【名南経営の人事労務コラム】第4回　職場の情報管理対策

医療機関や福祉施設においては、日常的に様々な個人情報を取り扱います。健康状態を中心に何らかの事情を抱えている方が通うわけですので、当然といえば当然でしょう。そうした情報の中において、特に病歴や服用薬といったような情報は極めて重要な機密情報であり、如何なる場合においても決して漏えいするようなことがあってはなりません。

そうした背景もあり、通常は、個人情報に関しての保護方針を定め、その取扱い範囲や責任者等を明確にし、文書化したものを施設内に掲示したり、施設のホームページ上にも公表をしたりしています。

同時に、個々の職員に対しても入職時に誓約書を提出してもらい、その誓約書には守秘義務について記載されていることが一般的であるため、多くの医療機関や福祉施設では、十分な対策を講じていると認識している傾向があります。

こうした運用上の流れを更に強化する動きが生じたのが2015年（平成27年）10月より開始したマイナンバー制度（社会保障・税番号制度）です。物理的な対策はもちろんのこと、教育といった組織的な対策、システム面の技術的な対策等を講じることが求められ、情報管理対策は、一層の強化が進みました。

しかしながら、現実的には情報管理対策が本当に充分であるのか疑念を抱くような光景を目にすることが少なくないのが現状です。例えば、医療機関や福祉施設の近隣の飲食店において、職員らしき人が特定できるような患者や利用者等の話をしていたり、家族経由で近所の人の入院情報が入ってきたり等といったことは多くの人がそうした状況に遭遇したことはあるのではないでしょうか。

また、自宅で仕事をするということで、職場で利用している資料データを個人のメールアドレスに転送したり、ＵＳＢメモリに許可なくデータを移して持ち帰ったりといったようなことで自宅の個人の所有するパソコンに患者や利用者の個人情報が入っているということもあるのではないでしょうか。

こうした問題に対しては、大企業であればネットワーク上のセキュリティを強化して、データを持ち出したりすることができないように対策を徹底している傾向が強いのですが、中小規模の医療機関や福祉施設では、そこまでの対策は講じていないことから、情報漏えいが容易に起こりやすい環境となっています。

中には、職員が退職する際に、これまで自分が作成したデータファイルを著作権は私にあるとのことでデータを持って退職をすることもあり、個人情報保護方針の掲示があまり意味のないものとなっているケースも散見されます。

更には、最近は誰もがスマートフォンやタブレット端末を持つ時代となり、何かメモをすることが面倒であるとのことで写真を撮ることはよくあることですが、実は職場が貸与したスマートフォン等ではなく、個人所有のスマートフォン等で行われていることもあります。個人所有のスマートフォン等に職場の機密情報のデータが入っているというのは、考えただけで冷や汗が出るものですが、残念ながら多くの職場においてこうしたことが行われているのが実態ではないかと思います。

こうした一連の対策として有効なのは、情報管理規程の整備です。情報の持出しやデータの取扱い、更にはスマートフォン等の管理に至るまで、様々な角度から情報管理の在り方を改めて見直しルール化することで情報の多くは保護できるものと考えられ、掲示している個人情報保護方針とも一連性を持つものになるものと考えられます。