同意を、利用者の家族の個人情報を用いる場合は当該家族の同意を、あらかじめ文書により得ておかなければならない。    

「運営に関する基準」とは、介護保険法や各自治体で介護事業所の規模、営業時間、料金、業務内容、記録など、さまざまな要件についてまとめられているものです。各事業種別ごとに設けられた運営基準をもとに、介護現場での個人情報保護が実践されます。

当然のことながら、以下の「個人情報保護法」をはじめ、介護事業者に適用される関係法令及び関係通知における個人情報保護に係る規定等を遵守しなければならないことは言うまでもありません。

介護職員が気をつけたい法令「個人情報保護法」

氏名や性別、生年月日、住所などの情報は、個人のプライバシーに関わる大切な情報です。一方、それらの情報を活用することで、介護現場ではサービスの向上や業務の効率化が図られるという側面もあります。

そこで、個人情報の有用性に配慮しながら、個人の権利や利益を守ることを目的とした「個人情報保護法」（正式名称：個人情報の保護に関する法律）が2003年5月に制定され、2005年4月に全面施行されました。

この法律は、個人情報の漏洩や不正利用を防ぐために、個人情報の定義や取り扱いに関する基準を設けています。また、法人や団体に対しても個人情報の適切な管理や保護を義務付け、個人情報の取り扱いに関するルールや制裁規定を定めています。個人情報保護法は、個人のプライバシーや権利を守るための重要な法律です。

その後、デジタル技術の進展やグローバル化などの経済・社会情勢の変化や、世の中の個人情報に対する意識の高まりなどに対応するため、個人情報保護法は、これまでに何度か大きな改正が行われました。

名前や性別、住所などはもちろんのこと、病状や介護度、家庭の状況といったきわめて重要な個人情報を取り扱う介護現場。2017年の改正により、取り扱う個人情報の数にかかわらず、ほとんどすべての事業者が同法律の適用対象となりました。どのような情報が個人情報に当たるのか、どう取り扱うべきかを、利用者と直接関わる介護職員もしっかり認識しておく必要があります。

以上のことをさらにわかりやすく言うと、介護業務において知った利用者や会社の情報を第三者に（家族や友人にも）漏らしてはいけないということと、たとえその職場を退職したとしても、秘密保持義務は継続するということです。

この法律の規定により、社会福祉士および介護福祉士は利用者のプライバシーや個人情報を守るために尽力することが求められます。

マニュアル作成の手順とポイント

個人情報保護マニュアルの作成手順と基本的な内容

介護現場での「個人情報保護マニュアル」の作成手順は以下の通りです。

1. 法的なルールの把握
   関連する法律や規制（個人情報保護法・個人情報取扱いのためのガイダンス）を調査し、以下のような法的な要件を理解します。
   • 適切な目的のためだけに利用する
   • 厳重に管理し漏洩を防ぐ
   • 第三者への提供は本人の許可を得る
   • 情報の開示や苦情に適切かつ迅速に対応する
2. 対象となる情報の洗い出し
   介護現場で収集・保有される個人情報の種類を洗い出し、それぞれの情報の取り扱い方法を明確にします。また、個人情報の適切な取り扱い方針を策定します。これには、情報の収集・保管・利用に関する基本原則や目的、利用範囲、情報の開示・提供・廃棄方法などが含まれます。そして、個人情報の漏洩や不正アクセスを防ぐためのセキュリティ対策を策定します。これには、パスワードの使用、データの暗号化、アクセス制限などの具体的な措置が含まれます。
3. マニュアルの更新
   マニュアルの効果的な運用を確保するために、定期的な監査・評価を実施します。問題点や改善点を特定し、適切な対策を講じることが求められます。法規制の変更や新たなリスクへの適応など、継続的な改善を目指してマニュアルを定期的に更新します。また、個人情報を守ることは大切ですが、ルールを厳格化しすぎて業務量が増えたり、サービスが低下する場合は、マニュアルの見直しが必要になるでしょう。

以上の手順を踏んで、「個人情報保護マニュアル」を作成することで、介護現場における個人情報の適切な管理と保護を実現することができます。

おすすめのマニュアル作成ツールやガイドブック

個人情報保護マニュアルの作成は義務ではありません。しかし、すべての介護事業所は個人情報保護法を遵守しなければいけないと法令で規定されています。

個人情報の取扱いについては、「個人情報保護法」第3条において、「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものである」とされていることを踏まえ、個人情報を取り扱う全ての者は、その目的や様態を問わず、個人情報の性格と重要性を十分認識し、 その適正な取扱いを図らなければいけません。

以上のことを踏まえると、個人情報保護マニュアルの作成は効果的といえるでしょう。事業所で働く従業員全員が、個人情報保護に関する共通の認識を持っていないと、個人情報の漏洩を招いてしまうかもしれません。介護職は日々、利用者やその家族の大切な情報を預かっているからこそ、徹底した情報の安全管理が必要です。

まずは、個人情報保護に関する法令や規則をもとに、マニュアルのひな形を作っていきましょう。基本的には、「個人情報保護法」と「個人情報取扱いのためのガイダンス」を参考に、介護事業所独自の運営基準を追記する形で作成します。

ひな形の具体例に関しては、以下のサイトや書籍が、ほとんどの介護事業所で応用できる方法なので、ぜひ参考にしてみてください。

• ケアマネジメントオンライン「個人情報保護マニュアル」無料ダウンロード
• 介護施設用資料特化サイト「個人情報に関するテンプレート」
• 「介護事業者のための個人情報保護ガイドブック」高室成幸（中央法規）
  基本書式集のCD-ROM付
• 「個人情報保護のコンプライアンス・マニュアル作成の手引」高橋善樹（日本法令）
  マニュアル、規定例のCD-ROM付

情報漏洩のリスクと対策

うっかりミスから起こる情報漏洩のリスクの事例

自分の事業所でも起こり得るリスクを想定しながら、それぞれ詳しい内容を見ていきましょう。あなたの働く介護施設ではいかがでしょうか？「個人情報の漏洩では？」と感じることはありませんか？

1. メールの誤送信
   利用者の情報をメールで送信する場合は、宛先に注意しましょう。「宛先の設定ミス」「To/CC/BCCの設定ミス」「添付ファイルの選択ミス」など、メールの誤送信によって、情報漏洩が起きています。メールの誤送信の原因は、ほとんどがヒューマンエラーです。うっかりミスによって、利用者の個人情報が第三者に悪用される可能性も考えられます。メールの誤送信は気が付きにくく、利用者に指摘されて気が付くケースが多いです。このように外部の人に指摘されてしまうと信用を失います。
   利用者の情報に限らず、職員や会社の重要な情報をメールで送信する場合は、何度も確認して確実にミスをなくしましょう。
2. USBメモリを持ち帰り紛失
   以前、ある介護施設で、利用者や家族の氏名や生年月日、電話番号などの個人データ156件が記録されたUSBを紛失したという事例がありました。原因は、USBの保管場所に鍵をかけておらず、定期的な確認も怠っていたためです。業務の都合上、USBメモリの持ち出し禁止は難しいかもしれません。そのため、持ち出す際には許可申請し、返却期限を設けたり、一人ひとりが厳重に管理するという意識を持つことが大切です。
   個人情報の漏洩は、介護施設の信頼を失う要因の一つです。そのため、「個人情報保護マニュアル」の作成と、職員への内容の周知が重要といえます。
3. 業務用携帯電話の紛失
   業務用携帯電話（スマートフォン）の紛失も、個人情報漏洩原因の一つです。最近は介護記録支援システムを導入して、スマートフォンで介護記録を行う施設が増えています。しかし、スマホを作業場に置きっ放しにして紛失するトラブルも多くあります。
   また、スマホは紛失だけでなく盗難の可能性も考えられます。そのため、電車や公共トイレなどに少し置き忘れただけでも、誰かに持ち去られるかもしれません。利用者の個人情報を含むスマートフォンを落としてしまうと悪用されてしまうかもしれません。そのため、スマートフォンやパソコンには、必ずロックをかけておきましょう。
4. 不正アクセスによる個人情報の漏洩
   データを送るときに、無料で利用できるフリーメールを利用すると、不正アクセスに狙われやすくなります。実際に、フリーメールを利用した医師が不正アクセスに狙われて、患者の個人情報が漏洩したという報道もありました。このようなフリーソフトのダウンロードは許可なくさせてはいけません。
   また、近頃ではウイルス感染メールが普及しています。この感染メールを開封するとウイルス感染して、個人情報が盗まれてしまうのです。サイバー被害も増えているので、セキュリティ対策を行っておきましょう。
   今では、ほとんどの介護現場がネット上で個人情報等のデータを管理しています。そのため、確実にセキュリティ対策をしておき、事前に不正アクセスから情報を守りましょう。
   また、事業所のパソコンで、むやみに業務以外のWEBサイトにアクセスしないことも予防策の一つです。

この他にも、

• 個人情報に関する書類をそのまま捨てた
• 申し送りの際に個人情報を大声で言っている
• 個人のSNSに施設の様子を許可なくアップした
• プライベートで外食中に利用者に関する会話をした
• 自分の家族に何気なく利用者のことを相談した

なども、個人情報の漏洩に繋がります。これらの事例からも分かるように、介護現場では様々な形で情報漏洩のリスクが存在し、それらに対処するためには適切な対策と教育が必要です。

介護現場でできる個人情報保護の取り組み

1. 情報の適切な管理
   個人情報を紙や電子ファイルといった媒体ごとに、適切に管理し、不正アクセスや紛失、盗難などから保護します。設備などを準備するコスト面はデメリットですが、安全性を担保するためにも、非常に重要な対策です。具体的には、以下のような対策を実施します。
   • 監視カメラを設置する
   • 鍵付きの書庫を用意する
   • 施設への入退室を管理する
2. 職員教育
   全ての職員に対して、個人情報の重要性や適切な取り扱い方法についての教育を行います。これには個人情報の取得・利用・提供の際の手順や法的責任などを含みます。さらに組織としても以下のような取り組みが必要です。
   組織全体で個人情報保護に対して、安全に管理することを示すとともに、委員会の設置や連絡体制マニュアルの作成といった実践も重要です。さらに法改正の可能性もあるため、職員に対して定期的な勉強会を行い、最新の情報を把握してもらうことが求められます。
   • 個人情報保護に関する規定を掲示板やホームページ上で周知する
   • 個人情報保護に関する委員会を設置する
   • 情報漏洩が発生した際の報告連絡体制をマニュアル化する
   • 雇用契約や就業規則で個人情報の守秘義務を示す
   • 個人情報に関する研修を行い、情報の保護意識を高める
3. 技術的な対策
   最近は介護現場でも記録管理をネット上のシステムを利用し、ICT化やDX化が進んでいます。個人情報へのアクセスを必要最小限にとどめるため、職員ごとに情報へのアクセス権限を適切に設定したり、電子データの暗号化を行うことで、情報漏洩のリスクを軽減します。具体的には、以下のようなセキュリティ対策が必要です。
   • ログインIDやパスワードの適切な管理
   • ウイルス対策ツールの導入
   • システムへのアクセス権限の管理

ただし、不正アクセスの手法は複雑かつ巧妙化しているため、パスワードの変更やウイルス対策ツールの更新など、定期的な見直しが大切です。

これらの取り組みにより、介護現場で適切な個人情報保護を実現し、利用者や関係者の信頼を築くことができます。

まとめ「個人情報の保護」は信頼関係の構築から

介護サービスを提供する私たち介護職は、利用者やその家族の大切な個人情報を預かっています。そのため、管理職だけでなく介護職員一人ひとりが個人情報保護について学ぶことが大切です。

介護の仕事は、「プライバシーに立ち入る」「個人情報を知る」ことが前提で成り立つサービスです。そのため、利用者との信頼関係は必須になります。なぜなら、嫌いな相手や信頼できない相手にプライバシーに立ち入られ、個人情報を知られることは、誰しも耐えられないからです。まずは信頼関係を築き、プライバシーに立ち入っても利用者に負担や不満を感じさせないような状態になって初めて、満足度の高い介護サービスを提供することができます。

個人情報保護に関する研修は、マニュアルの作成と同様に必須ではありませんが、実施することが望ましいです。「個人情報の適切な取扱いのためのガイダンス」にも「必要に応じた教育訓練に係る便宜を図るよう努めなければならない」と明記されています。そのため、定期的に個人情報に関する研修を行い、マニュアルの作成と併せて、介護職員が個人情報保護に関する知識を継続的に学べる環境づくりが大切です。以下の公的なサイトにも個人情報保護に関する有益な情報がありますのでご利用ください。

• 厚生労働省「医療・介護関係事業者における 個人情報の適切な取扱いのためのガイダンス」
• 政府広報オンライン「個人情報保護法」をわかりやすく解説 個人情報の取扱いルールとは？
• 個人情報保護委員会
• 厚生労働省「介護情報の共有に係る同意取得及び個人情報保護について」

また、ツクイスタッフでは、介護現場に精通した講師による研修を「動画研修・講師派遣型研修・オンライン研修」の3つのスタイルで総合的に提供しています。

ご興味のある方は、是非お気軽にご相談ください。

>>ツクイスタッフの研修サービスについてはこちら

【出典】