しかしながら、情報処理技術の高度化や外部委託の普及等に伴い、被保険者等の個人情報の管理については、従来にも増して慎重かつ適正を期すことが必要となっている。

このため、今般、厚生労働省保険局長より各保険者等あて「個人情報の徹底について」(平成14年12月25日保発第1225003号・1225004号厚生労働省保険局長通知)が通知されたところであるが、健康保険組合として遵守すべき事項について、別添のとおり「健康保険組合における個人情報保護に関する遵守基準」として定めたので、遺憾のないよう取り扱われたく通知する。

健康保険組合における個人情報保護に関する遵守基準

1　制定の趣旨

健康保険組合(以下「健保組合」という。)においては、健康保険事業の性格上、診療情報や資格・給付情報など被保険者(被扶養者及び被保険者又は被扶養者であった者を含む。以下「被保険者等」という。)の個人情報を取り扱うことが少なくない。

被保険者等の個人情報の漏えいは、そのこと自体、個人の人格尊重の理念に反し被保険者等の権利利益を侵害する行為であり、健保組合は被保険者等の個人情報保護に万全を期さなければならない。また、個人情報の漏えい・紛失・改ざん・誤記録等(以下「漏えい等」という。)は、被保険者等と健保組合、あるいは被保険者等と医療機関等の信頼関係を損ない、健康保険事業の円滑な運営等に支障を生じさせることにも留意する必要がある。

本基準は、上記のとおり個人情報保護の重要性にかんがみ制定するものである。したがって、本基準は、単なる指針ではなく、健保組合が被保険者等の個人情報保護に関して遵守すべき基準である。本基準の履行は、健康保険法(大正11年法律第70号)に基づく指導監査等を通じ徹底を期すものであり、これに反する場合には必要な行政処分を行うものであることに留意されたい。

また、健保組合が被保険者等の個人情報に関する処理を外部の業者に委託する場合には、当該業者も本基準の遵守が求められるとともに、健保組合は当該業者にこれを遵守させる責任を有するものであり、適切な指導監督を行うことが必要である。

2　対象となる個人情報

本基準は、以下のような健保組合における被保険者等の個人情報について適用する。なお、紙に記載されたものであるか電子計算機・光学式情報処理装置等(以下「電子計算機等」という。)のシステムにより処理されているものかは問わない。

①　診療報酬請求書等及びこれを基に作成される文書(医療費通知等)

②　保健事業として行う各種健診等の記録

③　資格記録(資格取得・喪失年月日、標準報酬・賞与額等)

④　給付記録(現金給付受給内容、口座番号等)

⑤　被保険者記録及び被扶養者記録

3　個人情報保護に関する管理体制

(1)　守秘義務規定の整備

服務規程等において、健保組合の役職員について守秘義務を課すこと。また、退職した後も守秘義務があることを明記すること。なお、守秘義務に反した場合には、懲戒等の処分の対象になるとともに損害賠償の責を負うことを服務規程等に明記すること。

また、健保組合の役職員の採用に当たっては、個人情報保護の重要性等について理解し遵守の徹底が図られるよう必要な研修等を行うこと。

(2)　個人情報取扱責任者の設置

理事長は、本基準の内容を十分理解し実践する能力のある役職員のうちから個人情報取扱責任者を選定し、その業務を行わせるものとすること。

個人情報取扱責任者は、個人情報保護の徹底が図られるよう、健保組合の役職員に対する教育訓練、各種安全対策の実施、個人情報に関する開示請求や苦情処理、外部委託業者の監督等を適切に行い、理事長など役員とともに、その責任を負うものとすること。

(3)　個人情報の管理

個人情報を電子計算機等により処理する場合には、特定の役職員以外の者が個人データにアクセスできないようパスワードを設けるなど適切な措置を講じること。また、故意又は過失による虚偽入力、書換え及び消去ができないよう電子計算機等のシステムの構築を図るか、又は、これに代わるべき管理上の措置を講じること。

個人情報の紙による保管管理に当たっては、盗難、紛失、不正利用等が生じないよう施錠など十分な措置を講じること。

(4)　個人情報の消去

電子計算機等を用いて個人情報を管理している場合であって、その電子計算機等の廃棄又は転売・譲渡等(リース等の場合は返却)を行うに当たっては、電子計算機等に記録されているデータを消去し、復元不可能な状態にしなければならないこと。

なお、電子計算機等を初期化しデータの消去を行う方法では、ハードディスクのデータを完全に消去することはできず、復元される可能性があることから、ハードディスクを物理的に破壊するか、最新のハードディスクデータ消去ツール等を使用する又は電子計算機等のデータ消去を専門に取り扱う業者に委託する必要があること。

また、個人情報の記載された紙を廃棄する場合においては、シュレッダーにかけるか又は溶解するなど、個人情報を読取不可能な状態にしなければならないこと。

4　個人情報の処理に関する外部委託に関する措置

健保組合が被保険者等の個人情報に関する処理を外部の業者に委託する場合には、個人情報保護に関する十分な管理能力を有する者を選定することとし、理事会に諮ること。

また、外部の業者に委託する場合にあっても、当該業者が本基準に掲げる事項を遵守するよう委託契約書上明記するとともに、個人情報に関する処理における個人情報の管理状況等について適宜検査を行うなど、健保組合は必要な指導監督を行うこととし、個人情報の漏えい等があった場合には、契約解除はもとより債務不履行による損害賠償できる旨の規定を置くこと。

なお、個人情報に関する処理を複数の業者に委託する場合には、健保組合はそれぞれ直接、委託契約を締結し、各業者が本基準に掲げる事項を遵守するよう、上記の措置を講じることとし、健保組合との直接の契約関係を伴わない再委託は禁止すること。

5　個人情報の管理に関する監督

厚生労働省は、健保組合等の個人情報の保護について指導監査等を通じ徹底を期すとともに、健保組合等における個人情報の管理に違反があれば、その態様等に応じ、健康保険法第27条、第29条の規定等に基づき、健保組合に対し、必要な処分等(業務改善命令、役員の解任、組合の解散、違反した委託業者に対する損害賠償請求や契約解除の指導・命令など)を行うとともに、違反した健保組合や委託業者の公表を行うものであること。