健保組合において漏えい等が発生した場合の対応はどのようにすればよいでしょうか。

「健康保険組合等における個人情報の適切な取扱いのためのガイダンス」を補完する事例集（Ｑ＆Ａ）【総論（「用語の定義」等関係）】

＜データ内容の正確性の確保 第22条、漏えい等の報告等第26条関係＞

問２０２

健保組合において漏えい等が発生した場合の対応はどのようにすればよいでしょうか。

（回答）

健保組合は、漏えい等又はそのおそれのある事案（以下「漏えい等事案」という。）が発生した場合には、漏えい等事案の内容 等に応じて、以下の各事項について必要な措置を講じる必要があります（ガイダンスⅢ６．及び「個人情報の保護に関する法律についてのガイドライン（通則編）」３－５－２参照）。

• ①健保組合内部における報告及び被害の拡大防止

  責任ある立場の者に直ちに報告するとともに、漏えい等事案による被害が発覚時よりも拡大しないよう必要な措置を講じる必要があります。

• ②事実関係の調査及び原因の究明

  漏えい等事案の事実関係の調査及び原因の究明に必要な措置を講じる必要があります。

• ③影響範囲の特定

  上記②で把握した事実関係による影響範囲の特定のために必要な措置を講じる必要があります。

• ④再発防止策の検討及び実施

  上記②の結果を踏まえ、漏えい等事案の再発防止策の検討及び実施に必要な措置を講じる必要があります。

• ⑤個人情報保護委員会への報告及び本人への通知

  漏えい等事案が、規則第７条各号に定める事態に該当する場合には、法第26条第１項及び規則第８条に従って、「速やか」（概ね３～５日以内）に個人情報保護委員会に報告し（速報）、また、速報に加え、30日以内（規則第７条第３号の事態においては60日以内）に個人情報保護委員会に報告する必要があります（個人情報保護委員会のホームページの報告フォームに入力する方法により報告を行う必要があります。）。また、法第26条第２項及び規則第10条に従って、本人（被保険者等）への通知等を行う必要があります。なお、本人への通知については、通知すべき内容が本人に認識される合理的かつ適切な方法による必要があります（「個人情報の保護に関する法律についてのガイドライン（通則編）」３－５－３及び３－５－４参照）。また、漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係及び再発防止策等について、速やかに公表することが望ましいです。

（参考）規則第７条各号に定める事態

• 要配慮個人情報が含まれる個人データの漏えい等が発生し、又は発生したおそれがある事態
• 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
• 不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ（当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。）の漏えい等が発生し、又は発生したおそれがある事態
• 個人データに係る本人の数が1,000人を超える漏えい等が発生し、又は発生したおそれがある事態

また、健保組合は、漏えい等事案が発生した場合には、所管の地方厚生（支）局にも速やかに報告する必要があります。地方厚生（支）局への報告については、個人情報保護委員会に報告した内容と同様のものを報告してください。なお、オンライン資格確認等システムにおいて健保組合が異なる個人番号を登録した場合の対応については、「オンライン資格確認等システムにおける正確な資格情報等の登録について」（令和４年１月27日付け保保発 0127 第１号）によって地方厚生（支）局に報告いただくこととしております。