「健康保険組合等における個人情報の適切 な取扱いのためのガイダンス」を補完する事例集(Q&A)【総論(「用語の定義」等関係)】
- <第三者提供 第27、第29、第30条関係>
- 問350
健保組合がレセプト等の個人情報に係る部分をマスキングした上で、当該レセプト等のデータ処理業務を海外の会社に委託することは可能でしょうか。
- (回答)
法第 28 条に基づき、海外の会社が同条に規定する「個人情報保護委員会規則で定める」外国にある場合又は「個人情報保護委員会規則で定める基準に適合する体制を整備している者」である場合を除いて、本人の同意が必要となります。法第 28 条の本人の同意に基づいて提供を行う場合には、法第 27 条の規定は適用されません。
一方、海外の会社が法第 28 条に規定する「個人情報保護委員会規則で定める」外国にある場合又は「個人情報保護委員会規則で定める基準に適合する体制を整備している者」である場合で、かつ個人情報としてのレセプト等の処理業務の委託が法第 27 条第5項第1号に該当する時には、本人の同意なく提供することが可能ですが、法第 25 条により、委託元の健保組合は、委託を受けた者において当該個人情報の安全管理が図られるよう、必要かつ適切な監督を行う義務を負います。このとき、「健康保険組合における個人情報保護の徹底について」に定める遵守基準(以下「遵守基準」という。)の遵守が求められることとなるため、留意が必要となります。
なお、医療情報というレセプト等の公益性に鑑み、たとえそれが個人情報に該当しなくなったとしても、社会通念上、許容できる範囲内での取扱いとなるよう、委託先に対して、必要な監督を行うことが望ましいと考えます。