介護事業で個人情報を漏洩した場合の対応とは？事例と対策もご紹介

2025-01-21 　更新日 2025-01-22　 SMS CO.,LTD

介護事業者の運営では、利用者様に関する様々な個人情報を取り扱うことになります。

そのような中で、「もし個人情報が漏洩してしまったらどうしたらいいの？」や「個人情報を漏洩しないためにはどうしたらいいの？」と感じることがあるかもしれません。

この記事では、介護事業の経営者・管理者の皆様に向けて、個人情報の漏洩にあたる事例や漏洩してしまった時の対応、漏洩しないための対策などについて解説していきます。

個人情報とは？

個人情報とは、生存する個人に関する情報で、氏名・生年月日・住所・顔写真などにより特定の個人を識別できる情報のことを言います。個人情報保護法では、以下のように定義されています。

（定義）

第二条　この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

一　当該情報に含まれる氏名、生年月日その他の記述等（文書、図画若しくは電磁的記録（電磁的方式（電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。）で作られる記録をいう。以下同じ。）に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項（個人識別符号を除く。）をいう。以下同じ。）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）

二　個人識別符号が含まれるもの

引用元：個人情報の保護に関する法律

介護事業における個人情報の例として以下のような書類が挙げられます。

ケアプラン
介護サービス提供にかかる計画
提供したサービス内容等の記録
事敀の状況等の記録

個人情報の漏洩とは？

個人情報の漏洩とは、個人データが外部に流出することをいいます。ただし、以下の場合は漏洩に該当しません。

個人データを第三者に閲覧されないうちに全てを回収した場合
個人情報取扱事業者が自らの意図に基づき個人データを第三者に提供する場合

また、個人情報を扱う際には、漏洩以外にも滅失や毀損に注意する必要があります。

滅失・・・個人データの内容が失われること。
毀損・・・個人データの内容が意図しない形で変更されることや内容を保ちつつも利用不能な状態になること。

介護事業者の個人情報の漏洩にあたる事例とは？

介護事業者において、個人情報の漏洩にあたると考えられる事例は以下のようになります。

PCへの不正アクセスにより、従業員の健康診断の結果やサービス提供の記録等が漏えいした。
利用者様の自宅に訪問途中、車内に置いてあった個人情報を含む書類が盗難にあった。
ランサムウェアなどによって個人データが暗号化され、復元できなくなった。
ファックスで宛先を間違えて、利用者様の情報を誤送信してしまった。

介護事業者が個人情報を漏洩してしまった際の対応とは？

介護事業者が個人情報を漏洩してしまった場合、以下のような対応をとる必要があります。

状況の把握と再発防止策の検討
本人への通知
個人情報保護委員会への報告
行政への報告

それぞれ詳しく見ていきましょう。

状況の把握と再発防止策の検討

介護事業で個人情報の漏洩等が発生した場合、以下のような流れで状況を適切に把握し、再発防止策の検討を行います。

事業者内部における報告・被害の拡大防止

職員から個人情報の漏洩等の報告を受けたら、発覚時よりも漏洩等事案による被害が拡大しないよう、必要な措置を講じます。

事実関係の調査・原因の究明

当事者の職員へ聞き取りを行うなど、漏洩等事案の事実関係の調査や原因の究明を行います。

影響範囲の特定

個人情報がどのくらいの規模で漏洩したのか、その影響範囲を特定するために必要な措置を講じます。PCへの不正アクセスなど、影響範囲を特定するために専門的な知識が必要な場合は、専門知識のある業者などへ依頼をしましょう。

再発防止策の検討・実施

事実関係や原因、影響範囲の特定が済んだら、その結果を踏まえ、漏洩等事案の再発防止策を検討・実施します。

再発防止策が実効性のあるものになるよう、職員への周知徹底を行いましょう。

本人への通知

令和4年度に改正された個人情報の保護に関する法律（個人情報保護法）では、個人データの漏洩等が発生し、個人の権利利益を害するおそれがあるときは、本人への通知および個人情報保護委員会への報告が義務化されました。

（漏えい等の報告等）

第二十六条　個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この限りでない。

2　前項に規定する場合には、個人情報取扱事業者（同項ただし書の規定による通知をした者を除く。）は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

引用元：個人情報の保護に関する法律

事業者が漏洩等事案を知ったら、状況に応じて速やかに本人への通知を行わなければならないとされています。

通知の内容

本人への通知は、

漏洩等事案の概要
個人データの項目
原因

などの内容を含みます。

通知の方法

本人への通知方法の例としては、

文書の郵送
電子メールの送信

などが考えられます。

ただし、本人への通知が困難な場合は、

ホームページ等での公表
問合せ窓口の設置

といった代替措置を講ずることも可能です。

個人情報保護委員会への報告

本人への通知と同様に、個人データの漏洩等が発生し、個人の権利利益を害するおそれがあるときは、個人情報保護委員会への報告が義務となっています。

報告期限

報告が必要な事案が発生したら、発覚日から3~5日以内に第一報を報告します。さらに、発覚日から30日以内に続報を伝える必要があります（不正な目的で行われたおそれがある場合は、発覚日から60日以内）。

報告が必要な場合

漏洩等の報告が必要な場合は以下の4つです。

要配慮個人情報が含まれる個人データの漏洩等（又はそのおそれ）
不正に利用されることにより財産的被害が生じるおそれがある個人データの漏洩等（又はそのおそれ）
不正の目的をもって行われたおそれがある個人データの漏洩等（又はそのおそれ）
個人データに係る本人の数が1,000人を超える漏洩等（又はそのおそれ）

報告方法

漏洩等報告フォームに以下の必要事項を記入し、原則、個人情報保護委員会に直接報告します。

発生日
発生事案
発見者
事実経過
発生原因など

行政への報告

個人情報を漏洩してしまった際に、市町村などに事故報告書を提出しなければならない場合があります。

市町村によって報告する内容に若干の違いがありますので、事業所の所在地の市町村と利用者様の保険者である市町村のホームページ等を確認しましょう。

ここでは東京都豊島区の事故報告の流れを例としてご紹介します。

報告期限

報告が必要な事案が発生したら、事故発生後速やかに、遅くとも5日以内に事故報告書または電子申請で第一報を報告します。さらに、事故処理が終了した時点で、1カ月以内に事故報告書または電子申請で最終報告を行います。

報告が必要な場合

報告が必要な場合は、以下の2つです。

原因等が次のいずれかに該当する場合
- 身体不自由又は認知症等に起因するもの
- 施設の設備等に起因するもの
- 感染症、食中毒又は疥癬の発生
- 地震等の自然災害、火災又は交通事故
- 職員、利用者又は第三者の故意又は過失による行為及びそれらが疑われる場合
- 原因を特定できない場合
次のいずれかに該当する被害又は影響を生じた場合
- 利用者が死亡、けが等、身体的又は精神的被害を受けた場合
- 利用者が経済的損失を受けた場合
- 利用者が加害者となった場合
- その他、事業所のサービス提供等に重大な支障を伴う場合