福祉業界でISO27001が重宝される背景

無題5

介護業界では利用者本人の個人情報のみに留まらず、家族の情報も取り扱うため、管理体性が重要となります。また、介護業界ならではの情報管理も含まれているため、一般的にいわれる個人情報の管理とどう異なるのか明確にしなければなりません。介護特有の情報内容や、管理体制について紹介します。

福祉業界では個人情報を適正に取り扱う必要がある

まず介護業界特有の個人情報を知らなければなりません。個人情報とは生存する個人に対する情報であり、亡くなった方に対しては対象外です。たとえば氏名、性別、生年月日、住所など個人を特定する内容が含まれます。個人の身体や財産、職種、肩書きなどに対し、事実や判断、評価を表す内容も当てはまります。情報とは文字として表すもののみに留まらず、生存者の映像や音声による情報も含める必要があります。なお死者個人の情報については、法律の対象外です。

これらのことを考えると、介護業界では個人の情報に対しほとんどが当てはまるといえます。現代では情報の多くをコンピュータで管理しており、過去のデータも長期間保存できることから、管理を徹底しなければなりません。また、介護業界で特殊となる情報も多くあります。ディサービスで使用した送迎管理表、訪問先の情報、利用中の介護サービスの内容などです。ヘルパーが訪問先にこれらの情報を持参することも多く、うっかり紛失したり、他人に情報を漏えいしたりすれば、適切な管理ができていないことになります。

福祉の面では一般的な個人情報といわれる内容以外にも多く取り扱いがあります。個人の身体状態、利用者のサービス内容、ケアマネージャーが作成した介護プラン、介護サービス計画書、リハビリ評価や計画なども当てはまります。また、注意したいのが福祉施設での個人写真や音声を録音したものでしょう。福祉施設では日常的にさまざまなイベントが開催されており、それを便りにして掲示することがあります。個人が作成した作品を記念に残そうと撮影した映像や画像も、管理を徹底すべき情報に含まれるのです。

福祉業界で持つべき個人情報取り扱いの姿勢

福祉の現場では多くの情報を取り扱うため、単に個人を特定できるコンピュータ内のデータを厳重に管理するだけでは不十分です。情報によっては福祉業者間でやり取りされることや、ヘルパーが持ち出して使用することもあります。そのため、介護業界で働く人たちは、それぞれ1人1人が個人情報を取り扱う対象者だという認識を高め、教育体制を強化する必要があるでしょう。取り扱う対象が広範囲であること、容易に持ち出しが可能な情報も多く含まれていること、家族以外に知られてはいけない個人のプライバシーに係る情報があること、第三者と情報を共有することが多いことなどが、教育体制を強化する理由です。スタッフ1人でも認識が欠けていれば、「これくらいいいだろう」という考えを持ちやすく、安易に情報漏えいに繋がります。

また、福祉施設のなかには、小規模な事業所で情報管理の認識が欠けている場合もあります。新たな参入者で数人規模にて営業していれば、情報は持ち出しが容易な書類で作成され、IT化が遅れ適切な対応ができない場合もあるでしょう。小規模の事業所であれば、情報漏えいに関する投資額も必然的に低下してしまい、アナログな管理方法では1人の甘い姿勢があるだけで、容易に情報は漏えいしてしまいます。

福祉業界で個人情報保護を積極的に行う大切さ

個人情報を管理するうえで対応したいのが、国際規格であるISO27001です。ISO27001とは、情報資産活用を効率よくするための情報セキュリティマネジメントシステムに関する審査です。ISMSの国際規格となっており、情報の機密性、安全性、可用性の3つの要素をバランスよくマネジメントしながら、組織が情報を有効に活用するためにあります。ほかにもプライバシーマーク制度やJAPICOロゴマーク付与制度を利用する方法もあります。

まず個人情報保護方針を文書化、周知、見直しをします。さらに情報の調査、見直しをしていき、細かい部門ごとにすべての情報を洗い出してください。情報の内容を確認しながら、保管方法や廃棄方法を統一します。同時に紛失や漏えいなどのリスクがないか評価しなければなりません。それに基づき保護の計画を立て、扱う情報の範囲を明らかにし、内部規定を定めます。内部の人間に対する教育方法や監査の計画も立てていきましょう。

計画が明確になったら次は実行に移していきます。情報を管理する役割を明らかにし、適正に管理できるよう取引業者を選定して契約書を交わします。教育では1人1人の姿勢を変えるため、教育プログラムを作成し全スタッフに受講してもらいます。その後ISO27001の審査登録に進み、第一回定期審査、第二回定期審査、更新審査という流れです。ISO27001の審査を受けるには、マネジメントシステムの確立、導入及び運用、監視および見直し、維持および改善というサイクルになります。

介護業界では多くの個人情報を扱い、多くの人が情報を管理しなければならないため、情報をすべて洗い出しどのように管理するのか明確にしなければなりません。そのうえでスタッフ1人1人の姿勢を強化し、すべての人が情報を取り扱う認識を高める必要があるのです。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

関連するおすすめ記事