令和4年度より全面施行される個人情報保護法改正の内容

個人情報保護法とは

現行の個人情報保護に関連する法律は、デジタル社会の進展に伴い個人情報の利用が著しく拡大していることを受け、個人の権利を守るために行政や一部の民間事業者が遵守すべき義務を定めており、平成15年度に制定し平成17年度に全面施行されました。

その後も定期的に改正が行われており、現在は国や地方公共団体だけでなく「すべての民間事業者」が対象です。つまり、介護事業所においてもすべての事業所が個人情報保護法を遵守する必要があります。

個人情報とは生存する個人の情報（故人は含まない）であり、特定の個人を識別できるものすべてが該当します。氏名や住所、電話番号だけでなく顔写真や動画、マイナンバーなどが広く個人情報として扱われます。

介護事業所における個人情報とは

介護事業所における利用者の個人情報とは、その業務内容の性格から非常に多岐に渡ります。フェイスシートに記載されていると思われる利用者の氏名、住所、家族の構成や連絡先、かかりつけ医の名称や住所や、介護保険証の被保険者番号などは当然ですが、介護サービスの提供に必要な個人情報が圧倒的に多いのです。

介護事業所は利用者の生活のニーズを把握し、そのニーズを叶えるために必要な支援を明確にする必要があります。必要な支援を導くためには利用者がどのような人であるかを理解することが大切であり、そのためには「利用者が今のニーズに至るために、どのような考え方、生き方をしてきたか」を明らかにできる情報を必要とします。つまり生い立ちから介護が必要な状態となった現在まで、利用者の人生にまつわるすべての情報が介護事業所にとっては必要な情報となります。そして、それらはすべて個人を明確にするための情報、つまり個人情報です。

また、日々のケアの記録は介護事業において非常に重要なものですが、それらもすべてが個人情報として扱う必要があります。簡潔にいえば介護事業所にとって、利用者にまつわるすべての情報は個人情報に該当するとの認識が重要です。

個人情報保護法改正が令和4年度に全面施行

個人情報保護法は制定後も時代背景に沿った改正が定期的に実施されており、前回改正が行われた令和2年度の改正について、令和4年度4月に全面的に施行される運びとなっています。

どのような内容であるかを一部紹介しますので以下を見てみましょう。

個人の権利の在り方

利用停止・消去等の個人の請求権についての要件を緩和する

本人が保有個人データの利用停止・消去・第三者への提供の停止を請求できる要件が緩和されます。旧法では個人情報を目的外利用した場合や不正に取得した場合に停止や消去を求めることができるとしていましたが、新法ではそれに加え個人情報を事業者が利用する必要がなくなった場合、漏えいが生じた場合、違法又は不当な行為を助長し又は誘発するおそれがある方法で利用した場合といった本人の権利利益が害されるおそれがある場合に停止や消去を求められる以外に、第三者への提供も停止するよう求められることになります。

また第三者に提供した記録については旧法では開示請求の対象ではありませんでしたが新法では対象となります。

保有個人データの開示方法について電磁的記録の提供を含め、本人が指示できるようにする

本人からの情報開示請求があった場合、旧法では原則として書面での交付とされていましたが、デジタルでの開示も認められるようになります。あくまでも本人が指示できるものですので、事業者が判断できるものではないことに注意が必要です。

6ヶ月以内に消去する短期保存データについても保有個人データに含めることとし、開示、利用停止等の対象とする

保有個人データとは個人情報を取り扱う事業者が保有する利用者情報のうち、情報の開示・修正・削除に応じる権限をもつデータのことです。

旧法では6ヶ月以内に消去する予定のデータについては保有個人データとならず、開示・修正・削除に応じる必要はないものとされていましたが、この度の改正で6ヶ月以内であっても保有個人データと認めることとなります。

不正取得された個⼈データ、オプトアウト規定により提供された個⼈データのオプトアウト規定による提供を禁⽌する

オプトアウト規定とは本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目等を公表等した上で、本人の同意なく第三者に個人データを提供できる制度ですが、新法ではオプトアウト規定により情報提供を受けた第三者がさらに第三者に情報提供することが禁止されます。

事業者の守るべき責務の在り方

漏えい等が発生した場合の委員会への報告及び本人への通知を義務化する

利用者情報を漏えいさせた場合、旧法では個人情報保護委員会への報告や本人への通知は義務ではありませんでしたが、新法で義務化されます。

不適正な方法により個人情報を利用してはならない旨を明確化する

旧法では違法・不当な行為を助長・誘発するおそれがある方法によって個人情報を利用することを禁止することがはっきりと提示されていませんでしたが、新法では禁止されます。

事業者による自主的な取組を促す仕組みの在り方

認定団体制度について、特定分野を対象とする団体を認定できるようにする

認定団体制度とは、対象事業者の全ての分野における個人情報等の取扱いを対象とする団体に対して認定を行う制度でしたが、特定の事業分野のみを対象とした団体も認定できるようになります。介護には介護に特化した個人情報保護団体である指定も受けられるようになるということです。

データ利活用に関する施策の在り方

氏名等を削除した「仮名加工情報」を創設と、開示・利用停止請求への対応等の義務を緩和

旧法では個人情報を暗号化などにより個人と識別できないようにしても、個人情報であることは変わらないため目的以外の使用はできませんでした。情報を有効活用するイノベーションの観点から、個人を特定できないよう加工した情報を、内部の分析等に使用する場合に限り個人情報の取り扱い義務が緩和されます。

提供先において個人データとなることが想定される情報の提供について、本人同意が得られていること等の確認を義務付ける

提供する個人データが個人を特定できるものではないとしても、提供した先で個人データとなることが考えられる場合、本人の同意を得ているかを確認することが義務付けられます。

ペナルティの在り方

命令違反・虚偽報告等の法定刑を引き上げる

個人情報を適切に扱わなかった場合等の個人情報保護法違反について、措置命令に従わなかった場合や報告を行わなかった場合の法定刑や罰金刑が引き上げられます。特に個人情報データベースの不正流用については旧法では50万円以下の罰金でしたが新法では1億円以下の罰金と大幅な厳罰化が図られました。

なお、法定刑の引き上げについては令和2年12月12日に施行されています。 ペナルティの対象は法人だけでなく、従業員個人に課せられることもありますので気を付けましょう。

法の域外適用・越境移転の在り方

個人情報等を取り扱う外国事業者を、罰則によって担保された報告徴収・命令の対象とする

旧法では日本に住む方を対象とした個人情報を取り扱う外国事業者については個人情報保護法の対象外となっている面があり、命令、報告徴収、立ち入り検査の対象外でしたが、新法では外国事業者も対象となります。

外国にある第三者への個人データの提供時の本人への情報提供の充実等を求める

個人データを外国にある第三者へ提供する場合、本人の同意に基づき行うと共に、提供する国の名称や個人情報保護規定など本人への情報提供を充実するよう求められます。
また情報提供者の責務として適正な取扱いの継続的な確保が困難な場合は個人データの提供を停止するよう求めることとされます。

事業所の責務として個人情報は安全に管理する必要がある

個人情報とみなされる対象が拡大したり違反時のペナルティが厳罰化したりと、取り扱いに細心の注意を要する個人情報について、個人情報取り扱い事業者はその安全について適切な「安全管理措置」を講じることが義務付けられています。組織的安全管理措置、物理的安全管理措置、人的安全管理措置、技術的安全措置という4つの措置に対してそれぞれ必要であり、講じた措置に従って従業員一人ひとりが正しく個人情報を取り扱えるようにするには、事業所が個人情報データの適切な管理や扱い方のルールを明確に定めることが肝要といえます。

自事業所の個人情報の管理方法は適切であるのか、さらに安全性を高める方法はないのか、この機会に見直すのもよいでしょう。

介護事業所で特に注意すべき点を解説！

お役立ちガイドはこちら

まとめ

ご覧いただきありがとうございました。日本のみならず全世界でデジタル化が推進される中、個人情報の取り扱いは介護事業者にとっても新法に則った対応が求められます。令和4年度4月から全面施行される内容をしっかり確認して適切に法を遵守していきましょう。

当コラムは、掲載当時の情報です。

参考URL

個人情報保護委員会：「個人情報の保護に関する法律等の一部を改正する法律」の公布について