介護施設の個人情報・マイナンバーの保護は大丈夫?~情報漏えい対策
介護施設の運営にあたり、個人情報の管理は必須です。入居者の情報はもちろんのこと、その家族や働いているスタッフの情報まで…介護施設として、様々な個人情報を守らなくてはいけません。しかし情報漏えいとは、思ってもみないところから突然起きるものです。そして一度でも情報を漏えいさせてしまうと施設の信用問題にも繋がり、入居者やご家族に不信感を抱かせる要因ともなりえます。
そこで今回は、そんな介護施設の個人情報についてどう対処していくべきかお話ししたいと思います。
目次
「個人情報保護法」って、そもそもどんな法律なの?
まず初めに、そもそも個人情報とはどこまでの範囲の情報のことを言うのでしょうか。そしてよく耳にすることが多い「個人情報保護法」とは、どんな法律なのでしょうか。具体的に一緒に見ていきましょう。
個人情報の範囲とは?
上記図をご覧ください。個人情報保護法では、個人情報として保護が必要な概念を「3つ」に分けています。概念はそれぞれ、個人情報・個人データ・保有個人データの「3つ」に分かれ、保護を実地しなくてはならない義務が定められています。
その中でも「個人情報」が一番義務が少なく、「保有個人データ」が一番義務が多い項目になります。※1
個人情報保護法とは?
個人情報の保護に関する法律(以下、個人情報保護法といいます。)は、利用者や消費者が安心できるように、企業や団体に個人情報をきちんと大切に扱ってもらった上で、有効に活用できるよう共通のルールを定めた法律です。出典:個人情報保護法ハンドブック※2
平成 15年5月に公布、平成 17年4月に全面施行されました。
個人情報保護法は、「個人情報を取り扱う”すべての事業者”」に適応されます。このすべての事業者とは、法人に限らずマンションの管理組やNPO法人など、様々な組織が含まれます。規則についての詳しい内容は、下記リンクをご覧ください。
個人情報の保護に関する法律(平成十五年法律第五十七号)
個人情報を漏えいさせてしまったら、どう対処すべき?
もし個人情報を漏えいさせてしまった場合、どのような対処をすればいいのか下記に掲載します。また故意に行った場合、罰則が発生しますのでお気をつけください。
個人データの漏えい等の事案が発覚した場合に、講ずるべき措置※2
- 事業者内部における報告、被害の拡大防止
- 事実関係の調査、原因の究明
- 影響範囲の特定
- 再発防止策の検討・実施
- 影響を受ける可能性のある本人への連絡等
- 事実関係、再発防止策の公表
罰則※2
- 国からの命令に違反:
6か月以下の懲役又は30万円以下の罰金 - 虚偽の報告:
30万円以下の罰金 - 従業員が不正な利益を図る目的で個人情報データベース等を提供・盗用:
1年以下の懲役又は50万円以下の罰金(法人にも罰金)
マイナンバー法とは?
「人情報保護法」より罰則が厳しいのが、「マイナンバー法」です。介護施設でも、従業員の源泉徴収などの書類で番号を管理することもあるでしょう。基本的に故意ではない限り、重い罰則を課せられる可能性は低いです。しかし実際に賠償問題にまで発展した事件はあるので、介護施設としてもしっかりとした管理が求められます。
個人番号を利用する者に関する罰則(第62条~第64条、第66条)※3
- 正当な理由なく、特定個人情報ファイルを提供(個人番号利用事務等に従事する者等)
⇒4年以下の懲役若しくは200万円以下の罰金又は併科 - 不正な利益を図る目的で、個人番号を提供又は盗用(個人番号利用事務等に従事する者等)
⇒3年以下の懲役若しくは150万円以下の罰金又は併科 - 情報提供ネットワークシステムに関する秘密の漏えい又は盗用(情報提供ネットワークシステムの事務に従事する者)
⇒3年以下の懲役若しくは150万円以下の罰金又は併科 - 特定個人情報が記録された文書等を収集(国の機関等の職員)
⇒2年以下の懲役又は100万円以下の罰金
介護施設のIoT化に伴うリスク…情報漏えいの問題と対策
では、実際に情報漏えいを起こすとどのようなリスクがあるのか。今の所、介護施設で起こった大きい規模の賠償事例はありません。しかしもし情報漏えいが起きれば、漏えいを起こした介護施設に対して入居者やご家族からの信頼は落ちるでしょう。特に近年では、介護施設の安全向上・業務効率化のためにネットワークカメラやIoTセンサーなどの利用が増えており、入居者に関するセンシティブな情報を施設側が多く保持しています。このような情報は、漏えいするとしたらどこから漏れてしまうのでしょうか…漏えいポイントを詳しく見ていきましょう。
漏えいポイント1:ヒューマンエラー
問題
25年度の情報漏えい状況を見ると、「書類の紛失」「郵送」「FAX」「メール」等での「送付ミス」が情報漏えい要因の80%以上の割合を占めています。※4
このことから分かるのは、情報漏えいを防ぐためにはまず「ヒューマンエラー」について対策しておく必要がある点です。
対策
管理体制の構築
ヒューマンエラーの中で一番多いミスは、「書類紛失」です。これを防ぐためにはまず、「守るべき書類やデータを明確」にして、「管理体制を構築する」ことです。
重要な書類は鍵のかかる場所に保管する、データに関しては暗号化したりパスワードを設定する…など、簡単に持ち出したりアクセスしたりできないようにしましょう。
どうしても書類を持ち出したりUSBなどにコピーをしたい場合は、管理者の許可を必要とすることで個々人のセキュリティ意識も高まり、紛失などのヒューマンエラーの発生を抑制することができます。
介護施設の責任者が管理体制の徹底を行うことで、職員に対して注意の意識を統一させることにも繋がります。
手順の作成、複数者での確認
紛失の次に漏えい要因となることが多いのが「郵送、メール、FAXの送付」ですが、これらについては送る前に再度宛先をチェックするしかありません。重要情報の場合はダブルチェックする体制を構築したり、複数者で確認する手順を作成しましょう。
また最近では、メールやFAXを簡単に送れないようにする機能があり、何度か宛先をチェックさせることで送信ミスを防ぐ効果もあります。
漏えいポイント2:ネットワークのウイルス感染
問題
ネットワーク経由のウイルス感染により、情報漏えいが起きることもあります。ウイルス感染を起こす経路はたくさんあり、年々巧妙になっています。一昔前は怪しいサイトや迷惑メールのURLをクリックしなければ、感染する心配はほとんどありませんでした。しかし最近では、一見普通のWEBサイトを装っていたり顧客からのメールを装いクリックを促したりと、手口が複雑化して見分けるのが難しい状態です。
また被害としても、個人情報を抜き取られることに加えてパソコンを使用できなくさせたりアドレスに載っている顧客や職員の方にもウイルスを拡散させたりと、周囲に迷惑をかけてしまうという恐ろしさもあります。
対策
ネットワーク経由のウイルス感染対策に有効なのは、UTM(総合セキュリティ装置)というセキュリティ機器です。UTMはネットワーク出入口の監視が可能で、不正アクセスやウイルス・迷惑メールを防ぎます。さらに職員による危険サイトの閲覧防止も可能で、外部からの影響に対して有効な機器です。
しかしUTMだけですとUSBからの内部感染に弱いので、より強固に対策するためにはセキュリティソフトと併用することをオススメします。外部と内部のダブル対策で、ウイルスをPCネットワーク内に侵入させない環境を作ります。
漏えいポイント3:物理的盗難
問題
最後は「物理的盗難」です。割合からみると盗難による被害は少ないですが、セロではありません。特に書類の盗難は少なくないので、しっかりとした管理が求められます。
対策
まず外部犯に対しては、窓やドアからの出入を監視するためにセンサーによるセキュリティ強化が効果的でしょう。不審人物が侵入をした時、人感センサーや開閉センサーを取付けておけばすぐに検知して、職員に知らせることができます。
次に内部犯に対しては、監視カメラが有効です。誰が何をしているのか映像として残すことができるので、なにか起こった際、証拠としてすぐに確認することができます。また、外部犯に対しても有効です。
まとめ
施設の信頼を落とさないために、セキュリティ対策は万全に!
今後ますます介護施設のIoT化は進み、それに伴って介護施設で取り扱う情報は増えていくでしょう。特にネットワークカメラに関する映像情報は、プライバシーの問題からしっかりとしたセキュリティの中で管理しなくてはなりません。介護施設として情報を守るためには、スタッフの意識統一だけではなく物理的なセキュリティの向上、そしてネットワークからの脅威を防ぐ対策を日頃からおこなうことが重要です。今一度、介護施設の個人情報の取扱いを見直してみてはいかがですか。
▼介護施設に最適なセキュリティ対策ナースコールシステム!ぜひご参照ください。
防犯もPCセキュリティもできる「ナースコールのセキュリティ対策」
出典情報
※1 経済産業省:事業者の皆さん!!その取り扱いで大丈夫?“ 個人情報”※2 個人情報保護委員会:個人情報保護法ハンドブック
※3 内閣官房社会保障改革担当室:「マイナンバー法案」の概要
※4 経済産業省:経済産業分野を対象とする個人情報保護ガイドライン等について