(公印省略)

(公印省略)

標記について、別添のとおり都道府県知事あてに通知したので、国民健康保険組合の指導にあたり、遺漏なきよう配慮されたい。

国民健康保険組合における個人情報の適切な取扱いのためのガイドライン

平成17年4月1日

(平成28年2月29日一部改正)

厚生労働省

目次

Ⅰ　本ガイドラインの趣旨、目的、基本的考え方

1．本ガイドラインの趣旨

2．本ガイドラインの構成及び基本的考え方

3．本ガイドラインの対象となる事業者

4．本ガイドラインの対象となる「個人情報」の範囲

5．都道府県知事の権限行使との関係等

6．国保組合が行う措置の透明性の確保と対外的明確化

7．責任体制の明確化と被保険者等窓口の設置等

8．遺族への個人情報の提供の取扱い

9．他の法令との関係

Ⅱ　用語の定義

1．個人情報

2．個人情報の匿名化

3．個人情報データベース等

4．本人の同意

Ⅲ　国保組合の義務等

1．利用目的の特定等(法第15条、第16条)

2．利用目的の通知等(法第18条)

3．個人情報の適正な取得、個人データ内容の正確性の確保(法第17条、第19条)

4．安全管理措置、従業者の監督及び委託先の監督(法第20条～第22条)

5．個人データの第三者提供(法第23条)

6．保有個人データに関する事項の公表等(法第24条)

7．本人からの求めによる保有個人データの開示(法第25条)

8．訂正及び利用停止(法第26条、第27条)

9．開示等の求めに応じる手続及び手数料(法第29条、第30条)

10．理由の説明、苦情処理(法第28条、第31条)

Ⅳ　ガイドラインの見直し等

1．必要に応じた見直し

別表1　国保組合が保有する個人情報の例

別表2　国保組合の通常の業務で想定される主な利用目的

Ⅰ　本ガイドラインの趣旨、目的、基本的考え方

1．本ガイドラインの趣旨

本ガイドラインは、「個人情報の保護に関する法律」(平成15年法律第57号。以下「法」という。)第6条及び第8条の規定に基づき、国民健康保険組合(以下「国保組合」という。)が行う個人情報の適正な取扱いの確保に関する活動を支援するためのガイドラインとして定めるものであり、厚生労働大臣が法を執行する際の基準となるものである。

2．本ガイドラインの構成及び基本的考え方

個人情報の取扱いについては、法第3条において、「個人情報が、個人の人格尊重の理念の下に慎重に取り扱われるべきものである」とされていることを踏まえ、個人情報を取り扱うすべての者は、その目的や様態を問わず、個人情報の性格と重要性を十分認識し、その適正な取扱いを図らなければならない。

特に、医療分野は、「個人情報の保護に関する基本方針」(平成16年4月2日閣議決定。以下「基本方針」という。)及び国会における附帯決議において、個人情報の性質や利用方法等から、特に適正な取扱いの厳格な実施を確保する必要がある分野の一つであると指摘されており、保険診療に係る診療報酬明細書及び調剤報酬明細書(以下「レセプト」という。)等を取り扱う国保組合においては、積極的な取組が求められている。

このことを踏まえ、本ガイドラインでは、法の趣旨を踏まえ国保組合における個人情報の適正な取扱いが確保されるよう、遵守すべき事項及び遵守することが望ましい事項をできる限り具体的に示しており、国保組合においては、法令、基本方針及び本ガイドラインの趣旨を踏まえ、個人情報の適正な取扱いに取り組む必要がある。

具体的には、国保組合は、本ガイドラインの【法の規定により遵守すべき事項等】のうち、「しなければならない」等と記載された事項については、法の規定により厳格に遵守することが求められる。また、【その他の事項】については、法に基づく義務等ではないが、達成できるよう努めることが求められる。

3．本ガイドラインの対象となる事業者

本ガイドラインが対象としている事業者は、国民健康保険組合である。

なお、レセプトの入力・点検業務、被保険者証の印刷作成、人間ドック等の健診、保健指導など、国保組合から委託を受けた業務を遂行する事業者においては、本ガイドラインのⅢ4．に沿って適切な安全管理措置を講ずることが求められるとともに、当該委託を行う国保組合は、業務の委託に当たり、本ガイドラインの趣旨を理解し、本ガイドラインに沿った対応を行う事業者を委託先として選定し、委託契約の中で、個人情報の流出防止をはじめとする保護のための措置が委託先において確保されるよう、委託元と委託先のそれぞれの責任等を明確に定めることにより、再委託される場合も含めて実効的な監督体制を確保することが重要である。併せて委託先事業者における個人情報の取扱いについて定期的に確認を行い、適切な運用が行われていることを確認する等の措置を講ずる必要がある。

また、法令上、「個人情報取扱事業者」としての義務等を負うのは国保組合のうち、識別される特定の個人の数の合計が過去6ヶ月以内のいずれの日においても5,000を超えない事業者を除くものとされている。

しかし、国保組合は、個人情報を提供してサービスを受ける被保険者から、その規模等によらず適切かつ円滑な保険給付及び保健事業(以下「保険給付等」という。)の実施が期待されていること、そのため、適切かつ円滑な保険給付等の実施のために最善の努力を行う必要があること、また、被保険者の立場からは、どの国保組合が法令上の義務を負う個人情報取扱事業者に該当するかが分かりにくいこと等から、本ガイドラインにおいては個人情報取扱事業者としての法令上の義務を負う国保組合に限らず、全ての国保組合を対象として、本ガイドラインの遵守を求めるものである。

4．本ガイドラインの対象となる「個人情報」の範囲

法令上「個人情報」とは、生存する個人に関する情報であり、個人情報取扱事業者の義務等の対象となるのは、生存する個人に関する情報に限定されている。

なお、当該被保険者が死亡した後においても、国保組合が当該被保険者の情報を保存している場合には、漏えい、滅失又はき損等の防止のため、個人情報と同等の安全管理措置を講ずるものとする。

5．都道府県知事の権限行使との関係等

本ガイドライン中、国保組合が【法の規定により遵守すべき事項等】に記載された内容のうち、国保組合の義務とされている内容を個人情報取扱事業者としての義務を負う国保組合が遵守しない場合、都道府県知事は、法第34条及び第51条の規定に基づき、「勧告」及び「命令」を行うことがある。

6．国保組合が行う措置の透明性の確保と対外的明確化

法第3条では、個人の人格尊重の理念の下に個人情報を慎重に扱うべきことが指摘されている。

国保組合は、個人情報保護に関する考え方や方針に関する宣言(いわゆる、プライバシーポリシー、プライバシーステートメント等)及び個人情報の取扱いに関する明確かつ適正な規則を策定し、それらを対外的に公表することが求められる。また、被保険者から当該本人の個人情報がどのように取り扱われているか等について知りたいという求めがあった場合は、当該規則に基づき、迅速に情報提供を行う等必要な措置を行うものとする。

個人情報保護に関する考え方や方針に関する宣言の内容としては、国保組合が個人の人格尊重の理念の下に個人情報を取り扱うこと並びに、関係法令及び本ガイドライン等を遵守すること等、個人情報の取扱いに関する規則においては、個人情報に係る安全管理措置の概要、本人等からの開示等の手続、第三者提供の取扱い、苦情への対応等について具体的に定めることが考えられる。

なお、利用目的等を広く公表することについては、以下のような趣旨があることに留意すべきである。

①　国保組合で個人情報が利用される意義について被保険者の理解を得ること。

②　国保組合において、法を遵守し、個人情報保護のため積極的に取り組んでいる姿勢を対外的に明らかにすること。

7．責任体制の明確化と被保険者等窓口の設置等

国保組合は、個人情報の適正な取扱いを推進し、漏えい等の問題に対処する体制を整備する必要がある。このため、個人情報の取扱いに関し、専門性と指導性を有し、事業者全体を統括する組織体制・責任体制を構築し、規則の策定や安全管理措置の計画立案等を効果的に実施できる体制を構築するものとする。

また、被保険者に対しては、利用開始時に個人情報の利用目的を説明するなど、必要に応じて分かりやすい説明を行う必要があるが、加えて、被保険者等が疑問に感じた内容を、いつでも、気軽に問い合わせできる窓口機能等を確保することが重要である。さらに、個人情報の取扱いに関し被保険者からの相談や苦情への対応等を行う窓口機能等を整備するとともに、その窓口がサービスの提供に関する相談機能とも有機的に連携した対応が行える体制とするなど、被保険者の立場に立った対応を行う必要がある。

なお、個人情報の利用目的の説明や窓口機能等の整備、開示の求めを受け付ける方法を定める場合等に当たっては、障害のある被保険者にも配慮する必要がある。

8．遺族への個人情報の提供の取扱い

法は、OECD8原則の趣旨を踏まえ、生存する個人の情報を適用対象とし、個人情報の目的外利用や第三者提供に当たっては本人の同意を得ることを原則としており、死者の情報は原則として個人情報とならないことから、法及び本ガイドラインの対象とはならない。しかし、被保険者が死亡した際に、遺族から診療報酬明細書等の個人情報について照会が行われた場合、国保組合は、被保険者本人の生前の意思、名誉等を十分に尊重しつつ、特段の配慮が求められる。このため、別に定める通知(「診療報酬明細書等の被保険者への開示について」(平成17年3月31日保険局長通知))に基づき、遺族に対して診療報酬明細書等の個人情報の提供を行うものとする。

9．他の法令等との関係

国保組合は、個人情報の取扱いにあたり、法、基本方針及び本ガイドラインに示す項目のほか、個人情報保護又は守秘義務に関する他の法令等の規定を遵守しなければならない。

Ⅱ　用語の定義

1．個人情報(法第2条第1項)

「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日、その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。「個人に関する情報」は、氏名、性別、生年月日等個人を識別する情報に限られず、個人の身体、財産、職種、肩書き等の属性に関して、事実、判断、評価を表すすべての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化されているか否かを問わない。

また、例えばレセプトには、被保険者について客観的に検査をしたデータもあれば、それに対して医師が判断した傷病名、診療行為が記載されている。これら全体が被保険者個人に関する情報に当たるものであるが、それと同時に、当該レセプトに係る診察をした医師の側からみると、自分が判断した傷病名、診療行為を書いているものでもあるので、レセプトに氏名が明記されている場合や医療機関名から容易に特定の医師を識別できる場合については、医師個人に関する情報とも言うことができる。したがって、レセプト等に記載されている情報の中には、被保険者と医師等双方の個人情報という二面性を持っている部分もあることに留意が必要である。

なお、死者に関する情報が、同時に、遺族等の生存する個人に関する情報でもある場合には、当該生存する個人に関する情報となる。

本ガイドラインは、国保組合が保有する個人情報を対象とするものであり、個人情報データベース等(3．参照)に整理されていない場合でも個人情報に該当する。

国保組合が保有する個人情報については、別表1参照。

※　記載された氏名、生年月日、その他の記述等により特定の個人を識別することができるものは、匿名化されたものを除き、個人情報に該当する。

2．個人情報の匿名化

当該個人情報から、当該情報に含まれる氏名、生年月日、住所等、個人を識別する情報を取り除くことで、特定の個人を識別できないようにすることをいう。顔写真については、一般的には目の部分にマスキングすることで特定の個人を識別できないと考えられる。なお、必要な場合には、その人と関わりのない符号又は番号を付すこともある。

このような処理を行っても、国保組合内で個人情報を利用する場合は、国保組合内で得られる他の情報や匿名化に際して付された符号又は番号と個人情報との対応表等と照合することで特定の被保険者が識別されることも考えられる。法においては、「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」についても個人情報に含まれるものとされており、匿名化に当たっては、当該情報の利用目的や利用者等を勘案した処理を行う必要があり、あわせて、本人の同意を得るなどの対応も考慮する必要がある。

また、特定の被保険者の健診の結果や保健指導の事例を集団で行う保健指導で紹介したり、国保組合の機関誌に掲載したりする場合等は、氏名、生年月日、住所等を消去することで匿名化されると考えられるが、健診の結果や保健指導の事例により十分な匿名化が困難な場合は、本人の同意を得なければならない。

3．個人情報データベース等(法第2条第2項)、個人データ(法第2条第4項)。保有個人データ(法第2条第5項)

「個人情報データベース等」とは、特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した個人情報を含む情報の集合体、又はコンピュータを用いていない場合であっても、紙面で処理した個人情報を一定の規則(例えば、五十音順、生年月日順など)に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態においているものをいう。

「個人データ」とは「個人情報データベース等」を構成する個人情報をいう。

「保有個人データ」とは、個人データのうち、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有するものをいう。ただし、①その存否が明らかになることにより、公益その他の利益が害されるもの、②6ヶ月以内に消去する(更新することは除く。)こととなるものは除く。

レセプトや健診結果、保健指導記録等については、媒体の如何にかかわらず個人データベース等に該当する。

4．本人の同意

法は、個人情報の目的外利用や第三者提供の場合には、原則として本人の同意を得ることを求めている。これは、法の基本となるOECD8原則のうち、利用制限の原則の考え方の現れであるが、国保組合については、被保険者に適切な保険給付等を提供する目的のために、当該国保組合において、通常必要と考えられる個人情報の利用範囲を国保組合のホームページへの掲載、パンフレットの配布、掲示板への掲示・備付けや公告等により明らかにしておき、このうち、被保険者の利益になるもの又は必ずしも利益になるものではないが医療費通知など国保組合の負担が膨大である上必ずしも被保険者本人にとって合理的であるとは言えないものについては、被保険者から特段明確な反対・留保の意思表示がない場合には、これらの範囲内での個人情報の利用について同意が得られているものと考えられる。(Ⅲ5．(3)(4)参照)

なお、これらの場合においても被保険者の理解力、判断力などに応じて、可能な限り被保険者等本人に通知し、同意を得るよう努めることが重要である。

Ⅲ　国保組合の義務等

1．利用目的の特定等(法第15条、第16条)

(1)　利用目的の特定及び制限

国保組合が保険給付等を希望する被保険者から個人情報を取得する場合、当該個人情報を被保険者に対する保険給付等の提供、国保組合の保険給付等に係る事務などで利用することは被保険者にとって明らかと考えられる。

これら以外で個人情報を利用する場合は、被保険者にとって必ずしも明らかな利用目的とはいえない。この場合は、個人情報を取得するに当たって明確に当該利用目的の公表等の措置が講じられなければならない。(Ⅲ2．参照)

国保組合の通常の業務で想定される利用目的は別表2に例示されるものであり、国保組合は、これらを参考として、自らの業務に照らして通常必要とされるものを特定して公表しなければならない。(Ⅲ2．参照)

また、別表2に掲げる利用目的の範囲については、法第15条第2項に定める利用目的の変更を行うことができると考えられる。ただし、変更された利用目的については、本人へ通知又は公表しなければならない。(Ⅲ2．参照)

(2)　利用目的による制限の例外

国保組合は、あらかじめ本人の同意を得ないで法第15条の規定により特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならないが(法第16条第1項)、同条第3項に掲げる場合については、本人の同意を得る必要はない。具体的な例としては以下のとおりである。

①　法令に基づく場合

国民健康保険法第106条に基づく報告の徴収等、法令に基づいて個人情報を利用する場合

根拠となる法令の規定としては、一般に刑事訴訟法第218条(令状による捜査)、地方税法第72条の63(個人の事業税に係る質問検査権、各種税法に類似の規定あり)等が考えられる。

これらの法令は強制力を伴って回答が義務づけられるため、国保組合は捜査等が行われた場合、回答する義務が生じる。

また、刑事訴訟法第197条第1項(捜査に必要な取調べ)等については、法の例外規定の対象であるが、当該法令において任意協力とされており、国保組合は取調べ等が行われた場合、回答するか否かについて個別の事例ごとに判断する必要がある。この場合、本人の同意を得ずに個人情報の提供を行ったとしても、法第16条違反とはならないが、当該本人からの民法に基づく損害賠償請求等を求められるおそれがある。

②　人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき

(例)

・意識不明となった被保険者について、家族の連絡先等に関する情報を医療機関等に提供する場合

③　公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき

(例)

・疫学上の調査・研究のために、健康診査やガン検診等から得られた情報を個人名を伏せて研究者に提供する場合

・医療安全の向上のため、国保組合にレセプトを提出する医療機関で発生した医療事故等に関する国、地方公共団体又は第三者機関等への情報提供のうち、氏名等の情報が含まれる場合

④　国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

【法の規定により遵守すべき事項等】

・国保組合は、個人情報を取り扱うに当たって、その利用目的をできる限り特定しなければならない。

・国保組合は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。

・国保組合は、あらかじめ本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。なお、本人の同意を得るために個人情報を利用すること(同意を得るために被保険者の連絡先を利用して電話をかける場合など)、個人情報を匿名化するために個人情報に加工を行うことは差し支えない。

・個人情報を取得する時点で、本人の同意があったにもかかわらず、その後、本人から利用目的の一部についての同意を取り消す旨の申出があった場合は、その後の個人情報の取扱いについては、本人の同意が取り消されなかった範囲に限定して取り扱う。

・国保組合は、合併その他の事由により他の事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。

・利用目的の制限の例外(法第16条第3項)に該当する場合は、本人の同意を得ずに個人情報を取り扱うことができる。

(利用目的を変更する場合の取扱いについてはⅢ2．を参照)

【その他の事項】

・利用目的の制限の例外に該当する「法令に基づく場合」等であっても、利用目的以外の目的で個人情報を取り扱う場合は、当該法令等の趣旨をふまえ、その取り扱う範囲を真に必要な範囲に限定することが求められる。

・被保険者が未成年者等の場合、法定代理人の同意を得ることで足りるが、一定の判断能力を有する未成年者等については、法定代理人等の同意にあわせて本人の同意を得る。

2．利用目的の通知等(法第18条)

【法の規定により遵守すべき事項等】

・国保組合は、個人情報を取得するに当たって、あらかじめその利用目的を公表しておくか、個人情報を取得した場合、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

・利用目的の公表方法としては、国保組合のホームページへの掲載、パンフレットの配布、掲示板への掲示・備付け、公告等により、なるべく広く公表する必要がある。

・国保組合は、健診の申込みを受け付ける際に問診票の記入を求める場合など、本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を掲示板等により明示しなければならない。

・国保組合は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。

・取得の状況からみて利用目的が明らかであると認められる場合など利用目的の通知等の例外に該当する場合は、上記内容は適用しない。(「利用目的が明らか」な場合についてはⅢ1．(1)を参照)

【その他の事項】

・利用目的が、本規定の例外である「取得の状況からみて利用目的が明らかであると認められる場合」に該当する場合であっても、被保険者に利用目的をわかりやすく示す観点から、利用目的の公表に当たっては、当該利用目的についても併せて記載する。

・被保険者の希望がある場合、詳細の説明や当該内容を記載した書面の交付等を行う。

3．個人情報の適正な取得、個人データ内容の正確性の確保(法第17条、第19条)

【法の規定により遵守すべき事項等】

・国保組合は、偽りその他の不正の手段により個人情報を取得してはならない。

・保健指導等のために必要な過去の病歴等については、真に必要な範囲について、本人から直接取得するほか、第三者提供について本人の同意を得た者(Ⅲ5．(3)の場合において本人の黙示の同意が得られていると考えられる者を含む)から取得することを原則とする。ただし、本人の同意を得ず、本人以外の家族等から取得することが保健指導等のためにやむを得ない場合はこの限りでない。

・親の同意なく、十分な判断能力を有していない子どもから家族の個人情報を取得してはならない。

・国保組合は、適正な保険給付等を提供するという利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない。

【その他の事項】

・第三者提供により他の国保組合から個人情報を取得したとき、当該個人情報の内容に疑義が生じた場合には、記載内容の事実に関して本人に確認をとる。

・国保組合は、個人データの内容の正確性、最新性を確保するため、Ⅲ4．(2)②に示す委員会等において、具体的なルールを策定したり、データ管理等の技術水準の向上のための研修の開催などを行うことが望ましい。

・第三者提供(法第23条第1項各号に掲げる場合並びに個人情報の取扱いの委託、事業の承継及び共同利用に伴い、個人情報(令第2条第2号に規定するものから取得した個人情報を除く)を提供する場合を除く。)により、個人情報を取得する場合には、提供元の法の遵守状況(例えば、オプトアウト(法第23条第2項・第3項参照)、利用目的、開示手続、問合せ・苦情の受付窓口を公表していることなど)を確認し、個人情報を適切に管理している者を提供元として選定するとともに、実際に個人情報を取得する際には、例えば、取得の経緯を示す契約書等の書面の点検又はこれに代わる合理的な方法により、当該個人情報の取得方法等を確認した上で、当該個人情報が適法に取得されたことが確認できない場合は、偽りその他不正の手段により取得されたものである可能性もあることから、その取得を自粛することを含め、慎重に対応することが望ましい。

4．安全管理措置、従業者の監督及び委託先の監督(法第20条～第22条)

(1)　国保組合が講ずるべき安全管理措置

①　安全管理措置

国保組合は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のため、組織的、人的、物理的、及び技術的安全管理措置を講じなければならない。その際、本人の個人データが漏えい、滅失又はき損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個人データの取扱い状況等に起因するリスクに応じ、必要かつ適切な措置を講ずるものとする。なお、その際には、個人データを記録した媒体の性質に応じた安全管理措置を講ずる。

②　従業者の監督

国保組合は、①の安全管理措置を遵守させるよう、従業者に対し必要かつ適切な監督をしなければならない。なお、「従業者」とは、当該事業者の指揮命令を受けて業務に従事する者すべてを含むものであり、また、雇用関係のある者のみならず、理事、派遣労働者等も含むものである。

「保険者における個人情報保護の徹底について」(平成15年3月14日国民健康保険課長通知)では、国保組合に対して、服務規程等において、国保組合の役職員について職員の守秘義務を課すこととしている。

(2)　安全管理措置として考えられる事項

国保組合は、その取り扱う個人データの重要性にかんがみ、個人データの漏えい、滅失又はき損の防止その他の安全管理のため、その規模、従業者の様態等を勘案して、以下に示すような取組を参考に、必要な措置を行うものとする。

また、同一国保組合が複数の事務所(支部)を有する場合、当該事務所(支部)間の情報交換については第三者提供に該当しないが、各事務所(支部)ごとに安全管理措置を講ずるなど、個人情報の利用目的を踏まえた個人情報の安全管理を行う。

①　個人情報保護に関する規程の整備、公表

・国保組合は、保有個人データの開示手順を定めた規程その他個人情報保護に関する規程を整備し、苦情への対応体制も含めて、国保組合のホームページへの掲載、パンフレットの配布、掲示板への掲示・備付け、公告等を行うなど、被保険者に対して周知徹底を図る。

・また、個人データを取り扱う情報システムの安全管理措置に関する規程等についても同様に整備を行うこと。

②　個人情報保護推進のための組織体制等の整備

・従業者の責任体制の明確化を図り、具体的な取組を進めるため、国保組合における個人情報保護に関し十分な知識を有する者を個人データの安全管理の実施及び運用に関する責任及び権限を有する個人情報保護管理者(例えば、役員などの組織横断的に監督することのできる者)に定めたり、個人情報保護の推進を図るための部署、委員会等を設置する。

・国保組合で行っている個人データの安全管理措置について定期的に自己評価を行い、見直しや改善を行うべき事項について適切な改善を行う。

・個人情報保護対策及び最新の技術動向を踏まえた情報セキュリティ対策に十分な知見を有する者による国保組合内の対応の確認を行う。(必要に応じ、外部の知見を有する者を活用し確認させることを含む。)

③　個人データの漏えい等の問題が発生した場合等における報告連絡体制の整備

・1)個人データの漏えい等の事故が発生した場合、又は発生の可能性が高いと判断した場合、2)個人データの取扱いに関する規程等に違反している事実が生じた場合、又は兆候が高いと判断した場合における責任者等への報告連絡体制の整備を行う。

・個人データの漏えい等の情報は、苦情等の一環として、外部から報告される場合も想定されることから、苦情への対応体制との連携も図る。(Ⅲ10．参照)

④　雇用契約時における個人情報保護に関する規程の整備

・雇用契約や就業規則において、就業期間中はもとより離職後も含めた守秘義務を課すなど従業者の個人情報保護に関する規程を整備し、徹底を図る。

⑤　従業者に対する教育研修の実施

・取り扱う個人データの適切な保護が確保されるよう、従業者に対する教育研修の実施等により、個人データを実際の業務で取り扱うこととなる従業者の啓発を図り、従業者の個人情報保護意識を徹底する。

⑥　物理的安全管理措置

・個人データの盗難・紛失等を防止するため、以下のような物理的安全管理措置を行う。

―　入退館(室)管理の実施(カメラによる撮影や作業への立会い等による記録又は監視の実施)

―　盗難等に対する予防対策の実施

―　機器、装置等の固定など物理的な保護

―　記録機能を持つ媒体の持込み・持出し禁止又は検査の実施

―　記録機能を持つ媒体の接続の禁止又は制限

―　離席時におけるパソコン等のパスワードロックの実施

⑦　技術的安全管理措置

・個人データの盗難・紛失等を防止するため、個人データを取り扱う情報システムについて以下のような技術的安全管理措置を行う。

―　個人データに対するアクセス管理(IDやパスワード等による認証、各職員の業務内容に応じて業務上必要な範囲にのみアクセスできるようなシステム構成の採用等)

―　個人データに対するアクセス記録の保存

―　個人データに対するファイアウォールの設置

―　個人データに対する暗号化・パスワードの設定

―　個人データへのアクセスや操作の記録及び不正が疑われる異常な記録の存否の定期的な確認

―　基幹システムに接続されたネットワークとインターネットに接続されたネットワークの物理的又は論理的分離

―　ソフトウェアに関する脆弱性対策(セキュリティパッチの適用、当該情報システム固有の脆弱性の発見及びその修正等)

―　ソフトウェア及びハードウェア等の適切な時期における更新

⑧　個人データの保存

・個人データを長期にわたって保存する場合には、保存媒体の劣化防止など個人データが消失しないよう適切に保存する。

・個人データの保存に当たっては、本人からの照会等に対応する場合など必要なときに迅速に対応できるよう、インデックスの整備など検索可能な状態で保存しておく。

⑨　不要となった個人データの廃棄、消去

・不要となった個人データを廃棄する場合には、焼却や溶解など、個人データを復元不可能な形にして廃棄する。

・個人データを取り扱った情報機器を廃棄する場合は、記憶装置内の個人データを復元不可能な形に消去して廃棄する。

・これらの廃棄業務を委託する場合には、復元不可能な形にして廃棄するなど、適切な安全管理の下で個人データを取扱うべきことについても委託契約において明確に定める。

(3)　業務を委託する場合の取扱い

①　委託先の監督

国保組合は、レセプトの入力・点検業務、被保険者証の印刷作成、人間ドック等の健診、保健指導等個人データの取扱いの全部又は一部を委託する場合、法第20条に基づく安全管理措置を遵守させるよう受託者に対し、必要かつ適切な監督をしなければならない。

「必要かつ適切な監督」には、委託契約において委託者である事業者が定める安全管理措置の内容を契約に盛り込み受託者の義務とするほか、業務が適切に行われていることを定期的に確認することなども含まれる。

また、業務が再委託された場合で、再委託先が不適切な取扱いを行ったことにより、問題が生じた場合は、国保組合や再委託した事業者が責めを負うこともあり得るので、再委託の場合も含めて実効的な監督体制を整えることが重要である。

②　業務を委託する場合の留意事項

国保組合は、個人データの取扱いの全部又は一部を委託する場合、以下の事項に留意すべきである。

・個人情報を適切に取り扱っている事業者を委託先(受託者)として選定すること。委託先の選定に当たっては、委託先の安全管理措置が、少なくとも法第20条で求められるものと同等であることを確認するため、委託先の体制、規程等の確認に加え、必要に応じて個人データを取り扱う場所に赴く又はこれに代わる合理的な方法による確認を行った上で、個人情報保護管理者等が、適切に評価することが望ましいこと。

・契約において、委託している業務の内容、委託先事業者、個人情報の適切な取扱いに関する内容を盛り込み(委託期間中のほか、委託終了後の個人データの取扱いも含む。)、契約内容を公表すること。

・受託者が個人情報を適切に取り扱っていることを定期的に確認すること。

・受託者における個人情報の取扱いに疑義が生じた場合(被保険者からの申出があり、確認の必要があると考えられる場合を含む。)には、受託者に対し、説明を求め、必要に応じ改善を求める等適切な措置をとること。

・なお、個人情報保護の観点から、可能な限り、個人情報をマスキングすることにより、当該個人情報を匿名化した上で、委託するよう努めること。

・また、委託するに当たっては、本来必要とされる情報の範囲に限って提供すべきであり、情報提供する上で必要とされていない事項についてまで他の事業者に提供することがないよう努めること。

＊国保組合における業者委託に関する通知

上記の留意事項のほか、業者委託に関する通知を遵守する。

・「個人情報保護の徹底について」(平成14年12月25日保発第1225004号)

・「保険者における個人情報保護の徹底について」(平成15年3月14日保国発第0314001号)の別添2「4．個人情報の処理に関する外部委託に関する措置」

③　業務を再委託する場合の留意事項

国保組合は、個人情報に関する処理の全部又は一部を再委託する場合、以下の事項に留意すべきである。

・個人情報を含む業務を再委託すること自体は禁じられてはないが、国保組合との直接の契約関係を伴わない個人情報に関する処理の再委託は行わないこと。(「保険者における個人情報保護の徹底について」(平成15年3月14日保国発第0314001号)の別添2「4．個人情報の処理に関する外部委託に関する措置」)

・なお、個人情報を含む業務の再委託や個人情報に関する処理の再委託をする場合には、個人情報保護の観点から、可能な限り、個人情報をマスキングすることにより、当該個人情報を匿名化した上で、委託先から再委託先へ個人情報が提供されないよう努めること。

この場合において、国保組合は第一次委託先と委託契約を締結するに当たっては、第一次委託先が、上記通知の基準に掲げる事項を遵守するよう委託契約上明記することはもちろんのこと、これに加え、再委託の可否及び再委託を行うに当たっての委託元への文書による事前報告又は承認を行うことや、当該委託契約において、再委託するに当たっては、第一次委託先は当該再委託契約上、再委託先に対して、同通知の基準に掲げる事項を遵守することを明記するよう、第一次委託契約上明記すること。

なお、第一次委託先が再委託を行おうとする場合は、国保組合は委託を行う場合と同様、再委託の相手方、再委託する業務内容及び再委託先の個人データの取扱方法等について、第一次委託先に事前報告又は承認手続を求める、直接又は第一次委託先を通じて定期的に監査を実施する等により、第一次委託先が再委託先に対して本条の第一次委託先の監督を適切に果たすこと、再委託先が法第20条に基づく安全管理措置を講ずることを十分に確認することが望ましい。

(4)　レセプトの紙以外の媒体による保存等又はそれらの外部委託を行う場合の取扱い

国保組合において、レセプトの紙以外の媒体による保存又はレセプトの電算処理及びそれらの外部委託を行う場合には、国保組合において、その運営及び委託等の取扱いについて安全性が確保されるよう規程を定め、実施するものとする。

(5)　個人情報の漏えい等の問題が発生した場合における二次被害の防止等

個人情報の漏えい等の問題が発生した場合には、二次被害の防止、類似事案の発生回避等の観点から、個人情報の保護に配慮しつつ、可能な限り事実関係を公表するとともに、所管の都道府県に速やかに報告する。

【法の規定により遵守すべき事項等】

・国保組合は、その取り扱う個人データの漏えい、滅失又はき損の防止その他個人データの安全管理のために必要かつ適切な措置を講じなければならない。

・国保組合は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

・国保組合は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

【その他の事項】

・国保組合は、安全管理措置に関する取組を一層推進するため、安全管理措置が適切であるかどうかを一定期間ごとに検証することで、改善を図ることが望ましい。

5．個人データの第三者提供(法第23条)

(1)　第三者提供の取扱い

国保組合は、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならないとされており、次のような場合には、本人の同意を得る必要がある。

(例)

・民間保険会社からの照会

被保険者が民間の生命保険に加入しようとする場合、生命保険会社からその健康状態等について照会が合った場合、本人の同意を得ずに健康状態等を回答してはならない。

交通事故によって、けがの治療を受けている被保険者に関して、損害保険会社から損害保険金の支払いの審査のために必要であるとして症状に関する照会があった場合、本人の同意を得ず傷病名等を回答してはならない。

・事業所からの照会

事業主等から、組合員の傷病名等に関する問い合わせがあった場合など、本人の同意を得ずに傷病名等を回答してはならない。

・学校からの照会

学校の教職員等から、児童・生徒の健康状態に関する問い合わせがあった場合など、本人の同意を得ずに健康状態等を回答してはならない。

・マーケティング等を目的とする会社等からの照会

健康食品の販売を目的とする会社から、高圧の被保険者等の存在の有無について照会された場合など、本人の同意を得ずにその存在の有無やその氏名・住所等を回答してはならない。

※　本条の「本人」、「第三者」の定義

・「本人」・・・個人データで識別される個人。

・「第三者」・・・本人及び個人情報取扱事業者以外の者をいい、自然人か法人その他の団体かを問わない。

(2)　第三者提供の例外

ただし、次に掲げる場合については、本人の同意を得る必要はない。

①　法令に基づく場合

国民健康保険法第106条に基づく報告の徴収等、法令に基づいて個人情報を利用する場合(Ⅲ1．(2)①参照)

②　人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき

(例)

・意識不明となった被保険者について、家族の連絡先等に関する情報を医療機関等に提供する場合

※なお、「本人の同意を得ることが困難であるとき」には、本人に同意を求めても同意しない場合、本人に同意を求める手続きを経るまでもなく本人の同意を得ることができない場合等が含まれるものである。

③　公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき

(例)

・疫学上の調査・研究のために、健康診査やガン検診等から得られた情報を個人名を伏せて研究者に提供する場合

・医療安全の向上のため、国保組合にレセプトを提出する医療機関で発生した医療事故等に関する国、地方公共団体又は第三者機関等への情報提供のうち、氏名等の情報が特に必要な場合

④　国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

(3)　本人の同意が得られていると考えられる場合

第三者への情報の提供のうち、以下の場合は、黙示による包括的な同意が得られていると考えられる。

・被保険者への保険給付等のために通常必要な範囲の利用目的のうち、被保険者にとって利益となるもの、又は医療費通知など国保組合の負担が膨大である上明示的な同意を毎回得ることが必ずしも被保険者本人にとって合理的であるとは言えないものの利用の範囲について、ホームページへの掲載、パンフレットの配布、掲示板への掲示・備付けや公告等により明らかにしておき、被保険者から特段明確な反対・留保の意思表示がない場合

なお、ホームページ・掲示板等においては、

(ア)　被保険者は、国保組合が示す利用目的の中で同意しがたいものがある場合には、その事項について、あらかじめ本人の明確な同意を得るよう国保組合に求めることができること。

(イ)　被保険者が、(ア)の意思表示を行わない場合は、公表された利用目的について被保険者の同意が得られたものとすること。

(ウ)　同意及び留保は、その後、被保険者からの申出により、いつでも変更することが可能であること。

をあわせて掲示するものとする。

※黙示による包括的な同意でよいと考えられる例

・高額療養費を本人の申請に基づかずに事業主経由で支給すること

・付加給付を本人の申請に基づかずに事業主経由で行うこと

・医療費通知を世帯ごとにまとめて行うこと

(4)　「第三者」に該当しない場合

①　他の事業者等への情報提供であるが、「第三者」に該当しない場合

法第23条第4項の各号に掲げる場合の当該個人データの提供を受ける者については、第三者に該当せず、本人の同意を得ずに情報の提供を行うことができる。国保組合における具体的事例は以下のとおりである。

・レセプト点検、医療費分析、保健指導等の業務を委託する場合

・個人データを特定の者との間で共同して利用するとして、あらかじめ本人に通知等している場合

※個人データの共同での利用における留意事項

国保組合と労働安全衛生法に規定する事業者が共同で健康診断を実施している場合又は共同で健診結果を用いて事後指導を実施している場合など、あらかじめ個人データを特定の者との間で共同して利用することが予定されている場合、(ア)共同して利用される個人データの項目、(イ)共同利用者の範囲(個別列挙されているか、本人から見てその範囲が明確となるように特定されている必要がある)、(ウ)利用する者の利用目的、(エ)当該個人データの管理について責任を有する者の氏名又は名称、をあらかじめ本人に通知し、又は本人が容易に知り得る状態においておくとともに、共同して利用することを明らかにしている場合には、当該共同利用者は第三者に該当しない。

この場合、(ア)、(イ)については変更することができず、(ウ)、(エ)については、本人が想定することが困難でない範囲内で変更することができ、変更前、本人に通知又は本人の容易に知り得る状態におかなければならない。

なお、共同実施でない場合は、国保組合と労働安全衛生法に規定する事業者は、異なる主体となるため、それらが健診結果を共有するに当たっては、被保険者の同意を要することとなる。

②　同一事業者内における情報提供であり、第三者に該当しない場合

同一事業者内で情報提供する場合は、当該個人データを第三者に提供したことにはならないので、本人の同意を得ずに情報の提供を行うことができる。国保組合における具体的事例は以下のとおりである。

・国保組合内の他の部署との連携など当該国保組合内部における情報の交換

・国保組合内の複数の事務所(支部)との間における情報の交換及び事務所(支部)間における情報の交換

・国保組合の職員を対象とした研修での利用(特定し、公表した利用目的との関係で、目的外利用として所要の措置を行う必要があり得る)

・国保組合内で事業分析を行うための情報の交換

このうち、国保組合内部の研修でレセプトや健診記録等を利用する場合には、具体的な利用方法を含め、あらためて本人の同意を得るか、個人が特定されないよう匿名化する。

(5)　その他留意事項

・他の事業者への情報提供に関する留意事項

第三者提供を行う場合のほか、他の事業者への情報提供であっても、①法令に基づく場合など第三者提供の例外に該当する場合、②「第三者」に該当しない場合、③個人が特定されないように匿名化して情報提供する場合などにおいては、本来必要とされる情報の範囲に限って提供すべきであり、情報提供する上で必要とされていない事項についてまで他の事業者に提供することがないようにすべきである。

また、被保険者と医師等双方の二面性を持っている個人情報を第三者提供するに当たっては、双方の同意が必要となるが、一方の同意のみで第三者提供する場合は、他方の個人情報に係る部分をマスキングした上で行うこと。

【法の規定により遵守すべき事項等】

・国保組合においては、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。なお、国保組合については、(2)の本人の同意を得る必要がない場合に該当する場合には、本人の同意を得る必要はない。

・個人データの第三者提供について本人の同意があった場合で、その後、本人から第三者提供の範囲の一部についての同意を取り消す旨の申出があった場合は、その後の個人データの取扱いについては、本人の同意のあった範囲に限定して取り扱うものとする。

【その他の事項】

・第三者提供に該当しない情報提供が行われる場合であっても、国保組合のホームページへの掲載、パンフレットの配布、掲示板への掲示・備付け、公告等により情報提供先をできるだけ明らかにするとともに、このことについて被保険者からの問い合わせがあった場合に回答できる体制を確保する。

・例えば、業務委託の場合、当該国保組合において委託している業務の内容、委託先事業者、委託先事業者との間での個人情報の取扱いに関する取り決め等の委託内容について公表する。

6．保有個人データに関する事項の公表等(法第24条)

【法の規定により遵守すべき事項等】

・国保組合は、保有個人データに関し、(ア)当該個人情報取扱事業者の氏名又は名称、(イ)すべての保有個人データの利用目的(法第18条第4項第1号から第3号までに規定された例外の場合を除く)、(ウ)保有個人データの利用目的の通知、開示、訂正、利用停止等の手続の方法、及び保有個人データの利用目的の通知又は開示に係る手数料の額、(エ)苦情の申出先等について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置かなければならない。

・国保組合は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、上記の措置により利用目的が明らかになっている場合及び法第18条第4項第1号から第3号までの例外に相当する場合を除き、遅滞なく通知しなければならない。

・国保組合は、利用目的の通知をしない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

・法施行前から保有している個人情報についても同様の取扱いを行う。

【その他の事項】

・国保組合は、保有個人データについて、その利用目的、開示、訂正、利用停止等の手続の方法及び利用目的の通知又は開示に係る手数料の額、苦情の申出先等について、少なくとも国保組合のホームページへの掲載、パンフレットの配布、掲示板への掲示・備付け、公告等により情報提供先をできるだけ明らかにするとともに、被保険者からの要望により書面を交付したり、問い合わせがあった場合に具体的内容について回答できる体制を確保する。

7．本人からの求めによる保有個人データの開示(法第25条)

(1)　開示の原則

国保組合は、本人から、当該本人が識別される保有個人データの開示を求められたときは、本人に対し、書面の交付による方法等により、遅滞なく、当該保有個人データを開示しなければならない。

(2)　開示の例外

開示することで、法第25条第1項の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。

なお、レセプト情報については、開示することで、法第25条第1項第1号の「本人又は第三者の権利利益を害するおそれがある」かどうかの判断が国保組合においては容易でないため、別に定める通知(「診療報酬明細書等の被保険者への開示について」(平成17年3月31日保険局長通知)の内容の通知)に基づき、開示に当たって、担当医の判断を要するものとする。

【法の規定により遵守すべき事項等】

・国保組合は、本人から、当該本人が識別される保有個人データの開示を求められたときは、本人に対し、遅滞なく、当該保有個人データを開示しなければならない。また、当該本人が識別される保有個人データが存在しないときにもその旨知らせることとする。ただし、開示することにより、法第25条第1項の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。

・Ⅱ1．に記したとおり、例えばレセプトの情報の中には、被保険者の保有個人データであって、当該レセプトに係る診察をした医師の保有個人データでもあるという二面性を持つ部分が含まれるものの、そもそもレセプト全体が被保険者等の保有個人データであることから、被保険者本人から開示の求めがあった場合に、その二面性があることを理由に全部又は一部を開示しないことはできない。ただし、法第25条第1項の各号のいずれかに該当する場合には、法に従い、その全部又は一部を開示しないことができる。

・開示の方法は、書面の交付又は求めを行った者が同意した方法による。

・国保組合は、求められた保有個人データの全部又は一部について開示しない旨を決定したときは、本人に対し、遅滞なく、その旨を通知しなければならない。また、本人に通知する場合には、本人に対してその理由を説明するよう努めなければならない(Ⅲ10．参照)。

・他の法令の規定により、保有個人データの開示について定めがある場合には、当該法令の規定によるものとする。

【その他の事項】

・法定代理人等、開示の求めを行い得る者から開示の求めがあった場合、原則として被保険者本人に対し保有個人データの開示を行う旨の説明を行った後、法定代理人等に対して開示を行うものとする。

・国保組合は、保有個人データの全部又は一部について開示しない旨決定した場合、本人に対するその理由の説明に当たっては、文書により示すことを基本とする。また、苦情への対応体制についても併せて説明することが望ましい。

8．訂正及び利用停止(法第26条、第27条)

【法の規定により遵守すべき事項等】

・国保組合は、法第26条、第27条第1項又は第2項の規定に基づき、本人から、保有個人データの訂正等、利用停止等、第三者への提供の停止を求められた場合で、それらの求めが適正であると認められるときは、これらの措置を行わなければならない。

・ただし、利用停止等及び第三者への提供の停止については、利用停止等に多額の費用を要する場合など当該措置を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

・なお、以下の場合については、これらの措置を行う必要はない。

①　訂正等の求めがあった場合であっても、(ア)利用目的から見て訂正等が必要でない場合、(イ)誤りである指摘が正しくない場合又は(ウ)訂正等の対象が事実でなく評価に関する情報である場合

②　利用停止等、第三者への提供の停止の求めがあった場合であっても、手続違反等の指摘が正しくない場合

・国保組合は、上記の措置を行ったとき、又は行わない旨を決定したときは、本人に対し、遅滞なく、その旨(訂正の内容を含む)を通知しなければならない。また、本人に通知する場合には、本人に対してその理由を説明するよう努めなければならない(Ⅲ10．参照)。

【その他の事項】

・国保組合は、訂正等、利用停止等又は第三者への提供の停止が求められた保有個人データの全部又は一部について、これらの措置を行わない旨決定した場合、本人に対するその理由の説明に当たっては、文書により示すことを基本とする。その際は、苦情への対応体制についても併せて説明することが望ましい。

・保有個人データの訂正等にあたっては、訂正した者、内容、日時等が分かるように行われなければならない。

・保有個人データの字句などを不当に変える改ざんは、行ってはならない。

9．開示等の求めに応じる手続及び手数料(法第29条、第30条)

(1)　開示等を行う情報の特定

国保組合は、本人に対し、開示等の求めに関して、その対象となる保有個人データを特定するに足りる事項の提示を求めることができるが、この場合には、本人が容易かつ的確に開示等の求めをすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した措置をとらなければならない。

また、保有個人データの開示等については、本人の求めにより、保有個人データの全体又は一部が対象となるが、当該本人の保有個人データが多岐にわたる、データ量が膨大であるなど、全体の開示等が困難又は非効率な場合、国保組合は、本人が開示等の求めを行う情報の範囲を特定するのに参考となる情報を提供するなど、本人の利便を考慮した支援を行うものとする。

(2)　代理人による開示等の求め

保有個人データの開示等については、本人のほか、①未成年者又は成年被後見人の法定代理人、②開示等の求めをすることにつき本人が委任した代理人により行うことができる。

【法の規定により遵守すべき事項等】

・国保組合は、保有個人データの開示等の求めに関し、本人に過重な負担を課すものとならない範囲において、以下の事項について、その求めを受け付ける方法を定めることができる。

(ア)　開示等の求めの受付先

(イ)　開示等の求めに際して提出すべき書面の様式、その他の開示等の求めの受付方法

(ウ)　開示等の求めをする者が本人又はその代理人であることの確認の方法

(エ)　保有個人データの利用目的の通知、又は保有個人データの開示をする際に徴収する手数料の徴収方法

・国保組合は、本人に対し、開示等の求めに関して、その対象となる保有個人データを特定するに足りる事項の提示を求めることができるが、この場合には、本人が容易かつ的確に開示等の求めをすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した措置をとらなければならない。

・保有個人データの開示等の求めは、本人のほか、未成年者又は成年被後見人の法定代理人、当該求めをすることにつき本人が委任した代理人によってすることができる。

・国保組合等は、保有個人データの利用目的の通知、又は保有個人データの開示を求められたときは、当該措置の実施に関し、手数料を徴収することができ、その際には実費を勘案して合理的であると認められる範囲内において、手数料の額を定めなければならない。

【その他の事項】

・国保組合は、以下の点に留意しつつ、保有個人データの開示の手続を定めることが望ましい。

―開示等の求めの方法は書面によることが望ましいが、被保険者の自由な求めを阻害しないため、開示等を求める理由を要求することは不適切である。

―開示等を求める者が本人(又はその代理人)であることを確認する。

―レセプト情報について開示等の求めがあった場合、医療機関に確認した上で、速やかに保有個人データの開示等を決定し、これを開示の求めを行った者に通知する。

―保有個人データの開示に当たり、法第25条第1項各号に該当する可能性がある場合には、開示の可否について検討するために設置した安全委員会等において検討した上で、速やかに開示の可否を決定することが望ましい。

―保有個人データの開示を行う場合には、本人に過重な負担を課すものとならない範囲で、日時、場所、方法等を指定することができる。

・代理人等、開示の求めを行い得る者から開示の求めがあった場合、原則として被保険者に対し保有個人データの開示を行う旨の説明を行った後、開示の求めを行った者に対して開示を行うものとする。

・代理人等からの求めがあった場合で、①本人による具体的意思を把握できない包括的な委任に基づく請求、②開示等の請求が行われる相当以前に行われた委任に基づく請求が行われた場合には、本人への説明に際し、開示の求めを行った者及び開示する個人データの内容について十分説明し、本人の意思を確認するとともに代理人の求めの適正性、開示の範囲等について本人の意思を踏まえた対応を行うものとする。

10．理由の説明、苦情処理(法第28条、第31条)

【法の規定により遵守すべき事項等】

・国保組合は、本人から求められた保有個人データの利用目的の通知、開示、訂正等、利用停止等において、その措置をとらない旨又はその措置と異なる措置をとる旨本人に通知する場合は、本人に対して、その理由を説明するよう努めなければならない。また、苦情への対応体制についても併せて説明しなければならない。

・国保組合は、個人情報の取扱いに関する苦情の適切かつ迅速な対応に努めなければならない。また、国保組合は、苦情の適切かつ迅速な対応を行うにあたり、苦情への対応窓口の設置や苦情への対応の手順を定めるなど必要な体制の整備に努めなければならない。

【その他の事項】

・国保組合は、本人に対して理由を説明する際には、文書により示すことを基本とする。その際は、苦情への対応の体制についても併せて説明することが望ましい。

・国保組合は、被保険者からの苦情への対応に当たり、専用の窓口の設置など、被保険者が相談を行いやすい環境の整備に努める。

・国保組合は、被保険者からの苦情への対応体制等について国保組合のホームページへの掲載、パンフレットの配布、掲示板への掲示・備付け、公告等を行うことで被保険者に対して周知することが望ましい。

Ⅳ　ガイドラインの見直し等

1．必要に応じた見直し

個人情報の保護に関する考え方は、社会情勢や国民の意識の変化に対応して変化していくものと考えられる。

このため、本ガイドラインについても必要に応じ検討及び見直しを行うものとする。