医療・介護関係事業者において個人データが漏えいしてしまった場合の対応はどのようにすればよいでしょうか。

「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」【各論】

＜安全管理措置、従業者の監督及び委託先の監督＞

Ｑ３－７

医療・介護関係事業者において個人データが漏えいしてしまった場合の対応はどのようにすればよいでしょうか。

Ａ３－７

医療・介護関係事業者は、漏えい等又はそのおそれのある事案（以下「漏えい等事案」という。）が発生した場合には、漏えい等事案の内容等に応じて、以下の各事項について迅速かつ適切に必要な措置を講ずる必要があります。

• ① 事業者内部における報告及び被害の拡大防止

  責任ある立場の者に直ちに報告するとともに、漏えい等事案による被害が発覚時よりも拡大しないよう必要な措置を講ずる必要があります。

• ② 事実関係の調査及び原因の究明

  漏えい等事案の事実関係の調査及び原因の究明に必要な措置を講ずる必要があります。

• ③ 影響範囲の特定

  上記②で把握した事実関係による影響範囲の特定のために必要な措置を講ずる必要があります。

• ④ 再発防止策の検討及び実施

  上記②の結果を踏まえ、漏えい等事案の再発防止策の検討及び実施に必要な措置を講ずる必要があります。

• ⑤ 個人情報保護委員会への報告及び本人への通知

  漏えい等事案が、要配慮個人情報が含まれる個人データの漏えい等であるなど、個人情報保護法施行規則第７条各号に定める事態に該当する場合には、個人情報保護法第２６条第１項及び同施行規則第８条に従って個人情報保護委員会に報告し、また、同法第２６条第２項及び同施行規則第１０条に従って本人に通知等をする必要があります。

また、要配慮個人情報が含まれる個人データの漏えい等に限らず、医療機関等においてコンピュータウイルスの感染などによるサイバー攻撃を受けた疑いがある場合にあっては、厚生労働省が策定している「医療情報システムの安全管理に関するガイドライン」に基づき、速やかに当該医療機関等から厚生労働省医政局特定医薬品開発支援・医療情報担当参事官室に連絡する必要があります。