障害者施設職員が利用者など約1400人分個人情報持ち出し 1/20
https://www3.nhk.or.jp/lnews/tsu/20250120/3070014390.html
"
いなば園に勤める職員は令和4年8月と去年5月に、園が管理するサーバーにアクセスし、利用者やその保護者など1384人分の氏名や住所、生年月日などのデータを無断で複製し、持ち出していたということです。
サーバーは通常、一部の担当以外はアクセスできませんが、保守点検中に担当以外でも閲覧できる状態だったときに不正にアクセスしたということです。
内部調査などで判明し、これまでのところ漏えいに伴う被害は確認されていないということですが、施設ではアクセス権限を強化するなど、対策を講じたということです。
漏えいについてこの職員は「興味本位だった。とても反省している」と述べているということです。
"
いなば園といえば、虐待問題があり、実はこの件についてひとつ記事を書こうと思っていた矢先に、このような問題が起きました。
詳しくはこちらから
この件は次回に持ち越すとして、どうしてこうも社会福祉法人は個人情報リテラシーが低いのでしょうか?その理由を考えてみました。
根本的に抜けているもの
まず、社会福祉法人は事業を行えば自然に集まる情報に対して、どれほどの価値があるのかが理解できていません。情報=対価しかないと思っています。
自分たちは何も労せず集まった情報であり、すべてが普通だと思っています。いい意味でも悪い意味でもノーマライゼーションなんです。
一般的な人の中には、まだ福祉サービスを利用すること事態を「恥」だと感じている人がいることを、もう忘れているんです。なので、福祉サービスを利用している人たちの「認知症状でている」「障がい判定を持っている」という情報に意味や価値があるように感じていません。取り扱う危機感がないんです。
本当にごめんなさい。
監査資料も紙が主流
メールで監査資料を提出するなどにはなってきましたが、それでも現地監査の多くは印刷をされた資料である「紙」を確認することが一般的です。監査する側の所管庁もPCのセキュリティ対策にまで知識は及ばないというのが現状です。利用者処遇のスペシャリストの監査ですから、監査する側もそれらの運営に関する知識のプロフェッショナルなため、当たり前と言えば当たり前なんですが。
個人情報の取り扱いに関しては、法律上個人情報保護規程の策定は義務づけられていますが、ひな型である規程がざっくりしすぎているという問題もあります。
https://www.tcsw.tvac.or.jp/activity/documents/kojinjohokaiteian.pdf
簡単に言えば、運用向きな規程ではないんです。
そのため遵守基準の理解ができていないので、作っただけの社会福祉法人が多いのが現状です。
いつも書いていますが、こういうところも「監査」は万能ではない裏付けになります。
それほどお金も持っていない
一般の方でもお分かりになると思いますが、社会福祉法人はお金がありません。ざっくり言えばひと施設1億くらいの収入しかなく、その70%はだいたいが人件費です。そのためほぼ純利益と呼べるようなものは経常できません。ちょっとでも大規模な修繕をしようものなら、キャッシュフローすら怪しくなるような世界です。さらに数百万に上るような見積もりになれば理事会を通さなければなりません。ひと科目で使えるお金が家計簿並みのものまで出てきますので、施設職員は大金を取り扱っているという意識は低いんです。昔の財務理事がよく「最後は手で数えたほうが早い」なんて言ってましたが、PCがなくなっても最後は手計算で何とかなりそうな世界なのでPCの重要性も低くなるのかもしれません。
利用者もITが苦手
福祉施設の客層も影響があると思います。
保育園・・・・・・・お母さん
高齢者施設・・・・・年配のご家族
知的障がい者施設・・年配のご両親
が、利用する方々の保護者の傾向です。なので、ちょっとした登園システムを導入しようとも、IT機器の利用に対して毛嫌いをする方々が多いため、導入を断念することもあるくらいです。
これまで新しいシステムを入れてきていないため、ITに対する知識・経験・訓練が乏しいという現状があるのです。なので福祉職員も最後は「紙」に勝るものはないと思ってしまうのです。
利用者側の権利意識を忘れている
上記はすべて状況説明にすぎません。だからといって許されるわけではないこと、気づけていないことへの警告です。
日本人は世界的に見ても、個人情報の権利意識は高いとされています。今回の様な事件が続けば、自ずと社会福祉法人の個人情報保護に関するレベルの低さが露呈します。
そうならないよう、今から個人情報リテラシーの向上が必要だと思います。
