御社は対象ではありませんが、一方で、従業員の健康情報の管理は、事業者にとって最重要課題です。
当ブログでも再三取り上げています。安衛法第104条(2019.4.1改正安衛法)により、
企業内(それぞれの事業場単位ではありません)で「健康情報の取扱規程」を定めることが義務となっています。
当法改正については、いまだによく理解していない企業があるようですが(小職註;これにはやむを得ない事情もあります)、
当規程では、特にどの部門がどの情報に関与するのか、詳細に規定するように望まれています。
なお、現実問題として「健康情報の取扱規程」を定めろと云われても、皆目見当もつかないことでしょう。
ですから、規程を定めるためには、以下の手引きを参照してください。
「事業場における労働者の健康情報等の取扱規程を策定するための手引き」(厚生労働省)
https://www.mhlw.go.jp/content/000497426.pdf
余談ですが、策定にあたっては、事前に手引きを読み下すことが必要ですが、
原則、手引きにある規程例をそのまま、御社の規程とすることには問題ありませんし、むしろ推奨されています。
[サイバーテロ 病院の危機]<5>対策の不備 責任重く…「経営層が賠償」可能性
2022/02/22 読売
今年に入っても病院への攻撃は続く。
今月2日、愛知県春日井市の春日井リハビリテーション病院の事務スペースで、看護師がせわしなくボールペンを走らせていた。先月12日、「ランサム(身代金)ウェア」とみられるコンピューターウイルスの攻撃を受け、約5万人分の患者情報が記録された電子カルテシステムが停止。院内のパソコンの多くも使えなくなった。カルテや看護記録、受け付け業務は手書きでの対応が続いていた。
「後悔先に立たずですね」
同病院の総務課長を務める大川内敏剛さん(46)はため息をつく。被害は未然に防げた可能性があるからだ。
ウイルスの侵入経路は、 脆弱性ぜいじゃくせい が指摘されながら、対応を取っていなかった機器の可能性が高い。電子カルテのバックアップデータも病院のネットワークに接続していたために感染し、使用不能となった。今月中旬から新しい電子カルテシステムを導入し、一部運用も始めているが、完全復旧は数か月先になる見込みだ。
(略)
「私たちは被害者ですから」。攻撃を受けた多くの病院幹部はそう口にする。だが、こうした訴えは今後、通用しなくなる。病院のセキュリティー対策に関する責任がより重くなるからだ。
政府は、今春改定する重要インフラ事業者の行動計画案で、セキュリティー対策の不備が原因で事業者側の情報が流出するなどした場合、「経営層が損害賠償責任を問われる可能性がある」と明記する。対象は医療や電力、航空、金融など14分野で、病院も含まれている。
さらに病院は、手厚い保護を要する「要配慮個人情報」に当たる医療情報を扱う点でも、ほかの事業者以上に重い責任が課せられる。
4月に施行される改正個人情報保護法では、1件でも患者情報が流出した場合、国の個人情報保護委員会への報告と本人通知が義務づけられる。ランサムウェア被害のように、患者情報が閲覧できなくなったケースも対象だ。本人通知が困難な場合は、代替措置として、「公表」が求められる。
重要インフラの行動計画改定を進める専門調査会長の渡辺研司・名古屋工業大教授は、「サイバー攻撃を受けた病院は、もはや単なる被害者ではない。セキュリティー対策強化は、経営責任だという意識を持つ必要がある」と指摘する。
(以下、略)
