2020年6月5日、改正個人情報保護法が国会において可決・成立し、2022年4月1日より全面施行されています。
本稿では、主に介護関係事業者の現場において、職員の方が知っておくべき個人情報保護の知識を中心に解説します。
第1 個人情報保護法に関する基礎知識
1 個人情報保護法とは
個人情報保護法(個人情報の保護に関する法律)は、平成15年に成立した法律です。
この法律は、個人情報の適切な取り扱いに関し、個人情報の有用性に配慮しつつ、個人の権利利益の保護を図ることを目的としています。
平成28年には、国の機関として個人情報保護委員会が設立され、個人情報保護法のガイドラインの策定・公表や、事業者に対する監督などを行っています。
2 個人情報とは
個人情報保護法では、「個人情報」とは、生きている個人に関する情報で、①特定の個人であると分かるもの(氏名、住所、生年月日等)及び他の情報と紐づけることで容易に特定の個人であると分かるもの、または、②個人識別符号が含まれるものと定義されています(個人情報保護法第2条第1項)。
したがって、亡くなった方の情報は、個人情報保護法における「個人情報」にはあたりません。
また、法人(企業や団体など)は生きている個人ではないため、法人情報は「個人情報」に含まれません(もっとも、法人の情報であっても、法人の役員の氏名といった情報は、「個人情報」に含まれることになります。)。
3 【参考】2020年に改正された個人情報保護法の内容
2020年に改正された個人情報保護法の概要は以下の通りです。
まず、個人の権利としては、利用停止・消去などの請求について、要件を緩和しました。その他の個人の請求権についても、開示方法や対象が広がりました。
一方で、データの利活用の観点からは、「仮名加工情報」を創設し、内部分析に限定する前提で、規制が緩和されました。
その他、法定刑の引き上げや、外国の事業者への個人データの提供に関する情報提供等、さまざまな法整備が行われました。
第2 介護関係事業者における個人情報の基礎知識
1 介護関係事業者とは
介護関係事業者とは、例えば以下のような事業者が該当します。
居宅サービス事業
介護予防サービス事業
地域密着型サービス事業
地域密着型介護予防サービス事業
居宅介護支援事業
介護予防支援事業
介護保険施設事業
老人居宅生活支援事業
老人福祉施設事業
その他高齢者福祉サービス事業
2 介護関係事業者が取り扱う個人情報
介護関係事業者が取り扱う可能性のある個人情報はさまざまなものが考えられますが、例えば、
入居者
利用者
入居者や利用者に関し、その家族や親族
職員
などが考えられます。
これらの者について、名前、住所、性別、生年月日、顔写真などの個人を識別する情報はもちろんのこと、ケアプラン、介護サービス提供に関する計画や提供したサービス内容等の記録なども個人情報に該当します。
中には、他人には知られたくないような、プライバシーの根幹にかかわる情報もあるかと思います。どの情報が個人情報に当たるのかは、改めてしっかりと理解しておく必要があります。
3 「個人情報データベース」とは
なお、個人情報の集合物について、検索性がある場合には、法律上の「個人情報データベース」というものに該当する可能性があります。
【個人情報保護法第16条第1項】
この章及び第8章において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。
⑴ 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
⑵ 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
このように、「個人情報データベース等」とは、特定の個人情報を検索することができるように体系的に構成されている、個人情報を含む情報の集合物をいいます。
なお、この検索性については、コンピュータを用いる場合のみならず、紙に記載されている個人情報を一定の規則に従って整理・分類し、特定の個人情報を容易に検索することができるようになっており、他人によっても容易に検索可能な状態に置いているものも該当するとされています。
第3 介護関係事業者が個人情報の取扱いに関して意識すべきこと
1 利用目的
⑴ 利用目的の特定
個人情報については、取得するに際して、利用の目的の特定が必要です。
【個人情報保護法第17条第1項】
個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
⑵ 利用目的による制限
個人情報の利用に際しては、特定されている利用目的の範囲を超えて、取り扱うことは、原則としてできません。
【個人情報保護法第18条第1項】
個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
⑶ 利用目的による制限の例外
もっとも、一定の場合には、特定されている利用目的の範囲を超えて、個人情報を取り扱うことができます。
【個人情報保護法第18条第3項】
前二項の規定は、次に掲げる場合については、適用しない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(以下省略)
したがって、利用者が偽りその他不正な行為によって保険給付を受けている場合等において市町村へ通知する場合や、重度の認知症の高齢者の状況を家族等に説明する場合には、利用目的を超える個人情報の取り扱いが許されます。
もっとも、あくまでもこのような取り扱いは例外であることから、根拠となる法令等の趣旨をふまえ、取り扱う範囲については真に必要な範囲に限定することが必要です。不必要な範囲の情報まで利用すると、後にトラブル等の問題に発展する可能性もあります。
⑷ 利用目的の通知等
利用目的は、特定するだけでなく、本人が知ることができるようにしなければなりません。
【個人情報保護法第21条第1項】
個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
したがって、特定した利用目的は、個人情報の取得に際し、本人への通知、または、公表が必要になります。
例えば、公表の方法としては、事業所や施設に個人情報の利用目的を掲示したり、プライバシーポリシー等の形式でホームページに掲載するといった方法が考えられます。
また、入所時等に、個人情報の利用目的を記載した書面を交付するといった方法もあります。
2 安全管理措置等
⑴ 安全管理措置
介護関係事業者は、その業務の性質上、重要な個人情報を取り扱うことになります。そのため、漏洩などの問題が生じないよう、安全管理措置を講じる必要があります。
【個人情報保護法第23条】
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
なお、考え得る安全管理措置の例として、個人情報保護委員会が例示している措置としては、以下のようなものがあります。
①個人情報保護に関する規程の整備、公表
②個人情報保護推進のための組織体制等の整備
③個人データの漏えい等の問題が発生した場合等における報告連絡体制の整備
④雇用契約時における個人情報保護に関する規程の整備
⑤従業者に対する教育研修の実施
⑥物理的安全管理措置
⑦技術的安全管理措置
⑧個人データの保存
⑨不要となった個人データの廃棄、消去
⑵ 従業者や委託先の監督
介護関係事業者は、従業者や委託先に関して、必要かつ適切な監督をする義務があります。
【個人情報保護法第24条】
個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
【個人情報保護法第25条】
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
3 個人データの第三者提供
⑴ 第三者提供の制限
個人データとは、前述の個人情報データベース等を構成する個人情報のことを言います(個人情報保護法第16条第3項)
個人データの第三者への提供については、以下の規定があります。
【個人情報保護法第27条第1項】
個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(以下省略)
したがって、民間企業や職場、学校などから問い合わせがあったとしても、本人の同意がなければ、原則として回答してはなりません。
もっとも、利用者が偽りその他不正な行為によって保険給付を受けている場合等において市町村へ通知する場合や、重度の認知症の高齢者の状況を家族等に説明する場合には、本人の同意がなくても第三者への個人データの提供ができることになります。
⑵ 第三者提供に係る記録の作成等
個人データを第三者に提供する場合には、一定の事項を記録しなければなりません。
【個人情報保護法第29条第1項】
個人情報取扱事業者は、個人データを第三者…に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。ただし、当該個人データの提供が第二十七条第一項各号又は第五項各号のいずれか…に該当する場合は、この限りでない。
もっとも、個人情報保護法第27条第1項の各号に記載された例外(法令に基づく場合や、人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき等)に基づいて提供する場合には、記録を作成する義務はありません。
⑶ 第三者提供と受ける場合の記録の作成等
個人データの第三者提供を受ける場合にも、一定の事項の記録が必要になります。
【個人情報保護法第30条第1項】
個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第二十七条第一項各号又は第五項各号のいずれかに該当する場合は、この限りでない。
一 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
二 当該第三者による当該個人データの取得の経緯
なお、こちらの場合も、個人情報保護法第27条第1項各号既定の例外の場合に基づく場合には、記録を作成する義務はありません。
4 保有個人データに関する事項の公表等
介護関係事業者は、保有個人データに関して、以下の規定を守る必要があります。
【個人情報保護法第32条第1項】
個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
一 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
二 全ての保有個人データの利用目的(第二十一条第四項第一号から第三号までに該当する場合を除く。)
三 次項の規定による求め又は次条第一項、(同条第五項において準用する場合を含む。)、第三十四条第一項若しくは第三十五条第一項、第三項若しくは第五項の規定による請求に応じる手続(第三十八条第二項の規定により手数料の額を定めたときは、その手数料の額を含む。)
四 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
つまり、介護関係事業者は、
・ 介護関係事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
・ 全ての保有個人データの利用目的(個人情報保護法第21条第4項第1号から第3号までに規定された例外の場合を除く。)
・ 保有個人データの利用目的の通知、開示、訂正、利用停止等の手続の方法、及び保有個人データの利用目的の通知又は開示に係る手数料の額
・ 保有個人データの安全管理のために講じた措置
・ 苦情の申出先等
といった情報について、本人の知りうる状態(本人の求めに応じて遅滞なく回答する場合も含みます。)に置く必要があります。
本人の知りうる状態に置く方法としては、事業所や施設での掲示、ホームページ上での公表、書面による交付などが考えられます。
5 個人情報の開示請求等の手続き
個人情報保護法においては、本人から事業者に対する、保有個人データの開示、訂正、利用停止等に関する規定が定められています。
⑴ 保有個人データ等の開示
保有個人データの開示等については、以下の規定があります。
【個人情報保護法第33条第1項】
本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの電磁的記録の提供による方法その他の個人情報保護委員会規則で定める方法による開示を請求することができる。
【個人情報保護委員会規則第30条】
法第三十三条第一項…の個人情報保護委員会規則で定める方法は、電磁的記録の提供による方法、書面の交付による方法その他当該個人情報取扱事業者の定める方法とする。
【個人情報保護法第33条第2項】
個人情報取扱事業者は、前項の規定による請求を受けたときは、本人に対し、同項の規定により当該本人が請求した方法(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
一 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
二 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
三 他の法令に違反することとなる場合
まず、介護関係事業者は、本人から保有個人データの開示の請求があった場合には、本人に対し、その本人に関する保有個人データを開示する必要があります。開示の方法は、原則として、介護関係事業者が定めた方法から、本人が請求した方法により行うことになります。
もっとも、個人情報保護法第33条第2項に該当するような場合には、保有個人データの全部または一部を開示しないことができます。
なお、保有個人データの全部または一部を開示しない旨の決定をしたときや、そもそも請求を受けた保有個人データが存在しないとき、本人が請求した方法による開示が困難な場合には、本人に対して遅滞なく、その旨を通知しなければなりません(個人情報保護法第33条第3項)。
⑵ 保有個人データの訂正等および利用停止の請求
保有個人データの訂正、追加、削除の請求に関しては、以下の規定があります。
【個人情報保護法第34条第1項】
本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの内容が事実でないときは、当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という。)を請求することができる。
【個人情報保護法第34条第2項】
個人情報取扱事業者は、前項の規定による請求を受けた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。
【個人情報保護法第34条第3項】
個人情報取扱事業者は、第一項の規定による請求に係る保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。) を通知しなければならない。
これにより、介護関係事業者は、本人から保有個人データの訂正等の請求があり、その請求が正しいと言える場合には、訂正等の措置を講じる必要があります。
そして、講じた措置の内容や、措置を講じなかった場合には、その旨を本人に遅滞なく通知しなければなりません。
なお、保有個人データの利用停止等についても、個人情報保護法第35条に同様の規定があります。もっとも、こちらについては、代替措置を講ずるという方法もあります。
第4 まとめ
介護関係事業者においては、利用者等の個人情報、なかには、センシティブなプライバシーに関わる個人情報を扱うこともあるかと思います。
個人情報の取り扱いに関して、実際の現場において対応を間違えると、事業者にとって大きなダメージとなる可能性すらあります。
したがって、法律の内容をきちんと理解しておく必要があります。
個人情報の取扱いについてのご不安やご相談がある場合は、ぜひ当事務所までお問い合わせください。
グリーンリーフ法律事務所は、地元埼玉で30年以上の実績があり、各分野について専門チームを設けています。ご依頼を受けた場合、専門チームの弁護士が担当します。まずは、一度お気軽にご相談ください。
