スキップしてメイン コンテンツに移動

独習 こども性暴力防止法 | 第二十一回 障害児(者)福祉事業所では、情報管理措置は「見せない・残さない・広げない」を基本にする

害児(者)福祉事業所では、情報管理措置は「見せない・残さない・広げない」を基本にする


この記事は約3分で読めます。


お急ぎの方、ここだけは読んでください

  • 本稿で扱う「セキュリティ」の意味するところは、一般的な情報セキュリティ論ではなく、犯罪事実確認書やその内容に係る記録をどう管理するかという話です。
  • 犯罪事実確認情報については、原則、こまもろうシステム上で閲覧・確認することを主とし、事業所が管理するExcel台帳や、メモ書き、人事資料などに転記・転載を行わないことが推奨されます。
  • 小規模の障害福祉事業所では、権限を細かく分けて「情報漏洩をどう防ぐか」を考えることより、そもそも触れる人を増やさない方が実務に合うでしょう。
  • 目的外利用や第三者提供は禁止され、漏えい等の重大事態があれば、こども家庭庁への報告が必要です。場合によっては、刑事罰の対象、あるいは民事上の問題になり得ます。犯罪事実確認に関する情報は、それほどの重大性をもっています

シリーズ第21回目の本稿では、情報管理措置について見ていきます。この取り組みを一言で表すと、犯歴に関する極めて機微性の高い情報を、必要最小限の人だけが、情報を広げない形で扱うためのルールづくり、と言えます。

情報管理措置の出発点は、情報を増やさないこと

ガイドラインは、こまもろうシステムにログインすれば期限内はいつでも閲覧できることを前提に、情報の転記等による電子ファイルや紙の記録・保存・伝達・利用は極力行わないとしています。

実務上注意したいのは、「確認結果を見やすくまとめた別表」が、新たな管理対象になり得ることです。人事台帳、一覧表、メモ、紙の引継ぎ資料に内容を書けば、それは犯罪事実確認情報と同様の機微性を持つことになり、情報が複製されたことでその分だけ漏えい経路も増えます。逆にいえば、こまもろうシステム上で確認し、別記録を増やさない運用は、それだけで大きな情報管理措置になります。行政側が責任者一人のみ・システム上のみで当該情報を確認する形を推奨するのは、この発想に沿っています。

なお、いずれの従事者の犯罪事実確認が完了したかどうか、という確認作業の進捗を管理するための情報は、上記漏洩防止の対象とはなりません。

事業者はまず「誰が見るか」を決めてください

障害福祉の小規模事業所においては、情報へのアクセス制限について、複雑にしすぎない方が良いと考えます。少なくとも、誰でも見られる状態にしないこと、閲覧が必要な者を最小限に絞ること、施設の管理者ただ一人だけが閲覧できる状態では本当に運用がまわらないのか、などを検討します(まわるはずです)。

保存が必要な場合に備え、回収・保管・消去まで決める

情報管理措置というと、データの暗号化や多重認証を経たファイルへのアクセス、ファイアウォール等の話を想像しがちです。しかし、まっさきに押さえるべきなのは、余計な保存物を作らないことです。ガイドラインは、やむを得ず紙媒体へ記録する場合でも、利用終了後は速やかに回収し、廃棄又は厳重に保管することを求めています。前項の通り、基本は情報の複製は行わないことですが、どうしてもこれが必要な場合には、必要がなくなった時点で紙なら焼却・シュレッダー等の復元不可能な方法で滅却し、電子媒体であれば容易に復元できない手法で消去する必要があります。

このように、機密情報の扱いは「厳重な管理のもとに保管する」だけではなく、不要になったら確実に消去することまで計画しなければいけません。その意味においても、最も手離れの良い手法は、最初から情報を持たないことです。

目的外利用を防ぎ、漏えい時の報告に備える

犯罪事実確認記録等は、犯罪事実確認や防止措置を実施する目的以外には使えず、第三者提供についても原則禁止です。保護者から問い合わせがあったからといって、特定の従事者の犯歴の有無を答えてよいわけではありません。また、ある派遣従事者に関する情報についても、その派遣元等とのやり取りで機微製の高いこの情報を伝えて良いわけでもありません。

さらに、情報漏えい等の重大事案が起きた場合は、こども家庭庁への報告が必要です。まず、3〜5日以内に知った時点で把握している内容を速やかに報告します。その後、内容を整理した正式な報告を原則30日以内に行います。なお、不正アクセスなど、事業者に対するハッキング等による漏えいが疑われる場合は、60日以内に報告を行います。

まとめ

情報管理措置の要点は、犯罪事実確認情報を見せない・残さない・広げないことです。
障害福祉の小規模事業所では、権限を細かく分けるより、そもそも触れる人を最小限にする設計の方が現実的です。
また、目的外利用や第三者提供は禁止され、漏えい等の重大事態が起きた場合には、こども家庭庁への報告まで含めて運用を考えておく必要があります。
結局、この回で押さえるべきなのは、情報を厳重に保管すること以上に、最初から余計に持たないことです。




【免責事項】

本記事は、現時点で公表されているガイドライン、施行資料その他の公表資料に基づく内容です。今後、通知、Q&A、事務手続マニュアル、各種ひな型等で具体的な運用が補われる可能性があります。

Labels: