制度・学術
児発・放デイの個人情報保護と記録管理 — 漏洩防止と法定保管期間
児発・放デイの個人情報保護(個人情報保護法+児童福祉法)、記録の法定保管期間5年、職員のSNS禁止事項、漏洩発生時の対応、記録のデジタル化時の注意点を実務目線で完全解説。
児発・放デイは、障害のある児童の発達状況・診断名・家庭環境・服薬情報など、極めてセンシティブな個人情報を日々取扱う事業所です。個人情報保護法と児童福祉法の二重規制下にあり、記録の法定保管期間や職員のSNS利用ルール、漏洩発生時の対応手順までを管理者・児発管・現場指導員が理解しておく必要があります。本記事では、児発・放デイの現場で本当に必要な個人情報保護と記録管理の実務を整理します。
個人情報保護の3つの法的根拠
児発・放デイの個人情報取扱いは、以下の3つの法令・ガイダンスが重層的に適用されます。それぞれの「何を守るか」を理解しておくことが第一歩です。
| 法令・ガイダンス | 主な要求事項 | 対象 |
|---|---|---|
| 個人情報の保護に関する法律 | 利用目的の特定・通知、適正取得、安全管理措置、第三者提供の制限 | 全事業者(個人情報を扱う限り) |
| 児童福祉法施行規則 第36条の34 | 記録の整備義務、5年間の保管義務 | 指定通所支援事業者 |
| 厚労省ガイダンス(医療・介護関係) | 従業者教育、漏洩時対応、委託先監督等の具体策 | 医療・介護・福祉事業者 |
児童の情報は「要配慮個人情報」(障害・診療情報を含むため)に該当し、本人または法定代理人(保護者)の同意なしの取得は原則禁止です。
児童福祉法上の記録保管(5年)
児童福祉法施行規則 第36条の34により、指定通所支援事業者は支援に関する記録を整備し、その完結の日から **5年間** 保存する義務があります。実地指導(運営指導)で必ず確認される項目で、保管漏れは指定取消・報酬返還リスクに直結します。
5年保管が必要な主な記録
- 個別支援計画(原案・本計画・モニタリング記録)
- サービス提供記録(日々の支援内容・児童の様子)
- 支援会議の議事録
- 保護者との連絡記録・苦情対応記録
- 事故・ヒヤリハット報告書
- 身体拘束等の適正化に関する記録
- 請求関係書類(報酬請求書・受給者証コピー等)
「完結の日から5年」がポイント。退所後5年ではなく、その記録単体が完結した日(計画なら次の計画策定日、日々記録なら記載日)から起算します。
職員のSNS禁止事項
児発・放デイの個人情報漏洩で最も多いのが、職員のSNS投稿による意図しない漏洩です。「かわいい子だった」程度の善意の投稿でも、施設名・地域・特徴が組み合わさると個人特定に至り、個人情報保護法違反になり得ます。就業規則と誓約書で明確に禁止しておくべき事項を整理します。
絶対NGの投稿パターン
- 児童の顔・後姿・服装が判別できる写真の投稿(モザイクをかけても背景で特定されることあり)
- 児童の名前・あだ名・イニシャル・診断名の言及
- 施設名+児童の様子の組み合わせ投稿
- 保護者とのやり取りの一部抜粋・スクリーンショット
- 同僚や上司の個人を特定できる愚痴・暴露
- 事業所内で撮影した動画・写真の私的アカウントへの転載
誓約書で明文化すべき項目
- SNS・ブログ・チャットアプリでの業務上知り得た情報の発信禁止
- 私物スマートフォンでの児童撮影禁止
- 事業所内データのUSB持出禁止、私物クラウドへの保存禁止
- 退職後も守秘義務が継続することの明示(期限の定めなし)
- 違反時の懲戒処分・損害賠償の可能性の明示
保護者同意の取り方
個人情報の取得・利用には、保護者(法定代理人)の同意が原則必要です。契約時に一度同意を取って終わりではなく、利用目的ごと・第三者提供ごとに同意の範囲を明確にしておくことが重要です。
| 同意が必要な場面 | 同意書の例 | 備考 |
|---|---|---|
| 契約時の基本同意 | 個人情報利用目的同意書(支援計画作成・関係機関連携等) | 入所時に必ず取得 |
| 医療機関への情報提供 | 医療連携同意書(主治医意見書取得・診療情報共有等) | 医療機関名・情報範囲を明示 |
| 学校・保育園との連携 | 関係機関情報共有同意書 | 相手機関名・共有する情報を列挙 |
| 写真・動画の活動内利用 | 記録用写真撮影同意書 | 事業所内利用のみか・広報利用も含むかを区別 |
| ホームページ・SNS掲載 | 広報利用同意書(別途取得) | 個別にON/OFF選択可能にする運用が望ましい |
同意書は「包括同意」ではなく「項目別同意」が原則。一括チェックではなく、項目ごとにチェックボックスを設け、保護者が選択できる形にしてください。
漏洩発生時の対応
令和4年4月施行の改正個人情報保護法により、一定の漏洩等が発生した場合、個人情報保護委員会への報告と本人(保護者)への通知が義務化されました。児発・放デイは「要配慮個人情報」を扱うため、1件の漏洩でも報告義務の対象になり得ます。
報告義務の対象となる漏洩
- 要配慮個人情報の漏洩(児童の障害情報・診療情報を含む書類紛失等は1件でも対象)
- 財産的被害が生じるおそれがある漏洩(マイナンバー・口座情報等)
- 不正アクセス等(故意による外部攻撃)による漏洩
- 1,000件を超える漏洩
漏洩発生時の対応フロー
- 【即時】事実確認(何が・誰の情報が・どこに漏れたか)、二次被害防止(回収・削除依頼・パスワード変更等)
- 【3-5日以内】個人情報保護委員会への速報(オンラインフォームで「漏えい等の発生及びその概要」を報告)
- 【30日以内】本人(保護者)への通知(漏洩した情報内容・原因・再発防止策を文書で)
- 【60日以内】個人情報保護委員会への確報(原因・対応・再発防止策の詳細)
- 【並行】指定権者(自治体)への報告(運営基準上の事故報告に該当する場合)
個人情報保護委員会への報告を怠ると、指導・勧告・命令の対象となり、命令違反は1年以下の懲役または100万円以下の罰金(法人は最大1億円)。「小さな漏洩だから」と隠す判断が最大のリスクです。
記録のデジタル化時の注意点
紙の記録からクラウドサービス・タブレット入力への移行が進む中、デジタル化特有のリスク管理が必要になります。クラウドベンダー選定とUSB・私物デバイスの運用ルールが二大論点です。
クラウドサービス利用時のチェック項目
- データセンターの所在地(国内サーバーが望ましい、海外サーバーの場合は「外国にある第三者への提供」として保護者同意が必要)
- 暗号化(通信時SSL/TLS、保存時AES-256等)の実施有無
- アクセス権限管理(役職別の閲覧制限、操作ログ記録)
- 2要素認証の対応有無
- 事業者のプライバシーマーク・ISMS認証の有無
- 契約終了時のデータ削除証明書の発行
- 個人情報の取扱いを定めた契約書(委託契約・覚書)の締結
USB・私物デバイスのルール
- 【原則禁止】私物USB・私物PCへの記録の保存・持出禁止
- 【業務用USB使用時】暗号化機能付きUSB限定、持出簿への記録、紛失時の即時報告体制
- 【私物スマホ】業務上の写真撮影禁止、業務用LINE等のグループへの個人アカウント参加禁止
- 【BYOD許可時】MDM(モバイルデバイス管理)導入、リモートワイプ機能の確保
- 【退職時】私物デバイス内の業務データ削除確認、誓約書取得
退職職員の対応
退職時こそ個人情報漏洩のリスクが高まる場面です。「辞めた後にSNSに書いた」「私物PCにデータが残っていた」というケースが後を絶ちません。退職時に必ず実施すべき手順を整理します。
退職時のチェックリスト
- 業務関係データ(USB・紙資料・名刺等)の全返却
- 私物PC・スマホ内の業務データ削除(同席確認)
- 業務用アカウント(クラウド・LINE・メール等)のアクセス権限即時剥奪
- 退職後守秘義務誓約書の取得(退職後も期限なしで継続する旨を明記)
- 違反時の損害賠償可能性の説明
- 社内SNS・グループチャット等からの除外
退職後の守秘義務は、特約がなくても信義則上認められる(裁判例多数)が、誓約書で明文化することで損害賠償請求時の立証が容易になります。雛形は社労士・弁護士に確認の上、自所の運用に合わせてカスタマイズを。
個人情報保護と記録管理は「事務的な手続き」ではなく、児童と保護者からの信頼を守る事業の根幹です。法令遵守の最低ラインを押さえた上で、職員教育・誓約書整備・デジタル化時のベンダー選定までを管理者と児発管が主導することで、漏洩リスクを構造的に下げられます。年1回の研修と定期的な誓約書見直しを習慣化することをおすすめします。