情報が漏えいした際の対応方法
個人情報の入ったUSB を紛失してしまった、院内院外で個人情報で紛失した、情報漏えいの可能性があるなどの場合、どのような対処をすればよいのでしょうか?
医療・介護関係事業者において個人データの漏えい等の事故が発生した場合には、「個人データの漏えい等の事案が発生した場合等の対応について」に基づき、迅速かつ適切に対応する必要があります。
まず、事故を発見した者が事業者内の責任者等に速やかに報告するとともに、事業者内で事故の原因を調査し、影響範囲を特定して引き続き漏えい等が起きる可能性があれば、これ以上事故が起こらないよう至急対処する必要があります。
また、関係する患者・利用者等に対して事故に関する説明を行うとともに、個人情報保護委員会(ただし、個人情報保護法47条1項に規定する認定個人情報保護団体の対象事業者である医療・介護関係事業者は、所属の認定個人情報保護団体)に報告する必要があります。さらに、このような漏えい等の事故が今後発生しないよう、再発防止策を講ずる必要があります。
情報漏えいが発生した場合に講ずべき措置は以下のとおりです。
情報漏えいが発生した場合に講ずべき措置
(1) 事業者内部における報告及び被害の拡大防止
責任ある立場の者に直ちに報告するとともに、漏えい等事案による被害が発覚時よりも拡大しないよう必要な措置を講ずる。
(2) 事実関係の調査及び原因の究明
漏えい等事案の事実関係の調査及び原因の究明に必要な措置を講ずる。
(3) 影響範囲の特定
上記(2)で把握した事実関係による影響の範囲を特定する。
(4) 再発防止策の検討及び実施
上記(2)の結果を踏まえ、漏えい等事案の再発防止策の検討及び実施に必要な措置を速やかに講ずる。
(5) 影響を受ける可能性のある本人への連絡等
漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係等について、速やかに本人へ連絡し、又は本人が容易に知り得る状態に置く。
報告義務について
個人情報取扱事業者は、漏えい等事案が発覚した場合は、原則として、その事実関係及び再発防止策等について、個人情報保護委員会等に対し速やかに報告することが必要です。
もっとも、漏えい等事案に係る個人データ又は加工方法等情報を第三者に閲覧されないうちにすべてを回収した場合など、実質的に個人データ又は加工方法等情報が外部に漏えいしていないと判断される場合には上記報告は不要であるとされています。
なお、委託先において個人データの漏えい等の事故が発生した場合には、委託先から速やかに報告を受け、医療・介護関係事業者としても事業者内における事故発生時の対応と同様に、「個人データの漏えい等の事案が発生した場合等の対応について」(平成29年個人情報保護委員会告示第1号)に基づき、迅速かつ適切に対応することが必要です。
このためには、業務を委託する際に、委託先において個人データの漏えい等の事故が発生した場合における委託先と医療・介護関係事業者との間の報告連絡体制を整備しておくことが必要なのです。