平成30年1月15日
(令和6年3月一部改正)
個人情報保護委員会事務局
厚生労 働省
「健康保険組合等における個人情報の適切な取扱いのためのガイダンス」を補完する事例集(Q&A)
pdf版はこちら (PDF : 416KB)
総論
【(「用語の定義」等関係)】
- 問001
- 問002
- 問003
- 問004
- 問005
- 問006
- 問007
- 問008
- 問009
- 問010
- 問011
- 問012
【利用目的の特定、公表等 第17条~第21条関係】
- 問101
- 問102
- 問103
- 問104
- 問105
- 問106
- 問107
【データ内容の正確性の確保 第 22 条、漏えい等の報告等 第 26 条関係】
- 問201
- 問202
- 問203
【第三者提供 第 27 条、第 29 条、第 30 条関係】
- 問301
- 問302
- 問303
- 問304
- 問305
- 問306
- 問307
- 問308
- 問309
- 問310
- 問311
- 問312
- 問313
- 問314
- 問315
- 問316
- 問317
- 問318
- 問319
- 問320
- 問321
- 問322
- 問323
- 問324
- 問325
- 問326
- 問327
- 問328
- 問329
- 問330
- 問331
- 問332
- 問333
- 問334
- 問335
- 問336
- 問337
- 問338
- 問339
- 問340
- 問341
- 問342
- 問343
- 問344
- 問345
- 問346
- 問347
- 問348
- 問349
- 問350
- 問351
- 問352
- 問353
【開示請求手続 第 33 条、第 37 条、第 38 条関係】
- 問401
- 問402
- 問403
- 問404
- 問405
- 問406
- 問407
- 問408
- 問409
- 問410
【苦情の処理 第 40 条、第 53 条関係】
- 問501
- 問502
- 問503
【個人情報保護委員会 第 146 条~第 148 条関係】
- 問601
- 問602
【平成 14 年 12 月保険課長通知解釈】
- 問701
- 問702
- 問703
- 問704
- 問705
- 問706
- 問707
【その他】
- 問801
- 問802
- 問803
総論
- <(「用語の定義」等関係)>
- 問001
健保組合等の保有する個人情報には、例えばどのようなものがありますか。
- (回答)
「健康保険組合等における個人情報の適切な取扱いのためのガイダンス」 (平成 29 年4月 14 日付個情第 538 号個人情報保護委員会事務局長・保発 0414 第 18 号厚生労働省保険局長通知。以下「ガイダンス」という。)別表1参照。
なお、健保組合が健康保険に関連する業務以外で保有する個人情報についても、個人情報の保護に関する法律(平成 15 年法律第 57 号。以下「法」という。)に定める「個人情報」に該当し、法の適用を受けることに注意が必要です(例えば、健保組合と取引がある会社の営業に係る名簿、健保組合が発行している機関誌や広報誌等の購読者の名簿、役員の履歴、保健施設の利用者名簿、医師・歯科医師・薬剤師・接骨師などの名簿など、被保険者及び被扶養者以外の個人情報であっても、法の適用を受けます。)。
- 問002
レセプトから特定の個人を識別できる記述等を削除した場合、レセプトに記載された情報は「個人情報」に該当しないことになりますか。
- (回答)
法第2条第1項(※)が「個人情報」を定義しています。
レセプトに記載された情報から、特定の個人を識別できる記述等(氏名等)を削除し、それ単体では特定の個人を識別することができないようにした場合であっても、他の情報と容易に照合することにより特定の個人を識別することができる場合、当該情報とあわせて全体として「個人情報」に該当することになります。
- ※第2条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
- 一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画 若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第2号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
- 二 個人識別符号が含まれるもの
- 問003
レセプトに記載された情報は、「個人情報」に該当しますか。
- (回答)
法第2条第1項が「個人情報」を定義しています。
レセプトに記載された情報について、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができる場合には、「個人情報」に該当することになります。
また、レセプトに保険者番号及び被保険者等記号・番号が含まれる場合は、個人識別符号が含まれるため、「個人情報」に該当します(「問008」参照)。
このほか、レセプトや健診記録、保健相談記録(以下「レセプト等」という。)に記載された情報は、医師の個人情報にも該当する場合があります(「問004」参照)。
個別の判断に迷う時は、個人情報に該当するものとして、取り扱うことが望ましいと考えます。
- 問004
レセプト等に記載された情報は、医師の個人情報にも該当しますか。
- (回答)
レセプト等に記載された情報について、それを作成又は記録した医師個人に関する情報であって、当該情報に含まれる記述等から当該医師を識別することができる場合には、被保険者のみならず、医師の個人情報にも該当します。
例えば、レセプトに担当医の氏名が記載されている場合は、レセプトに記載された情報は、担当医に関する情報(担当医が行った評価や医療行為の内容)として、担当医の個人情報に該当します。
- 問005
死者に関する情報は、どのように取り扱う必要がありますか。
- (回答)
法は、「個人情報」の範囲を「生存する個人に関する情報」に限っています。
ただし、死者に関する情報であっても、当該情報が遺族等の生存する個人に関する情報(例えば、死者の相続財産等に関する情報は、死者に関する情報であると同時に、遺族に関する情報である場合があります。)でもあり、当該遺族等を識別することができる場合には、当該遺族等に関する「個人情報」として、法の保護の対象となります。
なお、健保組合においては、法の対象外であったとしても、死者に関する情報については、漏えい、滅失又は棄損の防止等のため、個人情報と同等の安全管理措置を講ずることが適当であると考えます。
- 問006
レセプト等を電子媒体で保存した場合と紙で保存した場合とで、個人情報の取扱いに異なる点があるのでしょうか。
- (回答)
その取扱いに差異はありません。
- 問007
「個人情報」、「個人情報データベース等」、「個人データ」、「保有個人データ」の違いは何でしょうか。
- (回答)
「個人情報」とは、法第2条第1項に定めるものをいいます(「問002」参照)。
「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいいます(法第 16 条第1項各号、個人情報の保護に関する法律施行令(平成 15 年政令第 507 号。以下「政令」という。)第4条)。
- マル1 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
- マル2 マル1に掲げるものの他、特定の個人情報を容易に検索することができるように体系的に構成したものとして、政令に定められたもの
「個人データ」とは、「個人情報データベース等」を構成する個人情報をいいます(法第 16 条第3項)。
「保有個人データ」とは、個人情報取扱事業者が開示等を行う権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定められたもの以外のものと定義されています(法第 16 条第4項、政令第5条)。なお、開示請求、訂正等請求及び利用停止等請求の対象となるのは「保有個人データ」です。
- 問008
「個人識別符号」とはどのようなものを指しますか。
- (回答)
「個人識別符号」とは、当該情報単体から特定の個人を識別することができるものとして政令に定められた文字、番号、記号その他の符号をいい、これに該当するものが含まれる情報は個人情報となります。具体的な内容は、政令第1条及び個人情報の保護に関する法律施行規則(平成 28 年個人情報保護委員会規則第3号。以下「規則」という。)第2条から第4条までに定めるとおりです。
健康保険法(大正 11 年法律第 70 号)に係る具体的なものとして、保険者番号及び被保険者等記号・番号などがあります。
- 問009
「仮名加工情報」とはどのようなものを指しますか。
- (回答)
「仮名加工情報」とは、他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であり、仮名加工情報を作成するとき(「問010」※参照)は、規則で定める基準に従って加工する必要があります。なお、当該基準に従い加工が行われていない場合には、仮名加工情報に該当しません。
- 問010
「匿名加工情報」とはどのようなものを指しますか。
- (回答)
「匿名加工情報」とは、特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものであり、匿名加工情報を作成するとき(※)は、規則で定める基準に従って加工する必要があります。なお、当該基準に従い加工が行われていない場合には、匿名加工情報に該当しません。
※ 「作成するとき」は、仮名加工情報又は匿名加工情報として取り扱うために、当該仮名加工情報又は当該匿名加工情報を作成するときのことを指します。したがって、例えば、安全管理措置の一環として氏名等の一部の個人情報を削除(又は他の記述等に置き換え)した上で引き続き個人情報として取り扱う場合、あるいは統計情報を作成するために個人情報を加工する場合等については、「仮名加工情報」又は「匿名加工情報」を「作成するとき」には該当しません(「個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)」(平成 28 年個人情報保護委員会告示第9号)参照)。
- 問011
「要配慮個人情報」とはどのようなものを指しますか。また「要配慮個人情報」にかかる留意点は何でしょうか。
- (回答)
「要配慮個人情報」とは、不当な差別や偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいいます(法第2条第3項)。なお、健保組合において取り扱うことが想定される要配慮個人情報としては、病歴を含む情報(レセプト等に記載された情報)、健康診断の結果を含む情報及び健康診断後の措置(医師等専門職による改善指導又は診療、調剤)が行われた事実を含む情報等が挙げられます。
要配慮個人情報の取得には、原則として本人の同意が必要であり、また、法第 27 条第2項の規定による第三者提供(オプトアウトによる第三者提供)は認められていません。
さらに、要配慮個人情報が含まれる個人データの漏えい、滅失若しくは毀損(以下「漏えい等」という。)が発生し、又は発生したおそれがある事態が生じた場合には、個人情報保護委員会への報告及び本人への通知等を行う必要があります。
- 問012
既に健保組合の被保険者等ではない者の個人情報も法の対象ですか。
- (回答)
対象です。
既に被保険者等でない者に関する個人情報について、被保険者等である者に関する個人情報と同様、法に従って取り扱う必要があります。
- <利用目的の特定、公表等 第 17 条~第 21 条関係>
- 問101
利用目的を変更する場合において、法第 17 条第2項に規定する「変更前の利用目的と関連性を有すると合理的に認められる範囲」について示してください。
- (回答)
法第 17 条第2項に規定する「変更前の利用目的と関連性を有すると合理的に認められる範囲」とは、変更後の利用目的が変更前の利用目的からみて、社会通念上、本人が通常予期し得る限度と客観的に認められる範囲を指します。
- 問102
法第 21 条第1項では、個人情報の利用目的を通知又は公表しなければならないとされていますが、利用目的を「公表」するとは具体的にはどのような措置をとればよいのでしょうか。
- (回答)
健保組合のホームページへの掲載、パンフレットの配布、事業所担当窓口等の掲示・備付けの措置等、健康保険法施行令(大正 15 年6月 30 日勅令第 243 号)第3条の規定に基づき行う公告と同程度以上の措置を講ずる必要があります。
- 問103
利用目的の特定(法第 17 条第1項)、通知又は公表(法第 21 条第1項)とは、目的をどれほど詳細に通知又は公表すれば足りるのでしょうか。
- (回答)
個人情報取扱事業者は、利用目的を「できる限り」特定する必要があります(法第 17 条第 1 項)。「できる限り」特定するとは、個人情報取扱事業者において、個人情報をどのような目的で利用するかについて明確な認識を持つことができ、また、本人において、自らの個人情報がどのような事業の用に供され、どのような目的で利用されるのかについて一般的かつ合理的に予測・想定できる程度に、利用目的を特定することをいいます。マル1診療報酬の審査支払を行うため、マル2健保組合の運営の安定化のために必要な医療費分析を行うため、マル3被保険者及び被扶養者の健康の保持・増進のために行う指導のため、などとその具体的な利用目的が分かるように詳細に利用目的を特定し、これを通知又は公表する必要があり、例えば「医療保険事務に関すること」のみでは足りません。
具体的な利用目的の主な例としては、ガイダンス別表2を参照してください。
- 問104
健保組合が審査支払のためにレセプトの個人情報を利用するのは法律上当然のことですが、これも通知又は公表しなければならないのでしょうか。
- (回答)
個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用目的をできる限り特定しなければならない(法第 17 条第1項)とされ、個人情報を取得した場合には、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない(法第 21 条第1項)とされています。このため、法律上利用目的が明らかな場合であっても、原則として、その利用目的を通知又は公表する必要があります。
- 問105
特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱う場合には、原則としてあらかじめ本人の同意を得ることが必要ですが、緊急性を要する場合にもあらかじめ本人の同意を得ることが必要ですか。
- (回答)
法第 17 条第1項により特定した利用目的の達成に必要な範囲を超えて個人情報を取り扱う場合には、原則としてあらかじめ本人の同意を得る必要がありますが、法第 18 条第3項各号に該当する場合には、本人の同意を得る必要はありません。
例えば緊急性を要する理由が、法第 18 条第3項第2号(人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき)に該当する場合は、本人の同意を得る必要はありません。
- 問106
法第 19 条では、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならないとされていますが、どのような利用が該当しますか。
- (回答)
違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用する場合としては、以下の事例が該当します。
- 違法行為を営むことが疑われる事業者に対し、当該事業者の違法な行為を助長するおそれが想定されるにもかかわらず、個人情報を提供する場合
- 個人情報を提供した場合、提供先において法第 27 条第1項に違反する第三者提供がなされることを予見できるにもかかわらず、当該提供先に対して、個人情報を提供する場合
- 個人情報を取得した健保組合等が、性別、国籍等の特定の属性のみにより、正当な理由なく本人に対する違法な差別的取扱いを行うために、個人情報を利用する場合
- 問107
市町村等の医療費助成があるレセプトについて、付加給付を行う健保組合では、給付が重複しないように、マル1事業所の担当者を経由して被保険者に照会、マル2健保組合から医療機関へ窓口負担の有無を照会、マル3健保組合から市町村等に医療費助成の有無を照会し、結果的に病歴等の要配慮情報を取得することとなりますが、法に抵触しますか。
- (回答)
照会の結果、要配慮個人情報を取得することとなるので、原則として本人の同意が必要であり(法第 20 条第2項)、当該個人情報の利用目的を本人に通知し、又は公表しなければならないこととされています(法第 21 条第1項)。
- <データ内容の正確性の確保 第 22 条、漏えい等の報告等 第 26 条関係>
- 問201
健保組合は個人データの正確かつ最新の内容を確保することとなっていますが、どのような措置をとればよいのでしょうか。また資格喪失者の情報についても同様でしょうか。
- (回答)
個人情報の中には、何が正確で最新の情報であるか容易に判断できないこともあり、健保組合の側からそれを確かめる手段や方法がない場合があります。本人にしか分からない場合もあることから、健保組合が利用目的の達成に必要な範囲内で自ら適切と考えかつ可能な限り正確性を確保する必要があると考えます。一方で、保存期限を経過する等、利用する必要がなくなったときは遅滞なく削除するよう努めなければなりません(法第 22 条)。
なお、資格喪失者においても、同様の考えに基づいた対応が必要となります。
- 問202
健保組合において漏えい等が発生した場合の対応はどのようにすればよいでしょうか。
- (回答)
健保組合は、漏えい等又はそのおそれのある事案(以下「漏えい等事案」という。)が発生した場合には、漏えい等事案の内容等に応じて、以下の各事項について必要な措置を講じる必要があります(ガイダンスⅢ6.及び「個人情報の保護に関する法律についてのガイドライン(通則編)」3-5-2参照)。
- マル1健保組合内部における報告及び被害の拡大防止
責任ある立場の者に直ちに報告するとともに、漏えい等事案による被害が発覚時よりも拡大しないよう必要な措置を講じる必要があります。
- マル2事実関係の調査及び原因の究明
漏えい等事案の事実関係の調査及び原因の究明に必要な措置を講じる必要があります。
- マル3影響範囲の特定
上記マル2で把握した事実関係による影響範囲の特定のために必要な措置を講じる必要があります。
- マル4再発防止策の検討及び実施
上記マル2の結果を踏まえ、漏えい等事案の再発防止策の検討及び実施に必要な措置を講じる必要があります。
- マル5個人情報保護委員会への報告及び本人への通知
漏えい等事案が、規則第7条各号に定める事態に該当する場合には、法第 26 条第1項及び規則第8条に従って、「速やか」(概ね3~5日以内)に個人情報保護委員会に報告し(速報)、また、速報に加え、30 日以内(規則第7条第3号の事態においては 60日以内)に個人情報保護委員会に報告する必要があります(個人情報保護委員会のホームページの報告フォームに入力する方法により報告を行う必要があります。)。また、法第 26 条第2項及び規則第 10 条に従って、本人(被保険者等)への通知等を行う必要があります。なお、本人への通知については、通知すべき内容が本人に認識される合理的かつ適切な方法による必要があります(「個人情報の保護に関する法律についてのガイドライン(通則編)」3-5-3及び3-5-4参照)。また、漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係及び再発防止策等について、速やかに公表することが望ましいです。
- (参考)規則第7条各号に定める事態
-
- 要配慮個人情報が含まれる個人データの漏えい等が発生し、又は発生したおそれがある事態
- 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
- 不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ(当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。)の漏えい等が発生し、又は発生したおそれがある事態
- 個人データに係る本人の数が 1,000 人を超える漏えい等が発生し、又は発生したおそれがある事態
また、健保組合は、漏えい等事案が発生した場合には、所管の地方厚生(支)局にも速やかに報告する必要があります。地方厚生(支)局への報告については、個人情報保護委員会に報告した内容と同様のものを報告してください。なお、オンライン資格確認等システムにおいて健保組合が異なる個人番号を登録した場合の対応については、「オンライン資格確認等システムにおける正確な資格情報等の登録について」(令和4年1月 27 日付け保保発 0127 第1号)によって地方厚生(支)局に報告いただくこととしております。
- マル1健保組合内部における報告及び被害の拡大防止
- 問203
委託先において漏えい等が発生した場合の対応はどのようにすればよいでしょうか。
- (回答)
健保組合が個人データの取扱いを委託している場合において、委託先において漏えい等事案が発生した場合には、委託先から速やかに報告を受け、健保組合としても、事業者内における漏えい等事案の発生時の対応と同様に、迅速かつ適切に対応する必要があります。(「問202」参照)
このため、個人データの取扱いを委託する際には、委託先において漏えい等事案が発生した場合における委託先と健保組合との間の報告連絡体制を整備しておくことが必要です。
また、健保組合としては、当該事故が発生した原因を調査した上で、必要に応じて委託先に対して、改善を求める等の適切な措置を講ずることも必要です。
なお、委託先において、規則第7条各号に該当する漏えい等事案が発生した場合、原則として、健保組合(委託元)と委託先の双方が、漏えい等報告及び本人への通知義務を負います。ただし、規則第9条に基づき、委託先が委託元に通知したときは、委託先におけるこれらの義務は免除されます(委託元である健保組合は義務を免除されないため、ご留意ください。)。
- <第三者提供 第 27 条、第 29 条、第 30 条関係>
- 問301
個人データを第三者に提供する際に本人の同意をとる必要はありますか。
- (回答)
法第 27 条第1項では、原則としてあらかじめ本人の同意を得ることとし、一定の要件の下(「問303」参照)でのみ、あらかじめ本人の同意を得ないで個人データを第三者に提供することができるとしています。
なお、健保組合において通常想定される第三者提供については、原則本人の同意を得ることとしていますが、本人の同意を得る方法として、被保険者等への保険給付等のために通常必要な範囲の利用目的のうち、被保険者等にとって利益となるもの、又は医療費通知など事業者側(健保組合等)の負担が膨大である上、明示的な同意を得ることが必ずしも被保険者等本人にとって合理的であるとは言えないものの利用の範囲について、ホームページへの掲載、パンフレットの配布、事業所担当窓口や健保組合等の掲示板への掲示・備付けや公告等により明らかにしておき、被保険者等から特段明確な反対・留保の意思表示がない場合には、これらの範囲内での個人情報の利用について同意が得られているものとする「黙示の同意」という考え方を用いることがあります(ガイダンスⅢ7(3)を参照)。
- 問302
本人の同意を求めるケースでは、すべて書面でもらう必要がありますか。
- (回答)
必ずしも書面によることを要しませんが、紛争回避の観点から書面(電磁的記録を含む)によることが望ましいところです。口頭で同意を得る場合にも、同意を得た方法、日時などを記録しておくことが望ましいところです(例えば、「2017 年5月 30 日16:00、本人に対し電話により連絡し、同意を得る。担当○○」といった記録を残しておくなど。)。
- 問303
あらかじめ本人の同意を得ないで、個人データを第三者に提供することができる場合とは、具体的にどのような場合でしょうか。
- (回答)
法第 27 条第1項に規定されており、具体的なものとしては以下の場合があります。
- 法令に基づく場合(医療機関や健保組合が審査支払機関にレセプトを送付する場合など)、
- 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難である場合(例えば、マル1意識不明となった本人について、血液型、家族の連絡先等に関する情報を医療機関等に提供する場合や、マル2災害発生時に、宿泊者の安否確認のために保養所が警察・消防機関等に対して、宿泊者に関する情報を提供する場合など、人の生命、身体又は財産が害されるおそれが高まっているとき)
- 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき(例えば、健康診査やがん検診等から得られた情報を、疫学上の調査・研究のために、健保組合が研究者又は第三者機関等に提供する場合など)
- 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して、協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき(例えば、税務官署の職員又は地方公共団体の税務担当職員が、適正な課税の実現の観点から、個々の質問検査権等の規定によらずに任意調査(課税上必要な資料情報の収集等)を行う場合や、助成金の支給のための事実関係の調査として健保組合から個人情報を含む情報の提供を求める場合、地方厚生(支)局が健保組合の監査を行いレセプトをチェックする場合など)
- 個人情報取扱事業者が学術研究機関等である場合であって、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)
- 個人情報取扱事業者が学術研究機関等である場合であって、当該個人データを学術研究目的で提供する必要があるとき(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該第三者が共同して学術研究を行う場合に限る。)
- 第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(例えば、学術研究機関等が、健保組合等の保有する個人データを学術研究目的で取り扱う必要がある場合など)
※ 健保組合等は「学術研究機関等」に当たらないため、健保組合等による個人データの提供は(5)又は(6)には該当しない。
なお、以下の場合において、当該個人データの提供を受ける者については、第三者に該当しないため、本人の同意を得る必要はありません(法第 27 条第5項各号)。
- 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
- 合併その他の事由による事業の承継に伴って個人データが提供される場合
- 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人デ ータの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
- 問304
健保組合が審査支払機関にレセプトの再審査請求をする場合も、第三者提供に当たりあらかじめ本人の同意が必要となりますか。
- (回答)
健保組合は審査支払機関にレセプト審査業務等を委託するところ、健保組合が、その利用目的の達成に必要な範囲内において個人データの取扱いを審査支払機関に委託することに伴って当該個人データを提供する場合には、当該提供先である審査支払機関は「第三者」に該当しないため、本人の同意を得る必要はありません(法第 27 条第5項第1号)。
なお、個人データの取扱いを委託する場合には、法第 23 条に基づき自らが講ずべき安全管理措置と同等の措置が委託先において講じられるよう、必要な事項(例えば、目的外利用禁止や第三者提供の禁止、必要なセキュリティレベルの確保、再委託を認めると適切な保護が確保できない場合の再委託の禁止等が考えられる)を契約に盛り込むとともに、それが確実に遵守されるよう、適宜、委託先を監督・指導する必要があります(法第 25 条)。
- 問305
大学の研究者から研究のためにレセプトの提供を求められました。レセプト情報を提供してもよいのでしょうか。
- (回答)
法第 27 条第1項第7号において、「第三者が学術研究機関等である場合」であって、「当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき」(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)は本人の同意を得る必要はないこととされています。また、同項第3号において、「公衆衛生の向上のために特に必要がある場合」であって「本人の同意を得ることが困難であるとき」は、本人の同意が必要ないこととされています。
なお、本人の権利利益の保護及び個人データの安全管理の観点から、特定の個人を識別する必要がない調査・研究であれば、特定の個人を識別できる記述等(氏名等)は削除して提供することが望ましいと考えます。
健保組合は、法第 27 条第1項第3号・第7号の要件に該当するか否かを、慎重に検討及び判断する必要があります。
- 問306
被保険者が生命保険に加入する際に所定の検査が必要となりますが、事前に健診を受けていれば、その検査結果を代用できることになっている場合があります。この場合、生命保険会社から被保険者の検査結果の提供を求められた場合、検査結果を提供してよいのでしょうか。
- (回答)
原則として、あらかじめ本人の同意なく提供することはできません(法第 27 条第1項)。
- 問307
非常勤職員が組合の会議室等でレセプト点検を行う場合も第三者提供に該当しますか。
- (回答)
非常勤職員も当然に組合の職員であり、組合の業務として点検を行うことから、第三者に当たりません。なお、個人情報を取り扱うに当たっては、守秘義務契約や必要な研修等、常勤の職員と同様の扱いが必要となります。
- 問308
レセプトの点検業務を第三者に委託する場合にも本人の同意が必要ですか。
- (回答)
利用目的の達成に必要な範囲内において個人データの取扱いを委託することに伴って当該個人データを提供する場合には、当該提供先は「第三者」に該当しないため、本人の同意を得る必要はありません(法第 27 条第5項第1号)。
なお、委託に伴って個人データを提供する場合には、可能な限り、特定の個人を識別できる記述等(氏名等)は削除して提供することが望ましいと考えます。
委託する場合の委託先の監督については「問304」参照。
- 問309
健保組合が統計情報を作成するために、レセプトの画像取込(スキャン)を行った上、統計作成事業を請け負っている会社に委託する場合、本人の同意を得ずに当該会社に当該レセプトデータを提供してよいのでしょうか。
- (回答)
「問308」同様。
- 問310
健康保険被保険者証の検認又は更新の際には、事業所に一括して送付し、事業所から各被保険者へ配布しています。このようなやり方は第三者提供に当たり、本人の同意が必要となりますか。
- (回答)
健康保険被保険者証の交付、訂正、検認又は更新は、健康保険法施行規則(大正 15 年内務省令第 36 号)第 47 条~第 50 条において事業主を経由して行うこととされており、法第 27 条第1項第1号の「法令に基づく場合」に該当するため、事業所に送付することについて本人の同意を得る必要はありません。
- 問311
給付に関する申請などが事業主経由で行われることがありますが、気を付けることはありますか。
- (回答)
法は、第三者に個人データを提供する場合には、原則としてあらかじめ本人の同意を得るべきこととしていますが、法令上、提供義務が明記されている場合は、あらかじめ本人の同意を得ずに第三者に提供することを認めています(法第 27 条第1項第1号)。
給付に関する申請の場合は、健康保険法施行規則第 84 条~第 87 条において、傷病手当金、埋葬料、出産育児一時金及び出産手当金等の給付を受けようとする者は、所定の事項を記載した申請書を保険者に提出することとしています。
一方で、給付に関する申請を事業主経由で行う場合については、特段の法令上の根拠がないため、被保険者が保険者へ届出する行為を事業主に委任するという意思表示が必要となります。当該委任の意思表示は、第三者提供の同意を兼ねることから、委任の意思表示があれば別途本人の同意を求めるものではありません。
なお、被保険者資格の得喪に関する書類は、健康保険法第 48 条では、被保険者の資格の取得及び喪失等に関する事項の届出義務を事業主に課し、同法第 49 条第 1 項では、被保険者の資格の取得及び喪失の確認等を行った場合の事業主への通知を保険者に課していることから、あらかじめ本人の同意を得る必要はありません。
- 問312
健保連の共同事業として、健保連から委託を受けた指導員が、健保組合のレセプトをチェックし、レセプト審査の方法を助言することがありますが、法に抵触しますか。
- (回答)
健保組合は、指導員(第三者)に個人データを提供する場合には、原則として、あらかじめ本人の同意を得る必要があります。
しかし、健保組合と指導員が法第 27 条第5項第1号の委託関係にある場合、又は同項第3号の共同利用関係にある場合には、本人の同意を得る必要はありません。
なお、委託する場合の委託先の監督については「問304」参照。
- 問313
被扶養者本人に対する健康保険被保険者証の更新の際には、被扶養者の同意を得ずに被保険者本人に交付することはできますか。
- (回答)
健康保険法施行規則第 50 条第5項及び第6項の規定により、事業主を経由して、被保険者に交付しなければならないとされており、法第 27 条第1項第1号の「法令に基づく場合」に該当するため、被扶養者本人の同意を得ずに被保険者へ交付することが可能です。
- 問314
健保組合から被保険者に対し医薬品を配布することがありますが、医薬品のリストと送付先名簿を業者に渡し、業者から被保険者に対し郵送することは可能でしょうか。
- (回答)
健保組合は、業者(第三者)に個人データを提供する場合には、原則としてあらかじめ本人の同意を得る必要があります。
ただし、法第 27 条第5項第1号の規定により、利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データを提供する場合には、当該提供先である事業者は「第三者」に該当しないため、本人の同意を得る必要はありません。
なお、委託する場合の委託先の監督については「問304」参照。
- 問315
市区町村の国民健康保険担当から、資格喪失年月日、認定日などの照会がなされた場合の対応はどうしたらよいのでしょうか。
- (回答)
国民健康保険法(昭和 33 年法律第 192 号)第 113 条の2第2項の規定により、市区町村は、必要な資料の提供を求めることができるとされており、法第 27 条第1項第1号の「法令に基づく場合」に該当するため、本人の同意を得ずに回答に応じて差し支えありません。
なお、市区町村からの電話による問い合わせに回答する場合は、その場で即答せずに相手方の所属、氏名、代表電話番号、内線電話番号等を確認した後、折り返し電話するなどの配慮が望ましいと考えます。照会元が疑わしい場合は、電話帳等で当該市町村の代表番号を調べ、総務担当者等に確認するなどの工夫を行う必要があると考えます。
- 問316
保険医療機関や保険薬局から、受給資格の有無の照会がなされた場合の対応はどうしたらよいのでしょうか。
- (回答)
原則として、あらかじめ本人の同意が必要です。
ただし、資格喪失後の受診の疑いがあり、保険医療機関等から照会が行われた場合等において、健保組合等の財産の保護のために必要があり、本人の同意を得ることが困難である場合に該当するときには、本人の同意を得ずに回答に応じて差し支えありません(法第 27 条第1項第2号)。
なお、保険医療機関等からの電話による問い合わせに回答する場合は、その場で即答せずに相手方の所属、氏名、代表電話番号、内線電話番号等を確認した後、折り返し電話するなどの配慮が望ましいと考えます。照会元が疑わしい場合は、電話帳等で当該医療機関の代表番号を調べ、総務担当者等に確認するなどの工夫を行う必要があると考えます。
- 問317
法令上質問をすることができる旨が規定されていますが、回答義務がない場合又は回答しなくても刑罰がない場合にも、法第 27 条第1項第1号の「法令に基づく場合」に該当するのでしょうか。
- (回答)
該当します。
- 問318
警察署や労働基準監督署から、資格喪失年月日、療養の給付などの照会がなされた場合の対応はどうしたらよいのでしょうか。
- (回答)
刑事訴訟法(昭和 23 年法律第 131 号)第 197 条第2項の規定により、検察官、検察事務官及び司法警察職員は、犯罪があると思料するときの捜査について、公務所又は公私の団体に照会して必要な事項の報告を求めることができるとされており、法第 27 条第1項第1号の「法令に基づく場合」に該当するため本人の同意を得ずに回答に応じて差し支えありません。
- 〔注〕警察官や労働基準監督官が司法警察職員に該当する根拠条文
- 【刑事訴訟法(昭和 23 年法律第 131 号)第 189 条第1項】
警察官は、それぞれ、他の法律又は国家公安委員会若しくは都道府県公安委員会の定めるところにより、司法警察職員としての職務を行う。
- 【労働基準法(昭和 22 年法律第 49 号)第 102 条】
労働基準監督官は、この法律違反の罪について、刑事訴訟法に規定する司法警察職員の職務を行う。
なお、警察署等からの電話による問い合わせに回答する場合は、その場で即答せずに相手方の所属、氏名、代表電話番号、内線電話番号等を確認した後、折り返し電話するなどの配慮が望ましいと考えます。照会元が疑わしい場合は、電話帳等で当該警察署又は労働基準監督署の代表番号を調べ、総務担当者等に確認するなどの工夫を行う必要があると考えます。
- 問319
刑事訴訟法第 197 条第2項の規定に基づき、警察から健保組合に、「貴組合に○○という被保険者はいるか」「貴組合に加入しているA事業所の事業主は誰か」との照会があった場合、回答してよいのでしょうか。
- (回答)
法第 27 条第1項第1号の「法令に基づく場合」に該当するため、本人の同意を得ずに回答に応じて差し支えありません。
なお、第三者提供の制限は、すべての個人情報ではなく、「個人データ(「問007」参照)」に限られるので、「個人データ」でない個人情報を第三者に提供する場合には本人の同意は不要です(例えば、健保組合においては、レセプトや加入者資格は、通常検索できる状態にあるため「個人データ」に当たることが多いと考えます。一方、例えば健保組合に電話がかかり、「Aさんはいらっしゃいますか」と聞かれた場合に、Aさんが在室中か否かは個人情報ではありますが、個人データではないので、Aさんの同意を得ずに回答して構いません。)。
- 問320
健保組合の保健事業として、健保組合の医師や保健師が被保険者の健康相談を行っていますが、その内容を健保組合の事務局に報告させる場合に本人の同意は必要となりますか。
- (回答)
この場合の医師又は保健師は健保組合に属する職員であるため、第三者には当たらず、本人の同意は必要ありません。
ただし、被保険者の要配慮個人情報にかかわるものと考えられるため、その取扱いについて、事務局において必要な範囲内にする等の配慮をする必要があると考えます(「問325」参照)。
- 問321
受診者が被扶養者の場合に、健保組合から被保険者に対し受診内容等の照会をすることがありますが、受診者(被扶養者)に直接確認しなければならないのでしょうか。
- (回答)
受診内容等については要配慮個人情報にかかわるものもあるため、受診者(被扶養者)に直接照会する必要があります。このため、受診者の連絡先を把握していない場合は、被保険者への照会等により受診者の連絡先を把握し、連絡する必要があります。
ただし、人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるときは、この限りではありません。
- 問322
当健保組合において、資格喪失後の出産育児一時金の受給要件を満たしている被保険者が、配偶者の加入する健康保険の他の保険者に家族出産育児一時金を請求した場合に、その健康保険の他の保険者より電話連絡で当健保組合に出産育児一時金の支給の有無の照会がありました。どのように対応したらよいのでしょうか。
- (回答)
出産育児一時金の支給の有無を回答する場合は、原則として、あらかじめ本人の同意が必要です。
ただし、二重給付の疑いがあり、健康保険の他の保険者から照会が行われた場合において、照会を受けた健保組合の財産の保護のために必要があり、本人の同意を得ることが困難である場合に該当するときには、本人の同意を得ずに回答に応じて差し支えありません(法第 27 条第1項第2号)。
なお、資格喪失後の出産育児一時金及び家族出産育児一時金の支給事務においては、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成 25 年法律第 27 号)に基づく情報連携により、本人の同意なく、他の保険者の支給に関する情報を確認することが可能です。
- 問323
労働基準監督署より労災判定に関し、文書により、その関連するレセプト内容(医療機関名、傷病名、診療点数等、診療日数・入院日数)の照会(レセプト要求なし)があった場合、どのように対応したらよいのでしょうか。
例えば、管轄の健保組合に対して、労働基準監督署から健康保険の被保険者の傷病名や受診医療機関名、入院期間、医療費などの照会がなされました。何らかの傷病に際し、健康保険からの保険給付がなされた後、労災であることが判明し、労働基準監督署に申請がなされました。この場合、被保険者の傷病名などは個人情報に当たり、保険者たる健保組合としては労働基準監督署へ情報提供することは許されるのでしょうか。
- (回答)
照会に回答を行う際に本人の同意を得ることとした場合には適切な給付ができなくなるため、本件のような労働者災害補償保険法(昭和 22 年法律第 50 号)に定める事務を遂行する場合は「国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要があって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき」(法第 27 条第1項第4号)に該当し、本人の同意なく回答することが可能であると考えられますが、本人の同意を容易に得ることができる場合には、あらかじめ本人の同意を得た上で回答することが望ましいと考えます。
- 問324
市区町村より、健保組合に対し、乳幼児医療助成(現物給付)にかかるレセプトの内容(受診医療機関ならびに請求点数)の照会があった場合、どのように対応したらよいのでしょうか。
- (回答)
「問323」同様。
- 問325
健保組合の保健指導で得た個人情報を提供するよう健保組合の上司から指示があったが、その個人情報を提供してよいのでしょうか。
- (回答)
法上は、同じ健保組合内であれば、保健師もその上司も同一の主体であり、その間の個人情報の提供には規制がありませんが、健保組合の保健師には職員としても保健師としても守秘義務が課されており、正当な理由がなく、その業務上知り得た人の秘密を漏らしてはならないこととされています(健康保険法第 22 条の2及び保健師助産師看護師法(昭和 23 年法律第 203 号)第 42 条の2参照)。
したがって、健保組合の上司に対し、正当な理由なく、個人情報の提供をしてはいけません。
- 問326
以下の場合について、事業者と健保組合において、健診結果について共有することができるのでしょうか。
- マル1 事業者が、労働安全衛生法(昭和 47 年法律第 57 号)に基づいて行う健診及び同法の法定項目を超える健診を実施する場合
- マル2 事業者が、労働安全衛生法に基づいて行う健診を実施し、健保組合が、同法の法定項目を超える健診を実施する場合
- マル3 健保組合が、労働安全衛生法に基づいて行う健診及び同法の法定項目を超える健診を実施する場合
- マル4 事業者と健保組合が共同(健保組合が費用を一部負担(共同出資)している場合を含む。マル5において同じ。)で、労働安全衛生法に基づいて行う健診及び同法の法定項目を超える健診を実施する場合
- マル5 事業者が、労働安全衛生法に基づいて行う健診を実施し、事業者と健保組合が共同で、同法の法定項目を超える健診を実施する場合
- (回答)
事業者と健保組合とは異なる主体であるので、健診実施者が他に健診結果を提供する場合は、原則として、あらかじめ本人の同意が必要です。ただし、事業者が健康保険法第 150 条第2項に基づく健保組合の求めに応じて、健診結果を提供する場合については、法第 27 条第1項第1号の「法令に基づく場合」に該当するため、本人同意は不要です。
また、マル4及びマル5の後段の健診を共同で実施する場合や、健診結果に基づく事後指導を両者が共同で実施する場合は、「個人データを共同で利用する旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき」は、本人の同意は不要です。(法第 27 条第5項第3号)
ただし、トラブル回避の観点から健診受診者に対して、健診結果を母体事業所が知りうることを周知することが望ましいと考えます。
なお、マル2及びマル5の場合において、両者で健診結果を提供しあう場合について、本人の同意を要する場合においては、例えば、事業者と健保組合が連名で本人に同意を求めるなどの手続きを行っても差し支えありません。
- 問327
母体事業所の健康管理部門に特定保健指導を委託する場合において、健保組合が特定健診の結果を母体事業所へ提供することについて本人同意は必要となりますか。
- (回答)
健保組合は特定保健指導を母体事業所に委託するところ、その利用目的の達成に必要な範囲内において個人データの取扱いを母体事業所に委託することに伴って当該個人データを提供する場合、当該提供先である母体事業所は「第三者」に該当しないため、本人の同意を得る必要はありません(法第 27 条第5項第1号)。
なお、委託する場合の委託先の監督については「問304」参照。
- 問328
事業所における健康管理事業推進に寄与する為に、健保組合が保有する健診結果とレセプトデータを突合分析した結果を、事業所の健康管理部門に提供するにあたり、本人同意は必要となりますか。
- (回答)
統計データ(例えば血糖値が基準値を超える人の○%が 60 歳到達時に生活習慣病に罹患する等の情報)について、特定の個人との対応関係が排斥されている限りにおいては、個人情報に該当しないため、当該統計データを事業者に提供するに当たって、本人の同意を得る必要はありません。ただし、統計データについて、特定の個人との対応関係が排斥されていない場合には、原則として、当該統計データを事業者に提供するに当たっては、本人の同意を得る必要があります。
- 問329
当健保組合では、人間ドック未受診者が法定健診も未受診とならないよう、人間ドック未受診者のリストを事業所に提供しています。 この場合、本人同意は必要となりますか。
- (回答)
当該事業が健康管理事業推進を目的とした共同事業として位置づけられ、当該提供が法第 27 条第5項第3号に定める「共同利用」の要件を満たす場合、本人同意は必要ありません。ただし、トラブル回避の観点から、人間ドック未受診者に対し、健保組合から受診勧奨を実施し、その際に未受診の場合は法定健診にかかる受診勧奨が事業主から実施される旨を通知することが望ましいと考えます。
- 問330
当健保組合では事業所とのコラボヘルスを推進するにあたり、互いが保有する健診結果等のデータを共有し、互いの事後指導に活用したいと考えていますが、法第 27 条第5項第3号「共同利用」に該当する場合、本人同意は要しないという理解でよいのでしょうか。
- (回答)
事業者が健康保険法第 150 条第2項に基づく健保組合の求めに応じて、健診結果を提供する場合については、法第 27 条第1項第1号の「法令に基づく場合」に該当するため、本人同意は不要です。
また、それ以外の場合についても、法第 27 条第5項第3号に定める事項(事業内容及び個人データの項目、共同して利用する者の範囲、利用目的、データの管理について責任を有する者の氏名等)について、あらかじめ本人に通知、若しくは本人が知り得る状態に置く措置が実施された場合は、「共同利用」に該当し、提供先は「第三者」に該当しないことから本人同意を得る必要はありません。この場合、以下について留意が必要です。なお、トラブル回避の観点から、健診受診の際等に同意を取り付ける措置が望ましいと考えます。
- マル1 利用目的・・単に「社員、組合員の健康増進の為」といった広い表現ではなく「社員、組合員の中長期的な生活習慣病抑制の為、リスク保有者に適切な保健指導等のフォローを実施する為」等、合理的かつ組合員から納得が得られる利用目的である必要があります。
- マル2 利用する者の範囲・・単に「コラボヘルスを推進する事業所」という広い表現ではなく、具体的な事業所名及びその部門を限定する等、利用目的に沿った範囲に限定すべきです。なお、コラボヘルスにおいては「雇用管理分野における個人情報のうち健康情報を取り扱うに当たっての留意事項」(平成 29 年5月 29 日付け個情第 749 号・基発第 0529 第3号個人情報保護委員会事務局長・厚生労働省労働基準局長通知別添)の安全管理措置及び従業者の監督に関する事項との整合性をとることが必要です。
- マル3 提供するデータの項目・・単に「健診結果」等の広い表現でなく、「BMI・血糖値・血圧・・」等詳細な項目内容とし、利用目的に沿ったものとすべきです。
- マル4 本人が知り得る状態に置く措置・・一般的手法としては HP や広報誌などによる周知が考えられますが、健保組合だけでなく、事業所も含めた双方による周知を徹底し、本人が知り得ている事が明らかな状況とする必要があります。例えば、健診の申し込み時に同意意思を表示して頂くようチェックボックスを設けるなどの措置がより望ましいといえます。
- 問331
前設問における共同利用により健診結果を事業所と共有している場合、健診結果が要治療にもかかわらず、健保組合のレセプトデータから未受診であることが分かった者について、その旨(単に受診していない旨)を事業所に情報提供し、事業所から受診勧奨することについて、本人同意は必要となるのでしょうか。
- (回答)
「問330」同様、法第 27 条第5項第3号に定める共同利用に該当する場合、法的には本人同意を得る必要はありません。ただし、提供する情報の秘匿性に鑑み、当該受診勧奨については、まず健保組合が実施の上、なお未受診である者については事業所(医療専門職)から受診勧奨を実施する旨を伝え、本人同意を得る事が望ましいと考えます。
なお、参考までに、以下のようなリスクが考えられるため、設問の受診勧奨が利用目的の範囲内として、利用する者の範囲などと整合性がとれ、かつ組合員において納得が得られるよう配慮が必要であると考えます。
- 雇用や就業上の合理的な理由のない不利益取扱い(解雇、契約打ち切り、昇格停止、役職罷免等)
- 同僚や上司からの偏見(不当に病気の原因や経過を予想される懸念等)
- 医療や保健サービスの利用障害(事業主への情報漏えいの懸念等)
- 不要な営業・勧誘(医療関連商品のダイレクトメール等)
- 不安や精神的苦痛(他人に病名や病状を知らされる不安等)
- 問332
当健保組合の理事長は事業所の人事執行役員です。この場合、理事長が事業所の人事業務に健保組合が保有する被保険者の病歴等情報を活用することに問題はありますか。
- (回答)
同一人物が複数の事業者を兼ねる場合であっても、個人情報は事業者ごとに取得されたものであり、一方の事業者の個人情報を他方の事業者内で利用することはできません。
たとえ同一人物であっても、健保組合が保有する情報はあらかじめ定めた利用目的の範囲内でなければなりません。またその利用目的は、健保の業務に資するに値する適正なものでなくてはならず、当該情報を事業所の人事業務に活用することは特定された利用目的の達成に必要な範囲を超えた取扱いに該当するものと考えられます。
なお、設問の場合、健康保険法第7条の 37 第1項、第 22 条の2及び第 207 条の2に規定されているとおり、健保組合の役職員としての秘密保持義務違反となり罰則を受ける可能性があることに留意が必要です。また、「健康保険組合における個人情報保護の徹底について」(平成 14 年 12 月25 日付保保発第 1225001 号厚生労働省保険局保険課長通知)において、服務規程等に健保組合の役職員について守秘義務を課すことを求めており、事業所の服務規程違反となり罰則を受ける可能性があります。
- 問333
母体企業が労働安全衛生法に基づく健診を行う際に、同法の法定項目を超える健診を実施し、健保組合が当該超過項目の費用を負担しています。健診結果は、母体企業と健保組合が共有します。このようなケースは認められるのでしょうか。
- (回答)
事業者が健康保険法第 150 条第2項に基づく健保組合の求めに応じて、健診情報を提供する場合については、法第 27 条第1項第1号の「法令に基づく場合」に該当するため、母体企業から健保組合への健診結果の提供については本人の同意は不要です。
- 問334
健保組合が行う特定保健指導などを産業医に依頼する場合には、どのようなことに気を付ける必要がありますか。
- (回答)
健保組合は産業医に特定保健指導を委託するところ、健保組合が、その利用目的の達成に必要な範囲内において個人データの取扱いを産業医に委託することに伴って当該個人データを提供する場合には、当該提供先である産業医は「第三者」には当たらないため、本人の同意は要しません(法第 27 条第5項第1号)。
なお、委託する場合の委託先の監督については「問304」参照。
- 問335
当健保組合では、特定保健指導を専門業者に委託し、業者には特定保健指導対象者の健診結果を提供しています。この場合、受診者本人の同意は必要ですか。
- (回答)
健保組合は専門業者に特定保健指導を委託するところ、健保組合が、その利用目的の達成に必要な範囲内において個人データの取扱いを専門業者に委託することに伴って当該個人データを提供する場合には、当該提供先である専門業者は「第三者」に当たらないため、健診結果の提供に当たり、本人の同意を得る必要はありません(法第 27 条第5項第1号)。
ただし、専門業者より対象者へアプローチを行う際に、対象者において同委託内容について知りえない場合、トラブルが発生する可能性が高いことから、あらかじめ同委託内容及び業者名等を周知又は本人に通知しておくことが求められます。
なお、委託する場合の委託先の監督については「問304」参照。
- 問336
母体企業の産業医に相談業務を委託することがありますが、その結果を健保組合に報告してもらうことに支障はありますか。また、母体企業の産業医が健保組合の顧問医になっている場合はどうでしょうか。
- (回答)
母体企業は、相談業務の結果を健保組合に提供するに当たり、原則として、本人の事前同意を得る必要があります(法第 27 条第1項)。
ただし、母体企業と健保組合が法第 27 条第5項第1号の委託関係にある場合又は同項第3号の共同利用関係にある場合には、健保組合は「第三者」に当たらないので、本人の同意を得ずに結果報告を受けても差し支えありません。母体企業の産業医が健保組合の顧問医になっている場合も同様です。
なお、委託する場合の委託先の監督については「問304」参照。
- 問337
事業主が実施している健康診断の結果をもとに、健保組合の保健師が受診者に対し、健康相談を行うことは可能でしょうか。また、 事業主から誰に対し健康相談を行ったのか、その健康相談の内容はどのようなものかと聞かれた場合にはどうすればよいのでしょうか。
- (回答)
健康保険法第 150 条第2項及び第3項において、事業主から被保険者等に係る健康診断の結果の提供を受けることができることとされており、それをもとに健康相談を行うことが可能です。
一方、健保組合の保健師が、誰を対象に健康相談を行い、その内容がどのようなものかを事業主に伝える場合には、本人の同意が必要です。
ただし、その場合も、事業主と健保組合の保健師が法第 27 条第5項第1号の委託関係又は同項第3号の共同利用関係にあるときは、当該提供先である事業主は「第三者」に当たらず、健康相談の結果の提供において、本人の同意は不要となります。
なお、委託する場合の委託先の監督については「問304」参照。
- 問338
人間ドック等の受診費用を健保組合が助成し、その結果を健診業者から健保組合にも直接送付してもらっていますが、事前に本人の同意をとる必要がありますか。
- (回答)
人間ドック等の受診結果は、要配慮個人情報に該当するので、当該個人情報を取得するには、あらかじめ本人の同意が必要です。また、健診事業者と健保組合とは異なる法人であることから、提供に当たってはあらかじめ本人の同意が必要です。
ただし、健診業者等の医療機関等では、労働安全衛生法等による健診を受託した場合に、委託元である健保組合に健診結果を提供する際は、院内掲示等により個人情報の利用目的を明示することで黙示の同意が得られているものとされている(「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」(平成 29 年4月 14 日付個人情報保護委員会事務局長、厚生労働省医政局長、医薬・生活衛生局長、老健局長通知))ため、その場合は、健保組合があらためて要配慮個人情報の取得についての本人の同意を取得する必要はありません。
また、事業者が健康保険法第 150 条第2項に基づく健保組合の求めに応じて、健診結果を提供する場合については、法第 27 条第1項第1号の「法令に基づく場合」に該当するため、本人同意は不要です。
- 問339
当健保組合では、特定の健診機関と個別契約を締結し、人間ドック事業を実施しています。同事業内容については、組合員にも周知済みですが、契約健診機関から健診結果を受領することについて、受診者本人の同意は必要でしょうか。
- (回答)
設問における健診結果の受領は健保組合と健診機関における委託契約のもとに成立するものであり、健診機関が法第 27 条第5項第1号における委託に伴って健保組合に健診結果を提供する場合においては、当該提供先である健保組合は「第三者」には当たらないため、本人同意は要しないこととなります。なお、更なる措置として、人間ドック受診にかかる申込書に、健診機関から健保組合に健診結果が提供されることについて、同意意思を表示するチェックボックス等を設けることは差し支えありません。この場合、健診結果を受領する健保組合において、改めて取得に係る本人の同意を取得する必要はありません。
なお、委託する場合の委託先の監督については「問304」参照。
- 問340
健診で結核などの感染のおそれが高い疾病患者が見つかったため、事業所に該当情報を伝える必要がある場合は、本人の同意を得なければならないのでしょうか。
- (回答)
健保組合と事業所とは異なる法人となるため、原則として、あらかじめ本人の同意が必要です。
ただし、結核のように他人に感染するおそれが高い疾病である場合には、法第 27 条第1項第3号の「公衆衛生の向上~のために特に必要がある場合」に該当し、本人と連絡が取れない等の「本人の同意を得ることが困難であるとき」は同意を得ずに事業所に伝えることができます。
- 問341
いくつかの健保組合が共同して、レセプトの分析を行うことを予定しています。この場合に気を付けることは何がありますか。
- (回答)
法第 27 条第5項第3号に定める事項(事業内容及び個人データの項目、共同して利用する者の範囲、利用目的、データの管理について責任を有する者の氏名又は名称等)について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、共同利用に該当し、当該提供先である各健保組合は「第三者」に当たらないことから本人の同意は不要です。ただし、不必要な情報はマスキングなどの加工の必要があります。
- 問342
法 27 条第5項第3号では、特定の者で共同利用する場合には、利用する者の範囲、責任者等を予め、本人の知り得る状態とすれば、当該提供先は「第三者」に当たらず、本人の同意は不要とされていますが、「本人が容易に知り得る状態」とはどのような状態をいうのでしょうか。
- (回答)
本人が知ろうとすれば時間的にも、その手段においても、容易に知ることができる状態をいい、具体的には、マル1ホームページ等に継続的に掲載することや、マル2事業所の窓口等への掲示・備付け(健保組合の事務所だけでなく、加入事業所にも掲示・備え付けることが望ましい)、マル3会社の広報誌や組合のパンフレットの継続的な配布(3か月に一度程度以上)などが考えられます。
また、健診結果を事業主と健保組合が共同利用する場合には、健診申込書にその旨を記載しておくなどの対応が望ましいと考えます。
- 問343
レセプトから自動車事故等の第三者行為による負傷であることが疑われ、被保険者に対し傷病原因を照会する必要がある場合に、健保組合が当該被保険者の電話番号を把握しておらず、直接連絡を取ることが難しいことがあります。このような場合に健保組合が当該被保険者が所属する事業所の職員に当該被保険者に係る傷病原因の照会をした場合には、法に抵触しますか。
- (回答)
健保組合が、レセプトに記載された被保険者の医療情報について、事業所の職員に対し照会を行う場合は、個人データの第三者提供に該当するため、原則として、本人の同意が必要となります(法第 27 条第1項)。
- 問344
第三者行為において、健保組合が損害保険会社に請求する医療費を示すために、レセプトの写しを損害保険会社へ送付していますが、 法に抵触しますか。
- (回答)
損害保険会社と健保組合は異なる法人であり、レセプトの写しを提供するときは、あらかじめ本人の同意を得ることが原則です。
しかし、健保組合の財産の保護のために必要があり、時間的余裕や費用等に照らし本人の同意を得ることが困難な場合には、法第 27 条第1項第2号の「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」に該当するため、本人の同意を得ずに送付することができます。ただし、医療機関名や医師名などの情報が不必要な場合はマスキングなどの加工をする必要があります。
- 問345
現在、医療費通知は被保険者とその家族をまとめて通知しており、その旨をホームページ等で公表し、組合員においても周知が行き渡っている状況ですが、平成 29 年5月の改正法施行後もこの取扱いでよいのでしょうか。また社内便を用いて本人に送付しているがよいのでしょうか。
- (回答)
家族同士であっても異なる個人であることから、家族分をまとめた医療費通知を被保険者本人に通知するにあたっては、家族の同意が必要となります。
ただし、この同意は必ずしも明示的なものでなくとも差し支えありません。設問の運用においては、「各組合員に医療費通知について、家族分を纏めた通知とすること」、及び「仮に同意しない場合には申し出てもらう必要があること」などをホームページへの記載等により黙示の同意をとることが考えられます(ガイダンスⅢ7(3)を参照)。
また、医療費通知の送付方法については、社内便で送付することもできますが、企業(事業主)と健保組合は異なる法人となるため、本人の同意がない限り、企業(事業主)が本人の情報(個人情報)を見ることができないような措置を講じることが必要となります。
- 問346
当健保組合では、高額療養費及び付加給付(一部負担還元金等)の支給について、規程で定めることにより、本人の申請に基づくことなく「自動払い」により、事業主を経由し支給する(給与口座への振込み)こととしています。これは本人の同意を得ずに、個人データを第三者である事業主に提供していることになり、あらかじめ本人の同意が必要となりますか。
- (回答)
本人の同意を得ることが必要となりますが、この同意は必ずしも明示的なものでなくとも差し支えありません。設問のような状況においては、「高額療養費及び付加給付を事業主を経由して給付すること」及び「仮に同意しない場合には申し出てもらう必要があること」などをあらかじめ通知等することにより明らかにすることで、黙示の同意をとることが考えられます(ガイダンスⅢ7(3)を参照)。
- 問347
当健保組合では、療養給付記録欄がある紙の被保険者証を発行していますが、これは、被保険者が受診する場合は被扶養者に関する個人情報を、被扶養者が受診する場合は被保険者に関する個人情報を、それぞれ情報主体と異なる者(受診者)が第三者(医療機関)に提供する形になっていますが、法上、問題がありますか。
- (回答)
被保険者と被扶養者は異なる個人であり、相手の情報を第三者に提供することとなりますが、個人情報取扱事業者には当たらないため、法上提供するに当たってそれぞれ相手の同意を得る必要はありませんが、相手の情報が安易に提供されることは本人情報の保護の観点から望ましい状態とは言えません。現在は、被保険者及び被扶養者が、療養給付記録欄が削除されたそれぞれ別個の被保険者証を有することができる措置が講じられているので、健保組合においては被保険者証を切り替えることにより、相手の情報が安易に提供されないようにすることが望ましいと考えます。
- 問348
健保組合がレセプト等を売買したり、健保組合からレセプト等による医療費分析などを受託している業者がレセプト等を売買することは問題ないでしょうか。
- (回答)
健保組合がレセプト等を売買することについては、健保組合の公法人としての性格に鑑み、許容すべきものではなく、また、健保組合が医療費分析などを委託するに当たっては、委託した個人データの安全管理が図られるよう委託業者に対して、必要かつ適切な監督を行う義務があることとされております(法第 25 条)。医療情報というレセプト等の公益性を踏まえると、委託業者が個人データを売買することは適当でなく、健保組合から委託業者に対して、売買について禁止するよう指導すべき義務があると解せられます。
また、法第 27 条第5項第1号により健保組合が医療費分析等のためにレセプト等分析業者に委託を行うことは本人の同意は不要ですが、委託業者との契約において、委託料に要する費用を安くするために当該委託業者がレセプト等を第三者に売買することを認めることは、第三者提供となり本人の同意が必要となります。そのため、本人の同意なく委託業者にレセプト等の売買を認めることは、法第 23 条の安全管理措置及び法第 27 条の第三者提供の制限に違反することとなります(違反した場合の措置については「問601」参照)。
- 問349
レセプト等を用いて、医療費分析や保健指導等をするに当たって、医師の同意を要するのでしょうか。また、それらの業務を委託する場合はどうでしょうか。
- (回答)
レセプト等が医師の個人情報に当たる場合であっても、法第 21 条第1項により、利用目的を、本人に通知し、又は公表する必要はありますが、例えばレセプトを使って医療費分析を行うに当たって、本人の同意を得ることまでは求められていないため、医師の同意を要しません。
なお、保健指導等を行うに当たっては、引き続き、被保険者へレセプトを開示することにより本人の診療上問題ないかの医師の確認を取ることを求めている「診療報酬明細書等の被保険者等への開示について」(平成 17 年3月 31 日付厚生労働省保険局長通知)の趣旨を踏まえ、本人の診療情報の取扱いについて、特段の配慮を行うことが必要です。
また、医療費分析や受診指導等を委託するに当たっては、法第 25 条により、委託元の健保組合は、委託を受けた者において当該個人情報の安全管理が図られるよう、必要かつ適切な監督を行う義務を負うこととなりますが、業務の委託のために必要な範囲内の委託先への個人情報の提供であれば、法第 27 条第5項第1号により、医師の同意を要しません。
なお、この場合においても、委託元である健保組合は、レセプト等の利用目的として、例えば「医療費分析の委託」のように利用目的を特定の上、本人(被保険者(及び医師の個人情報に当たる場合は医師))に通知し、又は公表する必要があります。
- 問350
健保組合がレセプト等の個人情報に係る部分をマスキングした上で、当該レセプト等のデータ処理業務を海外の会社に委託することは可能でしょうか。
- (回答)
法第 28 条に基づき、海外の会社が同条に規定する「個人情報保護委員会規則で定める」外国にある場合又は「個人情報保護委員会規則で定める基準に適合する体制を整備している者」である場合を除いて、本人の同意が必要となります。法第 28 条の本人の同意に基づいて提供を行う場合には、法第 27 条の規定は適用されません。
一方、海外の会社が法第 28 条に規定する「個人情報保護委員会規則で定める」外国にある場合又は「個人情報保護委員会規則で定める基準に適合する体制を整備している者」である場合で、かつ個人情報としてのレセプト等の処理業務の委託が法第 27 条第5項第1号に該当する時には、本人の同意なく提供することが可能ですが、法第 25 条により、委託元の健保組合は、委託を受けた者において当該個人情報の安全管理が図られるよう、必要かつ適切な監督を行う義務を負います。このとき、「健康保険組合における個人情報保護の徹底について」に定める遵守基準(以下「遵守基準」という。)の遵守が求められることとなるため、留意が必要となります。
なお、医療情報というレセプト等の公益性に鑑み、たとえそれが個人情報に該当しなくなったとしても、社会通念上、許容できる範囲内での取扱いとなるよう、委託先に対して、必要な監督を行うことが望ましいと考えます。
- 問351
個人データを第三者提供する際にその記録を作成する必要はありますか。
- (回答)
法第 29 条により、第三者提供に係る記録が義務付けられており、「本人同意、第三者氏名等、本人氏名等」のデータ項目を原則3年間保存することとなります。ただし、以下の場合においては同義務を適用されないことに留意が必要です。
- 〈記録作成義務が適用されない場合〉
- 第三者が法第 16 条第2項に掲げる者である場合(国などが提供先)
- 法第 27 条第1項各号に該当する場合(法に基づく場合など)
- 法第 27 条第5項各号に該当する場合(委託・共同利用など)
- 本人に代わって提供している場合
例:高額療養費、付加給付を事業主経由で支給時に明細などを事業主に提供する場合 - 本人と一体と評価できる関係にある者に提供する場合
例:医療費通知を世帯ごとにまとめて行う場合
- 問352
法第 29 条にかかる第三者提供時の記録が必要な場合の具体例は何でしょうか。
- (回答)
例として、傷病手当金は一つの傷病につき最長1年6か月受けることができますが、給付を受けていた被保険者が退職し、数ヶ月後に別の健保組合に加入した際に、新たに加入した健保組合が傷病手当金の法定期間等を適正に取り扱うため、被保険者が以前に加入していた健保組合に傷病手当金の受給期間について確認することがあります。以前加入していた健保組合は第三者にあたるため、情報提供を受ける際又は情報提供する際には記録が必要となります。
- 問353
当健保組合では、効果的な保健事業展開を目的とし、レセプト等のデータの分析を専門業者に委託していますが、委託の際の留意点は何でしょうか。
- (回答)
健保組合の利用目的の達成に必要な範囲内において、個人データの取扱いの全部又は一部を委託することに伴い当該個人データを提供する場合は、当該個人データを受ける者は「第三者」に該当しないため、あらかじめ、本人の同意を得ることは不要です(法第 27 条第5項第1号)。ただし、可能な限り、個人情報をマスキングするなどの対策を講じた上で、委託するよう努めることが望ましいと考えます。(委託元、委託先双方にて、安全管理措置を講じる必要はあります。)
なお、委託する場合の委託先の監督については「問304」参照。
- <開示請求手続 第 33 条、第 37 条、第 38 条関係>
- 問401
開示請求の手続きはどのようなものでしょうか。
- (回答)
診療報酬明細書、調剤報酬明細書、施設療養費明細書など(それらの写しを含む。)の開示の請求があった場合には、「診療報酬明細書等の被保険者等への開示について」(平成 17 年3月 31 日付厚生労働省保険局長通知)及び「健康保険組合における診療報酬明細書等の開示の取扱いについて」(平成 17 年3月 31 日付厚生労働省保険局保険課長通知)に基づいた取扱いとなります。
その他の保有個人データ(適用関係情報、健康診査関係情報等)の開示については、開示を請求する者と個人情報の対象者が同一の者であることを確認することなど、健保組合が定めた基準に従い、開示する必要があります。
なお、保有個人データの開示方法については、電磁的記録の提供を含め、本人が指示できるほか、当該本人の個人データの第三者提供記録も開示対象となります。
- 問402
開示請求の際に、本人であることの確認はどのように確認すればよいのでしょうか。
- (回答)
「診療報酬明細書等の被保険者等への開示について」(平成 17 年3月 31 日付厚生労働省保険局長通知)及び「健康保険組合における診療報酬明細書等の開示の取扱いについて」(平成 17 年3月 31 日付厚生労働省保険局保険課長通知)を参照。
- 問403
開示請求の手数料はどの程度に設定すればよいのでしょうか。
- (回答)
実費を勘案して合理的であると認められる範囲において定めなければなりません(法第 38 条)。手数料が割高であるため開示請求が困難となることのないよう、実際の事務に要した費用程度の額が適当であると考えます。
- 問404
情報開示手続を定めるに当たっては、請求者に「過重な負担を課するものとならないよう配慮しなければならない」こととなっているが、具体的にどのようなことでしょうか。
- (回答)
本人確認等をすることは極めて重要なことではあるものの、不必要に膨大な証明書等の提示を求めたり、煩雑な手続を設ける等、個人情報の内容、性質に応じ過剰なものにならないようにする必要があります。具体的には、受付窓口を不当に制限したり、とりわけ分かりにくく不便なところに設けることがないこと等が挙げられます。
- 問405
震災等でレセプトが散乱し、検索することが困難な状態の場合は、その事情を理由に開示しなくてよいのでしょうか。
- (回答)
健保組合が保有するレセプトなど紙ベースで保有される情報は、個人データ(特定の個人情報を容易に検索することができるように体系的に構成したもの)と考えられます(法第 16 条第1項、第3項及び第4項)。これらの個人データについて、震災等により散乱し、一時的に分類・整理しないまま大量に保有する状態となった場合、仮に法の開示請求があっても、開示請求に係る当該個人データを検索することが現実的には困難な状態にあると考えられます。
しかしながら、これらの個人データはいずれ整理されることが予定されているものであることから、整理された段階で開示等の規定が適用されることになります。
したがって、設問のような場合、その理由を説明し、開示を先延ばしすることが望ましく、整理された段階で開示する必要があります。
- 問406
「保有個人データの全部又は一部を開示しないことができる」不開示の要件として、「個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合」がありますが、健保組合においてどのようなことが考えられるのでしょうか。
- (回答)
本規定は健保組合の恣意的判断を許容する趣旨ではなく、各規定の要件の該当性は客観的に判断される必要があり、また、事務又は事業の根拠となる規定・趣旨に照らし、個人の権利利益を保護する観点からの開示の必要性等の種々の利益を衡量した上で「適正な実施」といえるものであることが求められます。
「支障」の程度は、名目的なものでは足りず実質的なものが要求され、「おそれ」の程度も単なる確率的な可能性ではなく、法的保護に値する蓋然性が求められます。
業務の適正な実施に著しい支障を及ぼす具体例として、同一の本人から複雑な対応を要する同一内容について繰り返し開示の請求があり、事実上問合せ窓口が占有されることによって他の問合せ業務が立ち行かなくなる等、業務上著しい支障を及ぼすおそれがある場合が挙げられます。
- 問407
被保険者から医師の個人情報にも該当するレセプト等の開示請求があった場合、被保険者に対する個人情報の提供に当たって、医師の同意を要するのでしょうか。また、医師の個人情報には該当しない場合はどうでしょうか。
- (回答)
レセプトが担当医の個人情報に該当しない場合はもとより、レセプトが担当医の個人情報に該当する場合についても、健保組合は、被保険者への開示義務を負うこととなりますが、開示することにより、被保険者本人又は第三者の権利利益を害するおそれがあるかどうかの判断(法第 33 条第2項第1号)は、健保組合においては容易でないため、「診療報酬明細書等の被保険者等への開示について」(平成 17 年3月 31 日付厚生労働省保険局長通知)及び「健康保険組合における診療報酬明細書等の開示の取扱いについて」(平成 17 年3月 31 日付厚生労働省保険局保険課長通知)に基づき、開示に当たって、担当医の判断が必要となります。
- 問408
レセプトの遺族への開示については、今回の法改正においても取扱いは変わらないのでしょうか。
- (回答)
個人情報の保護に関する法律は、生存する個人に関する情報についての法律であり、死亡した者に係る個人情報に関する遺族からの開示の依頼の取扱いは、法に基づく開示請求として取り扱うのではなく、組合で定める要領に基づいた「開示依頼」として取り扱うこととなります。
ただし、死者に関する情報が同時に遺族等の生存する個人に関する情報でもある場合には、当該生存する個人に関する情報として、法の適用対象となります。
なお、具体的な取扱いについては、「健康保険組合における診療報酬明細書等の開示の取扱いについて」(平成 17 年3月 31 日付厚生労働省保険局保険課長通知)に基づき、各健保組合の判断において、開示することとなります。
- 問409
柔道整復等療養費について、「療養費支給申請書」には、施術した柔道整復師が「負傷名」を記載し、住所、氏名、電話番号も記載されています。これも患者の個人情報でもあり、柔道整復師の個人情報ということになるのでしょうか。仮に、そうなると、患者から開示請求があった場合は、レセプト開示と同じ取扱いとなるのでしょうか。
- (回答)
氏名等が記載されており、特定の個人として識別できれば、当該柔道整復師の個人情報に該当します。
ただし、柔道整復等療養費に係る療養費支給申請書は、既に被保険者等本人に内容が明かされていることから、「被保険者本人又は第三者の権利利益を害するおそれがあるかどうか」の判断を必要としないため、レセプト開示と同じ取扱いをする必要はありません。
- 問410
一般的な「療養費支給申請書」や看護、移送に関わるものも、「傷病名」、「傷病の経過」、「治療等の内容」が記載されています。これも医師の個人情報に該当し、レセプトと同様の開示扱いとなるのでしょうか。また、「傷病手当金請求書」や「出産手当金請求書」も「傷病名」、「発病等の原因」、「傷病の主症状経過等」や「医師または助産師の意見」の記載があり、同様の取扱いとなるのでしょうか。
- (回答)
氏名等が記載されており、特定の個人として識別できれば、当該医師の個人情報に該当します。
なお、これらの書類は、既に被保険者等本人に内容が明かされていることから、「被保険者本人又は第三者の権利利益を害するおそれがあるかどうか」の判断を必要としないため、レセプト開示と同じ取扱いをする必要はありません。
- <苦情の処理 第 40 条、第 53 条関係>
- 問501
健保組合で保有する個人情報の取扱いに係る苦情処理はどこが行うのでしょうか。
- (回答)
法は、個人情報の取扱いをめぐる苦情については、当事者間での解決を基本としており、個人情報取扱事業者に対して、苦情の適切かつ迅速な処理とその解決のための体制の整備に努めるべきことを定めているため、先ずは健保組合が苦情処理を行うこととなります(法第 40 条)。
当事者間で問題が解決しない場合には、法に基づく「認定個人情報保護団体」の制度を利用することが考えられます。この団体は、その事業者団体等に参加している個人情報取扱事業者に関する苦情の処理や相談をしたり、個人情報取扱事業者に対する助言を行うことをその役割とします(法第 47 条・第 53 条)。
さらに、個人情報保護委員会には、個人情報取扱事業者にこの法に定める義務を遵守させるよう、報告及び立入検査、指導及び助言並びに勧告及び命令という形で、個人情報取扱事業者に不適切な取扱いを是正するよう働きかける権限が与えられています(法第 146 条~第 148 条)。
- 問502
苦情処理のための必要な体制の整備とはどのようなものでしょうか(法第 40 条第2項)。認定個人情報保護団体があれば、各健保組合に苦情処理窓口を設けなくとも良いのではないでしょうか。
- (回答)
個人情報の取扱いをめぐって健保組合と本人との間に生じるトラブルは、基本的には私人間の問題として当事者間で扱われるべきものであり、また、その解決を図る上でも、まずは当事者間で解決することが望ましいことから、体制の整備としては、例えば、健保組合に苦情処理の窓口を設置し担当者を決めておくことや、苦情処理の手順を定めること、苦情処理に当たる従事者の研修を行うことなどが考えられます。
また、本人が苦情の処理に関して第三者が関与することを希望する場合の仕組みの一つとして、認定個人情報保護団体が置かれることがありますが、この場合であっても、各健保組合は、苦情処理の窓口を設けなければなりません。
- 問503
認定個人情報保護団体に求められるものは何でしょうか。
- (回答)
認定個人情報保護団体は、個人情報取扱事業者の個人情報の適正な取扱いの確保を目的とする業務を行うものとして、個人情報保護委員会から認定を受けた法人ですが、健康保険制度においては、傘下の健保組合を対象に、個人情報保護に係る普及・啓発を推進するほか、法の趣旨に沿った指針等を自主的なルールとして定めたり、個人情報の取扱いに関する被保険者等のための相談窓口を開設するなど、積極的な取組みを行うことが期待されています。
- <個人情報保護委員会 第 146 条~第 148 条関係>
- 問601
個人情報取扱事業者等が法に違反した場合、どのような措置が採られるのでしょうか。
- (回答)
個人情報取扱事業者が個人情報を不適切に取り扱う事例等があったときには、個人情報保護委員会は個人情報取扱事業者に対して、マル1個人情報の取扱いに関する報告の徴収及び立入検査(法第 146 条第1項)、指導及び助言(第 147 条)、マル2個人情報取扱事業者が一定の義務に違反した場合における、違反行為を是正するための必要な措置に係る勧告(第 148 条第1項)、命令(第 148 条第2項又は第3項)を行う場合があります。このとき、個人情報取扱事業者が、マル1個人情報保護委員会の命令(第 148 条第2項又は第3項)に違反した場合、マル2個人情報保護委員会からの報告徴収(第 146 条第1項)に対して、報告をせず又は虚偽報告をした場合、立入検査を拒んだ場合には、個人情報取扱事業者に対して罰則が科せられることになっています(同法第 178 条・第 182 条)。
- 問602
個人情報保護委員会への報告はどのようなことが想定されているのでしょうか(法第 146 条)。
- (回答)
法第 146 条における個人情報保護委員会への報告の対象は、個人情報の取扱いに関する事項ですが、具体的には、報告徴収のきっかけとなった問題次第でその内容は異なります。例えば、必要に応じ、個人情報の取扱いの実態、その管理形態、健保組合内の責任体制、開示等の請求等に応じる手続の仕組み等が求められるものと考えられます。いずれにしても、問題となっている個人情報の取扱いの改善等の検討に必要な範囲でなければなりません。それ以外の事項(例えば、個人情報の取扱いと関係のない当該健保組合の経営状況等)について報告を求めることは、認められていません。
なお、規則第7条各号に定める漏えい等事案が発生した場合には、法第 26 条に基づき、個人情報保護委員会への報告、本人への通知等が必要となります(「問202」参照)。
また、法に基づく報告義務と健康保険法等に基づく報告義務は異なるものであるため、法の適用を受けない事項であっても、健康保険法の規定に基づき、厚生労働省への報告が求められることはあり得ます。
- <平成 14 年 12 月保険課長通知解釈>
- 問701
レセプトの点検事務を受託した業者が更に再委託してもよいのでしょうか。
- (回答)
「健康保険組合における個人情報保護の徹底について」により、個人情報に関する処理を複数の業者に委託する場合には、健保組合はそれぞれ直接、委託契約を締結することとされており、直接の契約関係を伴わない個人情報に関する処理の再委託は禁止しています。
したがって、個人情報に関する処理について再委託するのであれば、原則として、健保組合と再委託先との直接の契約関係が必要です。
なお、直接の契約関係には、再委託に関し健保組合が許諾する場合を含むこととしていることに留意が必要です。
- 問702
個人情報の処理に関する業務を外部委託する場合、健保組合との直接の契約関係を伴わない再委託は禁止することとされていますが、次のような場合はどうでしょうか。
- 高齢者健康相談訪問事業を外部委託する場合
- 健保組合は高齢者健康相談訪問事業をAに委託する。Aは訪問のうち何件かをB及びCに委託する。報告書などは、Aから健保組合に提出されてくる。
- (回答)
「問701」同様。
- 問703
個人情報に関する処理の再委託が禁止されていますが、例えば医療費通知の作成やレセプトの点検の委託を受けた業者が、そのレセプトを運ぶ際に運送会社を利用することも認められないのでしょうか。
- (回答)
「問701」同様。
- 問704
生活習慣病健診を医療機関に委託しているが、当該医療機関が血液検査を更に外部に委託しています。このような取扱いも禁止されるのでしょうか。
- (回答)
「問701」同様。
- 問705
外部業者に業務処理委託を行っている場合には、定期的又は随時に調査等を行うこと(遵守基準)とされていますが、年何回くらい行えばよいのでしょうか。
- (回答)
年1回程度の調査等を行うことが望ましいですが、委託する業務の内容等に応じて調査等をする必要があると考えます。
- 問706
個人情報の処理を外部の業者に委託する場合には、理事会に諮ることとされています(遵守基準)が、理事長の承認とすることができるのでしょうか。また、契約期間の更新や委託金額の変更の場合にも理事会に諮る必要があるのでしょうか。
- (回答)
遵守基準においては、理事会に諮ることとされていますが、緊急やむを得ない場合等にあたっては、理事長の承認にすることが認められます。
契約内容の変更の伴わない単なる契約期間の更新などについては、再度理事会に諮るかどうかを規程等に明示にした上、理事長の承認にすることとしても差し支えありません。
- 問707
健保組合が業務を外部委託する際の判断として、次の場合は「個人情報に関する処理」に該当するのでしょうか。
- マル1 システムの保守業者が個人データの入ったハードディスクをハードディスクの製造メーカーに修理を委託する場合。
- マル2 ソフトウエアの保守(ソフトのパッチやバージョンアップ等の作業)で、サーバーのデータベースに個人情報は入っているが、個人情報を見ることがない保守作業を委託する場合。
- (回答)
マル1において、システムの保守業者がサービス内容の全部又は一部としてハードディスク内の個人データを取り扱うこととなっている場合には、個人データを提供したこととなります。一方、マル2において単純なソフトウェア保守サービスのみを行う場合で、契約条項によって当該保守業者が個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等には、個人データの提供には該当しません。
- <その他>
- 問801
個人情報取扱事業者として、団体が付与する認証制度を取得する必要があるのでしょうか。
- (回答)
健保組合においては、「個人情報の保護に関する法律についてのガイドライン(通則編)」(平成 28 年個人情報保護委員会告示第6号)、「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」(平成 28 年個人情報保護委員会告示第7号)、「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」(平成 28 年個人情報保護委員会告示第8号)、「個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)」(平成 28 年個人情報保護委員会告示第9号)、「個人情報の保護に関する法律についてのガイドライン(認定個人情報保護団体編)」(令和3年個人情報保護委員会告示第7号)及びガイダンスに従い、それぞれ必要な措置を講ずることが必要ですが、団体の認証制度を利用することを妨げるものではありません。
- 問802
業務処理システムにアクセスした際の「ログファイル」も「個人情報」と思われますがどのように管理すればよいのでしょうか。具体的な基準を示してください。
- (回答)
情報セキュリティに関して、実際にどの程度の安全管理措置を講ずるかは、保護しようとする個人情報の内容又は性質、利用方法等に照らしてどの程度の必要があるかということとのバランスが重要です。不十分な措置しか講じないことは問題ですが、過剰な措置を講ずる必要もないものと考えられるので、具体的な保護措置については、それぞれの健保組合の業務処理に応じて適切に判断する必要があります。
なお、健保組合ごとにこれを判断することが必ずしも容易でない場合は、認定個人情報保護団体等が作成する指針等において基準となる考え方を定めるなどして円滑に取組が進められることが望ましいと考えます。
- 問803
健保組合によるレセプトの直接審査を行う場合に、気をつけることは何でしょうか。
- (回答)
健保組合において直接審査を行う際の個人情報の取扱いについては、「個人情報保護の徹底について」(平成 14 年 12 月 25 日付保発第 1225003 号厚生労働省保険局長通知)及び「健康保険組合における個人情報保護の徹底について」を参照してください。
また、審査を業者に委託する場合には、健保組合自らが実施する場合に求められるものと同程度の措置が委託先に確保されるよう、必要な事項(例えば、目的外利用や第三者提供、必要なセキュリティレベルの確保、再委託禁止等)を契約に盛り込むとともに、それが確実に遵守されるよう、適宜、委託先を確認・指導するなどの監督を行う必要があります。
なお、委託先において漏えい等の事故が発生した場合には、本人との係争においては、健保組合が当事者になります。