・健保連など、ウイルス感染 情報流出は確認されず|日本経済新聞
■参考
・日本年金機構で125万件の個人情報漏洩事故が発覚
厚労省は、「個人情報の流出は確認できていない」としているそうですが、記事によると、「2台で不審なプログラムが見つかった。12日には他の8台でも不審な外部アドレスと通信した形跡があった。」という状況であったそうで、事態は厚労省の発表より深刻のように思われます。
「思想、信条、宗教、病気及び健康状態、犯罪の容疑、判決及び刑の執行並びに社会的身分に関する個人情報」をセンシティブ情報(機微情報)と呼びます。
これらの情報は、個人情報のなかでも特に社会的差別をもたらす危険性が高いため、取得、利用などの各場面で厳格な取扱いが必要とされています(宇賀克也『個人情報保護法の逐条解説[第4版]』227頁)。
医療機関や健康保険組合が持つ医療に関するデータや、日本年金機構がもつ障害年金に関するデータなどは、「病気及び健康状態」に該当し、まさに厳格な管理が必要なセンシティブ情報です。
個人情報保護法については、厚生労働省、金融庁、総務省、経済産業省などが、それぞれ監督する分野について、より細かい指針を定めるガイドラインを作成し、公表しています。
現行の個人情報保護法は、センシティブ情報に関する明文規定を置いていませんが、各監督官庁のガイドラインには、センシティブ情報の厳格な取扱いが規定されています。(たとえば、金融庁「金融分野における個人情報保護に関するガイドライン」6条。)
とくに今回問題となった医療分野については、厚生労働省が、つぎのようなガイドラインを作成し公表しています。
・「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」(PDF)
個人情報保護法20条は事業者に個人情報を守るために安全管理措置をとることを求めており、厚労省のガイドラインも法20条に対応してつぎのように規定しています。
『Ⅲ 医療・介護関係事業者の義務等
4.安全管理措置、従業者の監督及び委託先の監督(法第20条~第22条)
(1)医療・介護関係事業者が講ずるべき安全管理措置
①安全管理措置
「医療・介護関係事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のため、組織的、人的、物理的、及び技術的安全管理措置を講じなければならない。その際、本人の個人データが漏えい、滅失又はき損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個人データの取扱い状況等に起因するリスクに応じ、必要かつ適切な措置を講ずるものとする。」』
『(5) 個人情報の漏えい等の問題が発生した場合における二次被害の防止等
個人情報の漏えい等の問題が発生した場合には、二次被害の防止、類似事案の発生回避等の観点から、個人情報の保護に配慮しつつ、可能な限り事実関係を公表するとともに、都道府県の所管課等に速やかに報告する。』
冒頭の新聞記事によると、国立精神・神経医療研究センターはパソコンなどの情報端末にウイルス感染の疑いが発覚したと厚労省が発表したそうです。
この点、うえの厚労省の医療分野に関するガイドラインのⅢ4.(5)は、個人情報の漏えい等の問題が発生した場合には、二次被害防止、類似事案の発生回避等の観点から、「可能な限り事実関係を公表するとともに、都道府県の所管課等に速やかに報告する。」と規定しています。
本日、厚労省が事実を公表したということは、国立精神・神経医療研究センターは、主務官庁たる厚労省など関係官庁にはつつがなく報告・連絡したのでしょうが、「可能な限り事実関係を公表」の部分がまったく履行されていないのが気になります。国立精神・神経医療研究センターのサイトも見てみたのですが、やる気がまったく感じられません。
官民問わず、組織が自らの不祥事を公表したくないという心情はよくわかります。とはいえ、個人情報漏洩事故が発生した際に、それを早期に公開すべきとされているのは、まさにこの厚労省のガイドラインや、平成16年4月2日付閣議決定の「個人情報の保護に関する基本方針」にもあるとおり、「『二次被害の防止』と『類似事案の発生回避』」のためです。
つまり、「日本年金機構以外でも、公的機関で、外部の第三者からのメールに添付されたファイルを不用意に開いて、パソコン端末がウイルスに感染した」という事実を早期に公表すれば、官民とわず、パソコンを使っている職場で対策がとられ、類似事案の発生の危険性が低まることが期待できます。
(なお、とくに行政庁や公的機関が事故の公表に積極的でないということは、法令や主務官庁のガイドラインに反するだけでなく、最近何かと話題の、行政のトップたる内閣の意思決定である『閣議決定』にも反するということにもなります。)
さらに、「病気及び健康状態」についての医療に関する個人情報はうえでも見たように、個人情報のなかでもとくに保護すべきセンシティブ情報です。
また、医療に関する情報は、それだけですでにセンシティブ情報ですが、たとえばただ単に風邪を引いたという個人情報と比べて、現在もいわれなき差別を受けている病気、たとえばさまざまな障害や、HIV、精神病などの病歴は、同じ医療に関するデータのなかでも特に厳格に管理されるべきセンシティブ情報であるように思われます。
なぜなら、それらの情報が漏えいしてしまった場合、本人に社会的差別がなされてしまう危険が発生してしまうおそれが、他の傷病に比べてより高いからです。
にもかかわらず、今回の件に関して、そのようなとくにデリケートな精神疾患を扱う国立精神・神経医療研究センターや、その主務官庁である厚労省などが、被害の防止、問題解決および再発防止などに対して、ほとんどやる気になっていないようなのが気になります。
なお、このようなセンシティブ情報は、現行の個人情報保護法の本文には規定がなかったのですが、時代の要請を踏まえ、個人情報保護法の改正法案においては、「要配慮個人情報」という名称で明文化されることとなりました(改正法案2条3項)。
この個人情報保護法の改正法案は、マイナンバー法(番号法)の改正法案とセットで国会に提出されました。そして、これらの法案は、本年5月21日に衆議院を原案通り可決し、参議院に送られたそうです。
■参考
・【解説】個人情報保護法の改正法案について
・マイナンバー法(番号法)への民間企業の対策
ちなみに、これらの改正法案のうち、マイナンバー法の部分の改正は、従来のマイナンバー法が、税と社会保障を対象としていたところ、今回の法改正で、その対象を「銀行の預貯金口座」や「医療情報」にまで広げようとするものです。
そもそも、マイナンバー法の制定の際の議論では、医療に関する情報はとくにデリケートな情報であるから、マイナンバー制度とは切り離して考える、という方針であったはずでした。
それが「規制緩和、万歳!」とばかりに、ほんの1、2年で政府の方針がころころと変わってしまうことに驚きます。
また、2014年には民間部門でベネッセが大規模な個人情報漏洩事故を発生させただけでなく、本年6月には、公的部門において、日本年金機構が125万件におよぶ個人情報漏洩事故を発生させました。
■参考
・ベネッセにおける個人情報の漏洩について/安全管理措置と使用者責任
そして、今回、日本年金機構と主務官庁が同じである、健康保険組合連合会、国立医薬品食品衛生研究所、国立精神・神経医療研究センターでも、日本年金機構と同じ、標的型メールによるパソコンの端末の感染が判明したわけです。
そして、記事によると、とくに健保連合会については、「12日には他の8台でも不審な外部アドレスと通信した形跡があった。」という危険な状態であったそうです。
民間分野に対しても、公的分野に対しても、それなりにしっかりとした個人情報保護の法律とガイドラインは作成されており、個人情報情報事故に備えて、各種の安全管理措置が事業者に義務付けられてきました。
しかしマイナンバー制度施行前後6か月という現在になって、官民とベネッテ、日本年金機構、そしてこれは少し規模は小さいですが、国立精神・神経医療研究センターなどの不祥事が相次いで発覚したわけです。
これはつまり、日本は個人情報漏洩防止のために、一応、立派な法制度を用意しているのに、官民の多くの職場の現場では、そのような安全管理措置のルールが遵守されず、意味が無いものとなっいるということです。
このような安全管理に関する官民の取り組みがぼろぼろな状況下において、とくにセンシティブな個人情報である医療情報を、マイナンバー制度のシステムに接続してしまって大丈夫なのでしょうか。
一国民として、非常に心配です。
■参照
日本年金機構と同様に半官官民の組織であるかんぽ生命保険において個人情報保護を統括する、コンプライアンス統括部情報管理室におけるパワハラについてはこちらをご参照ください。
・日本郵政・かんぽ生命保険コンプライアンス統括部が非正規社員にパワハラ/ブラック企業
・再びかんぽ生命保険のコンプライアンス統括部内でのパワハラを法的に考える/ブラック企業
■参考文献
・宇賀克也『個人情報保護法の逐条解説[第4版]』50頁、227頁
・鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』130頁、224頁
・竹内朗・鶴巻暁・田中克幸・大塚和成『個人情報流出対応にみる実践的リスクマネジメント』19頁
法律・法学 ブログランキングへ
にほんブログ村