2022.03.28

介護現場からみる個人情報の取扱い

介護現場は個人情報の宝庫です。 例えば、日々の介護・看護記録やバイタルから身体状況、サービスの利用状況から経済状況などがみてとれます。   介護現場が管理する個人情報は、氏名、住所、生年月日のみならず、身体状況や既往歴、性格、趣味、経済状況、家族の状況など、他の業種と比較しても多岐にわたります。 また、その情報のなかには、プライバシーにかかわる情報も多く含まれています。 特に身体状況や既往歴などは「要配慮個人情報」とされ、特に慎重な管理が必要となります。 ※「要配慮個人情報」については、より詳しい説明を当EWBサイト「要配慮個人情報とは（就職面接や健康診断の場面から）」でしていますのでご参照ください。   以上のように、介護現場では、個人情報を厳重に扱わなければいけない理由がしっかりとあります。 にもかかわらず、介護現場での個人情報漏洩事故はたくさん起きています。 実際にどのような事故があったのか、参考にみていきましょう。   介護現場で実際に起きた個人情報漏洩事故 １．個人情報が入ったUSBメモリーの紛失 神奈川県の某介護施設で働く職員が、入所者６人分の個人情報が入ったＵＳＢメモリーを紛失してしまいました。 職員は乗用車の鍵を探すときに、いったんそのＵＳＢメモリーを入れたポーチを車の屋根に置き、そのまま車を発進させてしまいました。 発進後すぐにポーチがないことに気づきましたが見つからす、警察署に届けられた事案です。 このUSBには6人の入所者の住所、氏名、生年月日、電話番号、家族情報などが記録された認定調査票が保存されていました。 当時ＵＳＢメモリー含む入所者の情報を施設外に持ち出すのは禁じられていましたが、実際に起こってしまった事故です。   ２．業務用携帯電話の紛失 東京都の某通所介護事業所で業務用の携帯電話が一台紛失していまいました。 この携帯のなかには、約100件の利用者家族の氏名と電話番号が登録されていました。 情報の不正利用は確認されませんでしたが、多くの個人情報が漏洩の危機にさらされた事故でした。   3．車中での書類の盗難 神奈川県の某訪問介護事業所で働く訪問介護員が、事務所で業務の準備をした後、自宅で残務処理をするため新規依頼書、訪問介護記録、派遣予定表など８人分の書類を手提げ袋に入れて車で帰宅しました。 途中、県内のレストランに立ち寄り、食事をした際、その手提げ袋は車中に残していました。 その後、車に戻ったところ、手提げ袋が何者かに盗まれてなくなっていました。   ４．自転車かごからの書類紛失 東京都の某介護保険事業所のケアマネジャーが、担当している5人の書類の入ったバッグを、自転車後部にあるかごの中にいれ、カバーで覆って利用者宅に向かいました。 そして、利用者宅に着いた際、そのバッグが紛失していることに気づきました。 中に入っていた書類には、個人の身体状態を記入した介護認定を受けるためのデータなどが含まれていました。   個人情報漏洩を防ぐために 以上のように、大事な個人情報が介護現場でうっかり洩れてしまう事故を４つみてきましたが、上記で取り上げた例はほんの一部です。 うっかりミスが大きな事件に発展してしまう前に、わたしたちは何をすればいいのでしょう。 以下、介護現場にとどまらず、様々な事業所で通用する個人情報の安全対策についてみていきます。   個人情報の安全対策は主に次の4つの分類に分けられます。   ①人的対策 例）従業員の規則遵守の意識（コンプライアンス）を高めるため、教育訓練を行う。 お互いにチェックする体制をつくる。 異常をすぐに検知できるよう、報告体制を整える。   ②技術的対策 例）ウイルス対策ソフトやファイアウォールなどの正しい配置と運用により、防御を徹底する。 常に監視し、定期的にチェックを行い、異常の早期発見に努める。   ③物理的対策 例）特定場所への入退室管理、施錠管理を徹底する。 防犯カメラや警報装置などを設置する。 パソコンやUSBメモリー、紙など記録媒体の盗難対策に努める。   ④組織的対策 例）個人情報に関する担当者や責任者を配置する。 個人情報に関するルールを作り、それを守るための取り組みを実施する。 個人情報保護に関する情報収集に努める。   上記４つの安全対策をしっかり行い、一人ひとりが個人情報の取扱いに対する意識をもつことが大事です。   介護現場で万が一個人情報が洩れてしまったら、認知症の高齢者に悪徳業者がつけこむなど多くの人たちが被害を受ける可能性があります。 そうならないためにも、なんとなくではなく、確実に、個人情報を取り扱っていきましょう。

2022.01.26

個人情報保護法からみる気を付けるべき「ヒヤリハット」

「ヒヤリハット」とは、重大な災害や事故に直結する一歩手前の出来事のことを指します。 個人情報保護法の観点からも、実はこのような「ヒヤリハット」のケースが多くあります。   例えば、学校で生徒間のトラブルがあったとしましょう。 加害者側生徒の親が、「謝罪したいので相手の生徒の連絡先を教えてほしい」と言ってきたら、 あなたはどうしますか？ 謝罪のためならと教えてしまいそうになりますが、実はこれは個人情報保護法違反になってしまいます。 正しくは、相手の生徒やご両親に教えてもいいか了承を得てから、伝える必要があります。   個人情報保護についてなんとなくわかってはいるものの、実際にどうすればいいのかわからない。 今回は、こうした事例をいくつかあげてみましょう。   ※ここで取り上げる「ヒヤリハット」例は、「個人情報保護委員会」のHP（https://www.ppc.go.jp/）を参照しています。   １，販売店の従業員のケース   商品に異物が混入していたと購入者のお客様からお店へ連絡がありました。 お店の販売員であるあなたは、謝罪をし、製造業者に連絡先（電話番号）を伝えてもいいか確認しました。 OKを貰ったあなたは、製造業者へ詳細を連絡しました。 すると、製造業者からお客様宛に代替品を送りたいと言われました。 こんなとき、あなたならどうしますか？ 送り先（住所）を伝えますか？ もしここでお客様の住所を製造業者に伝えてしまったら、それは個人情報保護法違反となります。   お客様からは電話番号を伝えてもいいと了承をもらっただけで、住所については同意をもらっていません。 個人情報保護法においては、こうした同意の範囲も大切なポイントとなります。   ２，会社の従業員のケース   会社に、従業員Aの親を名乗る者から、至急子供（従業員A）と連絡を取りたいとの電話がありました。 従業員Aは外出していたのでその旨伝えると、携帯電話番号を教えてほしいと言われました。 電話口の切迫感から思わず携帯電話番号を伝えてしまいそうになりますが、 実はこれも個人情報保護法違反になります。   たとえ本人の家族からの要望であっても、あらかじめ本人の同意がなければ教えることはできません。 この場合、まずはあなたから従業員Aに連絡をするなどの対応が必要です。   ３，メール送信のケース   あなたは、イベントの案内を、多くの顧客に一斉にメールで送ることにしました。 しかし誤ってBCCではなくCCで送信しそうになりました。 間一髪を逃れたものの、もしCCで送ってしまっていたらどうなっていたでしょう。   まず、送り先のメールアドレスを、送信された誰もがみることができるようになります。 そして、送り先メールアドレスの中にフルネームと想定されるメールアドレスがあった場合、 それは個人情報にあたる可能性があります。 結果、本人の同意なく個人情報を漏洩したことになります。   一斉にメールを送る場合には、CC入力で送るようにしましょう。   ４，USBメモリ取扱いのケース   最後に、USB取扱いのケースについてみていきます。 あなたは資料作りのため システムに保存された顧客データをUSBにコピーし作業していました。 その日の作業を終えたあなたは、翌日も作業を続けようと思っていたため、 自分の机の上にそのUSBを置いて帰りそうになりました。   このケース、思い当たる人もいるかもしれません。 しかし、誰も気づかないだろうと置いて帰ってしまっていたらどうなっていたでしょう。 顧客データが入ったUSBが盗まれるなど、取り返しのつかない事態になっていたかもしれません。   顧客データなどの個人情報がはいったUSBは必ず所定の場所に直し、鍵をかけるようにしてください。   以上、4通りのケースをみてきましたが、このような「ヒヤリハット」は他にもたくさんあります。 「ヒヤリハット」から大事に至らないためにも、普段から個人情報保護への意識をしっかりもって行動することが大切です。

2022.01.12

どこまで追求する？正確性の確保とは

Pマークの取り組みで求められる取り組みの１つに「正確性の確保」と言うものがあります。   単に言葉だけ聞くとなかなかピンと来ず、何をするの？になると思います。   実は「正確性の確保」と言う一言の中に、Pマークでは３つプラスαの取り組みを求めています。   今回はその３つプラスαの取り組みを１つずつ紹介していきたいと思います。   取り組み１：ダブルチェック まず、一つ目はダブルチェックです。ここでの「正確性の確保」の意味としては正確な情報であるように間違っていないことをちゃんと確認してください。と言う意味になります。   ダブルチェック。と言っていますが、２名体制でのチェックを求めてはいません。間違った情報でないよう、二重にチェックすることを求めています。 ですので、２名ではなく１名での実施であっても問題はありません。 間違いが起きないようにチェックする体制を作っていることが重要になります。   取り組み２：バックアップ ２つ目はバックアップです。 これは電子データのみに関わってきますが、間違って個人情報を削除してしまった場合などにデータを復旧できるようバックアップを取得することが求められています。   最近はクラウドサービスの利用などでバックアップの自動化が進んでいますが、もし社内のローカル環境などで使っている個人情報があれば、何らかの手段でバックアップを取得していないと、万が一のことが起きた際にデータを戻せないという重大事故になってしまう可能性があります。 こうならないためにもバックアップの取得は重要な業務と言えます。   取り組み３：保存期間の明確化 ３つ目は保存期間の明確にすることです。ここでの「正確性の確保」は正確な保管・保存期間を定めて、間違って廃棄などをしないようにすることを求めています。   正確な期間を定めていないと間違って必要な情報を削除・廃棄してしまう可能性があります。 よくある個人情報に関する事故で誤廃棄がありますが、発生原因の１つには保管期間があやふやであることも挙げられます。 これらの保管・保存期間の明確化は個人情報を特定している一覧表（個人情報管理台帳）に記載することが一般的になります。   プラスアルファの取り組みで求められるのは削除に関することになります。 法律や規格では「利用する必要がなくなったときは、当該個人情報を遅滞なく消去するよう努めなければならない。」と言う記述があります。 ３の保管期間の明確化に繋がってくるのでこの内容をプラスアルファにしていますが、保管期間を過ぎて不要になったものについては、削除・廃棄するよう努力することが求められているわけです。   個人情報は持っているだけでもリスクになります。 削除・廃棄していかないと持ち続けることで、個人情報漏洩のリスクが少しずつ上がっていくことになります。 そうならないためにも、保管期間を定め、過ぎたものについては適宜廃棄していくよう努力すること必要になります。   このように正確性の確保と一言で言ってもやらなければならないことは沢山あります。 混乱しないように１つ１つ着実に行っていくことが重要と言えます。

2022.01.05

何が正解!?Pマーク上の安全管理措置を徹底解説

プライバシーマークで求められる安全管理措置(個人情報漏洩等を起こさないための取り組み)は運用上、とても重要なものになっています。   プライバシーマークの現地審査ではあまり現場でどんな安全管理措置がなされているかは時間をかけてチェックがなされないのが実情ではありますが、どのようなことがルールとして策定されているかは確認されます。   審査云々関係なく、個人情報が漏洩等しないためには正確性の確保と安全管理措置がどれだけちゃんと実践されているかが重要になります。 ただ、その安全管理措置もなんでも良いとかIT技術をフル活用しただけのもので良いのかというとそうでもありません。   個人情報保護法のガイドライン通則編では「組織的安全管理措置」、「人的安全管理措置」、「物理的安全管理措置」、「技術的安全管理措置」の4つの分野で安全管理措置を実践することを求めています。 このうち、「組織的安全管理措置」、「人的安全管理措置」についてPマークでは別の項番で定めているので今回は割愛します。 残り2つの「物理的安全管理措置」、「技術的安全管理措置」について触れて行きたいと思います。   ・物理的安全管理措置 まず、物理的安全管理措置ですが内容として区画の管理、盗難防止、持ち運び時の管理、情報の廃棄について考える必要があります。   区画の管理： ここでは事務所の入退室管理や来客管理など求められる主なルールです。 具体的にどのようなルールにするかは各社の事情によりますが、主には入退室や来客時に記録を残すなどが内容になってきます。   盗難防止： こちらについてはある意味、言葉のとおりになります。 個人情報が盗難されないようにキャビネットや引き出しを施錠する。 ノートPCのワイヤーロックや施錠管理 などが実施しなければならない事項になります。   持ち運び時の管理： こちらも言葉のとおりではありますが、個人情報を持ち運ぶ際のルールになります。 鞄を開封しないように注意する 車などでの移動時の管理方法 USBメモリなどにコピーして持ち運ぶ際のルール などが想定されるルールになります。   情報の廃棄： 4つめは個人情報の廃棄についてです。 シュレッダーや廃棄ボックスを活用しての廃棄、電子データについてはＰＣ廃棄時のルールなどが想定される内容になります。   様々ありますが、共通するのは物理的なものの管理をどうするか。になります。   ・技術的安全管理措置 もう1つが技術的安全管理措置になります。 こちらも小分類として「アクセス制御」、「アクセス者の識別と認証」、「外部からの不正アクセス等の防止」、「情報システムの使用に伴う漏えい等の防止」に分類されます。   アクセス制御： まず求められるのがアクセス制御です。 いわゆるアクセス権の設定(個人情報に触れることが出来る人を限定する)がここでは求められるものになっています。   アクセス者の識別と認証： 2つ目ですが、誰が個人情報に触れたかを識別、確認できるすべを設けることが必要になってきます。   外部からの不正アクセス等の防止： ここで求められるのは、下記のようなものになります。 OSなどのぜい弱性に対する対応 ログの取得 ウイルス対策ソフトの導入や定期的なスキャン 外敵に対する防御や何かあった際の確認手段の確立がポイントになります。 情報システムの使用に伴う漏えい等の防止： 4つの情報システムの使用に伴う漏えい等の防止ですが、下記のような取り組みが求められます。 問い合わせフォームからの通信の暗号化 メールなどで個人情報を授受する際のルール   このような個人情報保護のために実施すべき安全管理措置は多数多岐にわたります。 ここに上げたものが全てはありませんし、全ての会社に合ったものにはありません。 上記内容を参考に自社に合った安全管理措置の実践が必要であるとお考えください。  

2022.01.04

どうすべき是正処置!?具体例を入れて解説します！

内部監査などの不適合事項が発生してしまうと是正処置と言うものが発生します。   是正処置と聞くと難しい表現になります、言葉を変えると改善処置と言うことになります。   表現を変えても、一体どのように是正処置を進めるのかイメージがつかない人も多いかと思います。   今回は是正処置の流れを具体例を含めて、触れて行きたいと思います。   内容をイメージしてもらいやすいように内部監査で「クリアデスク（整理整頓）」が実施できていなかった。と言う不適合をベースに話を進めていきます。   ステップ１：不適合内容の確認 まず、最初に実施しなければならないこととしては発生した不適合の内容の確認です。   内部監査で出た「クリアデスク」が実施できていなかった。と言うことが不適合内容になります。 しっかりとその事実、可能であればその詳細（クリアデスクがどのように実施されていなかった等）」を確認することが重要であると言えます。   ステップ２：原因追求 ２つ目のステップは原因の追求です。 是正処置は単に出来ていなかったことをやるだけではありません（今回は場合、クリアデスクが出来ていなかったから、片付けるだけ）。 なぜ、クリアデスクが実施出来ていなかったかをちゃんと原因追求していく必要があります。 書類をしまう場所がなかったからクリアデスクが出来ていなかったのか。退社時に片付けると言う習慣がないから書類が放置されていた。等、原因をちゃんと追求していく必要があります。 今回は「書類をしまう場所がなかったからクリアデスクが出来ていなかった」と言う例をベースに進めていきます、。   原因追求のポイントは「なぜ」を繰り返すことです。ここは時間を少しかけてでもしっかりしておこなかいと次以降の実際の改善がうまくいかず、意味のない是正処置になってしまう可能性があります！   ステップ３：改善案の検討 原因の追求が終われば、次は改善案の検討です。 ここでのポイントは改善案が原因の改善するためのものになっているかになります。 「クリアデスクが出来ていなかった。」と言う事実ではなくその原因となっている「書類をしまう場所がなかったからクリアデスクが出来ていなかった。」と言う原因を解決するためのものである必要があります。   今回はしまう場所が足りない。と言うことが原因ですので、例えば、「キャビネットを購入して、新しいキャビネットに書類をしまうようにする」等が改善案の１つになってきます。   ステップ４：改善結果の確認 改善案が決まれば、それを実行します。 今回は「キャビネットを購入して、新しいキャビネットに書類をしまうようにする」が改善案になっているので、それを実行します。 キャビネットを購入し、そこに書類をしまうことで、これまで出来ていなかったクリアデスクが実施可能になったかを記録に残していくことになります。   改善案の通りに進んだのであれば、「キャビネットを購入して、新しいキャビネットに書類を仕舞うようにした」と言うのが結果になります。 仮に改善案の通りにいかなったのであればそれを結果として記載する必要があります。   ステップ５：有効性の確認 一番最後のステップは有効性の確認です。 一瞬ピンと来ないですが、実施した結果がちゃんと機能しているかの確認です。   今回のケースですと、「キャビネットを購入して、新しいキャビネットに書類を仕舞うようにした」と言う結果がちゃんと機能しているかになります。 具体的な内容としては新しいキャビネットがちゃんと使われており、クリアデスクが継続されているかがポイントになります。   もし、ここでイメージした結果になっていなかった場合、改善案がおかしかったもしくは原因の解決のための取り組みになっていなかったことになります。 ステップ２か３に戻って再度改善活動を行っていく必要があります。   このように是正処置には多くのステップがあり、時間がかかります。 ですが、ちゃんと筋道を立てて行うことで効果的な改善が行え、同じようなミスや不適合が起きないようになってきますので、しっかりと行うことが重要になります。  

2021.12.18

Pマークは取得しただけで終了ではありません。

取得した後も2年に一度の更新、それ以前に毎年の運用があります。   Pマーク取得後の悩みや当社の運用サポートについてご紹介します。   ・Pマーク取得後の悩みについて Pマークの取得後にこんな悩みはありませんか？   ・毎年の教育実施の方法、教材の内容がわからない ・内部監査ができない ・運用をちゃんとするうえで相談する先がないから自分たちの判断がいいのかわからない ・運用でやるべきToDoがわからない ・担当が変わったからそもそもPマークの管理ができなくなっている   これらはPマークを継続するうえで誰もが直面する悩みです。   ただ、これらの悩みを放置したままで行くと更新の時に非常に工数がかかってしまい、更新審査の際にちゃんと運用できるようにするために改善するよう、非常に面倒な指摘の対応が求められる結果になります。   Pマークの指摘事項はそれを改善しないと更新ができない仕組みになっています。 また、こういった指摘は今後Pマークを継続していく上でのボトルネックになってしまいます。   そうならないためにも日々の継続した取り組み、それを支援するためのコンサルタントの存在が重要になってきます。   【クリアスの運用サポート】 当社ではPマーク取得後のご支援体制もばっちりと整えています。 基本的な運用支援のプランとして下記2パターンを用意しています。   上記の月額サポートにプラスして、訪問でのご支援を希望されるお客様については1回の訪問を60,000円(税別)でオプションが可能です。   おおよそ、更新のタイミングだけでコンサルタントとしてご支援する場合、訪問回数が5回程度になります。 ですが、定期的なメンテナンスとしてしっかり運用の支援に入らせていただいているお客様は年間で1～2回程度の打ち合わせで更新を続けられている方もおられます。   もちろん、各会社様のニーズなどもありますので、訪問回数が多いほど、しっかりとしたサポートが可能であります。 契約スタイルは年間計画になりますが、更新・運用を重ねる度に訪問回数が年々減り、法律が変わったタイミングやPマークの基準が変わったタイミングで手厚い支援をさせてもらうケースもあります。   お客様ごとにカスタマイズ可能なプランにもなっていますのでお気軽にご相談ください。