制度・学術
個人情報保護 研修と漏洩事故対応 — 児発・放デイで使える研修設計と72時間フロー
個人情報保護法第26条の漏洩等報告義務、児発・放デイ特有の機微情報リスク、年1回の法定研修構成、漏洩発覚から72時間以内の個人情報保護委員会への速報まで、管理者がそのまま使える形で整理。要配慮個人情報を扱う事業所の必須ナレッジ。
児童発達支援・放課後等デイサービスが取り扱う情報は、児童氏名・生年月日・住所だけでなく、診断名・障害程度区分・療育歴・家庭環境・服薬情報といった「要配慮個人情報」(個人情報保護法第2条第3項)が中心です。USBメモリ紛失や誤送信が1件発生するだけで、個人情報保護委員会への報告義務(令和4年4月施行・改正法第26条)が発生します。本記事では、児発・放デイの管理者が事業所内で実施できる個人情報保護研修の構成と、万が一の漏洩発覚時の72時間以内対応フローを、条文と実務手順に落とし込んで解説します。
児発・放デイで扱う「要配慮個人情報」の範囲
個人情報保護法第2条第3項は、要配慮個人情報を「不当な差別、偏見その他の不利益が生じないようその取扱いに特に配慮を要するもの」と定義し、政令で病歴・身体障害・知的障害・精神障害(発達障害を含む)等を列挙しています。障害福祉サービス記録のほぼすべてが要配慮個人情報に該当する前提で運用設計してください。
- 受給者証情報(支給量・支給期間・自治体名)
- 医師の診断名(自閉スペクトラム症・ADHD・知的発達症等)
- 療育手帳・身体障害者手帳の等級
- 服薬情報(向精神薬・てんかん薬の処方)
- 家庭背景(離婚・経済状況・要保護児童対応歴等)
- 心理検査・発達検査の結果(田中ビネー・WISC等)
- 個別支援計画書本体(目標・支援内容)
法定研修としての位置づけ(年1回・記録5年保管)
指定通所支援事業等の人員、設備及び運営に関する基準(平成24年厚生労働省令第15号)第33条は、秘密保持と個人情報保護の措置を求めています。個人情報保護法そのものに「年1回」の明文義務はありませんが、個人情報保護委員会ガイドライン(通則編)の安全管理措置では「従業者の教育」が必須項目とされており、年1回以上の研修実施と記録保管(5年)が実地指導の事実上の基準です。
60分版 個人情報保護研修 標準構成
入職時の新人研修と、年1回の全体研修の両方で使い回せる60分構成です。法令解説25分、事例ワーク25分、まとめ10分の配分。
| 章 | 時間 | 主な内容 |
|---|---|---|
| 1. 個人情報保護法の枠組み | 8分 | 個人情報・個人データ・要配慮個人情報の定義(第2条)、本人同意原則(第18条) |
| 2. 児発・放デイ特有のリスク | 10分 | 送迎時の児童氏名呼称、連絡帳の置き忘れ、写真撮影、SNS投稿 |
| 3. 安全管理措置の4類型 | 7分 | 組織的・人的・物理的・技術的安全管理措置の具体例 |
| 4. 漏洩等事案の事例検討 | 15分 | 実際の漏洩事例3例(USB紛失・誤送信・SNS投稿)を3-4人グループで判定 |
| 5. 漏洩発覚時の72時間フロー | 10分 | 個人情報保護委員会への速報義務・本人通知義務(第26条) |
| 6. 自事業所の管理ルール再確認 | 7分 | 持ち出しルール・パスワード規定・写真台帳の運用 |
| 7. 修了確認テスト | 3分 | 要配慮個人情報の例示・通報先・本人同意の例外3問 |
事例ワークで使える典型シナリオ
事例は「明らかなNG」だけでなく「グレーゾーン」を必ず混ぜます。職員が「これは大丈夫だと思っていた」行為こそが漏洩の原因です。
- 【誤送信】保護者A宛のメールに、保護者Bの連絡帳PDFを誤って添付して送信した
- 【SNS投稿】職員が自分のInstagramで「今日の◯◯くんが可愛かった」と児童名を伏せて投稿。背景に他児が映り込み
- 【口頭漏洩】送迎車内で職員2名が「◯◯ちゃんは服薬してるから〜」と児童本人がいる前で話した
- 【USB紛失】個別支援計画書のExcelを入れたUSBメモリを職員が紛失。パスワードなし
- 【写真持ち帰り】支援中の児童写真を職員が個人スマホで撮影し、退勤後も自宅で保管
- 【目的外利用】保護者から提供された診断書のコピーを、同意なく別の加算申請書類に使用
漏洩発覚から72時間以内の事故対応フロー
改正個人情報保護法第26条(令和4年4月施行)により、要配慮個人情報を含む漏洩等は、発覚から3-5日以内の速報、30日以内の確報を個人情報保護委員会に行う義務があります。要配慮個人情報1件でも報告対象です。発覚した瞬間から時計が動き始めるため、最初の72時間で何をすべきかを定型化しておきます。
| 経過時間 | アクション | 対応者 |
|---|---|---|
| 発覚〜1時間 | 事実確認、漏洩範囲の特定、情報管理責任者へ第一報 | 発見者・直属上司 |
| 1〜6時間 | 対象児童・保護者リスト確定、二次被害防止措置(回収・アクセス遮断) | 管理者・情報管理責任者 |
| 6〜24時間 | 個人情報保護委員会への速報準備(様式入手・原因記載)、本人通知文書ドラフト | 管理者 |
| 24〜48時間 | 個人情報保護委員会への速報送信(オンライン報告フォーム使用) | 管理者 |
| 48〜72時間 | 本人(保護者)への通知発送、自治体障害福祉課への情報共有 | 管理者 |
| 発覚後30日以内 | 確報を個人情報保護委員会へ送信、再発防止策策定 | 管理者・情報管理責任者 |
本人(保護者)への通知は、漏洩の状況・原因・二次被害の有無・問い合わせ窓口の4点を最低限含めること。「ご迷惑をおかけし申し訳ありません」だけの文面は不十分で、個人情報保護委員会の確報時に「本人通知内容」として評価対象になります。
本人同意を得ずに第三者提供できる例外(法第27条第1項)
研修で必ず触れるべきが「同意不要で提供できる5例外」です。職員が「同意がないから連携できない」と誤解して支援が止まる事例が多発しています。
- 法令に基づく場合(虐待通報・感染症届出等)
- 人の生命・身体・財産の保護に必要かつ本人同意を得ることが困難なとき(救急搬送等)
- 公衆衛生の向上・児童の健全な育成に特に必要かつ本人同意を得ることが困難なとき(要対協への情報提供等)
- 国・地方公共団体への協力で本人同意を得ることで遂行に支障が生じるおそれがあるとき
- 学術研究機関等が学術研究目的で必要なとき(個人を識別不能化済の場合)
個人情報保護研修は年1回の法定研修としてROOTS Work|研修で実施できます。漏洩事故対応テンプレ・本人通知文書ひな型・委員会報告フォーム解説までパッケージ化済み。修了証PDFと議事録PDFが自動発行され、実地指導書類にそのまま使えます。
安全管理措置の4類型を自事業所に落とし込む
研修だけでは不十分で、日常運用に「物理的・技術的・組織的・人的」の4類型の措置が組み込まれていないと、研修内容が実装されません。最低限のチェックリストを年度初頭に整備してください。
| 類型 | 具体的措置 | 児発・放デイの例 |
|---|---|---|
| 組織的 | 責任者の選任、規程整備 | 情報管理責任者の選任、個人情報保護規程・SNS利用規程 |
| 人的 | 従業者教育、誓約書 | 入職時誓約書、年1回の法定研修、退職時の返却確認書 |
| 物理的 | 盗難・紛失防止、施錠 | 記録棚施錠、USB持ち出し原則禁止、送迎車内の児童名簿は持ち出さない |
| 技術的 | アクセス制御、ウイルス対策 | パスワード管理、業務PCのウイルス対策、私用端末禁止 |
研修記録の残し方
虐待防止研修・身体拘束適正化研修と同様に、実施日時・場所・受講者一覧・テーマ・配布資料・修了確認テスト結果を一括で5年保管します。欠席者には録画視聴または個別面談で補講を実施し、補講記録も残します。研修記録の体裁を統一しておくと、実地指導で複数研修を一覧表示できて指摘されにくくなります。
要配慮個人情報を日常的に扱う児発・放デイは、医療機関と同水準の情報管理体制を求められています。「うちは小さい事業所だから」は通用しません。年1回の研修+72時間フロー+4類型安全管理措置の三点セットを今期から組み込み、職員と児童・保護者の双方を守る運用を定着させてください。