個人情報保護対策 ~事故発生後の対処法・前編~

投稿日:

前号では、個人情報漏えいによる裁判事例をご紹介し、たとえヘルパーが業務時間外に行ったブログへの書き込みであっても、雇用主である法人が個人情報保護に関する教育をしなければ、法人も連帯して賠償責任を負うという話をしました。

また、就業規則の服務規定に「インターネット、電子メール、SNS等において、根拠無く会社を誹謗中傷する書込みや文章回付をしないこと」といった、現実に即した規定が盛り込まれているかもチェックポイントでした。

今回は、実際に個人情報の漏えい事故が起きてしまったときの対処法を解説します。

個人情報

「他山の石」に学ぶ、謝罪と報告のポイント

現実に、次のような事件がニュースになりました。

ある有料老人ホームの運営法人Aが、平成29年2月8日、計3施設の利用者等の個人情報を、外部に流出させた可能性があると発表しました。

経緯としては、同年1月20日、同社関連会社の従業員が、電車にて帰宅途中、200名以上の利用者の個人情報が記載された書類の入った鞄を置き引きされました。

翌日、駅の遺失物係に鞄が届けられており、財布の現金以外は個人情報が記載された書類も含め全て残っていることが確認できました。しかし書類中の個人情報が第三者の目に触れた可能性を否定できないことから、同社では個人情報流出の可能性を認識し、発表に踏み切りました。

ポイントはどこにあるでしょうか。それは、本件のように「世間に公表するか否か」という点にあります。

本件では200名分もの大量の情報ですからその被害は甚大であり、さすがに公表せざるを得ないと思われます。しかし、これが1人、2人の利用者の情報であった場合はどうでしょうか。

具体的にどのようなときに外部に公表すべきかは、実は法令では定められていません。それどころか、ご利用者はじめ関係者に報告するか否かも、個別の判断となるのです。

例えば「職員が利用者ファイルを屋外に置き忘れたが、20分後に戻ってみたらそのまま置いてあり回収し事なきを得た」とき、皆さんは事業所としてそのご利用者に必ず顛末を報告すべきと思われるでしょうか?

「却って大ごとになるので、できれば黙っておきたい」というのが正直な所かもしれません。

それ自体は非難されるべきことではないかもしれませんが、これが10人、50人……と増えていくと看過できなくなってきます。

上の事例では、「個人情報が第三者の目に触れた可能性を否定できない」ことから公表に踏み切ったのですが、こうしてニュースで拡散されることで会社の評判が落ちることは間違いないでしょうから、内部では反対意見もあったことでしょう。

このように、漏えい事故が起きたときに「公表するか否か」が、最初の大きな決断ポイントとなります。コンプライアンス(法令順守)の観点からはできるだけ公表した方が望ましいといえますが、その判断を誤らないよう注意しましょう。

これが報告・謝罪時のポイント!

マスコミ報道までいかずとも、ご利用者・ご家族向けに広く報告・謝罪しなければならない事態はどの事業所でも起こり得ることです。漏えい事故の経緯を発表することとした場合、その文面はどのように構成すべきでしょうか。

以下、意識すべき点を挙げていきます。決して読む人を感動させるような表現を多用すればよいというものではなく、このような報告文書は、当たり前とも思える「ポイントを外さない」ことが肝要なのです。

ポイント1.被害状況を明確にする

何名分の、どのような情報が漏えいしたかを明らかにします。本件では住所や電話番号、要介護度まで記載されていたのですが、もしこの書類がオレオレ詐欺集団の手に渡っていたら……絶好のターゲットになっていたかもしれません。

介護・医療の世界の書面はどれもこのような「重要情報の宝庫」の書面が多く、例え一人のご利用者のフェースシートであっても扱いは慎重にしなければ、と背筋が伸びる思いですね。

ポイント2.関係者には複数の方法で告知する

ご家族には郵送による書面、施設の定例もしくは臨時運営懇談会で直接の報告と謝罪……と、複数の方法で、繰り返し本件を告知するようにします。

一回だけでは全員に伝わりきらないかもしれず、「聞いていなかった」というリスクを回避するためです。

ポイント3.専用の窓口を設ける

「不審な電話、郵便物、被害等を受けた場合、下記の連絡先までご連絡ください」とアナウンスします。

個人情報流出事件は、一次被害となる漏えいの後がむしろ怖いところです。詐欺被害やなりすまし等、悪用される可能性は無限大だからです。

そういった二次被害をいち早く察知・把握するため、専用窓口を設け対策を講じます。

ポイント4.原因分析と再発防止策

「個人情報管理の徹底を行い、ご利用者様およびご家族様の信頼回復に全力を挙げてまいります」という紋切り型の宣言で終えてしまいがちですが、例えば今回取り上げたケースでは、そもそもなぜこれだけの大人数のご利用者ファイルを一人の社員が持ち歩いていたのか? 本当に鞄に入れ電車経由で持ち歩くことが「必要」だったのかは、疑問の残るところです。

しかも「帰宅途中」とのことなので、自宅に持ち帰ろうとしていたということになりますね。

置き引きに遭ったというのも、そのとき居眠りをしていたのか、鞄は足元に置いていたのか……両手に抱えていれば、眠っていても盗られることはなかったでしょう。

態様を推測するに、この社員の人は余程油断していたのではないかと思われるのですが、その点につき会社として反省の弁が無いと、当事者となったご利用者側としては腑に落ちないところかと思います。

一方で会社にとってみれば、余り自己批判し過ぎ過失態様を明らかにすると、それだけご利用者側から賠償を求められやすくなるという、のっぴきならない事情から敢えてぼかしておくということも考えられます。

それでは次に、個人情報を誤って漏えいさせた場合の賠償額はいかほどなのか? その点につき、後半で解説します。

-

執筆者:

関連記事

no image

採用面接時の盲点~反社会的勢力と一線を引くには

前回に続いて、職員採用関連の注意点を解説します。日本全国、現場はどこも人手不足ですが、勿論頭数さえ足りれば誰でもいい訳ではありません。最近、特養の施設長からこんな相談事例がありました。 目次1 若いヘ …

no image

株式会社アイビー(東京都葛飾区)Vol.1 「利用者さんの生きがいをサポートできる介護士に!」という想い一つで学生起業!

2009年、映画『寅さんシリーズ』の舞台として有名な柴又にも近い、東京都葛飾区に居宅支援・訪問介護事業所を設立した株式会社アイビー。代表取締役の真鍋圭彰さんは会社設立当時26歳で、介護福祉士を目ざす専 …

個人情報

個人情報保護対策 ~現場職員の意識を向上させるには~

 前号では、ご利用者の個人情報漏洩の事例ワースト5をご紹介し、「うっかりミスや不可抗力によるもの」、「職員の故意(目的的行為)によるもの」に分類し、前者についてUSBのナンバリング等、「ルール化」によ …

no image

転換期の介護事業

  目次1 介護という事業はこのままでいいのか?2 市町村にとっても「地域」が生き残るか正念場である 介護という事業はこのままでいいのか? 一つは財務省が火をつけた形となった「介護事業は儲け …

no image

人材確保のための実践的アドバイス―その5.ほかによい「打ち手」はないのか?

目次1 どれだけ手間がかけられるか、「打ち手」があるかが勝負に2 「若者応援宣言企業」になって、自法人を無料でアピール!3 「求人セット型訓練」で、ハローワークに登録した人を自動的に採用につなげる4 …