・健康保険組合における業務処理の機械化について(◆昭和61年11月28日保険発第103号)

添付一覧

添付画像はありません

○健康保険組合における業務処理の機械化について

(昭和六一年一一月二八日)

(保険発第一〇三号)

(各都道府県民生主管部(局)保険主管課(部)長あて厚生省保険局保険課長通知)

健康保険組合(以下「組合」という。)が行う健康保険事業を適正かつ効率的に運営するための事務処理体制の整備拡充については、従来から指導を煩わしているところであるが、組合の業務を電子計算機組織(小型の電子計算機及び端末機を含む。以下「電子計算機」という。)を利用して行う場合、次の事項に留意のうえ、データ保護の適正化等適正な事務処理を行うよう貴都道府県下の組合に対し指導願いたい。

１　基本的事項

(１)　電子計算機処理を行う組合においては、電子計算機の運用管理及びデータ保護管理の責任者を配置する等、所要の事務処理体制を整備するとともに電子計算機の運用管理の方法を定め、データ保護及び事故防止に万全を期すこと。

(２)　また、電子計算機処理を外部に委託する場合には、データ保護及び事故防止を図る観点から、契約に際し、委託業者における厳正な処理の確保に万全を期すこと。

２　管理体制

(１)　電子計算機の運用管理及びデータ保護管理の責任者(以下「保護管理者」という。)を置くこととし、常務理事がこれに当たること。

(２)　保護管理者は、電子計算機の運用管理及びデータ保護管理についての責任を総括すること。

(３)　電子計算機の運用管理及びデータ保護管理に関する事務の一部を処理するため、必要に応じて保護担当者を置くこととし、保護管理者がこれを指定すること。

(４)　保護管理者は、予め電子計算機を操作する者(以下「オペレータ」という。)を指定すること。

３　運用管理方法

保護管理者及び保護担当者は、次により電子計算機の適正かつ効率的な運用管理を行うこと。

(１)　入出力帳票等の管理

入出力帳票等については、滅失等を生じないよう所定の場所に保管するとともに、受入れ、引渡しを行う場合には、必要な確認措置を講じ、これを記録すること。また、入出力帳票等を廃棄する場合には、焼却その他確実な方法によること。

(２)　磁気ファイルの管理

ア　磁気テープ、磁気ディスク等のデータを収録している媒体(以下「磁気ファイル」という。)については、保管場所を定めその授受及び保管に当たり必要な事項を台帳等に記録すること。

イ　磁気ファイルのうち特に保護管理者が必要と認めるものについては、予備ファイルを作成し、データの滅失等の事故防止に備えること。

ウ　磁気ファイルについては、障害の有無等について定期的又は随時に検査等を行うとともに、磁気ファイルに障害が生じたときは、速やかに適切な措置を講ずること。

(３)　電子計算機処理に関する書類の管理

システム設計書、プログラム説明書、オペレーション手順書等については、保護管理者は外部に知られることを適当としないものを指定するとともに、所要の保管措置を講ずること。

(４)　電子計算機の操作に関する管理

電子計算機の操作に当たつては、予め標準的な操作基準を定めること。また、電子計算機の操作は、保護管理者が指定したオペレータが行い、操作内容を詳細に操作日誌等に記録すること。

(５)　電子計算機室、磁気ファイル等の保管施設の管理及び保安対策

ア　電子計算機室及び磁気ファイル等の保管施設への入退室に関する取扱いを規定するとともに、入退室の状況を管理するための措置を講ずること。

イ　火災その他の災害及び盗難に備えるための保安措置を講ずること。

(６)　事故発生の際の対策

保護管理者は、予め事故発生の際の対策を定めるとともに、事故の際には、速やかに復旧のための措置を講ずること。

４　委託及びデータ提供

(１)　電子計算機処理を外部に委託する場合は、データの授受、搬送の方法、データの保管、機密保持、その他データの滅失等を防止するための必要な事項について定めた委託契約書を締結すること。

なお、必要に応じて委託業者の処理状況について実地確認等を行うこと。

(２)　電子計算機処理に関し要員の派遣を受けるときは、データの保護、機密保持等に関し、必要に応じ派遣業者の責任者及び本人の双方から誓約書等を徴する等の措置を講ずること。

(３)　データの提供は、法令の規定に基づく場合のほか原則として次の場合に限つて行うこととし、このための基準を定めること。

ア　データをその本来の使用目的の範囲内で行政機関その他これに準ずる公的機関に提供する場合であつて、データの滅失等を生ずるおそれがないものとして保護管理者が承認した場合。

イ　本人(法人を含む。)又はその家族等、データの提供を受けるにつき正当の理由を有する者からの照会に対し相手方を確認したうえでその者に係るデータを提供する場合。

５　電子計算機処理データ保護管理規程の作成

管理体制及び運用管理方法については、別添「電子計算機処理データ保護管理規程(例)」を参考に各組合において整備し、その管理の適正を期すこと。

別添

電子計算機処理データ保護管理規程(例)

第一章　総則

(目的)

第一条　この規程は、〇〇健康保険組合(以下「組合」という。)における電子計算機処理に係るデータの保護及び管理について、管理体制、管理方法その他必要な事項を定めることにより、データの漏えい、滅失、き損等(以下「滅失等」という。)の防止を図り、もつて適正な事務処理に資することを目的とする。

(対象とするデータ等)

第二条　この規程で保護及び管理の対象とするものは、個人、組合に関し外部に漏れることを適当としないデータ又は事故等が発生した場合その復元等が著しく困難となるおそれのあるデータで次に掲げるものに記録されているもの並びにシステム設計書、オペレーション手順書、プログラム説明書及びコードブック等(以下「ドキュメント」という。)とする。

(1)　磁気テープ、磁気ディスクその他これらに類する媒体(以下「媒体」という。)

(2)　入力用原票及び出力帳票等(以下併せて「入出力帳票」という。)

第二章　管理体制

(データ保護管理者)

第三条　組合にデータ保護管理者(以下「保護管理者」という。)を置く。

2　保護管理者は常務理事とし、この規程の定めるところにより、その処理するデータを適正に管理しなければならない。

(データ保護担当者)

第四条　組合にデータ保護担当者(以下「保護担当者」という。)を置く。

2　保護担当者は、保護管理者が指定する。

3　保護担当者は、保護管理者の指示のもとに部下職員を指揮監督し、データの保護及び管理に関する事務を処理する。

(オペレータ)

第五条　保護管理者は、予め電子計算機を操作する者(以下「オペレータ」という。)を指定しなければならない。

第三章　データの管理

(入出力帳票及び媒体の管理)

第六条　入力用原票及び媒体(次条に規定するものを除く。以下本条において同じ。)は、その受入れに際して必要な確認措置を講じ、これを記録するとともに、処理後は直ちに所定の場所への格納又は廃棄の措置を講じなければならない。

2　出力帳票及び媒体の保管に当たつては、滅失等を生じないよう所定の場所に格納しなければならない。

3　出力帳票及び媒体の引き渡しに当たつては、相手方、種類、数量等を確認し、記録しなければならない。

4　入出力帳票及び媒体の搬送に当たつては、厳重な包装を行う等、滅失等を防止する措置を講じなければならない。

5　入出力帳票及び媒体を廃棄する場合には、焼却その他確実な措置を講ずるとともにその旨を記録しなければならない。

(マスターファイルの管理)

第七条　磁気テープ、磁気ディスク等のうちマスターファイル及びこれに準ずる重要なファイル(以下「マスターファイル」という。)の授受及び保管に当たつては、必要な事項を記録しなければならない。

2　マスターファイルは、所定の場所に格納して保管するとともに、その保管庫からの入出庫は、原則として保護担当者が取り扱うものとする。

3　保護担当者は、その指定する者にマスターファイルの保管庫からの入出庫を行わせることができる。

4　マスターファイルのうち、データの滅失等が生じた場合に復元が困難なものとして保護管理者が指定するものについては、予備ファイルを作成し、保管設備に隔離保管するものとする。この場合において、その保管を外部に委託する場合には、授受の確認、保管方法等、データの滅失等を防止するため必要な事項を記載した委託契約書を締結するものとする。

5　マスターファイルを複製する場合には、保護管理者の許可を得なければならない。

6　マスターファイルのデータの複製、クリーニング等に当たつては、データの滅失等を生ずることのないよう十分注意しなければならない。

7　マスターファイルの障害の有無等については、定期的又は随時に、点検等を行い、その結果を記録しなければならない。

8　保護管理者は、マスターファイルの重大な障害につき報告を受けた場合は、速やかにその状況につき調査し、必要な措置を講ずるものとする。

第四章　ドキュメントの管理

(ドキュメントの指定及び保管)

第八条　保護管理者は、ドキュメントのうち外部に知られることを適当としないものを指定するものとする。

2　ドキュメントは、所定の場所に格納して保管しなければならない。

3　ドキュメントを複製し又は外部に持ち出す場合には、保護管理者の許可を得なければならない。

第五章　電子計算機の運用及び管理

(電子計算機の管理)

第九条　電子計算機(端末機を含む。次条において同じ。)の管理は保護担当者が行うものとする。

(電子計算機の運用)

第十条　電子計算機の運用は、保護管理者の指定を受けた保護担当者又はオペレータが行い、運用の内容を記録するものとする。

第六章　電子計算機室及びマスターファイル等の保管施設の管理及び保安

(電子計算機室への入退室の管理)

第十一条　電子計算機室及びマスターファイル等の保管施設へは、保護管理者の指定を受けた者を除き、立ち入ることはできない。

2　指定された者以外の者の立ち入りについては、保護管理者の許可を得なければならない。

3　保護管理者は、電子計算機室及びマスターファイル等の保管施設への部外者の立ち入りに当たつて保護担当者等の立会等必要な措置を講ずるものとする。

(保安措置)

第十二条　保護管理者は、火災その他の災害及び盗難に備えて、電子計算機室及びマスターファイル等の保管施設に必要な保安措置を講ずるものとする。

(事故発生時の対策)

第十三条　保護管理者は、事故発生時の対策についての手続を定めるとともに、その内容を保護担当者等に徹底しなければならない。

2　保護管理者は、事故が発生した場合、速やかに事故の経緯、被害状況等を調査し、復旧のための措置を講ずるものとする。

第七章　委託及びデータの提供

(業務の委託)

第十四条　デー夕の処理を外部に委託する場合には、次に掲げる事項を規定した委託契約書を締結しなければならない。

(1)　契約の相手方に対する善良なる管理者の注意義務の遵守

(2)　契約の相手方及び従業員に対する知り得た事実の漏えいの禁止

(3)　承認外の再委託の禁止

(4)　契約条項に違反した場合の契約解除及び損害賠償請求

(5)　マスターファイル、入出力帳票等の授受の手続、搬送の方法及び保管方法、その他のデータの滅失等を防止するため必要な事項

(派遣要員の指導)

第十五条　保護管理者は、電子計算機処理に関し、要員の派遣を受ける場合には、必要に応じ、派遣企業の責任者及び本人の双方から秘密保持等、データの適正な取扱いに関する誓約書等を提出させるものとする。

(データの提供)

第十六条　データは、次の各号のいずれかに該当する場合を除き、組合の外部に提供してはならない。

(1)　法令の規定に基づく場合

(2)　理事長が特に認めて承認した場合

(3)　データをその本来の使用目的の範囲内で行政機関その他これに準ずる公的機関に提供する場合であつて、データの滅失等を生ずるおそれがないものとして保護管理者が承認した場合

(4)　本人(法人を含む。)又はその家族等、データの提供を受けるにつき正当な理由を有する者からの照会に対し、相手方を確認したうえでその者に係るデータを提供する場合

第八章　補則

(補則)

第十七条　この規程に定めるもののほか、電子計算機処理に係るデータの保護及び管理に関し必要な事項は、保護管理者が定める。

附　則

この規程は、昭和　年　月　日から施行する。