介護施設で多発する個人情報漏えい
<罰則と3つのセキュリティ対策>
介護施設には、情報漏えいのリスクが常に潜んでいます。「セキュリティ対策をしているから大丈夫だ」と思われている施設の方が多くいますが、意外なミスで情報漏えいは起きています。
一度でも罰則を受けると、施設の信用問題に大きな影響を与えてしまいます。
また2017年5月より、小規模事業者(小規模の施設)も個人情報保護法の対象となりました。
そのため、情報漏えい対策ができているかを改めて見直してみましょう。
この記事では、介護施設で発生する情報漏えいの対策方法と罰則について解説します。
介護施設で起こる個人情報漏えいの事例
介護施設では、個人情報漏えいリスクが潜んでおり、日々トラブルが起きています。個人情報が外部に漏れると、利用者に不安を与えてしまうだけでなく、介護施設の信用も落とすことになるため、注意しなければなりません。そのため、介護施設で起きる情報漏えいの事例を把握し、対策をしておきましょう。
あわせてご覧ください
介護現場のセキュリティ対策-技術的対策を実施する方法メールの誤送信
業務上のヒューマンエラーには気をつけなければいけません。特に多いミスがメールの誤送信です。「宛先の設定ミス」「To/CC/Bccの設定ミス」「添付ファイルの選択ミス」のメールの誤送信によって、情報漏えいが起きています。
メールの誤送信は気が付きにくく、利用者に指摘されて気がつくケースが多いです。このように社外の人に指摘をされてしまうと信用を失います。そのため、メール送信前に上長に承認をもらうなど、情報管理体制を整えましょう。
USBメモリの紛失
介護システム未導入の施設では、USBメモリにデータを保存しているケースが多いです。ケアプランやサービス担当者会議でUSBを持ちだす機会もあるでしょう。しかし、USBメモリを紛失するトラブルも多いです。
実際に、滋賀県の某介護老人保健施設でUSB 紛失のトラブルが起きました。職員が施設駐車場付近の路上で紛失してしまったのです。
そのUSBメモリには、介護施設の利用者の氏名や家族構成、介護サービスの利用履歴などの個人情報が入っていました。個人情報の漏えいを防ぐためにもUSBメモリの持ち出し禁止や、持ち出す際は許可を得るなど管理体制を整えましょう。
業務用携帯電話の紛失
見落としがちなのが、業務用携帯電話(スマートフォン)の紛失です。介護記録支援システムを導入して、スマートフォンで介護記録を行う施設が増えています。しかし、スマホを作業場に置きっ放しにして紛失するトラブルも多くあります。特にスマートフォンは盗難の被害に遭う可能性があるため取り扱いに注意をしましょう。
利用者の個人情報を含むスマートフォンを落としてしまうと悪用されてしまうかもしれません。そのため、スマートフォンやパソコンには、必ずロックをかけておきましょう。
移動中の書類盗難
施設内でしっかりと対策をしても、移動中に書類の盗難や紛失してしまうこともあります。実際に、訪問介護の移動中に、ヘルパーの手提げ袋が盗まれる事件が起きました。その手提げ袋には、新規依頼書や訪問介護記録、派遣予定表などの書類が入っていたのです。
休憩時間中に、乗用車に手提げ袋を置いたままにして、車上荒らしの被害に遭うことも珍しくありません。休憩中でも手提げ袋などは持ち歩くようにしましょう。
書類の所在不明
施設内で保管している書類は、スタッフで共有するものです。そのため、所定の位置に戻すことが指示されています。また、重要書類は施錠があるキャビネットに保管しておけば安心です。
ルールを設けていても、書類を放置したまま離席するスタッフもいます。このような安易な放置が、書類の所在不明のトラブルにつながってしまうのです。そのため、スタッフに対して、情報漏えいリスクについて周知徹底化を図りましょう。
不正アクセスによる情報漏えい
提携先にデータを送る時に、フリーメール(※1)を利用すると、不正アクセスに狙われやすくなります。実際に、フリーメールを利用した医師が不正アクセスに狙われて、患者の個人情報が洩えいしたという報道もありました。このようなフリーソフトのダウンロードは許可なくさせてはいけません。
また、近頃では「エモテット(EMOTET)」と呼ばれるウイルス感染メールが普及しています。エモテットは過去に取引した顧客になりすましたメールを送ってきます。このメールを開封するとウイルス感染して、個人情報が盗まれてしまうのです。サイバー被害も増えているので、セキュリティ対策を行っておきましょう。
(※1)無料で利用できるメールサービス
介護施設で起こる個人情報漏えいについて
介護施設では、さまざまな理由により個人情報漏えいが起きています。
実際に個人情報の漏えいが起きると、どのような罰則が課せられるのでしょうか?
ここでは、個人情報漏えいについて分かりやすく解説します。
個人情報とは
個人情報とは、特定の個人を識別できる情報のことをいいます。
- 氏名や性別、生年月日を識別する情報
- 個人の職種や肩書などの属性に関する情報
- 映像や音声による情報
- 死者の遺族等に関する情報(※死者の情報は法律対象外となります)
個人情報漏えいと罰則
個人情報漏えいとは、個人情報を保有する者の意図に反して、第三者に情報が渡ることをいいます。
事業者側が個人情報保護法に違反している疑いがある場合は、必要に応じて立入検査が行われ、助言や勧告、命令されます。この命令に違反すると6ヵ月以下の懲役または30万円以下の罰金が課せられるので注意しなければいけません。
また、情報漏えいによる民事賠償として数万円の賠償、事業所の信用低下や取引停止、批判などの問い合わせが発生するので注意してください。
補足:個人情報保護法は小規模事業者にも適用
個人情報保護法上の義務規定を守らなければいけないのは、個人情報を取り扱う事業者です。従来は、5,000名以下の個人情報を取り扱う事業者は法律の対象外とされていましたが、2017年5月からは、小規模事業者も対象となり、すべての介護事業者が個人情報保護法を守らなければいけません。
こちらもご覧ください
どんなお仕事? 小規模多機能施設スタッフの1日介護施設のセキュリティ対策の種類
介護施設で起きる個人情報漏えいを防止するため、セキュリティ対策をしましょう。
セキュリティ対策は「技術的対策」「物理的対策」「人的対策」に分類できます。
また、各対策の「防止」「検出」「対応策」を考える必要があります。
技術的対策 | 物理的対策 | 人的対策 | |
---|---|---|---|
防止 | ファイアーウォール | ドア施錠 | 相互牽制 |
検出 | 侵入検知システム | 防犯カメラ | 従業員同士の点検 |
対応 | インシデント対応 | 警報装置 | 連絡・報告 |
上記は、セキュリティ対策の例となります。各対策の具体的な内容を把握しておきましょう。
技術的対策
技術的対策とは、ウイルスや不正アクセスから情報保護するために、ハード面とソフト面の両方から行うセキュリティ対策をいいます。技術的対策は高い効果が見込めますが、不正アクセスの手口は巧妙化しているため、定期的な見直しが必要です。
- [具体例]
- ▾ログインID/Pass Wordの管理▾ファイアーウォール▾侵入検知システム▾ウイルス対策ソフト▾認証システム▾ログ管理▾Web閲覧制限▾アクセス権限の管理
物理的対策
物理的対策とは、情報漏えい対策として必要になる物理的なセキュリティ対策をいいます。監視カメラによる防犯対策や入退室管理など、日頃の業務で使用している物が物理的対策に該当します。物理的対策は、設備の導入が必要なため負担が大きいですが、高セキュリティな環境を実現するために必要です。
- [具体例]
- ▾IDカード等認証システム▾暗証番号錠▾ICカード▾生体認証▾入退室管理
人的対策
人的対策は、セキュリティに関するルールを作成して教育や訓練を行い、情報漏えいの発生を最小限に抑えることをいいます。具体的な方法として、社内規定を策定して「なぜ、セキュリティ対策が必要なのか?」を理解してもらう機会を設けるのが一般的です。
教育対象は、正社員だけではなく派遣社員やアルバイトを含めた全社員に行います。教育や訓練は、配属変更時など定期的に行いましょう。
- [具体例]
- ▾不正行為や不正開示の防止▾セキュリティポリシーの策定▾社員教育の実施▾情報取り扱い方法についてのルールの設定▾情報漏えいが発生した場合の対応方法の設定
まとめ
介護施設の情報漏えいは、大半が情報誤送信や紛失により起きています。そのため「技術的対策」「物理的対策」「人的対策」を確認してください。対策をする際は「防止」「検知」「対応」の3つの機能が働くかもチェックしておけば、トラブル発生時もあわてず冷静に対処できます。
たった1度でも介護施設で情報漏えいが起きてしまうと、施設の信用も失ってしまうので気をつけましょう。ぜひ、この記事をお読みになった機会に、情報漏えい対策を検討してみてください。
【参考資料】
芦原 花菜
ITを活用した業務効率化に興味を持ち、米国と中国(深圳)へ渡航。日本より優れているIT技術を目前にして、ビジネスに役立つIT情報を日本企業の経営者に届けたい想いが芽生えて、Webライター中心(マーケティング支援や業務効率化支援も行う)に活動。