「健康保険組合等における個人情報の適切 な取扱いのためのガイダンス」 を補完する事例集（Ｑ＆Ａ）

平成３０年１月１５日
個人情報保護委員会事務局
厚生労 働省

「健康保険組合等における個人情報の適切 な取扱いのためのガイダンス」 を補完する事例集（Ｑ＆Ａ）

pdf版はこちら (PDF : 689KB)

FAQ検索

総論

• 【「用語の定義」等関係】

• 問001
  健保組合等の保有する個人情報には、例えばどのようなものがありますか。
• 問002
  レセプトから個人を識別できる情報を除いたものは、法の規制の対象から外れるのでしょうか。
• 問003
  レセプトに記載されている情報のうち、具体的にはどの情報が個人を識別できる情報なのでしょうか。
• 問004
  レセプト等は医師の個人情報にも該当しますか。
• 問005
  死者に関する情報は、どのように取り扱う必要がありますか。
• 問006
  レセプトを電子媒体で保存した場合と紙で保存した場合とで、個人情報の取扱いに異なる点があるのでしょうか。
• 問007
  「個人情報」、「個人情報データベース等」、「個人データ」、「保有個人データ」の違いは何でしょうか。
• 問008
  「匿名化」された情報は、個人情報に該当しますか。
• 問009
  「個人識別符号」とはどのようなものを指しますか。
• 問010
  「匿名加工情報」とはどのようなものを指しますか。
• 問011
  「要配慮個人情報」とはどのようなものを指しますか。また「要配慮個人情報」にかかる留意点は何でしょうか。
• 問012
  既に健保組合の被保険者等ではない者の個人情報も法の対象ですか。

• 【利用目的の特定、公表等 第１５条～第１８条関係】

• 問101
  利用目的を変更する場合において、法第 15 条第２項に規定する「変更前の利用目的と関連性を有すると合理的に認められる範囲」について示してください。
• 問102
  法第 18 条第１項では、個人情報の利用目的を公表しなければならないとされていますが、利用目的を「公表」するとは具体的にはどのような措置をとればよいのでしょうか。
• 問103
  利用目的の特定、公表とは、目的をどれほど詳細に公表すれば足りるのでしょうか。
• 問104
  健保組合が審査支払のためにレセプトの個人情報を利用するのは法律上当然のことですが、これも公表しなければならないのでしょうか。
• 問105
  特定された利用目的の範囲を超える場合には、原則としてあらかじめ本人の同意が必要ですが、緊急性を要する場合にもあらかじめ本人の同意が必要ですか。
• 問106
  市町村等の医療費助成があるレセプトについて、付加給付を行う健保組合では、給付が重複しないように、①事業所の担当者を経由して被保険者に照会、②健保組合から医療機関へ窓口負担の有無を照会、③健保組合から市町村等に医療費助成の有無を照会し、結果的に病歴等の要配慮情報を取得することとなりますが、法に抵触しますか。

• 【データ内容の正確性の確保 第１９条関係】

• 問２０１
  健保組合は個人データの正確かつ最新の内容を確保することとなっていますが、どのような措置をとればよいのでしょうか。また資格喪失者の情報についても同様でしょうか。

• 【第三者提供 第２３、第２５、２６条関係】

• 問３０１
  個人データを第三者に提供する際に本人の同意をとる必要はありますか。
• 問３０２
  本人の同意を求めるケースでは、すべて書面でもらう必要がありますか。
• 問３０３
  あらかじめ本人の同意を得ないで、個人データを第三者に提供することができる場合とは、具体的にどのような場合でしょうか。
• 問３０４
  健保組合が審査支払機関にレセプトの再審査請求をする場合も、第三者提供に当たりあらかじめ本人の同意が必要となりますか。
• 問３０５
  大学の研究者から研究のためにレセプトの提供を求められました。レセプト情報を提供してもよいのでしょうか。
• 問３０６
  被保険者が生命保険に加入する際に所定の検査が必要となりますが、事前に健診を受けていれば、その検査結果を代用できることになっている場合があります。この場合、生命保険会社から被保険者の検査結果の提供を求められた場合、検査結果を提供してよいのでしょうか。
• 問３０７
  非常勤職員が組合の会議室等でレセプト点検を行う場合も第三者提供に該当しますか。
• 問３０８
  レセプトの点検業務を第三者に委託する場合にも本人の同意が必要ですか。
• 問３０９
  健保組合が統計情報を作成するために、レセプトの画像取込（スキャン）を行った上、統計作成事業を請け負っている会社に委託する場合、本人の同意を得ずに当該会社に当該レセプトデータを提供してよいのでしょうか。
• 問３１０
  健康保険被保険者証の検認又は更新の際には、事業所に一括して送付し、事業所から各被保険者へ配布しています。このようなやり方は第三者提供に当たり、本人の同意が必要となりますか。
• 問３１１
  給付に関する申請などが事業主経由で行われることありますが、気を付けることはありますか。
• 問３１２
  健保連の共同事業として、健保連から委託を受けた指導員が、健保組合のレセプトをチェックし、レセプト審査の方法を助言することがありますが、法に抵触しますか。
• 問３１３
  被扶養者本人に対する健康保険被保険者証の更新の際には、被扶養者の同意を得ずに被保険者本人に交付することはできますか。
• 問３１４
  健保組合から被保険者に対し医薬品を配布することがありますが、医薬品のリストと送付先名簿を業者に渡し、業者から被保険者に対し郵送することは可能でしょうか。
• 問３１５
  市区町村の国民健康保険担当から、資格喪失年月日、認定日などの照会がなされた場合の対応はどうしたらよいのでしょうか。
• 問３１６
  保険医療機関や保険薬局から、受給資格の有無の照会がなされた場合の対応はどうしたらよいのでしょうか。
• 問３１７
  法令上質問をすることができる旨が規定されていますが、回答義務がない場合又は回答しなくても刑罰がない場合にも、法第 23 条第１項第１号の「法令に基づく場合」に該当するのでしょうか。
• 問３１８
  警察署や労働基準監督署から、資格喪失年月日、療養の給付などの照会がなされた場合の対応はどうしたらよいのでしょうか。
• 問３１９
  刑事訴訟法第 197 条第２項の規定に基づき、警察から健保組合に、「貴組合に○○という被保険者はいるか」「貴組合に加入しているＡ事業所の事業主は誰か」との照会があった場合、回答してよいのでしょうか。
• 問３２０
  健保組合の保健事業として、健保組合の医師や保健師が被保険者の健康相談を行っていますが、その内容を健保組合の事務局に報告させる場合に本人の同意は必要となりますか。
• 問３２１
  受診者が被扶養者の場合に、健保組合から被保険者に対し受診内容等の照会をすることがありますが、受診者（被扶養者）に直接確認しなければならないのでしょうか。
• 問３２２
  当健保組合において、資格喪失後の出産育児一時金の受給要件を満たしている被保険者が、配偶者の加入する健康保険の他の保険者に家族出産育児一時金を請求した場合に、その健康保険の他の保険者より電話連絡で当健保組合に出産育児一時金の支給の有無の照会がありました。どのように対応したらよいのでしょうか。
• 問３２３
  労働基準監督署より労災判定に関し、文書により、その関連するレセプト内容（医療機関名、傷病名、診療点数等、診療日数・入院日数）の照会（レセプト要求なし）があった場合、どのように対応したらよいのでしょうか。 例えば、管轄の健保組合に対して、労働基準監督署から健康保険の被保険者の傷病名や受診医療機関名、入院期間、医療費などの照会がなされました。何らかの傷病に際し、健康保険からの保険給付がなされた後、労災であることが判明し、労働基準監督署に申請がなされました。この場合、被保険者の傷病名などは個人情報にあたり、保険者たる健保組合としては労働基準監督署へ情報 提供することは許されるのでしょうか。
• 問３２４
  市町村より、健保組合に対し、乳幼児医療助成（現物給付）にかかるレセプトの内容（受診医療機関ならびに請求点数）の照会があった場合、どのように対応したらよいのでしょうか。
• 問３２５
  健保組合の保健指導で得た個人情報を提供するよう健保組合の上司から指示があったが、その個人情報を提供してよいのでしょうか。
• 問３２６
  以下の場合について、事業者と健保組合において、健診結果について共有することができるのでしょうか。 ① 事業者が、労働安全衛生法（昭和 47 年法律第 57 号）に基づいて行う健診及び同法の法定項目を超える健診を実施する場合 ② 事業者が、労働安全衛生法に基づいて行う健診を実施し、健保組合が、同法の法定項目を超える健診を実施する場合 ③ 健保組合が、労働安全衛生法に基づいて行う健診及び同法の法定項目を超える健診を実施する場合 ④ 事業者と健保組合が共同（健保組合が費用を一部負担（共同出資）している場合を含む。⑤において同じ。）で、労働安全衛生法に基づいて行う健診及び同法の法定項目を超える健診を実施する場合 ⑤ 事業者が、労働安全衛生法に基づいて行う健診を実施し、事業者と健保組合が共同で、同法の法定項目を超える健診を実施す る場合
• 問３２７
  母体事業所の健康管理部門に特定保健指導を委託する場合において、健保組合が特定健診の結果を母体事業所へ提供することについて本人同意は必要となりますか。
• 問３２８
  事業所における健康管理事業推進に寄与する為に、健保組合が保有する健診結果とレセプトデータを突合分析した結果を、事業所の健康管理部門に提供するにあたり、本人同意は必要となりますか。
• 問３２９
  当健保組合では、人間ドック未受診者が法定健診も未受診とならないよう、人間ドック未受診者のリストを事業所に提供しています。この場合、本人同意は必要となりますか。
• 問３３０
  当健保組合では事業所とのコラボヘルスを推進するにあたり、互いが保有する健診結果等のデータを共有し、互いの事後指導に活用したいと考えていますが、法第 23 条第５項第３号「共同利用」に該当する場合、本人同意は要しないという理解でよいのでしょうか。
• 問３３１
  前設問における共同利用により健診結果を事業所と共有している場合、健診結果が要治療にもかかわらず、健保組合のレセプトデータから未受診であることが分かった者について、その旨（単に受診していない旨）を事業所に情報提供し、事業所から受診勧奨することについて、本人同意は必要となるのでしょうか。
• 問３３２
  当健保組合の理事長は事業所の人事執行役員です。この場合、理事長が事業所の人事業務に健保組合が保有する被保険者の病歴等情報を活用することに問題はありますか。
• 問３３３
  母体企業が労働安全衛生法に基づく健診を行う際に、安全衛生法の法定項目を超える健診を実施し、健保組合が当該超過項目の費用を負担しています。検診結果は、母体企業と健保組合が共有する。このようなケースは認められるのでしょうか。
• 問３３４
  健保組合が行う特定保健指導などを産業医に依頼する場合には、どのようなことに気を付ける必要がありますか。
• 問３３５
  当健保組合では、専門業者に委託のうえ、特定保健指導の実施をしています。業者には特定健診によりリスク保有者を抽出し、該当者の健診結果データを提供しています。この場合、受診者本人の同意は必要ですか。
• 問３３６
  母体企業の産業医に相談業務を委託することがありますが、その結果を健保組合に報告してもらうことに支障はありますか。また、母体企業の産業医が健保組合の顧問医になっている場合はどうでしょうか。
• 問３３７
  事業主が実施している健康診断の結果をもとに、健保組合の保健師が受診者に対し、健康相談を行うことは可能でしょうか。また、事業主から誰に対し健康相談を行ったのか、その健康相談の内容はどのようなものかと聞かれた場合にはどうすればよいのでしょうか。
• 問３３８
  人間ドック等の受診費用を健保組合が助成し、その結果を健診業者から健保組合にも直接送付してもらっていますが、事前に本人の同意をとる必要がありますか。
• 問３３９
  当健保組合では、特定の健診機関と個別契約を締結し、人間ドック事業を実施しています。同事業内容については、組合員にも周知済みですが、契約健診機関から健診結果を受領することについて、受診者本人の同意は必要でしょうか。
• 問３４０
  健診で結核などの感染のおそれが高い疾病患者が見つかったため、事業所に該当情報を伝える必要がある場合は、本人の同意を得なければならないのでしょうか。
• 問３４１
  いくつかの健保組合が共同して、レセプトの分析を行うことを予定しています。この場合に気を付けることは何がありますか。
• 問３４２
  法 23 条第５項第３号では、特定の者で共同利用する場合には、利用する者の範囲、責任者等を予め、本人の知り得る状態とすれば第三者提供に当たらず、本人の同意は不要とされていますが、「本人が容易に知り得る状態」とはどのような状態をいうのでしょうか。
• 問３４３
  レセプトから自動車事故であることが疑われる場合であっても、健保組合は被保険者の電話番号を把握しておらず、直接連絡を取ることが難しいことがあります。このような場合に事業所の職員に傷病原因の照会をした場合には、法に抵触しますか。
• 問３４４
  第三者行為において、健保組合が損害保険会社に請求する医療費を示すために、レセプトの写しを損害保険会社へ送付していますが、法に抵触しますか。
• 問３４５
  現在、医療費通知は被保険者とその家族をまとめて通知しており、その旨をホームページ等で公表し、組合員においても周知が行き渡っている状況ですが、平成 29 年５月の改正法施行後もこの取扱いでよいのでしょうか。また社内便を用いて本人に送付しているがよいのでしょうか。
• 問３４６
  当健保組合では、高額療養費及び付加給付（一部負担還元金等） の支給について、規程で定めることにより、本人の申請に基づくことなく「自動払い」により、事業主を経由し支給する（給与口座への振込み）こととしています。これは本人の同意を得ずに、個人データを第三者である事業主に提供していることになり、あらかじめ本人の同意が必要となりますか。
• 問３４７
  当健保組合では、療養給付記録欄がある紙の被保険者証を発行していますが、これは、被保険者が受診する場合は被扶養者に関する個人情報を、被扶養者が受診する場合は被保険者に関する個人情報を、それぞれ情報主体と異なる者（受診者）が第三者（医療機関）に提供する形になっていますが、法上、問題がありますか。
• 問３４８
  健保組合がレセプトを売買したり、健保組合からレセプトによる医療費分析などを受託している業者がレセプトを売買することは問題ないでしょうか。
• 問３４９
  レセプト等を用いて、医療費分析や保健指導等をするに当たって、医師の同意を要するのでしょうか。また、それらの業務を委託する場合はどうでしょうか。
• 問３５０
  健保組合がレセプトの個人情報に係る部分をマスキングした上で、当該レセプトのデータ処理業務を海外の会社に委託することは可能でしょうか。
• 問３５１
  個人情報を第三者提供する際にその記録を作成する必要はありますか。
• 問３５２
  法第 25 条にかかる第三者提供時の記録が必要な場合の具体例は何でしょうか。
• 問３５３
  当健保組合では、効果的な保健事業展開を目的とし、レセプトデータ及び特定健診・保健指導の実施データの分析を専門業者に委託していますが、委託の際の留意点は何でしょうか。

• 【開示請求手続 第２８条、第３２条、第３３条関係】

• 問４０１
  開示請求の手続きはどのようなものでしょうか。
• 問４０２
  開示請求の際に、本人であることの確認はどのように確認すればよいのでしょうか。
• 問４０３
  開示請求の手数料はどの程度に設定すればよいのでしょうか。
• 問４０４
  情報開示手続を定めるに当たっては、請求者に「過重な負担を課するものとならないよう配慮しなければならない」こととなっているが、具体的にどのようなことでしょうか。
• 問４０５
  震災等でレセプトが散乱し、検索することが困難な状態の場合は、その事情を理由に開示しなくてよいのでしょうか。
• 問４０６
  「保有個人データの全部又は一部を開示しないことができる」不開示の要件として、「個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合」がありますが、健保組合においてどのようなことが考えられるのでしょうか。
• 問４０７
  被保険者から医師の個人情報にも該当するレセプト等の開示請求があった場合、被保険者に対する個人情報の提供に当たって、医師の同意を要するのでしょうか。また、医師の個人情報には該当しない場合はどうでしょうか。
• 問４０８
  レセプトの遺族への開示については、今回の法改正においても取扱いは変わらないのでしょうか。
• 問４０９
  柔道整復等療養費について、「療養費支給申請書」には、施術した柔道整復師が「負傷名」を記載し、住所、氏名、電話番号も記載されています。これも患者の個人情報でもあり、柔道整復師の個人情報ということになるのでしょうか。仮に、そうなると、患者から開示請求があった場合は、レセプト開示と同じ取扱いとなるのでしょうか。
• 問４１０
  一般的な「療養費支給申請書」や看護、移送に関わるものも、「傷病名」、「傷病の経過」、「治療等の内容」が記載されています。これも医師の個人情報に該当し、レセプトと同様の開示扱いとなるのでしょうか。また、「傷病手当金請求書」や「出産手当金請求書」も「傷病名」、｢発病等の原因｣、「傷病の主症状経過等」や「医師または助産婦の意見」の記載があり、同様の取扱いとなるのでしょうか。

• 【苦情の処理 第３５条、第５２条関係】

• 問５０１
  健保組合で保有する個人情報の取扱いに係る苦情処理はどこが行うのでしょうか。
• 問５０２
  苦情処理のための必要な体制の整備とはどのようなものでしょうか（法第 35 条第２項）。認定個人情報保護団体があれば、各健保組合に苦情処理窓口を設けなくとも良いのではないでしょうか。
• 問５０３
  認定個人情報保護団体に求められるものは何でしょうか。

• 【個人情報保護委員会 第４２条関係】

• 問６０１
  個人情報取扱事業者等が法に違反した場合、どのような措置が採られるのでしょうか。
• 問６０２
  個人情報保護委員会への報告はどのようなことが想定されているのでしょうか。（法第 40 条）

• 【１４年１２月保険課長通知解釈】

• 問７０１
  レセプトの点検事務を受託した業者がさらに再委託してもよいのでしょうか。
• 問７０２
  個人情報の処理に関する業務を外部委託する場合、健保組合との直接の契約関係を伴わない再委託は禁止することとされていますが、次のような場合はどうでしょうか。 高齢者健康相談訪問事業を外部委託する場合健保組合は高齢者健康相談訪問事業をＡに委託する。Ａは訪問のうち何件かをＢ及びＣに委託する。報告書などは、Ａから健保組合に提出されてくる。
• 問７０３
  個人情報に関する処理の再委託が禁止されていますが、例えば医療費通知の作成やレセプトの点検の委託を受けた業者が、そのレセプトを運ぶ際に運送会社を利用することも認められないのでしょうか。
• 問７０４
  生活習慣病健診を医療機関に委託しているが、当該医療機関が血液検査をさらに外部に委託しています。このような取扱いも禁止されるのでしょうか。時に調査等を行うこと（遵守基準）とされていますが、年何回くらい行えばよいのでしょうか。
• 問７０５
  外部業者に業務処理委託を行っている場合には、定期的又は随時に調査等を行うこと（遵守基準）とされていますが、年何回くらい行えばよいのでしょうか。
• 問７０６
  個人情報の処理を外部の業者に委託する場合には、理事会に諮ることとされています（遵守基準）が、理事長の専決とすることができるのでしょうか、また、契約期間の更新や委託金額の変更の場合にも理事会に諮る必要があるのでしょうか。
• 問７０７
  健保組合が業務を外部委託する際の判断として、次の場合は「個人情報に関する処理」に該当するのでしょうか。

  • ① システムの保守業者が個人データの入ったハードディスクをハードディスクの製造メーカーに修理を委託する場合。
  • ② ソフトウエアの保守（ソフトのパッチやバージョンアップ等の作業）で、サーバーのデータベースに個人情報は入っているが、個人情報を見ることがない保守作業を委託する場合。

• 【その他】

• 問８０１
  個人情報取扱事業者として、団体が付与する認証制度を取得する必要があるのでしょうか。
• 問８０２
  業務処理システムにアクセスした際の「ログファイル」も「個人情報」と思われますがどのように管理すればよいのでしょうか。具体的な基準を示してください。
• 問８０３
  健保組合によるレセプトの直接審査を行う場合に、気をつけることは何でしょうか。
• 問８０４
  健保組合において個人データが漏えいしてしまった場合の対応はどのようにすればよいでしょうか。
• 問８０５
  委託先において個人データが漏えいしてしまった場合の対応はどのようにすればよいでしょうか。

総論

＜「用語の定義」等関係＞

問００１

健保組合等の保有する個人情報には、例えばどのようなものがありますか。

（回答）

「健康保険組合等における個人情報の適切な取扱いのためのガイダンス」 （平成 29 年４月 14 日付個情第 538 号個人情報保護委員会事務局長・保発0414 第 18 号厚生労働省保険局長通知。以下「ガイダンス」という。）別表１参照。

なお、健保組合が健康保険に関連する業務以外で個人情報を保有する場合であっても、個人情報の保護に関する法律（平成 15 年法律第 57 号。以下「法」という。）に定める個人情報に該当することに注意が必要です（例えば、健保組合と取引がある会社の営業に係る名簿、健保組合が発行している機関誌や広報誌等の購読者の名簿、役員の履歴、保健施設の利用者名簿、医師・歯科医師・薬剤師・接骨師などの名簿など、被保険者及び被扶養者以外の個人情報であっても、法の適用を受けます。）。

問００２

レセプトから個人を識別できる情報を除いたものは、法の規制の対象から外れるのでしょうか。

（回答）

法第２条第１項各号（※）に「個人情報」が規定されております。

レセプトから同条に規定する個人情報を取り除き、個人を識別することができない場合は、原則として、法の規制の対象外となります。

※第２条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

一 　当該情報に含まれる氏名、生年月日その他の記述等（文書、図画若しくは電磁的記録（電磁的方式（電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第２ 号において同じ。）で作られる記録をいう。第 18 条第２項において同じ。）に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項（個人識別符号を除く。）をいう。以下同じ。）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）

二 　個人識別符号が含まれるもの

問００３

レセプトに記載されている情報のうち、具体的にはどの情報が個人を識別できる情報なのでしょうか。

（回答）

生存する個人に関する情報であって、「氏名」、「生年月日」、「保険者番号及び被保険者等記号・番号」、「公費負担医療の受給者番号」等が該当します。

この他にも、他の情報と容易に照合することができ、それにより特定の個人を識別できるものがあれば、法第２条第１項の個人情報に該当するため、個別に判断することとなります。

また、レセプトや健診記録、保険相談記録（以下「レセプト等」という。） に記載されている情報の中には、医師の個人情報も含まれる部分もあります（「問００４」参照）。

個別の判断に迷う時は、個人情報に該当するものとして、取り扱うことが望ましいと考えます。

問００４

レセプト等は医師の個人情報にも該当しますか。

（回答）

レセプト等から、それを作成又は記録した医師個人を識別することができる場合は、当該レセプト等は、被保険者のみならず、医師の個人情報にも該当します。

例えば、レセプトに担当医の氏名が明記されている場合は、担当医が行った評価や医療行為の内容として、担当医の個人情報に該当します。

問００５

死者に関する情報は、どのように取り扱う必要がありますか。

（回答）

法は、個人情報の取扱いに関連する権利利益の保護を目的とするものですが、本人関与等により権利利益の保護を求めることができるのは生存する個人であることから、「個人情報」の範囲を「生存する個人に関する情報」に限っています。

法では、死者に関する情報であっても、当該情報が遺族等の生存する個人に関する情報（例えば、死者の相続財産等に関する情報から、遺族（相続人）を識別することができることとなる場合、当該情報は死者に関する情報であると同時に、遺族に関する情報でもあります。）でもある場合には、生存する個人に関する個人情報として保護の対象となります。

なお、死者に関する情報が法の対象外であっても、健保組合において、当該情報を保存している場合には、漏洩、滅失又は棄損等の防止のため、個人情報と同等の安全管理措置を講ずることが適当であると考えます。

問００６

レセプトを電子媒体で保存した場合と紙で保存した場合とで、個人情報の取扱いに異なる点があるのでしょうか。

（回答）

電子媒体で保存した場合には法第２条第４項第１号の規定により、紙で保存した場合は同項第２号の規定により、原則として「個人情報データベース等」に該当するため、その取扱いに差異はありません。

問００７

「個人情報」、「個人情報データベース等」、「個人データ」、「保有個人データ」の違いは何でしょうか。

（回答）

「個人情報」とは、法第２条第１項各号に定めるものをいいます（「問００２」参照）。

「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの（利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。）をいいます（法第２条第４項各号、政令第３条）。

• ① 　特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
• ② 　①に掲げるものの他、特定の個人情報を容易に検索することができるように体系的に構成したものとして、個人情報の保護に関する法律施行令（平成 15 年 12 月 10 日政令第 507 号。以下「政令」という。）に定められたもの

「個人データ」とは、「個人情報データベース等」を構成する個人情報をいいます（法第２条第６項）。

「保有個人データ」とは、個人情報取扱事業者が開示等を行う権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定められたもの又は６か月以内に消去することとなるものを除外したものと定義されております（法第２条第７ 項、政令第４条、第５条）。なお、開示請求や訂正請求の対象となるものは「保有個人データ」です。

問００８

「匿名化」された情報は、個人情報に該当しますか。

（回答）

「個人情報の匿名化」は個人情報に含まれる氏名、生年月日、住所、個人識別符号等、個人を識別できる情報を取り除くことで、特定の個人を識別できないようにすることをいいます。ガイダンスにおいては、健保組合等の個人情報の取扱いにあたって「個人情報の匿名化」の考え方について示しております。

個人情報から氏名等の特定の個人を識別することができる情報を削除したとしても、健保組合等内で得られる他の情報と照合することにより、特定の被保険者等を識別することができる場合には、その情報は個人情報に該当します。このため個人情報に該当するか否かについては、情報を保有する健保組合等において個別の事例に応じて判断することとなりますが、判断に迷う場合には、個人情報に該当するものとして取り扱うことが望ましいと考えます。

問００９

「個人識別符号」とはどのようなものを指しますか。

（回答）

「個人識別符号」とは、その情報単体から特定の個人を識別することができるものとして政令及び個人情報の保護に関する法律施行規則（平成 28年 10 月５日個人情報保護委員会規則第３号。以下「規則」という。）で定められた文字、番号、記号その他の符号をいい、これらに該当するものが含まれる情報は個人情報となります。

健康保険法（大正 11 年法律第 70 号）に係る具体的なものとして、保険者番号及び被保険者等記号・番号などがあります。

問０１０

「匿名加工情報」とはどのようなものを指しますか。

（回答）

匿名加工情報は、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないものであり、匿名加工情報を作成するとき（※）は、規則で定める基準に従って加工する必要があります。なお、当該基準に従い加工が行われていない場合については、匿名加工情報に該当しないものと考えられます。

※ 「作成するとき」は、匿名加工情報として取り扱うために、当該匿名加工情報を作成するときのことを指します。したがって、例えば、安全管理措置の一環として氏名等の一部の個人情報を削除（又は他の記述等 に置き換え）した上で引き続き個人情報として取り扱う場合、あるいは統計情報を作成するために個人情報を加工する場合等については、「匿名加工情報」を「作成するとき」には該当しません（「個人情報の保護に関する法律についてのガイドライン（匿名加工情報編）」（平成 28 年個人情報保護委員会告示第９号）参照）。

問０１１

「要配慮個人情報」とはどのようなものを指しますか。また「要配慮個人情報」にかかる留意点は何でしょうか。

（回答）

「要配慮個人情報」とは、不当な差別や偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして法第２条第３項等で定める記述等が含まれる個人情報をいいます。なお、健保組合において想定される要配慮個人情報に該当する主な情報とは、レセプト等に掲載された病歴、健康診断の結果及び健康診断後の措置（医師等専門職による改善指導又は診療、調剤）が行われた事実等が挙げられます。

要配慮個人情報の取得や第三者提供には、原則として本人の同意が必要であり、また、法第 23 条第２項の規定による第三者提供（オプトアウトによる第三者提供）は認められていません。

なお、健保組合において通常想定される第三者提供については、原則本人の同意を得ることとしていますが、本人同意を得る方法として、被保険者等への保険給付等のために通常必要な範囲の利用目的のうち、被保険者等にとって利益となるもの、又は医療費通知など事業者側（健保組合等） の負担が膨大である上、明示的な同意を得ることが必ずしも被保険者等本人にとって合理的であるとは言えないものの利用の範囲について、ホームページへの掲載、パンフレットの配布、事業所担当窓口や健保組合等の掲示板への掲示・備付けや公告等により明らかにしておき、被保険者等から特段明確な反対・留保の意思表示がない場合には、これらの範囲内での個人情報の利用について同意が得られているものとする「黙示の同意」という考え方を用いることがあります（ガイダンスⅢ５（３）を参照）。

問０１２

既に健保組合の被保険者等ではない者の個人情報も法の対象ですか。

（回答）

対象です。

既に被保険者等でない者であっても、その個人情報について、健保組合に対し開示請求をすることができるため、被保険者等である者と同様の対応が必要です。

＜利用目的の特定、公表等 第１５条～第１８条関係＞

問１０１

利用目的を変更する場合において、法第 15 条第２項に規定する「変更前の利用目的と関連性を有すると合理的に認められる範囲」について示してください。

（回答）

法第 15 条第２項に規定する「変更前の利用目的と関連性を有すると合理的に認められる範囲」は、当初に特定された利用目的からみて想定することが、社会通念に照らしても客観的にみても合理的な範囲を指します。

問１０２

法第 18 条第１項では、個人情報の利用目的を公表しなければならないとされていますが、利用目的を「公表」するとは具体的にはどのような措置をとればよいのでしょうか。

（回答）

健保組合のホームページへの掲載、パンフレットの配布、事業所担当窓口等の掲示・備付けの措置等、健康保険法施行令（大正 15 年６月 30 日勅令第 243 号）第３条の規定に基づき行う公告と同程度以上の措置を講ずる必要があります。

問１０３

利用目的の特定、公表とは、目的をどれほど詳細に公表すれば足りるのでしょうか。

（回答）

特定、公表は、本人がその利用目的を知ることができる機会を設け、これにより個人情報の取扱いに関する本人の不安を緩和するとともに、本人自ら個人情報を提供する際に必要な注意を払うための契機を与えて、本人の権利利益の侵害を未然に防止するためのものであるため、なるべく具体的に特定、公表する必要があります。

①診療報酬の審査支払を行うため、②健保組合の運営の安定化のために必要な医療費分析を行うため、③被保険者及び被扶養者の健康の保持・増進のために行う指導のため、などとその具体的な利用目的が分かるように詳細に特定、公表する必要があり、例えば「医療保険事務に関すること」のみでは足りません。

具体的な利用目的の主な例としては、ガイダンス別表２を参照してください。

問１０４

健保組合が審査支払のためにレセプトの個人情報を利用するのは法律上当然のことですが、これも公表しなければならないのでしょ うか。

（回答）

個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用目的をできる限り特定しなければならない（法第 15 条第１項）とされ、個人情報を取得した場合には、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない（法第 18 条第１項）とされています。このため、法律上利用目的が明らかな場合であっても、その利用目的を公表する必要があります。

問１０５

特定された利用目的の範囲を超える場合には、原則としてあらかじめ本人の同意が必要ですが、緊急性を要する場合にもあらかじめ本人の同意が必要ですか。

（回答）

利用目的の範囲を超える場合には原則としてあらかじめ本人の同意が必要であり、あらかじめ本人の同意が不要となるのは法第 16 条第３項各号に規定された場合に限られます。

例えば緊急性を要する理由が、法第 16 条第３項第２号（人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき）に該当する場合は、あらかじめ本人の同意は不要となります。

問１０６

市町村等の医療費助成があるレセプトについて、付加給付を行う健保組合では、給付が重複しないように、①事業所の担当者を経由して被保険者に照会、②健保組合から医療機関へ窓口負担の有無を照会、③健保組合から市町村等に医療費助成の有無を照会し、結果的に病歴等の要配慮情報を取得することとなりますが、法に抵触しますか。

（回答）

照会の結果、要配慮個人情報を取得することとなるので、原則として本人の同意が必要であり（法第 17 条第２項）、当該個人情報の利用目的を本人に通知し、又は公表しなければならないこととされています（法第 18条第１項）。

＜データ内容の正確性の確保 第１９条関係＞

問２０１

健保組合は個人データの正確かつ最新の内容を確保することとなっていますが、どのような措置をとればよいのでしょうか。また資格喪失者の情報についても同様でしょうか。

（回答）

個人情報の中には、何が正確で最新の情報であるか容易に判断できないこともあり、健保組合の側からそれを確かめる手段や方法がない場合があります。本人にしか分からない場合もあることから、健保組合が利用目的の達成に必要な範囲内で自ら適切と考えかつ可能な限り正確性を確保する必要があると考えます。一方で、保存期限を経過する等、利用する必要がなくなったときは遅滞なく削除するよう努めなければなりません（法第 19 条）。

なお、資格喪失者においても、同様の考えに基づいた対応が必要となります。

＜第三者提供 第２３、第２５、２６条関係＞

問３０１

個人データを第三者に提供する際に本人の同意をとる必要はありますか

（回答）

法第 23 条第１条では、原則としてあらかじめ本人の同意を得ることとし、一定の要件の下（「問３０３」参照）でのみ、あらかじめ本人の同意を得な いで個人データを第三者に提供することができるとしています。

問３０２

本人の同意を求めるケースでは、すべて書面でもらう必要がありますか。

（回答）

必ずしも書面によることを要しませんが、紛争回避の観点から書面によることが望ましいところです。口頭で同意を得る場合にも、同意を得た方法、日時などを記録しておくことが望ましいところです（例えば、「2017 年５月 30 日 16:00、本人に対し電話により連絡し、同意を得る。担当○○」といった記録を残しておくなど。）。

問３０３

あらかじめ本人の同意を得ないで、個人データを第三者に提供することができる場合とは、具体的にどのような場合でしょうか。

（回答）

法第 23 条第１項に規定されており、具体的なものとしては以下の場合があります。

• 法令に基づく場合（医療機関や健保組合が審査支払機関にレセプトを送付する場合など）、
• 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難である場合（例えば、①意識不明となった本人について、血液型、家族の連絡先等に関する情報を医療機関等に提供する場合や、②災害発生時に、宿泊者の安否確認のために保養所が警察・消防機関等に対して宿泊者に関する情報を提供する場合など、人の生命、身体又は財産が害されるおそれが高まっているとき）、
• 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき（例えば、健康診査やがん検診等から得られた情報を、疫学上の調査・研究のために、健保組合が研究者に提供する場合など）、
• 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき（例えば、税務官署の職員又は地方公共団体の税務担当職員が、適正な課税の実現の観点から、個々の質問検査権等の規定によらずに任意調査（課税上必要な資料情報の収集等）を行う場合や、助成金の支給のための事実関係の調査として健保組合から個人情報を含む情報の提供を求める場合、地方厚生局が健保組合の監査を行いレセプトをチェックする場合など）

問３０４

健保組合が審査支払機関にレセプトの再審査請求をする場合も、第三者提供に当たりあらかじめ本人の同意が必要となりますか。

（回答）

法第 23 条第５項第１号の「個人情報取扱事業者が利用目的の達成に必要な範囲において個人データの取扱いの全部又は一部を委託する場合」に該当し、個人データの第三者提供には当たりません。

なお、委託する場合には、委託元の個人情報取扱事業者自らが実施する場合に求められるものと同程度の措置が委託先である業者において確保されるよう、必要な事項（例えば、目的外利用禁止や第三者提供の禁止、必要なセキュリティレベルの確保、再委託を認めると適切な保護が確保できない場合の再委託の禁止等が考えられる）を契約に盛り込むとともに、それが確実に遵守されるよう、適宜、委託先を監督・指導する必要があります。

問３０５

大学の研究者から研究のためにレセプトの提供を求められました。レセプト情報を提供してもよいのでしょうか。

（回答）

法第 23 条第１項第３号において、「公衆衛生の向上のために特に必要がある場合」であって「本人の同意を得ることが困難であるとき」は、本人の同意が必要ないこととされています。健康診査やがん検診等から得られた情報を、疫学上の調査・研究のために、健保組合が研究者に提供する場合は、特定の個人を識別する必要がない調査・研究であれば、本ガイダンスに従って匿名化して提供することが望ましいと考えます。

なお、「特に必要がある場合」を判断するのは、研究者ではなく、個人情報取扱事業者である健保組合となります。

問３０６

被保険者が生命保険に加入する際に所定の検査が必要となりますが、事前に健診を受けていれば、その検査結果を代用できることになっている場合があります。この場合、生命保険会社から被保険者の検査結果の提供を求められた場合、検査結果を提供してよいのでしょうか。

（回答）

原則として、あらかじめ本人の同意なく提供することはできません（法第 23 条第１項）。

問３０７

非常勤職員が組合の会議室等でレセプト点検を行う場合も第三者提供に該当しますか。

（回答）

非常勤職員も当然に組合の職員であり、組合の業務として点検を行うことから、第三者に当たりません。なお、個人情報を取り扱うに当たっては、守秘義務契約や必要な研修等、常勤の職員と同様の扱いが必要となります。

問３０８

レセプトの点検業務を第三者に委託する場合にも本人の同意が必要ですか。

（回答）

利用目的の達成に必要な範囲において個人データの取扱いを委託する場合は、第三者に該当しないため、本人の同意は必要ありません（法第 23 条第５項第１号）。

また、委託に当たっては、可能な限り、個人情報を匿名化した上で委託することが望ましいと考えます。

なお、委託する場合の委託先の監督については「問３０４」参照。

問３０９

健保組合が統計情報を作成するために、レセプトの画像取込（スキャン）を行った上、統計作成事業を請け負っている会社に委託する場合、本人の同意を得ずに当該会社に当該レセプトデータを提供してよいのでしょうか。

（回答）

「問３０８」同様。

問３１０

健康保険被保険者証の検認又は更新の際には、事業所に一括して送付し、事業所から各被保険者へ配布しています。このようなやり方は第三者提供に当たり、本人の同意が必要となりますか。

（回答）

健康保険被保険者証の交付、訂正、検認又は更新は、健康保険法施行規則（大正 15 年内務省令第 36 号）第 47 条～第 50 条において事業主を経由して行うこととされており、法第 23 条第１項第１号の「法令に基づく場合」に該当するため、事業所に送付することについて本人の同意を得る必要はありません。

問３１１

給付に関する申請などが事業主経由で行われることありますが、気を付けることはありますか。

（回答）

法は、第三者に個人データを提供する場合には、原則としてあらかじめ本人の同意を得るべきこととしていますが、法令上、提供義務が明記されている場合はあらかじめ本人の同意を得ずに第三者に提供することを認めています。

給付に関する申請の場合は、健康保険法施行規則第 84 条～第 87 条において、傷病手当金、埋葬料、出産育児一時金及び出産手当金等の給付を受けようとする者は、所定の事項を記載した申請書を保険者に提出することとしています。

一方で、給付に関する申請を事業主経由で行う場合については、特段の法令上の根拠がないため、被保険者が保険者へ届出する行為を事業主に委任するという意思表示が必要となります。当該委任の意思表示は、第三者提供の同意を兼ねることから、委任の意思表示があれば別途本人の同意を求めるものではありません。

なお、被保険者資格の得喪に関する書類は、健康保険法第 48 条では、被保険者の資格の取得及び喪失等に関する事項の届出義務を事業主に課し、同法第 49 条第 1 項では、被保険者の資格の取得及び喪失の確認等を行った場合の事業主への通知を保険者に課していることから、あらかじめ本人の同意を得る必要はありません。

問３１２

健保連の共同事業として、健保連から委託を受けた指導員が、健保組合のレセプトをチェックし、レセプト審査の方法を助言することがありますが、法に抵触しますか。

（回答）

本人からみれば、健保連から委託を受けた者は、健保組合と異なる第三者に該当するので、健保組合は、原則として、あらかじめ本人の同意を得る必要があります。

しかしながら、健保組合と指導員の間に法 23 条第５項第１号の委託関係にある場合、又は同項第３号の共同利用関係にある場合には、本人の同意は不要となります。

なお、委託する場合の委託先の監督については「問３０４」参照。

問３１３

被扶養者本人に対する健康保険被保険者証の更新の際には、被扶養者の同意を得ずに被保険者本人に交付することはできますか。

（回答）

健康保険法施行規則第 50 条第５項及び第６項の規定により、事業主を経由して、被保険者に交付しなければならないとされており、法第 23 条第１ 項第１号の「法令に基づく場合」に該当するため、被扶養者本人の同意を得ずに被保険者へ交付することが可能です。

問３１４

健保組合から被保険者に対し医薬品を配布することがありますが、医薬品のリストと送付先名簿を業者に渡し、業者から被保険者に対し郵送することは可能でしょうか。

（回答）

被保険者にとって業者は第三者に該当するため、原則としてあらかじめ本人の同意が必要です。

ただし、法第 23 条第５項第１号の規定により、個人情報取扱事業者が利用目的の達成に必要な範囲において個人データの取扱いの全部又は一部を委託する場合は、第三者に該当しないため、この場合には本人の同意は必要ありません。

なお、委託する場合の委託先の監督については「問３０４」参照。

問３１５

市区町村の国民健康保険担当から、資格喪失年月日、認定日などの照会がなされた場合の対応はどうしたらよいのでしょうか。

（回答）

国民健康保険法（昭和 33 年法律第 192 号）第 113 条の２第２項の規定により、市区町村は、必要な資料の提供を求めることが出来るとされており、法第 23 条第１項第１号の「法令に基づく場合」に該当するため本人の同意なく、回答に応じて差し支えありません。

なお、市区町村からの電話による問い合わせに回答する場合は、その場で即答せずに相手方の所属、氏名、代表電話番号、内線電話番号等を確認した後、折り返し電話するなどの配慮が望ましいと考えます。照会元が疑わしい場合は、電話帳等で当該市町村の代表番号を調べ、総務担当者等に確認するなどの工夫を行う必要があると考えます。

問３１６

保険医療機関や保険薬局から、受給資格の有無の照会がなされた場合の対応はどうしたらよいのでしょうか。

（回答）

原則として、あらかじめ本人の同意が必要です。

ただし、資格喪失後の受診の疑いがあり、保険医療機関等から照会が行われた場合等において、健保組合等の財産の保護のために必要があり、本人の同意を得ることが困難である場合に該当するときには、本人の同意を得ずに回答に応じて差し支えありません（法第 23 条第１項第２号）。

なお、保険医療機関等からの電話による問い合わせに回答する場合は、その場で即答せずに相手方の所属、氏名、代表電話番号、内線電話番号等を確認した後、折り返し電話するなどの配慮が望ましいと考えます。照会元が疑わしい場合は、電話帳等で当該医療機関の代表番号を調べ、総務担当者等に確認するなどの工夫を行う必要があります。

問３１７

法令上質問をすることができる旨が規定されていますが、回答義務がない場合又は回答しなくても刑罰がない場合にも、法第 23 条第１項第１号の「法令に基づく場合」に該当するのでしょうか。

（回答）

該当します。

問３１８

警察署や労働基準監督署から、資格喪失年月日、療養の給付などの照会がなされた場合の対応はどうしたらよいのでしょうか。

（回答）

刑事訴訟法（昭和 23 年法律第 131 号）第 197 条第２項の規定により、検察官、検察事務官及び司法警察職員は、犯罪があると思料するときの捜査について、公務所又は公私の団体に照会して必要な事項の報告を求めることが出来るとされており、法第 23 条第１項第１号の「法令に基づく場合」に該当するため本人の同意なく、回答に応じて差し支えありません。

〔注〕警察官や労働基準監督官が司法警察職員に該当する根拠条文

【刑事訴訟法（昭和 23 年法律第 131 号）第 189 条】

警察官は、それぞれ、他の法律又は国家公安委員会若しくは都道府県公安委員会の定めるところにより、司法警察職員としての職務を行う。

【労働基準法（昭和 22 年法律第 49 号）第 102 条】

労働基準監督官は、この法律違反の罪について、刑事訴訟法に規定する司法警察職員の職務を行う。

なお、警察署等からの電話による問い合わせに回答する場合は、その場で即答せずに相手方の所属、氏名、代表電話番号、内線電話番号等を確認した後、折り返し電話するなどの配慮が望ましいと考えます。照会元が疑わしい場合は、電話帳等で当該警察署又は労働基準監督署の代表番号を調べ、総務担当者等に確認するなどの工夫を行う必要があると考えます。

問３１９

刑事訴訟法第 197 条第２項の規定に基づき、警察から健保組合に、「貴組合に○○という被保険者はいるか」「貴組合に加入しているＡ 事業所の事業主は誰か」との照会があった場合、回答してよいのでしょうか。

（回答）

法第 23 条第１項第１号の「法令に基づく場合」に該当するため本人の同意なく、回答に応じて差し支えありません。

なお、第三者提供の制限は、すべての個人情報ではなく、「個人データ（法第２条第６項参照）」に限られるので、「個人データ」でない個人情報を第三者に提供する場合には本人の同意は不要です（例えば、健保組合においては、レセプトや加入者資格は、通常検索できる状態にあるため「個人データ」に当たることが多いと考えます。一方、例えば健保組合に電話がかかり、「Ａさんはいらっしゃいますか」と聞かれた場合に、Ａさんが在室中か否かは個人情報ではありますが、個人データではないので、Ａさんの同意を得ずに回答して構いません。）。

問３２０

健保組合の保健事業として、健保組合の医師や保健師が被保険者の健康相談を行っていますが、その内容を健保組合の事務局に報告させる場合に本人の同意は必要となりますか。

（回答）

この場合の医師又は保健師は健保組合に属する職員であるため、第三者には当たらず、本人の同意は必要ありません。

ただし、被保険者の要配慮個人情報にかかわるものと考えられるため、その取扱いについて、事務局において必要な範囲内にする等の配慮をする必要があると考えます（「問３２５」参照）。

問３２１

受診者が被扶養者の場合に、健保組合から被保険者に対し受診内容等の照会をすることがありますが、受診者（被扶養者）に直接確認しなければならないのでしょうか。

（回答）

受診内容等については要配慮個人情報にかかわるものもあるため、受診者（被扶養者）に直接照会する必要があります。このため、受診者の連絡先を把握していない場合は、被保険者への照会等により受診者の連絡先を把握し、連絡する必要があります。

ただし、人の生命、身体又は財産の保護のために必要がある場合であって、本人に直接確認をとることが困難であるときは、この限りではありません。

問３２２

当健保組合において、資格喪失後の出産育児一時金の受給要件を満たしている被保険者が、配偶者の加入する健康保険の他の保険者に家族出産育児一時金を請求した場合に、その健康保険の他の保険者より電話連絡で当健保組合に出産育児一時金の支給の有無の照会がありました。どのように対応したらよいのでしょうか。

（回答）

原則として、あらかじめ本人の同意が必要です。

ただし、二重給付の疑いがあり、健康保険の他の保険者から照会が行われた場合において、照会を受けた健保組合の財産の保護のために必要があり、本人の同意を得ることが困難である場合に該当するときには、本人の同意を得ずに回答に応じて差し支えありません（法第 23 条第１項第２号）。

問３２３

労働基準監督署より労災判定に関し、文書により、その関連するレセプト内容（医療機関名、傷病名、診療点数等、診療日数・入院日数）の照会（レセプト要求なし）があった場合、どのように対応したらよいのでしょうか。

例えば、管轄の健保組合に対して、労働基準監督署から健康保険の被保険者の傷病名や受診医療機関名、入院期間、医療費などの照会がなされました。何らかの傷病に際し、健康保険からの保険給付がなされた後、労災であることが判明し、労働基準監督署に申請がなされました。この場合、被保険者の傷病名などは個人情報にあたり、保険者たる健保組合としては労働基準監督署へ情報提供することは許されるのでしょうか。

（回答）

照会に回答を行う際に本人の同意を得ることとした場合には適切な給付ができなくなるため、本件のような労働者災害補償保険法（昭和 22 年法律第 50 号）に定める事務を遂行する場合は「国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要があって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき」（法 23 条第１項第４号）に該当し、本人の同意なく回答することが可能であると考えられますが、本人の同意を容易に得ることができる場合には、あらかじめ本人の同意を得た上で回答することが望ましいと考えます。

問３２４

市町村より、健保組合に対し、乳幼児医療助成（現物給付）にかかるレセプトの内容（受診医療機関ならびに請求点数）の照会があった場合、どのように対応したらよいのでしょうか。

（回答）

「問３２３」同様。

問３２５

健保組合の保健指導で得た個人情報を提供するよう健保組合の上司から指示があったが、その個人情報を提供してよいのでしょうか。

（回答）

法上は、同じ健保組合内であれば、保健師もその上司も同一の主体であり、その間の個人情報の提供には規制がありませんが、健保組合の保健師には職員としても保健師としても守秘義務が課されており、正当な理由がなく、その業務上知り得た人の秘密を漏らしてはならないこととされています（健康保険法第 22 条の２及び保健師助産師看護師法（昭和 23 年法律 第 203 号）第 42 条の２参照）。

したがって、健保組合の上司に対し、正当な理由なく、個人情報の報告をしてはいけません。

問３２６

以下の場合について、事業者と健保組合において、健診結果について共有することができるのでしょうか。

• ① 事業者が、労働安全衛生法（昭和 47 年法律第 57 号）に基づいて行う健診及び同法の法定項目を超える健診を実施する場合
• ② 事業者が、労働安全衛生法に基づいて行う健診を実施し、健保組合が、同法の法定項目を超える健診を実施する場合
• ③ 健保組合が、労働安全衛生法に基づいて行う健診及び同法の法定項目を超える健診を実施する場合
• ④ 事業者と健保組合が共同（健保組合が費用を一部負担（共同出資）している場合を含む。⑤において同じ。）で、労働安全衛生法に基づいて行う健診及び同法の法定項目を超える健診を実施する場合
• ⑤ 事業者が、労働安全衛生法に基づいて行う健診を実施し、事業者と健保組合が共同で、同法の法定項目を超える健診を実施する場合

（回答）

事業者と健保組合とは異なる主体であるので、①、②、③及び⑤の前段の健診について、健診実施者が他に健診結果を提供する場合は、原則として、あらかじめ本人の同意が必要です。

ただし、④及び⑤の後段の健診を実施する場合や、①、②及び⑤の前段 の健診であっても健診結果に基づく事後指導を両者が共同で実施する場合は、「個人データを共同で利用する旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき」は、本人の同意は不要です。（法第 23 条第５項第３号）

ただし、トラブル回避の観点から保健指導対象者に対して、健診結果を母体事業所が知りうることを周知することが望ましいと考えます。

なお、②及び⑤の場合において、両者で健診結果を提供しあう場合について、本人の同意を要する場合においては、例えば、事業者と健保組合が連名で本人に同意を求めるなどの手続きを行っても差し支えありません。

問３２７

母体事業所の健康管理部門に特定保健指導を委託する場合において、健保組合が特定健診の結果を母体事業所へ提供することについて本人同意は必要となりますか。

（回答）

特定保健指導を行うという健保組合における利用目的の達成に必要な範囲内において個人データの取扱いを委託する場合は、個人データの第三者提供に該当しないため、本人の同意は必要ありません。

なお、委託する場合の委託先の監督については「問３０４」参照。

問３２８

事業所における健康管理事業推進に寄与する為に、健保組合が保有する健診結果とレセプトデータを突合分析した結果を、事業所の健康管理部門に提供するにあたり、本人同意は必要となりますか。

（回答）

当該結果が個人を特定し得ない統計データ（例えば血糖値が基準値を超える人の○％が 60 歳到達時に生活習慣病に罹患する等の情報）であれば、個人情報ではない為、本人同意は必要としません。但し、当該事業所における被保険者数が少人数で、特異な疾病等であり、個人が特定されるような情報等については、同意が必要となります。

問３２９

当健保組合では、人間ドック未受診者が法定健診も未受診とならないよう、人間ドック未受診者のリストを事業所に提供しています。 この場合、本人同意は必要となりますか。

（回答）

当該事業が健康管理事業推進を目的とした共同事業として位置づけられ、当該提供が法第 23 条第５項第３号に定める「共同利用」の要件を満たす場合、本人同意は必要ありません。ただし、トラブル回避の観点から、人間ドック未受診者に対し、健保組合から受診勧奨を実施し、その際に未受診の場合は法定健診にかかる受診勧奨が事業主から実施される旨を通知することが望ましいと考えます。

問３３０

当健保組合では事業所とのコラボヘルスを推進するにあたり、互いが保有する健診結果等のデータを共有し、互いの事後指導に活用したいと考えていますが、法第 23 条第５項第３号「共同利用」に該当する場合、本人同意は要しないという理解でよいのでしょうか。

（回答）

法第 23 条第５項第３号に定める（事業内容及び個人データの項目、共同して利用する者の範囲、利用目的、データの管理について責任を有する者の氏名等）について、あらかじめ本人に通知、若しくは本人が知り得る状態に置く措置が実施された場合は、「共同利用」に該当し、第三者提供に該当しないことから本人同意を得る必要はありません。この場合、以下について留意が必要です。なお、トラブル回避の観点から、健診受診の際等に同意を取り付ける措置が望ましいと考えます。

• ① 利用目的・・単に「社員、組合員の健康増進の為」といった広い表現ではなく「社員、組合員の中長期的な生活習慣病抑制の為、リスク保有者に適切な保健指導等のフォローを実施する為」等、合理的かつ組合員から納得が得られる利用目的である必要があります。
• ② 利用する者の範囲・・単に「コラボヘルスを推進する事業所」という広 い表現ではなく、具体的な事業所名及びその部門を限定する等、利用目的 に沿った範囲に限定すべきです。なお、コラボヘルスにおいては「雇用管 理分野における個人情報のうち健康情報を取り扱うに当たっての留意事項」 （平成 29 年５月 29 日個人情報保護委員会事務局長、厚生労働省労働基準局長通知）の「第３ 健康情報の取扱いについて事業者が留意すべき事項」の「３.法第 20 条に規定する安全管理措置及び法第 21 条に規定する従業者の監督に関する事項」との整合性をとることが必要です。
• ③ 提供するデータの項目・・単に「健診結果」等の広い表現でなく、「BMI・血糖値・血圧・・」等詳細な項目内容とし、利用目的に沿ったものとすべきです。
• ④ 本人が知り得る状態に置く措置・・一般的手法としては HP や広報誌などによる周知が考えられますが、健保組合だけでなく、事業所も含めた双方による周知を徹底し、本人が知り得ている事が明らかな状況とする必要があります。例えば、健診の申し込み時に同意意思を表示して頂くようチェックボックスを設けるなどの措置がより望ましいといえます。

問３３１

前設問における共同利用により健診結果を事業所と共有している場合、健診結果が要治療にもかかわらず、健保組合のレセプトデータから未受診であることが分かった者について、その旨（単に受診していない旨）を事業所に情報提供し、事業所から受診勧奨することについて、本人同意は必要となるのでしょうか。

（回答）

「問３３０」同様、法第 23 条第５項第３号に定める共同利用に該当する場合、法的には本人同意を得る必要はありません。ただし、提供する情報の秘匿性に鑑み、当該受診勧奨については、まず健保組合が実施の上、なお未受診である者については事業所（医療専門職）から受診勧奨を実施する旨を伝え、本人同意を得る事が望ましいと考えます。

なお、参照までに、以下のようなリスクが考えられるため、設問の受診勧奨が利用目的の範囲内として、利用する者の範囲などと整合性がとれ、かつ組合員において納得が得られるよう配慮が必要であると考えます。

• 雇用や就業上の合理的な理由のない不利益取扱い（解雇、契約打ち切り、昇格停止、役職罷免等）
• 同僚や上司からの偏見（不当に病気の原因や経過を予想される懸念等）
• 医療や保健サービスの利用障害（事業主への情報漏洩の懸念等）
• 不要な営業・勧誘（医療関連商品のダイレクトメール等）
• 不安や精神的苦痛（他人に病名や病状を知らされる不安等）

問３３２

当健保組合の理事長は事業所の人事執行役員です。この場合、理事長が事業所の人事業務に健保組合が保有する被保険者の病歴等情報を活用することに問題はありますか。

（回答）

同一人物が複数の事業者を兼ねる場合であっても、個人情報は事業者ごとに取得されたものであり、一方の事業者の個人情報を他方の事業者内で利用することはできません。

たとえ同一人物であっても、健保組合が保有する情報はあらかじめ定めた利用目的の範囲内でなければなりません。またその利用目的は、健保の業務に資するに値する適正なものでなくてはならず、当該情報を事業所の人事業務に活用することは特定された利用目的の達成に必要な範囲を越えた取扱いに該当するものと考えられます。

なお、設問の場合、健康保険法第７条の 37 第１項、第 22 条の２及び第207 条の２に規定されているとおり、健保組合の役職員としての秘密保持義務違反となり罰則を受ける可能性があることに留意が必要です。また、「健康保険組合における個人情報保護の徹底について」（平成 14 年 12 月25 日付保保発第 1225001 号厚生省保険局保険課長通知）において、服務規程等に健保組合の役職員について守秘義務を課すことを求めており、事業所の服務規程違反となり罰則を受ける可能性があります。

問３３３

母体企業が労働安全衛生法に基づく健診を行う際に、安全衛生法の法定項目を超える健診を実施し、健保組合が当該超過項目の費用を負担しています。検診結果は、母体企業と健保組合が共有します。このようなケースは認められるのでしょうか。

（回答）

母体企業と健保組合は異なる法人であるため、母体企業の情報が健保組合に提供される場合、あるいは逆に健保組合の情報が母体企業に提供される場合には、原則としてあらかじめ本人の同意が必要です。

問３３４

健保組合が行う特定保健指導などを産業医に依頼する場合には、どのようなことに気を付ける必要がありますか。

（回答）

健保組合が行う産業医への特定保健指導の依頼は、法第 23 条第５項第１ 号の「個人情報取扱事業者が利用目的の達成に必要な範囲において個人データの取扱いの全部又は一部を委託する場合」に該当し、第三者提供には当たらないこととなるため、被保険者の同意は要しません。

なお、委託する場合の委託先の監督については「問３０４」参照。

問３３５

当健保組合では、専門業者に委託のうえ、特定保健指導の実施をしています。業者には特定健診によりリスク保有者を抽出し、該当者の健診結果データを提供しています。この場合、受診者本人の同 意は必要ですか。

（回答）

同提供データは「個人情報」「個人データ」かつ「要配慮個人情報」に該当するものの、法第 23 条第５項第１号における委託においては第三者提供とはならないため、法的には本人の同意を得る必要はありません。ただし、専門業者より対象者へアプローチを行う際に、対象者において同委託内容について知りえない場合、トラブルが発生する可能性が高いことから、最低限の対応として、あらかじめ同委託内容及び業者名等を組合員に周知、通知により明示しておく事が必要と考えます。

なお、委託する場合の委託先の監督については「問３０４」参照。

問３３６

母体企業の産業医に相談業務を委託することがありますが、その結果を健保組合に報告してもらうことに支障はありますか。また、母体企業の産業医が健保組合の顧問医になっている場合はどうでしょうか。

（回答）

個人情報を取得する健保組合の側から見れば、個人情報を提供する母体企業が下記の本人の同意を得ているという前提下において、その利用目的を特定、公表すれば足ります。

一方、個人情報を提供する母体企業の側から見れば、母体企業の産業医と健保組合に使用される医師は異なる主体であるため、原則として、母体企業の産業医から個人情報を健保組合に報告する場合には、母体企業はあらかじめ本人の同意を得ることが必要となります。

しかしながら、母体企業の産業医と健保組合が法第 23 条第５項第１号の委託関係にある場合又は同項第３号の共同利用である場合には、第三者提供に当たらないので、本人の同意を得ずに、結果報告を受けても差し支えありません。母体企業の産業医が健保組合の顧問医になっている場合も同様です。

なお、委託する場合の委託先の監督については「問３０４」参照。

問３３７

事業主が実施している健康診断の結果をもとに、健保組合の保健 師が受診者に対し、健康相談を行うことは可能でしょうか。また、 事業主から誰に対し健康相談を行ったのか、その健康相談の内容は どのようなものかと聞かれた場合にはどうすればよいのでしょうか。

（回答）

事業主と健保組合とは異なる法人であるため、事業主が保有する個人情報をもとに、健保組合の保健師が健康相談を行う場合には、原則として、事業主は健保組合に個人情報を提供することについてあらかじめ本人の同意が必要です。

また、あらかじめ健保組合に個人データを提供することについて本人の同意を得た場合であっても、健保組合の保健師が、誰を対象に健康相談を行い、その内容がどのようなものかを事業主に伝える場合には、改めて本人の同意が必要です。

なお、事業主と健保組合の保健師が法第 23 条第５項第１号の委託関係又は同項第３号の共同利用関係にあるときは、第三者提供に当たらないため、本人の同意は不要となります。

ただし、委託する場合の委託先の監督については「問３０４」参照。

問３３８

人間ドック等の受診費用を健保組合が助成し、その結果を健診業者から健保組合にも直接送付してもらっていますが、事前に本人の同意をとる必要がありますか。

（回答）

人間ドック等の受診結果は、要配慮個人情報に該当するので、当該個人情報を取得するには、あらかじめ本人の同意が必要です。また、健診業者の側からみれば、健診事業者と健保組合とは異なる法人となるため、健保組合へ個人情報を提供するに当たり、原則として、あらかじめ本人の同意が必要です。

ただし、医療機関等の健診業者の側では、労働安全衛生法等による健診を受託した場合に、委託元である健保組合に健診結果を提供する際は、院内掲示等により個人情報の利用目的を明示することで黙示の同意が得られているものとされている（「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」（平成 29 年４月 14 日付個人情報保護委員会事務局長、厚生労働省医政局長、医薬・生活衛生局長、老健局長通知））ため、その場合は、健保組合があらためて要配慮個人情報の取得についての本人の同意を取得する必要はありません。

なお、委託する場合の委託先の監督については「問３０４」参照。

問３３９

当健保組合では、特定の健診機関と個別契約を締結し、人間ドック事業を実施しています。同事業内容については、組合員にも周知済みですが、契約健診機関から健診結果を受領することについて、受診者本人の同意は必要でしょうか。

（回答）

設問における健診結果の受領は健保組合と健診機関における委託契約のもとに成立するものであり、法第 23 条第５項における委託においては第三者提供とはならないため、法的には本人同意は要しないこととなります。なお、更なる措置として、人間ドック受診にかかる申込書に、健診機関から健保組合に健診結果が提供されることについて、同意意思を表示して頂くようチェックボックスを設けるなどの措置が考えられます。

なお、委託する場合の委託先の監督については「問３０４」参照。

問３４０

健診で結核などの感染のおそれが高い疾病患者が見つかったため、事業所に該当情報を伝える必要がある場合は、本人の同意を得なければならないのでしょうか。

（回答）

健保組合と事業所とは異なる法人となるため、原則として、あらかじめ本人の同意が必要です。

ただし、結核のように他人に感染するおそれが高い疾病である場合には、法第 23 条第１項第３号の「公衆衛生の向上～のために特に必要がある場合」に該当し、本人と連絡が取れない等の「本人の同意を得ることが困難であ るとき」は同意を得ずに事業所に伝えることができます。

問３４１

いくつかの健保組合が共同して、レセプトの分析を行うことを予定しています。この場合に気を付けることは何がありますか。

（回答）

個人データを共同で利用する旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、法第23 条第５項第３号に該当し、その間の共同利用について本人の同意は不要です。ただし、不必要な情報はマスキングなどの加工の必要があります。

問３４２

法 23 条第５項第３号では、特定の者で共同利用する場合には、利用する者の範囲、責任者等を予め、本人の知り得る状態とすれば第三者提供に当たらず、本人の同意は不要とされていますが、「本人が容易に知り得る状態」とはどのような状態をいうのでしょうか。

（回答）

本人が知ろうとすれば時間的にも、その手段においても、容易に知ることができる状態をいい、具体的には、①ホームページ等に継続的に掲載することや、②事業所の窓口等への掲示・備付け（健保組合の事務所だけでなく、加入事業所にも掲示・備え付けることが望ましい）、③会社の広報誌や組合のパンフレットの継続的な配布（３か月に一度程度以上）などが考えられます。

また、健診結果を事業主と健保組合が共同利用する場合には、健診申込書にその旨を記載しておくなどの対応が望ましいと考えます。

問３４３

レセプトから自動車事故であることが疑われる場合であっても、健保組合は被保険者の電話番号を把握しておらず、直接連絡を取ることが難しいことがあります。このような場合に事業所の職員に傷病原因の照会をした場合には、法に抵触しますか。

（回答）

個人情報を取得する健保組合の側から見れば、照会することにより個人情報を取得することとなるので、その利用目的を本人に通知し、又は公表しなければなりません（法第 18 条）。

設問の場合、事業所が健保組合からの照会に回答する場合には、原則として、あらかじめ本人の同意が必要となるため、事業所を経由する等して被保険者と連絡をとる必要があると考えます。

問３４４

第三者行為において、健保組合が損害保険会社に請求する医療費を示すために、レセプトの写しを損害保険会社へ送付していますが、 法に抵触しますか。

（回答）

損害保険会社と健保組合は異なる法人であり、レセプトの写しを提供するときは、あらかじめ本人の同意を得ることが原則です。

しかし、本人の同意を得られない場合であって、健保組合の財産の保護のために必要がある場合には、法第 23 条第１項第２号の「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」に該当するため、本人の同意を得ずに送付することができます。ただし、医療機関名や医師名などの情報が不必要な場合はマスキングなどの加工をする必要があります。

問３４５

現在、医療費通知は被保険者とその家族をまとめて通知しており、その旨をホームページ等で公表し、組合員においても周知が行き渡っている状況ですが、平成 29 年５月の改正法施行後もこの取扱いでよいのでしょうか。また社内便を用いて本人に送付しているがよいのでしょうか。

（回答）

家族同士であっても異なる個人であることから、家族分をまとめた医療費通知を被保険者本人に通知するにあたっては、家族の同意が必要となります。

ただし、この同意は必ずしも明示的なものでなくとも差し支えありませんが、設問のように状況に照らし家族本人が実質的に同意していると判断できることが必要です。設問の運用においては、「各組合員に医療費通知について、家族分を纏めた通知とすること」、及び「仮に同意しない場合には申し出てもらう必要があること」などをホームページへの記載等により黙示の同意をとることが考えられます（ガイダンスⅢ５（３）を参照）。

また、医療費通知の送付方法については、社内便で送付することもできますが、企業（事業主）と健保組合は異なる法人となるため、本人の同意がない限り、企業（事業主）が本人の情報（個人情報）を見ることができないような措置を講じることが必要となります。

問３４６

当健保組合では、高額療養費及び付加給付（一部負担還元金等）の支給について、規程で定めることにより、本人の申請に基づくことなく「自動払い」により、事業主を経由し支給する（給与口座への振込み）こととしています。これは本人の同意を得ずに、個人データを第三者である事業主に提供していることになり、あらかじめ本人の同意が必要となりますか。

（回答）

本人の同意を得ることが必要となりますが、この同意は必ずしも明示的なものでなくとも差し支えありません。設問のような状況においては、「高額療養費及び付加給付を事業主を経由して給付すること」及び「仮に同意しない場合には申し出てもらう必要があること」などをあらかじめ通知等することにより明らかにすることで、黙示の同意をとることが考えられます（ガイダンスⅢ５（３）を参照）。

問３４７

当健保組合では、療養給付記録欄がある紙の被保険者証を発行していますが、これは、被保険者が受診する場合は被扶養者に関する個人情報を、被扶養者が受診する場合は被保険者に関する個人情報を、それぞれ情報主体と異なる者（受診者）が第三者（医療機関）に提供する形になっていますが、法上、問題がありますか。

（回答）

被保険者と被扶養者は異なる個人であり、相手の情報を第三者に提供することとなりますが、個人情報取扱事業者には当たらないため、法上提供するに当たってそれぞれ相手の同意を得る必要はありませんが、相手の情報が安易に提供されることは本人情報の保護の観点から望ましい状態とは言えません。現在は、被保険者及び被扶養者が、療養給付記録欄が削除されたそれぞれ別個の被保険者証を有することができる措置が講じられているので、健保組合においては被保険者証を切り替えることにより、相手の情報が安易に提供されないようにすることが望ましいと考えます。

問３４８

健保組合がレセプトを売買したり、健保組合からレセプトによる医療費分析などを受託している業者がレセプトを売買することは問題ないでしょうか。

（回答）

健保組合がレセプトを売買することについては、健保組合の公法人としての性格に鑑み、許容すべきものではなく、また、健保組合が医療費分析などを委託するに当たっては、委託した個人データの安全管理が図られるよう委託業者に対して必要かつ適切な監督を行う義務があることとされております（法第 22 条）。委託業者が個人データを売買することは、個人データの安全管理が図られているとは言えないため、健保組合から委託業者に対して、売買について禁止するよう指導すべき義務があると解せられます。

また、法第 23 条第５項第１号により健保組合が医療費分析等のためにレセプト分析業者に委託を行うことは本人の同意は不要ですが、委託業者との契約において、委託料に要する費用を安くするために当該委託業者がレセプトを第三者に売買することを認めることは、第三者提供となり本人の同意が必要となります。そのため、本人の同意なく委託業者にレセプトの売買を認めることは、法第 20 条の安全管理措置及び法第 23 条の第三者提供の制限に違反することとなります（違反した場合の措置については「問６０２」参照）。

問３４９

レセプト等を用いて、医療費分析や保健指導等をするに当たって、医師の同意を要するのでしょうか。また、それらの業務を委託する場合はどうでしょうか。

（回答）

レセプト等が医師の個人情報に当たる場合であっても、法上、利用目的を、本人に通知し、又は公表する必要はありますが、例えばレセプトを使って医療費分析を行うに当たって、本人の同意を得ることまでは求められていないため、医師の同意を要しません。

なお、保健指導等を行うに当たっては、引き続き、被保険者へレセプトを開示することにより本人の診療上問題ないかの医師の確認を取ることを求めている「診療報酬明細書等の被保険者等への開示について」（平 17 年３月 31 日付厚生労働省保険局長通知）の趣旨を踏まえ、本人の診療情報の取扱いについて、特段の配慮を行うことが必要です。

また、医療費分析や受診指導等を委託するに当たっては、法上、委託元の健保組合は、委託を受けた者において当該個人情報の安全管理が図られるよう、必要かつ適切な監督を行う義務を負うこととなりますが、業務の委託のために必要な範囲内の委託先への個人情報の提供であれば、法上、医師の同意を要しません。

なお、この場合においても、委託元である健保組合は、レセプト等の利用目的として、例えば「医療費分析の委託」のように利用目的を特定の上、本人（被保険者（及び医師の個人情報に当たる場合は医師））に通知し、又は公表する必要があります。

問３５０

健保組合がレセプトの個人情報に係る部分をマスキングした上で、当該レセプトのデータ処理業務を海外の会社に委託することは可能でしょうか。

（回答）

個人情報としてのレセプトの処理業務の委託は、法上、委託元の健保組合は、委託を受けた者において当該個人情報の安全管理が図られるよう、必要かつ適切な監督を行う義務を負うが、特定の個人を識別できない情報とした場合は、個人情報ではないため、法上、委託先に対して監督義務を負わないこととなります。

しかしながら、医療情報というレセプトの公益性に鑑み、たとえそれが個人情報に該当しなくなったとしても、社会通念上、許容できる範囲内での取扱いとなるよう、委託先に対して必要な監督を行うことが望ましいと考えます。

なお、法上、利用目的を特定し、本人に通知又は公表する必要があるため、例えば、利用目的として、「レセプト処理業務の委託」などと特定の上、本人に通知又は公表する必要があります。

また、個人情報をマスキングしたとしても、他の情報と照合することで特定の個人を識別することができる場合は、個人情報となるため、法 24 条に基づき、海外の会社が同条に規定する「個人情報保護委員会規則で定める」外国にある場合又は「個人情報保護委員会規則で定める基準に適当する体制を整備している者」である場合を除いて、委託の場合にも本人の同意が必要となります。なお、これらの場合に該当する時にも、法上、委託先に対して監督義務を負うこととなり、また、「健康保険組合における個人情報保護の徹底について」に定める遵守基準（以下、「遵守基準」という。） の遵守が求められることとなるため、留意が必要となります。

問３５１

個人情報を第三者提供する際にその記録を作成する必要はありますか。

（回答）

法第 25 条により、第三者提供に係る記録が義務付けられており、「本人同意、第三者氏名等、本人氏名等」のデータ項目を原則３年間保存することとなります。ただし、以下の場合においては同義務を適用されないことに留意が必要です。

〈記録作成義務が適用されない場合〉

• 第三者が法第２条第５項に掲げる者である場合（国などが提供先）
• 法第 23 条第１項各号に該当する場合（法に基づく場合など）
• 法第 23 条第５項各号に該当する場合（委託・共同利用など）
• 本人に代わって提供している場合
  例：高額療養費、付加給付を事業主経由で支給時に明細などを事業主に提供する場合
• 本人と一体と評価できる関係にある者に提供する場合例：医療費通知を世帯ごとにまとめて行う場合

問３５２

法第 25 条にかかる第三者提供時の記録が必要な場合の具体例は何でしょうか。

（回答）

例として、傷病手当金は一つの傷病につき最長１年６か月受けることができますが、給付を受けていた被保険者が退職し、数か月後に別の健保組合に加入した際に、新たに加入した健保組合が傷病手当金の法定期間等を適正に取り扱うため、被保険者が以前に加入していた健保組合に傷病手当金の受給期間について確認することがあります。以前加入していた健保組合は第三者にあたるため、情報提供を受ける際又は情報提供する際には記録が必要となります。

問３５３

当健保組合では、効果的な保健事業展開を目的とし、レセプトデータ及び特定健診・保健指導の実施データの分析を専門業者に委託していますが、委託の際の留意点は何でしょうか。

（回答）

健保組合の利用目的の達成に必要な範囲内において、個人データの取扱 いの全部又は一部を委託することに伴い当該個人データを提供する場合は、当該個人データを受ける者は第三者提供に該当しないため、あらかじめ、 本人の同意を得ることは不要です（法第 23 条第１項及び第５項第１号）。ただし、個人情報保護の観点から、可能な限り、個人情報をマスキングす るなどの安全管理措置を講じた上で、委託するよう努めることが望ましい と考えます。

なお、委託する場合の委託先の監督については「問３０４」参照。

＜開示請求手続 第 28 条、第 32 条、第 33 条関係＞

問４０１

開示請求の手続きはどのようなものでしょうか。

（回答）

診療報酬明細書、調剤報酬明細書、施設療養費明細書など（それらの写しを含む。）の開示の請求があった場合には、「診療報酬明細書等の被保険者等への開示について」（平成 17 年３月 31 日付厚生労働省保険局長通知） 及び「健康保険組合における診療報酬明細書等の開示の取扱いについて」 （平成 17 年３月 31 日付厚生労働省保険局保険課長通知）に基づいた取扱いとなります。

その他の保有個人データ（適用関係情報、健康診査関係情報等）の開示については、開示を請求する者と個人情報の対象者が同一の者であることを確認することなど、健保組合が定めた基準に従い、開示する必要があります。

問４０２

開示請求の際に、本人であることの確認はどのように確認すればよいのでしょうか。

（回答）

「診療報酬明細書等の被保険者等への開示について」（平 17 年３月 31 日付厚生労働省保険局長通知）及び「健康保険組合における診療報酬明細書等の開示の取扱いについて」（平成 17 年３月 31 日付厚生労働省保険局保険課長通知）を参照。

問４０３

開示請求の手数料はどの程度に設定すればよいのでしょうか。

（回答）

実費を勘案して合理的であると認められる範囲において定めなければなりません（法第 33 条）。手数料が割高であるため開示請求が困難となることのないよう、実際の事務に要した費用程度の額が適当であると考えます。

なお、行政機関の保有する情報の公開に関する法律施行令（平成 12 年政令第 41 号）に規定する開示に係る手数料は、①開示請求に係る手数料として文書１件につき 300 円、②開示実施手数料として開示請求文書が 15 枚以上の場合Ａ４文書１枚につき 20 円（金額は開示実施方法による。ただし300 円に達するまでは無料）となっているので、参考となると考えます。

問４０４

情報開示手続を定めるに当たっては、請求者に「過重な負担を課するものとならないよう配慮しなければならない」こととなっているが、具体的にどのようなことでしょうか。

（回答）

本人確認等をすることは極めて重要なことではあるものの、不必要に膨大な証明書等の提示を求めたり、煩雑な手続を設ける等、個人情報の内容、性質に応じ過剰なものにならないようにする必要があります。具体的には、受付窓口を不当に制限したり、とりわけ分かりにくく不便なところに設けることがないこと等が挙げられます。

問４０５

震災等でレセプトが散乱し、検索することが困難な状態の場合は、その事情を理由に開示しなくてよいのでしょうか。

（回答）

レセプトなど紙ベースで保有される情報は、一時的に同一利用目的に係る定型的な保有個人情報を分類・整理しないまま大量に保有する状態が想定されます。これらについて、仮に法の開示請求があっても、開示請求に係る個人情報を検索することが現実的には困難な状態にある場合があります。

このように、その中から特定の個人情報を検索することが著しく困難な状態にある個人情報は、開示等の規定が適用されません（法第２条第４項第２号、政令第３条第２項）。

しかしながら、これらはいずれ整理されることが予定されているものであり、整理された段階で開示等の規定が適用されることになります。

したがって、設問のような場合、その理由を説明し、開示を先延ばしすることが望ましく、整理された段階で開示する必要があります。

問４０６

「保有個人データの全部又は一部を開示しないことができる」不開示の要件として、「個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合」がありますが、健保組合においてどのようなことが考えられるのでしょうか。

（回答）

本規定は健保組合の恣意的判断を許容する趣旨ではなく、各規定の要件の該当性は客観的に判断される必要があり、また、事務又は事業の根拠となる規定・趣旨に照らし、個人の権利利益を保護する観点からの開示の必要性等の種々の利益を衡量した上で「適正な実施」といえるものであることが求められます。

「支障」の程度は、名目的なものでは足りず実質的なものが要求され、「おそれ」の程度も単なる確率的な可能性ではなく、法的保護に値する蓋然性が求められます。

業務の適正な実施に著しい支障を及ぼす具体例として、同一の本人から複雑な対応を要する同一内容について繰り返し開示の請求があり、事実上問合せ窓口が占有されることによって他の問合せ業務が立ち行かなくなる等、業務上著しい支障を及ぼすおそれがある場合が挙げられます。

問４０７

被保険者から医師の個人情報にも該当するレセプト等の開示請求があった場合、被保険者に対する個人情報の提供に当たって、医師の同意を要するのでしょうか。また、医師の個人情報には該当しない場合はどうでしょうか。

（回答）

レセプトが担当医の個人情報に該当しない場合はもとより、レセプトが担当医の個人情報に該当する場合についても、健保組合は、被保険者への開示義務を負うこととなりますが、開示することにより、被保険者本人又は第三者の権利利益を害するおそれがあるかどうかの判断（法第 28 条第２ 項第１号）は、健保組合においては容易でないため、「診療報酬明細書等の被保険者等への開示について」（平成 17 年３月 31 日付厚生労働省保険局長通知）及び「健康保険組合における診療報酬明細書等の開示の取扱いについて」（平 17 年３月 31 日付厚生労働省保険局保険課長通知）に基づき、開示に当たって、担当医の判断が必要となります。

問４０８

レセプトの遺族への開示については、今回の法改正においても取扱いは変わらないのでしょうか。

（回答）

個人情報の保護に関する法律は、生存する個人に関する情報についての法律であり、死亡した者に係る個人情報に関する遺族からの開示の依頼の取扱いは、法に基づく開示請求として取り扱うのではなく、組合で定める要領に基づいた「開示依頼」として取り扱うこととなります。

なお、具体的な取扱いについては、「健康保険組合における診療報酬明細書等の開示の取扱いについて」（平成 17 年３月 31 日付厚生労働省保険局保険課長通知）に基づき、各健保組合の判断において、開示することとなります。

問４０９

柔道整復等療養費について、「療養費支給申請書」には、施術した柔道整復師が「負傷名」を記載し、住所、氏名、電話番号も記載されています。これも患者の個人情報でもあり、柔道整復師の個人情報ということになるのでしょうか。仮に、そうなると、患者から開示請求があった場合は、レセプト開示と同じ取扱いとなるのでしょうか。

（回答）

氏名等が記載されており、特定の個人として識別できれば、当該柔道整復師の個人情報に該当します。

ただし、柔道整復等療養費に係る療養費支給申請書は、既に被保険者等本人に内容が明かされていることから、「被保険者本人又は第三者の権利利益を害するおそれがあるかどうか」の判断を必要としないため、レセプト開示と同じ取扱いをする必要はありません。

問４１０

一般的な「療養費支給申請書」や看護、移送に関わるものも、「傷病名」、「傷病の経過」、「治療等の内容」が記載されています。これも医師の個人情報に該当し、レセプトと同様の開示扱いとなるのでしょうか。また、「傷病手当金請求書」や「出産手当金請求書」も「傷病名」、｢発病等の原因｣、「傷病の主症状経過等」や「医師または助産婦の意見」の記載があり、同様の取扱いとなるのでしょうか。

（回答）

氏名等が記載されており、特定の個人として識別できれば、当該医師の個人情報に該当します。

なお、これらの書類は、既に被保険者等本人に内容が明かされていることから、「被保険者本人又は第三者の権利利益を害するおそれがあるかどうか」の判断を必要としないため、レセプト開示と同じ取扱いをする必要はありません。

＜苦情の処理 第 35 条、第 52 条関係＞

問５０１

健保組合で保有する個人情報の取扱いに係る苦情処理はどこが行うのでしょうか。

（回答）

法は、個人情報の取扱いをめぐる苦情については、当事者間での解決を基本としており、個人情報取扱事業者に対して、苦情の適切かつ迅速な処理とその解決のための体制の整備に努めるべきことを定めているため、先ずは健保組合が苦情処理を行うこととなります（法第 35 条）。

当事者間で問題が解決しない場合には、法に基づく「認定個人情報保護団体」の制度を利用することが考えられます。この団体は、その事業者団体等に参加している個人情報取扱事業者に関する苦情の処理や相談をしたり、個人情報取扱事業者に対する助言を行うことをその役割とします（法第 52 条）。

他にも、個人情報保護委員会の苦情相談窓口等に苦情を申し出ることもできます。

さらに、個人情報保護委員会には、個人情報取扱事業者にこの法に定める義務を遵守させるよう、報告徴収、立入検査、助言、勧告及び命令という形で、個人情報取扱事業者に不適切な取扱いを是正するよう働きかける権限が与えられています（法第 40 条～第 42 条）。

問５０２

苦情処理のための必要な体制の整備とはどのようなものでしょうか（法第 35 条第２項）。認定個人情報保護団体があれば、各健保組合に苦情処理窓口を設けなくとも良いのではないでしょうか。

（回答）

個人情報の取扱いをめぐって健保組合と本人との間に生じるトラブルは、基本的には私人間の問題として当事者間で扱われるべきものであり、また、その解決を図る上でも、まずは当事者間で解決することが望ましいことか ら、体制の整備としては、例えば、健保組合に苦情処理の窓口を設置し担 当者を決めておくことや、苦情処理の手順を定めること、苦情処理に当た る従事者の研修を行うことなどが考えられます。

また、本人が苦情の処理に関して第三者が関与することを希望する場合の仕組みの一つとして、認定個人情報保護団体が置かれることがありますが、この場合であっても、各健保組合は、苦情処理の窓口を設けなければなりません。

問５０３

認定個人情報保護団体に求められるものは何でしょうか。

（回答）

認定個人情報保護団体は、個人情報取扱事業者の個人情報の適正な取扱いの確保を目的とする業務を行うものとして、個人情報保護委員会から認定を受けた法人ですが、健康保険制度においては、傘下の健保組合を対象に、個人情報保護に係る普及・啓発を推進するほか、法の趣旨に沿った指針等を自主的なルールとして定めたり、個人情報の取扱いに関する被保険者等のための相談窓口を開設するなど、積極的な取組みを行うことが期待されています。

＜個人情報保護委員会 第４２条関係＞

問６０１

個人情報取扱事業者等が法に違反した場合、どのような措置が採られるのでしょうか。

（回答）

個人情報取扱事業者が個人情報を不適切に取り扱う事例等があったときには、個人情報保護委員会は個人情報取扱事業者に対して、①個人情報の取扱いに関する報告の徴収及び立入検査（法第 40 条第１項）、指導及び助言（第 41 条）、②個人情報取扱事業者が一定の義務に違反した場合における、違反行為を是正するための必要な措置に係る勧告（第 42 条第１項）、命令（第 42 条第２項又は第３項）を行う場合があります。このとき、個人情報取扱事業者が、①個人情報保護委員会の命令（第 42 条第２項又は第３項）に違反した場合、②個人情報保護委員会からの報告徴収（第 40 条第１ 項）に対して報告をせず、又は虚偽報告をした場合、立入検査を拒んだ場合には、個人情報取扱事業者に対して罰則が科せられることになっています（同法第 84 条・第 85 条）。

問６０２

個人情報保護委員会への報告はどのようなことが想定されているのでしょうか（法第 40 条）。

（回答）

報告の対象は個人情報の取扱いに関する事項ですが、具体的には、報告 徴収のきっかけとなった問題次第でその内容は異なります。例えば、必要 に応じ、個人情報の取扱いの実態、その管理形態、健保組合内の責任体制、 開示等の請求等に応じる手続の仕組み等が求められるものと考えられます。いずれにしても、問題となっている個人情報の取扱いの改善等の検討に必 要な範囲でなければなりません。それ以外の事項（例えば、個人情報の取 扱いと関係のない当該健保組合の経営状況等）について報告を求めること は、認められていません。

また、法に基づく報告義務と健康保険法等に基づく報告義務は異なるものであるため、法の適用を受けない事項であっても、健康保険法の規定に基づき、厚生労働省への報告が求められることはあり得ます。

＜14 年 12 月保険課長通知解釈＞

問７０１

レセプトの点検事務を受託した業者がさらに再委託してもよいのでしょうか。

（回答）

「健康保険組合における個人情報保護の徹底について」により、個人情報に関する処理を複数の業者に委託する場合には、健保組合はそれぞれ直接、委託契約を締結することとされており、直接の契約関係を伴わない個人情報に関する処理の再委託は禁止しています。

したがって、個人情報に関する処理について再委託するのであれば、原則として、健保組合と再委託先との直接の契約関係が必要です。

なお、直接の契約関係には、再委託に関し健保組合が許諾する場合を含むこととしていることに留意が必要です。

問７０２

個人情報の処理に関する業務を外部委託する場合、健保組合との 直接の契約関係を伴わない再委託は禁止することとされていますが、次のような場合はどうでしょうか。

• 高齢者健康相談訪問事業を外部委託する場合
• 健保組合は高齢者健康相談訪問事業をＡに委託する。Ａは訪問のうち何件かをＢ及びＣに委託する。報告書などは、Ａから健保組合に提出されてくる。

（回答）

「問７０１」同様

問７０３

個人情報に関する処理の再委託が禁止されていますが、例えば医療費通知の作成やレセプトの点検の委託を受けた業者が、そのレセプトを運ぶ際に運送会社を利用することも認められないのでしょうか。

（回答）

「問７０１」同様。

問７０４

生活習慣病健診を医療機関に委託しているが、当該医療機関が血液検査をさらに外部に委託しています。このような取扱いも禁止されるのでしょうか。

（回答）

「問７０１」同様。

問７０５

外部業者に業務処理委託を行っている場合には、定期的又は随時に調査等を行うこと（遵守基準）とされていますが、年何回くらい行えばよいのでしょうか。

（回答）

年１回程度の調査等を行うことが望ましいですが、委託する業務の内容等に応じて調査等を必要があると考えます。

問７０６

個人情報の処理を外部の業者に委託する場合には、理事会に諮ることとされています（遵守基準）が、理事長の専決とすることができるのでしょうか、また、契約期間の更新や委託金額の変更の場合にも理事会に諮る必要があるのでしょうか。

（回答）

遵守基準においては、理事会に諮ることとされていますが、緊急やむを得ない場合等にあたっては、理事長の専決にすることが認められます。

契約内容の変更の伴わない単なる契約期間の更新などについては、再度理事会に諮るかどうかを規程等に明示にした上、理事長の専決にすることとしても差し支えありません。

問７０７

健保組合が業務を外部委託する際の判断として、次の場合は「個人情報に関する処理」に該当するのでしょうか。

• ① システムの保守業者が個人データの入ったハードディスクをハードディスクの製造メーカーに修理を委託する場合。
• ② ソフトウエアの保守（ソフトのパッチやバージョンアップ等の作業）で、サーバーのデータベースに個人情報は入っているが、個人情報を見ることがない保守作業を委託する場合。

（回答）

①において、システムの保守業者がサービス内容の全部又は一部としてハードディスク内の個人データを取り扱うこととなっている場合には、個人データを提供したこととなります。一方、②において単純なソフトウェア保守サービスのみを行う場合で、契約条項によって当該保守業者が個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等には、個人データの提供には該当しません。

＜その他＞

問８０１

個人情報取扱事業者として、団体が付与する認証制度を取得する必要があるのでしょうか。

（回答）

健保組合においては、「個人情報の保護に関する.法律についてのガイドライン（通則編）」（平成 28 年個人情報保護委員会告示第６号）、「個人情報の保護に関する法律についてのガイドライン（外国にある第三者への提供編）」（平成 28 年個人情報保護委員会告示第７号）、「個人情報の保護に関する法律についてのガイドライン（第三者提供時の確認・記録義務編）」（平成 28 年個人情報保護委員会告示第８号）及び「個人情報の保護に関する法律についてのガイドライン（匿名加工情報編）」（平成 28 年個人情報保護委員会告示第９号）及びガイダンスに従い、それぞれ必要な措置を講ずることが必要ですが、団体の認証制度を利用することを妨げるものではありません。

問８０２

業務処理システムにアクセスした際の「ログファイル」も「個人情報」と思われますがどのように管理すればよいのでしょうか。具体的な基準を示してください。

（回答）

情報セキュリティに関して、実際にどの程度の安全管理措置を講ずるかは、保護しようとする個人情報の内容又は性質、利用方法等に照らしてどの程度の必要があるかということとのバランスが重要です。不十分な措置しか講じないことは問題ですが、過剰な措置を講ずる必要もないものと考えられるので、具体的な保護措置については、それぞれの健保組合の業務処理に応じて適切に判断する必要があります。

なお、各健保組合ごとにこれを判断することが必ずしも容易でない場合は、認定個人情報保護団体等が作成する指針等において基準となる考え方を定めるなどして円滑に取組が進められることが望ましいと考えます。

問８０３

健保組合によるレセプトの直接審査を行う場合に、気をつけることは何でしょうか。

（回答）

健保組合において直接審査を行う際の個人情報の取扱いについては、「個人情報保護の徹底について」（平成 14 年 12 月 25 日付保発第 1225003 号厚生省保険局長通知）及び「健康保険組合における個人情報保護の徹底について」を参照してください。

また、審査を業者に委託する場合には、健保組合自らが実施する場合に求められるものと同程度の措置が委託先に確保されるよう、必要な事項（例えば、目的外利用や第三者提供、必要なセキュリティレベルの確保、再委託禁止等）を契約に盛り込むとともに、それが確実に遵守されるよう、適宜、委託先を確認・指導するなどの監督を行う必要があります。

なお、委託先において漏えい等の事故が発生した場合には、本人との係争においては、健保組合が当事者になります。

問８０４

健保組合において個人データが漏えいしてしまった場合の対応はどのようにすればよいでしょうか。

（回答）

健保組合において個人データの漏えい等の事故が発生した場合には、「個人データの漏えい等の事案が発生した場合等の対応について」（平成 29 年個人情報保護委員会告示第１号）に基づき、迅速かつ適切に対応する必要があります。

まず、事故を発見した者が健保組合内の責任者等に速やかに報告するとともに、健保組合内で事故の原因を調査し、影響範囲を特定して引き続き漏えい等が起きる可能性があれば、これ以上事故が起こらないよう至急対処する必要があります。また、関係する被保険者等に対して事故に関する説明を行うとともに、個人情報保護委員会（ただし、法第４７条第１項に規定する認定個人情報保護団体の対象事業者である健保組合は、所属の認定個人情報保護団体）に報告する必要があります。さらに、このような漏えい等の事故が今後発生しないよう、再発防止策を講ずる必要があります。

問８０５

委託先において個人データが漏えいしてしまった場合の対応はどのようにすればよいでしょうか。

（回答）

委託先において個人データの漏えい等の事故が発生した場合には、委託先から速やかに報告を受け、健保組合としても事業者内における事故発生時の対応と同様に、「個人データの漏えい等の事案が発生した場合等の対応について」に基づき、迅速かつ適切に対応することが必要です。このためには、業務を委託する際に、委託先において個人データの漏えい等の事故が発生した場合における委託先と健保組合との間の報告連絡体制を整備しておくことが必要です。

なお、健保組合としては、当該事故が発生した原因を調査した上で、必要に応じて委託先に対して改善を求める等の適切な措置を講ずることも必要です。