介護記録と個人情報保護｜現場で押さえるべき法的ルールと実務対応

介護現場で日々書かれる介護記録には、利用者の氏名や生年月日といった基本的な個人情報にとどまらず、病歴、障害、服薬内容、認知機能、排泄の状況、家族関係、経済状態まで、きわめてセンシティブな情報が詰め込まれています。これらの多くは個人情報保護法で定義される「要配慮個人情報」に該当し、取得・利用・第三者提供のいずれの場面でも通常の個人情報より厳しい規律が課されます（個人情報保護委員会・厚生労働省「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」https://www.ppc.go.jp/personalinfo/legal/iryoukaigo_guidance）。

しかし現場では、「記録はケアのため」という意識が強い一方で、「個人情報保護法の観点からどう書くべきか」「誰まで見てよいのか」「保存期間はどれくらいか」「利用者本人や家族から開示を求められたらどう対応するか」といった法的視点が後回しになりがちです。ひとたび情報漏えいや不適切な開示が発生すれば、利用者の尊厳を傷つけるだけでなく、事業所は個人情報保護委員会への報告義務、本人への通知、損害賠償、行政処分、社会福祉士及び介護福祉士法第46条・介護保険法第69条の37等に基づく刑事責任まで問われ得ます。

本記事は、介護記録の「書き方」そのものではなく、あえて「個人情報保護の視点」に絞って整理します。記録の法的目的、SOAP形式で記録する際に混同しがちな主観・客観と第三者情報の扱い、電子記録のセキュリティ、保存期間（2年／5年問題）、本人・家族からの開示請求への対応手順、そして2026年に議論が進む個人情報保護法改正と医療・介護ガイダンスの最新動向までを、公的ガイドラインと厚生労働省資料に基づきまとめます。転職を検討中の介護職員、サービス提供責任者、管理者、ケアマネジャーが、自施設のコンプライアンスを点検するチェックリストとしても使える内容を目指しました。

なお、本記事で引用するのは公的機関の一次情報（個人情報保護委員会、厚生労働省、地方自治体通知など）のみとし、実際の事業所の体験談や架空の事例は用いていません。自施設への適用にあたっては、所在地の自治体条例・運営基準もあわせて確認してください。

介護記録を書く「法的目的」を個人情報保護の視点から整理する

介護記録の目的はよく「情報共有」「ケアの質向上」「法的証拠」と説明されますが、個人情報保護法の観点から見ると、記録は「利用目的を特定して取得・利用した個人情報の集合体」という位置づけになります。個人情報保護法第17条は「利用目的をできる限り特定しなければならない」と定めており、介護事業者は契約時に利用者・家族に対して「介護サービスの提供、ケアマネジメント、サービス担当者会議での情報共有、行政への報告、事故時の対応、実地指導への対応」など利用目的を明示しています。記録に書き込まれた情報は、この特定された利用目的の範囲内でしか使えません。

1. サービス提供の事実を証明する法的文書としての目的

介護保険法に基づく運営基準（例：指定居宅サービス等の事業の人員、設備及び運営に関する基準 第19条）は、事業者に対して「指定訪問介護を提供した際には、当該指定訪問介護の提供日及び内容、居宅介護サービス費の額その他必要な事項を記載しなければならない」と規定しています。つまり記録は、介護報酬請求の根拠であると同時に、実地指導・監査時に事業所の正当性を示す一次資料です。個人情報を含む以上、改ざんや不正アクセスは絶対に許されません。

2. 多職種連携のための情報共有という目的

ケアマネジャー、訪問介護員、訪問看護師、医師、リハビリ職、家族が共通の情報基盤で動くには記録が不可欠です。ただし個人情報保護法上、事業者内部での職員間共有は「第三者提供」には当たらない一方、居宅介護支援事業所と訪問看護ステーションのように法人格が異なる事業所間でのやり取りは第三者提供に該当します。サービス担当者会議で他事業所と情報を共有する場面を想定し、厚生労働省の運営基準では「あらかじめ文書により利用者本人と家族の同意を得ておかなければならない」と定めています（訪問介護運営基準 第33条第3項）。記録を書く段階で「この情報は社外の誰と共有する前提か」を意識する必要があります。

3. 利用者本人の権利行使の対象としての目的

個人情報保護法第33条は、本人が自己の保有個人データの開示を請求できる権利を定めています。介護記録はこの「保有個人データ」に当たり得るため、書かれた内容はいつ利用者本人や家族に読まれてもよい状態でなければなりません。侮辱的表現、推測、職員の感情的コメントが記録に混入していれば、開示請求に応じた時点で大きなトラブルになります。記録は内部文書ではなく、「本人に読まれる前提の公的文書」として書く姿勢が求められます。

4. 紛争・事故対応の際の証拠としての目的

転倒・誤薬・誤嚥などの事故が発生した場合、記録は民事・刑事の両方で証拠となります。事故報告書は運営基準で2年間（自治体によっては5年間）の保存が義務づけられ、記録の不在は事業者にとって不利に働きます。一方で、事実でない内容を書き込めば文書偽造の問題が生じます。「事実を、主観を排して、5W1Hで、その場で」書くという基本が、個人情報保護と法的証拠価値の両方を担保します。

5. 情報の正確性を維持する義務という目的

個人情報保護法第22条は「利用目的の達成に必要な範囲内において個人データを正確かつ最新の内容に保つよう努めなければならない」と定めています。古い服薬情報や変更前のケアプランが残ったままだと、この正確性維持義務に反する恐れがあります。記録を更新する際は、古い情報を物理的に削除するのではなく「訂正日時・訂正者・訂正理由」を明示した追記方式で残すことが、厚生労働省「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」でも示されています。

以上のように、介護記録を書くという行為は、単なる業務メモ作成ではなく、個人情報保護法・介護保険法・運営基準という三層の規律に同時に応答する法的行為です。この前提を理解すると、次章以降で扱う保存期間や開示請求、電子化の論点が、単なる事務作業ではなく利用者の権利を守るための必須プロセスだと見えてきます。

個人情報保護法が介護記録に適用される範囲と「要配慮個人情報」の意味

2017年5月30日の個人情報保護法改正以降、取り扱う個人情報の件数にかかわらず、全ての介護事業者が個人情報取扱事業者として同法の適用を受けることになりました。これ以前は5,000件以下を扱う小規模事業者は適用除外でしたが、現在は訪問介護員1名で営む小規模事業所であっても法律の全面適用下にあります。介護事業者が負う主な義務は以下のとおり整理されます。

介護事業者に課される個人情報保護法上の主な義務

• 利用目的の特定と公表（法17条・21条）：介護サービス提供、ケアマネジメント、医療機関との連携、事故時の対応、実地指導への対応など、想定される利用目的を契約時に明示し、事業所内掲示やホームページで公表する。
• 目的外利用の禁止（法18条）：同意なく当初の目的以外で使わない。たとえば利用者の写真を広報資料に使うには別途同意が必要。
• 適正な取得（法20条）：偽りその他不正の手段で取得しない。要配慮個人情報の取得には原則として本人同意が必要。
• データの正確性確保（法22条）：古い情報を放置せず、最新化する努力義務。
• 安全管理措置（法23〜25条）：紙・電子双方について組織的・人的・物理的・技術的安全管理措置を講じる。委託先・従業者への監督義務も含む。
• 第三者提供の制限（法27条）：本人同意が原則。要配慮個人情報はオプトアウト方式による第三者提供が認められていない。
• 開示・訂正・利用停止請求への対応（法33〜35条）：本人からの請求に遅滞なく応じる。
• 漏えい等の報告・本人通知義務（法26条）：1,000人超の漏えいや要配慮個人情報の漏えい等が発生した場合、個人情報保護委員会への報告と本人通知が義務化（2022年4月全面施行）。

要配慮個人情報とは何か

個人情報保護法第2条第3項が定義する「要配慮個人情報」とは、不当な差別・偏見その他の不利益が生じないよう、取扱いに特に配慮を要するものとされる情報です。具体的には①人種、②信条、③社会的身分、④病歴、⑤犯罪の経歴、⑥犯罪により害を被った事実、⑦身体障害・知的障害・精神障害（発達障害を含む）、⑧健康診断等の結果、⑨医師等により行われた健康診断等の結果に基づく保健指導、診療、調剤が行われたこと、⑩刑事手続に関する事実、⑪少年保護手続に関する事実、が政令・規則で列挙されています（個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン（通則編）」https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/）。

厚生労働省・個人情報保護委員会「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」は、介護記録に記載された病歴、診療情報、調剤情報、健康診断の結果、保健指導の内容、障害（身体・知的・精神）の事実、犯罪被害の事実などが典型的な要配慮個人情報に該当すると明示しています。つまり、日常的に介護職が書き留める「熱発・服薬拒否・徘徊・家族間トラブル」といった内容の大半は、要配慮個人情報として特別な保護を受ける対象です。

要配慮個人情報を扱う際の上乗せ規律

要配慮個人情報は、通常の個人情報と比べて以下の点で厳しい規律が課されます。

1. 取得にあたり原則としてあらかじめ本人の同意が必要（法20条2項）。例外は法令に基づく場合、人の生命・身体・財産の保護に必要で本人同意が困難な場合、公衆衛生の向上等に特に必要な場合など限定列挙。
2. 第三者提供にあたりオプトアウト方式が使えない（法27条2項）。必ず本人同意が必要。
3. 要配慮個人情報を含む個人データの漏えい等が発生した場合は、件数にかかわらず個人情報保護委員会への報告と本人通知が義務（法26条・規則7条）。

介護現場で注意すべきは、「1件でも漏えいすれば報告義務が発生する」という点です。ケア記録を印刷した紙を電車に置き忘れた、USBメモリを紛失した、メール送信先を誤った、といった事案はすべて重大インシデントとなり、速報（発覚からおおむね3〜5日以内）と確報（30日以内、不正アクセス等の場合は60日以内）の両方を個人情報保護委員会に行わなければなりません。

介護保険法上の守秘義務との二重規律

個人情報保護法とは別に、介護職員には介護保険法・各運営基準による守秘義務が課されています。たとえば訪問介護運営基準第33条（秘密保持等）は、従業者が正当な理由なく業務上知り得た利用者・家族の秘密を漏らしてはならないと規定し、退職後も含めて義務を課しています。社会福祉士及び介護福祉士法第46条違反には1年以下の懲役又は30万円以下の罰金、介護支援専門員（介護保険法第69条の37）違反にも罰則があります。個人情報保護法上の制裁（委員会による命令違反で1年以下の懲役又は100万円以下の罰金等）と、職業法上の罰則が二重に適用される点を理解する必要があります。

SOAP記録で特に注意したい「個人情報保護の観点」

SOAP記録は、S（Subjective：主観的情報）、O（Objective：客観的情報）、A（Assessment：評価）、P（Plan：計画）の4つに情報を構造化する手法です。医療現場で発達した記録法ですが、介護現場でもケアマネジャー・看護職との連携上、広く使われています。この記録法は情報整理に優れる一方、個人情報保護の観点からは見落とされやすい落とし穴が4つあります。

S（主観的情報）に第三者情報が混入する問題

Sには利用者本人や家族の発言をそのまま記載します。ここで注意すべきは、利用者の発言の中に第三者（他の利用者・別の家族・近隣住民など）の要配慮個人情報が含まれるケースです。たとえば「隣室の田中さんがまた夜中に騒いで眠れない」「息子の嫁が認知症だから家に帰りたくない」といった発言をそのまま記録すると、第三者の情報を同意なく取得・保存することになります。

対応としては、第三者を特定できない表現（「同室者」「隣席の方」「他の利用者」「家族の一人」等）に置き換えるのが基本です。ただし、他者とのトラブル記録など事実関係の特定が必要な場面では、実名を記載したうえで開示請求があった際は伏字対応にする運用もあります。どちらを採るかは事業所の文書管理規程で明確化しておくべきです。

O（客観的情報）でのバイタル・検査値の扱い

Oに書かれる体温、血圧、脈拍、SpO2、血糖値、排泄の量や性状、創部の状態などは、すべて医療・健康に関する情報として要配慮個人情報に該当します。電子記録であれば画面のロック、紙であれば持ち出し制限を徹底する必要があります。また、他事業所のリハビリ職や訪問看護師と共有する場合は、第三者提供に関する同意範囲内で行われているか契約時の同意書を確認しましょう。

A（評価）で推測・偏見が混入するリスク

Aは職員の見立てを書く項目ですが、ここに医学的診断や差別的表現が混入すると、開示請求時や訴訟時に致命的な問題になります。「認知症の進行により」「うつ傾向がみられる」「家族から虐待を受けていると思われる」などの表現は、職員の判断として書く場合であっても、医師の診断がない限り断定を避け、「〜という発言があり、〜という様子が観察された」といった事実ベースでの記述に留めるべきです。虐待の疑いなど通報義務が生じ得る重大情報は、記録本体ではなく事故報告書や虐待通報ルートを別途使うのが適切です。

P（計画）と第三者提供の範囲

Pに「看護師に報告」「家族に連絡」「主治医に相談」と書く場合、その連絡先が法人外の第三者であれば、第三者提供の同意範囲内で実施しているか確認が必要です。医療機関との連携は、契約時の「医療機関への情報提供に同意する」旨の文言でカバーされているのが通常ですが、民生委員や近隣住民、インフォーマルな支援者への連絡は、別途の同意がなければ第三者提供の違反となり得ます。ガイダンスでは、緊急時の生命・身体保護のための連絡は同意不要の例外とされていますが、平時のルーチン連絡は同意に基づいて行うべきです。

SOAP以外の「NG表現」と個人情報保護

厚生労働省が推奨する記録原則（事実ベース・5W1H・「だ・である」調）は、個人情報保護の観点とも一致します。「ボケている」「うるさい」「手がかかる利用者」といった人格否定的表現は、本人開示時の信頼関係破壊に直結します。また「認知がある」という介護現場独特の略語も、「認知機能がある」という正反対の意味になり得るため、開示対応で誤解を生みます。専門用語の乱用も、家族が記録を読んだ際に理解できず苦情につながるため避けるべきです。

SOAPを採用していない施設でも、叙述形式の介護日誌に「主観」と「客観」が混在しやすい点は同じです。記録を書くすべての職員が「これは本人・家族に開示される前提の文書である」という意識をもてるよう、定期的な研修と様式の見直しが欠かせません。

介護記録の保存期間｜「完結の日から2年」と「5年」が混在する理由

介護記録の保存期間は、一見単純に見えて実は三層構造になっています。国の運営基準、自治体の条例による上乗せ、介護給付費請求関連書類の別ルール、という三つの規律が重なり、事業所ごとに整理が必要です。

国の原則｜介護保険法施行規則に基づく「完結の日から2年間」

指定居宅サービス等の事業の人員、設備及び運営に関する基準（厚生労働省令）は、事業者が利用者に対する指定居宅サービス等の提供に関する記録を整備し、その完結の日から2年間保存しなければならないと定めています。「完結の日」とは、契約の解約・解除、他の施設への入所、利用者の死亡、利用者の自立など、介護保険サービスが終了した日を指します。

対象となる記録は以下の通り幅広く、ケア現場で作成するほぼ全ての書類が含まれます。

• ケアプラン（居宅サービス計画書、施設サービス計画書）
• アセスメント、モニタリング記録
• サービス提供記録（訪問介護記録、デイサービス日誌等）
• 介護日報、ケア記録
• サービス担当者会議の記録
• 身体的拘束を実施した場合の記録（切迫性・非代替性・一時性の三要件の確認を含む）
• 医師の指示書、投薬・治療に関する記録
• 苦情の内容の記録、事故報告書

自治体による上乗せ｜5年間保存を条例で定める地域

多くの自治体は、介護報酬の不正請求に対する返還請求権の消滅時効が5年であることを踏まえ、条例により保存期間を5年間に延長しています。千葉市はその代表例で、「独自基準の概要について」（平成27年10月1日施行）において「記録の保存期間について、その完結の日（利用者との契約終了日）から5年間とする」と明記しています（千葉市独自基準の概要）。理由は「不適正な介護報酬の返還請求権の消滅時効が5年間であり、2年間保存だと返還請求の根拠資料が残らない」という実務上の要請です。

事業所は所在地の自治体ホームページで条例・告示を確認し、5年保存なのか2年保存なのかを運営規程に明記しておかなければなりません。複数自治体にサービスを展開する法人の場合、最長の保存期間に統一するのが実務的です。

介護給付費請求関連書類は国の基準で5年間

介護記録とは別に、介護給付費請求書・介護給付費明細書（国保連請求控え）は国の基準により事業所での保存期間が5年と定められています。根拠は、地方自治体の債権（介護給付費の返還等）の時効が5年（地方自治法第236条）であること、及び厚生労働省の事務連絡（平成13年9月19日付）による「最長5年間の保管が望ましい」との明示です。電子請求を行った場合のCSV・XMLデータ、返戻通知書、過誤申請関連書類もこの5年保存の対象となります。

障害福祉サービスとの保存期間の違い

実務上の落とし穴として、障害福祉サービスの記録は「完結の日から5年」が国の基準とされており、介護保険の2年と統一されていません（厚生労働省「介護分野の文書に係る負担軽減に関する専門委員会」資料、https://www.mhlw.go.jp/content/12201000/000540445.pdf）。共生型サービスや障害福祉・介護保険の両方を扱う事業所では、同じ利用者の記録でも法律によって保存期間が異なるため、文書管理規程でサービス種別ごとに明示する必要があります。

「完結の日」の起算点をめぐる実務論点

保存期間のカウント開始日である「完結の日」の解釈も、現場では迷いが生じます。

• 利用者が死亡した場合：死亡日
• 他施設に移った場合：契約解除日
• 長期入院で事業所が契約を終了した場合：契約終了日
• 短期入所で一時帰宅した場合：その都度の終了日ではなく、契約全体の終了日を採るのが一般的

特に「死亡後の記録」は、個人情報保護法上は原則として個人情報に該当しません（法は生存する個人の情報を対象とする）が、遺族等の生存する個人の情報としての側面をもつ場合は保護対象となり、遺族からの介護情報の提供請求には「診療情報の提供等に関する指針」を参照しつつ対応する必要があります。

保存期間経過後の廃棄も「安全管理措置」の一部

保存期間が終了した介護記録は、単に捨てるのではなく、復元不可能な方法で廃棄しなければなりません。紙はシュレッダー処理または溶解処理、電子データは物理破壊または専用ソフトでの完全消去が必要です。外部業者に委託する場合は、廃棄証明書の発行を求めることが「マイナンバー指針」等で推奨されています。廃棄台帳を備え「いつ、誰が、何を、どの方法で廃棄したか」を記録しておけば、万が一の情報流出時に適切な対応を証明できます。

電子記録のセキュリティ｜令和3年度改定で電磁的保存が原則認められた後の注意点

令和3年度介護報酬改定では、文書負担軽減の一環として諸記録の保存・交付等について電磁的な対応が原則認められることとなりました（厚生労働省「令和3年度介護報酬改定の主な事項について」）。これにより多くの事業所で介護記録ソフトやクラウド型記録システムの導入が進んでいますが、電子化は「紙の山を無くす」だけでは完結せず、個人情報保護法第23条の安全管理措置をどう実装するかが問われます。

参照すべき二つのガイドライン

電子化された介護記録のセキュリティについて、厚生労働省は二つのガイドラインへの準拠を求めています。

1. 「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」（個人情報保護委員会・厚生労働省）：組織的・人的・物理的・技術的安全管理措置の具体例を示す。
2. 「医療情報システムの安全管理に関するガイドライン」（厚生労働省、最新は第6.0版）：医療情報システムを導入する場合、及び診療情報の外部保存を行う場合の技術的要件を規定。介護事業者も医療情報を扱う場合はこれに準拠する。

全日本病院協会が公開する厚生労働省老健局通知（介護保険最新情報Vol.1221、令和6年3月15日、https://www.ajha.or.jp/topics/admininfo/pdf/2024/240318_3.pdf）では、電磁的記録で記録を作成・保存する場合、上記二つのガイドライン等を遵守するよう明記されています。

組織的安全管理措置

• 個人情報保護規程・情報セキュリティ規程の策定と周知
• 個人情報管理責任者（CPO）と苦情処理窓口の設置
• 個人情報の取扱台帳の整備
• 漏えい等インシデント発生時の報告ルートと対応フロー
• 定期的な監査・自己点検の実施

人的安全管理措置

• 雇用契約・就業規則への守秘義務・退職後守秘の明記
• 入職時・年1回の個人情報保護研修（法定研修として位置づけ）
• 派遣職員・実習生・ボランティアへの誓約書取得
• 委託先（清掃業者、給食業者、記録ソフトベンダー、データ処理業者等）への監督と契約書での守秘条項

物理的安全管理措置

• 記録書類を保管するキャビネット・書庫の施錠、入退室管理
• 端末の盗難防止用ワイヤー、タブレットの持ち出しルール
• プリンターの置き忘れ防止（認証印刷、ログ管理）
• 廃棄時のシュレッダー処理・溶解処理

技術的安全管理措置

• アクセス制御：職種・役職別の閲覧権限設定（訪問介護員は自担当利用者のみ、など）
• 認証：ID／パスワードに加え、要配慮個人情報を扱う端末は二要素認証を推奨
• アクセスログの取得・定期レビュー（不正アクセスの早期発見）
• 通信・保存データの暗号化（TLS、ファイル暗号化、全ディスク暗号化）
• ウイルス対策、OS・ミドルウェアのセキュリティパッチ適用
• バックアップの取得と、バックアップ媒体の安全管理
• クラウドを利用する場合、データの保管場所（国内／国外）の確認と外国第三者提供の同意範囲

介護現場で特に多いインシデント類型

IPA「情報セキュリティ10大脅威 2025」や公的な漏えい事例集を踏まえると、介護現場で頻発するインシデントは以下に集中します。

• USBメモリ、スマートフォン、業務用タブレットの紛失・盗難
• メール誤送信（特に宛先候補の自動入力によるアドレス取り違え）
• FAX誤送信（送信先番号の誤入力）
• 書類の電車内・車内への置き忘れ
• ランサムウェア被害による業務停止（2024〜2025年は医療・介護法人への攻撃が急増）
• 退職者が記録システムのID削除漏れにより不正アクセス
• SNSへの不用意な投稿（利用者が特定できる写真・背景の写り込み）

これらは技術的対策だけでなく、運用ルールと研修でカバーすべき領域です。要配慮個人情報を含む漏えいは、1件でも個人情報保護委員会への報告義務が発生するため、「小さな事案」として内部処理することは許されません。

BYOD（私物端末業務利用）の問題

訪問介護員が自分のスマートフォンで利用者情報を確認する運用は、私物端末の紛失・盗難時に重大な漏えいリスクとなります。原則として業務専用端末を支給するか、モバイルデバイス管理（MDM）を導入して遠隔ロック・データ消去が可能な構成にすべきです。LINE等の一般的なメッセージアプリでの利用者情報のやり取りは、事業者間共有や保存の管理が困難なため、介護記録用のセキュアなコミュニケーションツールに移行する事業所が増えています。

本人・家族からの情報開示請求への対応手順

個人情報保護法第33条は、本人が自己の保有個人データについて開示を請求できる権利を定めています。介護記録はこの保有個人データに該当し得るため、事業所は開示請求を受けた場合、遅滞なく対応する義務があります。2022年4月の改正法施行により、本人が電磁的記録の提供等の開示方法を指定できるようになり、また6か月以内に消去する短期保存データも開示対象に含まれることになりました（NDソフトウェア「令和4年度より全面施行される個人情報保護法改正の内容」解説参照）。

誰が開示を請求できるか

原則は本人です。本人が認知症等で判断能力を欠く場合、成年後見人などの法定代理人が代理請求できます。家族であっても法定代理権がなければ本人の同意（委任状）が必要です。本人の死亡後の記録については、「診療情報の提供等に関する指針」（平成15年9月12日医政発第0912001号）に準じ、遺族への介護情報の提供を行うのが一般的運用です。この場合、対象となる遺族の範囲や手続きを事業所の「介護情報の提供等に関する指針」等の内部規程で明示しておく必要があります。

標準的な開示請求対応フロー

1. 請求受付：所定の請求書面に記入してもらう。運転免許証等による本人確認を実施。代理人の場合は委任状・印鑑証明・法定代理人を証する書類（戸籍謄本等）を確認。
2. 開示対象の特定：どの期間の、どの種類の記録を求めているか具体化してもらう。記録がどの媒体（紙・電子）にあるかを内部で確認。
3. 開示可否の検討：以下の不開示事由に該当しないか検討する。
   • 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
   • 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
   • 他の法令に違反することとなる場合
   他の利用者の情報が混在する場合は、第三者部分を伏字・マスキングする一部開示を行う。
4. 開示方法の決定：原則、本人が指定した方法（電磁的記録の提供、書面交付等）で開示。その方法による開示が困難または多額の費用を要する場合は書面交付で代替可。
5. 開示の実施と記録化：開示日時、対応者、開示した記録の範囲、本人からの質問・補足説明の有無を内部記録として残す。
6. 不開示の場合の通知：全部または一部を開示しない場合、遅滞なくその旨と理由を本人に通知（法33条3項）。

手数料の扱い

個人情報保護法は保有個人データの開示について実費を勘案して合理的な範囲内で手数料を徴収することを認めています（法38条）。手数料を定める場合は、事業所の「保有個人データに関する事項の公表」の中で金額を明示する必要があります。多くの介護事業所は手数料を徴収しない運用を採っています。

訂正・追加・削除の請求（法34条）

本人は、自己の保有個人データが事実でないと考えるときに、訂正・追加・削除を請求できます。介護記録では「医療情報の誤り」「利用者の発言として引用されているが事実と異なる」等の申出があり得ます。ただし、記録の字句を不当に変える改ざんは禁止であり、ガイダンスは「訂正は、訂正した者・内容・日時等が分かるように行う」ことを求めています。元の記載は残したうえで、訂正の経緯を追記する方式が原則です。事実と評価が分かれる場合は、事業所の判断と本人の主張を併記する対応もあります。

利用停止・消去等の請求（法35条）

2022年改正で要件が緩和され、本人は以下の場合に保有個人データの利用停止・消去・第三者提供停止を請求できるようになりました。

• 目的外利用、不正取得、不適正利用など従来からの違反があった場合
• 個人情報を事業者が利用する必要がなくなった場合
• 漏えい等が発生した場合
• 本人の権利利益が害されるおそれがある場合

ただし、介護保険法や運営基準で保存が義務づけられている期間中の記録については、「他の法令に違反することとなる場合」に該当し消去請求に応じられません。利用停止請求に応じる場合は、アクセス権限の剥奪や物理的分離によって「利用しない」状態を作り、保存義務期間終了後に廃棄するのが実務的です。

苦情処理体制の整備（法40条）

個人情報の取扱いに関する苦情の適切かつ迅速な処理に努める義務があります。介護サービスの情報公表制度（厚生労働省「介護サービス情報公表システム」https://www.mhlw.go.jp/stf/kaigo-kouhyou.html）の調査項目にも「個人情報の保護の確保のための取組の状況」「介護サービスの提供記録の開示の実施の状況」が含まれており、利用者アンケート、意見箱、運営推進会議、第三者評価を通じて苦情を拾う仕組みが実地指導で確認されます。苦情処理規程を整備し、開示請求・訂正請求・利用停止請求の窓口担当者と連絡先を事業所内に掲示・ホームページに掲載しておきましょう。

2026年改正の動向｜3年ごと見直しと医療・介護ガイダンスの最新改訂

個人情報保護法は2020年改正の附則第10条に基づき、施行後3年ごとに見直しを行うこととされています。2022年4月の全面施行から3年が経過し、個人情報保護委員会は2026年1月9日に「個人情報保護法 いわゆる3年ごと見直しの制度改正方針」を公表しました（個人情報保護委員会「個人情報保護法 いわゆる3年ごと見直しについて」資料、https://www.ppc.go.jp/files/pdf/01-4_kisyahaifusiryou2.pdf）。2026年の通常国会への改正法案提出が見込まれ、成立すれば1〜2年後の施行となる見通しです。

介護事業者に影響し得る主要な改正方針

1. 同意規律の見直しとデータ利活用

本人の権利利益への影響の観点から、以下のような場面で本人同意を不要とする制度設計が検討されています（インタープライバシー研究所「個人情報保護法 2026年改正の方向性」、https://jtrustc.co.jp/knowledge/hogohou-kaisei-2601/）。

• AI開発を含む統計作成等目的の利用
• 取得状況から見て本人の意思に反しない利用
• 生命・公衆衛生の向上等のため同意取得が困難な場合
• 医療機関等による学術研究目的の利用

介護ビッグデータを用いたAIケアプラン作成、介護給付費データベース（LIFE）を活用した研究、認知症コホート研究などへの道筋が整備される一方、事業者側は「同意なしの例外に該当するか」を正確に判断する運用設計が必要になります。

2. 委託管理ルールの見直し

委託先が委託元の指示に従って機械的に処理するのみの場合、第4章の一般義務の適用が原則免除される整理が検討されています。介護記録ソフトのクラウドベンダーなどで契約管理・監督措置を満たす場合、委託先の義務範囲が明確化されます。事業者側は委託契約書のアップデートが必要です。

3. 漏えい等報告・本人通知義務の合理化

現行では要配慮個人情報は1件でも報告義務が発生しますが、改正では報告・通知の合理化・緩和も議論されています。ただし、これは事業者の負担軽減を目的とするものであり、安全管理措置の緩和ではない点に留意が必要です。

4. 課徴金制度の導入と罰則強化

違反行為によって得られた経済的利益等に相当する額の課徴金納付命令を可能とする制度が導入される方向です。また、個人情報データベース等の不正提供等に係る罰則について、加害目的の提供行為を処罰対象とするとともに法定刑を引き上げる方針が示されています。介護事業所における情報漏えいや不正な持ち出しに対する経済的制裁が強化される可能性があります。

5. 16歳未満の個人情報の規律強化

同意・通知の対象を法定代理人とする規定が明文化される方向です。介護分野では直接的影響は限定的ですが、若年性認知症の家族が未成年の子を持つケースや、障害福祉との共生型サービスで未成年の利用者がいる場合に留意が必要です。

医療・介護ガイダンスの改訂動向

個人情報保護委員会・厚生労働省「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」は、2017年の策定以降、複数回の改訂を重ねています。直近では以下の改訂が行われました（北九州市小倉医師会「医療機関等における個人情報の適切な取扱いについて」、https://www.kokura-med.or.jp/info/iryoukaigokannkeiniokerukojinnjouhuo/）。

• 令和6年3月27日：改訂版公表、令和6年4月1日施行
• 令和6年12月：一部改正
• 令和7年6月1日：再改訂施行
• 2026年4月：全国訪問看護事業協会の公表によれば、さらなる一部改正通知が発出

改訂の主な方向性は、電子カルテ・電子記録の普及に対応した安全管理措置の具体化、サイバーセキュリティインシデント増加を踏まえた「医療情報システムの安全管理に関するガイドライン」との連携強化、学術研究機関への情報提供に関する例外規定の整理などです。事業者は自施設のプライバシーポリシーと安全管理規程を、最新版ガイダンスに合わせて年1回は見直しましょう。

同意取得の現場実務への影響

医療データの利活用促進に向けた同意規律の見直しは、介護現場の日常業務にも影響します。たとえばサービス担当者会議で他事業所と情報共有する場面は、現在は契約時の包括同意でカバーしていますが、改正後は「統計作成等目的」「公衆衛生目的」など、より精緻な目的区分に基づく説明が求められる可能性があります。契約書・重要事項説明書の様式を、改正法の施行に合わせて更新できるよう、契約書雛形を管理する法務担当者と連携しておくとよいでしょう。

介護事業者が今から備えるべきこと

1. 現行のプライバシーポリシー・個人情報取扱規程を最新版ガイダンス（令和7年6月1日施行版）に照らして点検する
2. 情報セキュリティ研修を法定研修として年1回以上実施する（虐待防止研修と並ぶ必須研修と位置づけ）
3. 委託先との契約を棚卸しし、守秘条項・安全管理条項を標準化する
4. インシデント発生時の初動フロー（発覚→速報→確報→本人通知）を文書化し、管理者不在時の代行者も決めておく
5. 2026年改正の施行時期（2027〜2028年見込み）に合わせて、契約書・重要事項説明書の様式更新を予定に組み込む

現場ですぐ使える自己点検チェックリスト｜10項目で自施設のコンプライアンスを確認

ここまでの内容を、介護職員・サービス提供責任者・管理者・ケアマネジャーが自施設で自己点検できる形にまとめました。転職先を検討する際、面接や見学で「個人情報保護体制」を確認する視点としても使えます。

チェックリスト10項目

1. 利用目的の明示：契約書・重要事項説明書に、介護サービス提供、ケアマネジメント、医療機関連携、サービス担当者会議、事故時対応、実地指導対応など利用目的が具体的に列挙されているか。
2. 要配慮個人情報の同意：病歴・障害・診療情報の取得について、本人または法定代理人の同意書が整備されているか。サービス担当者会議での利用・家族情報の使用にも文書同意を得ているか。
3. 保存期間の明確化：運営規程に記録の保存期間（国基準2年か、自治体条例による5年か）が明記され、所在自治体の最新条例を確認しているか。障害福祉サービスを併せて提供する場合は5年との使い分けが規程に反映されているか。
4. 安全管理措置の四分類：組織的・人的・物理的・技術的措置が文書化され、個人情報保護規程として整備されているか。委託先（清掃・給食・記録ソフトベンダー等）との契約に守秘条項が入っているか。
5. 電子記録のアクセス制御：職員ごとのID／パスワード管理、役職別の閲覧権限設定、アクセスログ取得が実装されているか。退職者のアカウントが当日中に削除されているか。
6. 研修の定期実施：個人情報保護研修が年1回以上実施され、入職時・退職時の誓約書が取得されているか。派遣職員・実習生・ボランティアにも同等の守秘義務を課しているか。
7. インシデント対応フロー：紛失・誤送信・不正アクセス発覚時の初動手順（誰に連絡、委員会への報告期限、本人通知の文案）が文書化されているか。管理者不在時の代行者が明示されているか。
8. 開示請求対応の体制：本人・代理人からの開示請求を受け付ける窓口、受付様式、本人確認方法、開示可否の決裁ルート、手数料の定めが文書化されているか。事業所内に開示請求窓口が掲示されているか。
9. 記録の書き方研修：SOAP形式や叙述式での記録において、第三者情報の伏字化、人格否定表現の回避、事実ベース記述、訂正の痕跡を残す修正方法が指導されているか。
10. 2026年改正の監視：個人情報保護法の3年ごと見直しと医療・介護ガイダンスの改訂情報を、年1回以上定期的にレビューする担当者・役職が決まっているか。

転職希望者の視点｜面接・見学でチェックしたいポイント

介護職として転職を検討している方は、上記のうち特に「電子記録のアクセス制御」「研修の実施状況」「インシデント対応フロー」を面接や見学時にさりげなく確認することをおすすめします。たとえば、

• 「記録ソフトは何を使っていますか。職員ごとにアカウントがありますか」
• 「個人情報保護研修は年何回ありますか」
• 「BYOD（私物スマホでの業務利用）は認められていますか」
• 「実地指導でどのような点を指摘されたことがありますか」

これらへの回答の具体性と整理度は、その事業所のコンプライアンス意識を端的に表します。個人情報保護体制が整った事業所ほど、職員が安心して記録業務に集中でき、結果としてケアの質も高まります。「書類仕事が多い」と感じる職場は、ルールが曖昧で作業が属人化している場合が多く、長期的には職員の負担増と情報漏えいリスクの両方を抱えます。

おわりに｜記録は利用者の尊厳を守る最前線

介護記録は、介護報酬請求の根拠でありケアの質を担保する道具であると同時に、利用者・家族の人生の最もセンシティブな部分を預かる信頼の証でもあります。要配慮個人情報の塊である記録を守ることは、利用者の尊厳を守ることに直結します。2026年の個人情報保護法改正と医療・介護ガイダンスの改訂は、AI・クラウドの普及というテクノロジーの変化に対応しつつも、本人の権利利益保護という原点を強化する方向に進んでいます。現場職員一人ひとりが法令の趣旨を理解し、書くたび・共有するたびに「この記述は本人に読まれても大丈夫か」「この共有先は同意の範囲内か」と自問する習慣が、結局は事業所と自分自身を守ります。所属する事業所の個人情報保護体制を、本記事のチェックリストで一度点検してみてください。

参考出典（公的機関の一次情報）

• 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン（通則編）」https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/
• 個人情報保護委員会・厚生労働省「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」https://www.ppc.go.jp/personalinfo/legal/iryoukaigo_guidance
• 個人情報保護委員会「個人情報保護法 いわゆる3年ごと見直しについて」https://www.ppc.go.jp/files/pdf/01-4_kisyahaifusiryou2.pdf
• 厚生労働省「介護保険最新情報 Vol.1221」（全日本病院協会掲載版）https://www.ajha.or.jp/topics/admininfo/pdf/2024/240318_3.pdf
• 厚生労働省「介護分野の文書に係る負担軽減に関する専門委員会」資料https://www.mhlw.go.jp/content/12201000/000540445.pdf
• 厚生労働省「介護サービス情報公表システム」https://www.mhlw.go.jp/stf/kaigo-kouhyou.html
• 千葉市「独自基準の概要について」https://www.city.chiba.jp/hokenfukushi/koreishogai/kaigohokenjigyo/documents/dokuzigaiyou.pdf