(公印省略)

今般、個人情報の保護に関する法律施行規則及び行政手続における特定の個人を識別するための番号の利用等に関する法律第二十九条の四第一項及び第二項に基づく特定個人情報の漏えい等に関する報告等に関する規則の一部を改正する規則(令和7年個人情報保護委員会規則第2号)が令和7年10月1日から施行され、個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号)の一部が改正されることに伴い、ガイダンスについて、令和7年10月1日付けで別添1のとおり一部改正を行い、別添2のとおりとするため、貴職におかれましては、貴管内の国民健康保険団体連合会に対する周知等よろしくお取り計らい願います。

(公印省略)

今般、個人情報の保護に関する法律施行規則及び行政手続における特定の個人を識別するための番号の利用等に関する法律第二十九条の四第一項及び第二項に基づく特定個人情報の漏えい等に関する報告等に関する規則の一部を改正する規則(令和7年個人情報保護委員会規則第2号)が令和7年10月1日から施行され、個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号)の一部が改正されることに伴い、ガイダンスについて、令和7年10月1日付けで別添1のとおり一部改正を行い、別添2のとおりとするため、別添3のとおり各都道府県知事宛てに通知しましたので、御了知いただきますようよろしくお取り計らい願います。

(公印省略)

国民健康保険団体連合会等における個人情報の適切な取扱いのためのガイダンス

平成29年4月14日

(令和7年10月一部改正)

個人情報保護委員会

厚生労働省

目次

Ⅰ　本ガイダンスの趣旨、目的、基本的考え方

1．本ガイダンスの趣旨

2．本ガイダンスの構成及び基本的考え方

3．本ガイダンスの対象となる事業者

4．本ガイダンスの対象となる「個人情報」の範囲

5．個人情報保護委員会の権限行使との関係等

6．国保連合会等が行う措置の透明性の確保と対外的明確化

7．責任体制の明確化と被保険者等窓口の設置等

8．遺族への個人情報の提供の取扱い

9．他の法令等との関係

10．認定個人情報保護団体における取組

Ⅱ　用語の定義

1．個人情報(法第2条第1項)

2．個人識別符号(法第2条第2項)

3．要配慮個人情報(法第2条第3項)

4．特定個人情報(番号法第2条第8項)

5．仮名加工情報(法第2条第5項)

6．匿名加工情報(法第2条第6項)

7．個人情報データベース等(法第16条第1項)、個人データ(法第16条第3項)、保有個人データ(法第16条第4項)

8．本人の同意

Ⅲ　国保連合会等の義務等

1．利用目的の特定等(法第17条、第18条)

2．不適正な利用の禁止(法第19条)

3．利用目的の通知等(法第21条)

4．個人情報の適正な取得、個人データ内容の正確性の確保(法第20条、第22条)

5．安全管理措置、従業者の監督及び委託先の監督(法第23条～第25条)

6．漏えい等の報告等(法第26条)

7．個人データの第三者提供(法第27条)

8．外国にある第三者への提供の制限(法第28条)

9．第三者提供に係る記録の作成等(法第29条)

10．第三者提供を受ける際の確認等(法第30条)

11．保有個人データに関する事項の公表等(法第32条)

12．本人からの請求による保有個人データの開示(法第33条)

13．訂正及び利用停止(法第34条、第35条)

14．開示等の請求等に応じる手続及び手数料(法第37条、第38条)

15．理由の説明、事前の請求、苦情の処理(法第36条、第39条、第40条)

Ⅳ　ガイダンスの見直し等

1．必要に応じた見直し

別表1　国保連合会等が保有する個人情報の種類(例)

別表2　国保連合会等の通常の業務で想定される主な利用目的(例)

Ⅰ　本ガイダンスの趣旨、目的、基本的考え方

1．本ガイダンスの趣旨

本ガイダンスは、「個人情報の保護に関する法律」(平成15年法律第57号。以下「法」という。)及び「行政手続における特定の個人を識別するための番号の利用等に関する法律」(平成25年法律第27号。以下「番号法」という。)を踏まえ、「個人情報の保護に関する法律についてのガイドライン(通則編)」(平成28年個人情報保護委員会告示第6号。以下「通則ガイドライン」という。)を基礎とし、法第6条及び第9条の規定に基づき、国民健康保険団体連合会及び国民健康保険中央会(以下「国保連合会等」という。)が行う個人情報の適正な取扱いの確保に関する活動を支援するための具体的な留意点・事例等を示すものである。

なお、本ガイダンスは国保連合会等における実例に照らした内容であるため、本ガイダンスに記載のない事項及び関係条文については通則ガイドライン、「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」(平成28年個人情報保護委員会告示第7号)、「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」(平成28年個人情報保護委員会告示第8号)、「個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)」(平成28年個人情報保護委員会告示第9号)及び「個人情報の保護に関する法律についてのガイドライン(認定個人情報保護団体編)」(令和3年個人情報保護委員会告示第7号)をそれぞれ参照されたい。

2．本ガイダンスの構成及び基本的考え方

個人情報の取扱いについては、法第3条において、「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものである」とされていることを踏まえ、個人情報を取り扱う全ての者は、その目的や様態を問わず、個人情報の性格と重要性を十分認識し、その適正な取扱いを図らなければならない。

医療分野は、個人情報の性質や利用方法等から、法第6条の規定に基づく特に適正な取扱いの厳格な実施を確保する必要がある分野の一つであることから、保険診療に係る診療報酬明細書及び調剤報酬明細書(以下「レセプト」という。)、介護給付費明細書、支援費支給関係情報等を取り扱う国保連合会等においては、積極的な取組が求められる。

このことを踏まえ、本ガイダンスでは、法の趣旨を踏まえ国保連合会等における個人情報の適正な取扱いが確保されるよう、遵守すべき事項及び遵守することが望ましい事項をできる限り具体的に示しており、国保連合会等においては、法令、「個人情報の保護に関する基本方針」(平成16年4月2日閣議決定。以下「基本方針」という。)及び本ガイダンスの趣旨を踏まえ、個人情報の適正な取扱いに取り組む必要がある。

具体的には、国保連合会等は、本ガイダンスの【法の規定により遵守すべき事項等】のうち、「しなければならない」等と記載された事項については、法の規定により厳格に遵守することが求められる。また、【その他の事項】の「努めなければならない」「望ましい」等と記載した事項については、法に基づく義務等ではないが、達成できるよう努めることが求められる。

3．本ガイダンスの対象となる事業者

本ガイダンスが対象としている事業者は、国民健康保険団体連合会及び国民健康保険中央会である。

なお、レセプトの入力・点検業務、資格確認書の作成、医療費通知書の作成など、国保連合会等から委託を受けた業務を遂行する事業者においては、本ガイダンスのⅢ5．に沿って適切な安全管理措置を講ずることが求められるとともに、当該委託を行う国保連合会等は、業務の委託に当たり、本ガイダンスの趣旨を理解し、本ガイダンスに沿った対応を行う事業者を委託先として選定し、委託契約の中で、個人情報の流出防止をはじめとする保護のための措置が委託先において確保されるよう、委託元と委託先のそれぞれの責任等を明確に定めることにより、再委託される場合も含めて実効的な監督体制を確保することが重要である。併せて委託先事業者における個人情報の取扱いについて定期的に確認を行い、適切な運用が行われていることを確認する等の措置を講ずる必要がある。

4．本ガイダンスの対象となる「個人情報」の範囲

法令上「個人情報」とは、生存する個人に関する情報であり、個人情報取扱事業者の義務等の対象となるのは、生存する個人に関する情報に限定されている。

なお、当該個人が死亡した後においても、国保連合会等が当該個人の情報を保存している場合には、漏えい、滅失又は毀損の防止のため、個人情報と同等の安全管理措置を講ずるものとする。

5．個人情報保護委員会の権限行使との関係等

本ガイダンス中、国保連合会等が【法の規定により遵守すべき事項等】に記載された内容のうち、国保連合会等の義務とされている内容を個人情報取扱事業者としての義務を負う国保連合会等が遵守しない場合、個人情報保護委員会は、法第146条から第148条までの規定に基づき、「報告徴収」、「立入検査」、「指導」、「助言」、「勧告」及び「命令」を行うことがある。

また、法第150条第1項の規定に基づき、法第146条第1項の規定による権限が個人情報保護委員会から事業所管大臣である厚生労働大臣に委任された場合には、厚生労働大臣が「報告徴収」及び「立入検査」を行うことができる。

さらに、法第170条及び「個人情報の保護に関する法律施行令」(平成15年政令第507号。以下「令」という。)第40条に基づき、法第146条第1項に規定する個人情報保護委員会の権限及び法第150条第1項の規定により事業所管大臣に委任された権限に属する事務は、個人情報取扱事業者が行う事業であって事業所管大臣が所管するものについての報告の徴収及び立入検査に係る権限に属する事務の全部又は一部が、他の法令の規定により地方公共団体の長その他の執行機関が行うこととされているときは、当該地方公共団体の長等が法に基づく報告徴収及び立入検査を行うことがある。

6．国保連合会等が行う措置の透明性の確保と対外的明確化

法第3条では、個人の人格尊重の理念の下に個人情報を慎重に扱うべきことが指摘されている。

国保連合会等は、個人情報保護に関する考え方や方針に関する宣言(いわゆる、プライバシーポリシー、プライバシーステートメント等)及び個人情報の取扱いに関する明確かつ適正な規則を策定し、それらを対外的に公表することが求められる。また、被保険者等から当該本人の個人情報がどのように取り扱われているか等について知りたいという求めがあった場合は、当該規則に基づき、迅速に情報提供を行う等必要な措置を行うものとする。

個人情報保護に関する考え方や方針に関する宣言の内容としては、国保連合会等が個人の人格尊重の理念の下に個人情報を取り扱うこと並びに、関係法令及び本ガイダンス等を遵守すること等、個人情報の取扱いに関する規則においては、個人情報に係る安全管理措置の概要、本人等からの開示等の手続、第三者提供の取扱い、苦情への対応等について具体的に定めることが考えられる。

なお、利用目的等を広く公表することについては、以下のような趣旨があることに留意すべきである。

①国保連合会等で個人情報が利用される意義について被保険者等の理解を得ること。

②国保連合会等において、法を遵守し、個人情報保護のため積極的に取り組んでいる姿勢を対外的に明らかにすること。

7．責任体制の明確化と被保険者等窓口の設置等

国保連合会等は、個人情報の適正な取扱いを推進し、漏えい等の問題に対処する体制を整備する必要がある。このため、個人情報の取扱いに関し、専門性と指導性を有し、事業者の全体を統括する組織体制・責任体制を構築し、規則の策定や安全管理措置の計画立案等を効果的に実施できる体制を構築するものとする。

また、被保険者等に対しては、利用開始時に個人情報の利用目的を説明するなど、必要に応じて分かりやすい説明を行う必要があるが、加えて、被保険者等が疑問に感じた内容を、いつでも、気軽に問合せできる窓口機能等を確保することが重要である。さらに、個人情報の取扱いに関し被保険者等からの相談や苦情への対応等を行う窓口機能等を整備するとともに、その窓口がサービスの提供に関する相談機能とも有機的に連携した対応が行える体制とするなど、被保険者等の立場に立った対応を行う必要がある。

なお、個人情報の利用目的の説明や窓口機能等の整備、開示の請求を受け付ける方法を定める場合等に当たっては、障害のある被保険者等にも配慮する必要がある。

8．遺族への個人情報の提供の取扱い

法は、OECD8原則の趣旨を踏まえ、生存する個人の情報を適用対象とし、個人情報の目的外利用や第三者提供に当たっては本人の同意を得ることを原則としており、死者の情報は原則として個人情報とならないことから、法及び本ガイダンスの対象とはならない。

9．他の法令等との関係

国保連合会等は、個人情報の取扱いにあたり、法、基本方針及び本ガイダンスに示す項目のほか、個人情報保護又は守秘義務に関する他の法令等の規定を遵守しなければならない。

10．認定個人情報保護団体における取組

法第47条においては、個人情報取扱事業者等の個人情報等の適正な取扱いの確保を目的とする業務を行う法人等は個人情報保護委員会の認定を受けて認定個人情報保護団体となることができることとされている。認定個人情報保護団体となる関係団体は、傘下の国保連合会等を対象に、個人情報保護に係る普及・啓発を推進するほか、法の趣旨に沿った指針等を自主的なルールとして定めたり、個人情報の取扱いに関する被保険者等のための相談窓口を開設したりするなど、積極的な取組を行うことが期待されている。

詳細については、「個人情報の保護に関する法律についてのガイドライン(認定個人情報保護団体編)」(令和3年個人情報保護委員会告示第7号)を参照されたい。

Ⅱ　用語の定義

1．個人情報(法第2条第1項)

「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日、その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができるものを含む。)、又は個人識別符号が含まれるものをいう。「個人に関する情報」は、氏名、住所、性別、生年月日、顔画像等個人を識別する情報に限られず、ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているか否かを問わない。

また、例えばレセプトには、被保険者等について客観的に検査をしたデータもあれば、それに対して医師が判断した傷病名、診療行為が記載されている。これら全体が被保険者個人に関する情報に当たるものであるが、それと同時に、当該レセプトに係る診察をした医師の側からみると、自分が判断した傷病名、診療行為を書いているものでもあるので、レセプトに氏名が明記されている場合や医療機関名から容易に特定の医師を識別できる場合については、医師個人に関する情報とも言うことができる。したがって、レセプトに記載されている情報の中には、被保険者と医師等双方の個人情報という二面性を持っている部分もあることに留意が必要である。

なお、死者に関する情報が、同時に、遺族等の生存する個人に関する情報でもある場合には、当該生存する個人に関する情報となる。

本ガイダンスは、国保連合会等が保有するレセプト、介護給付費明細書、支援費支給関係情報などの個人情報を対象とするものであり、個人情報データベース等(7．参照)に整理されていない場合でも個人情報に該当する。

※　記載された氏名、生年月日、その他の記述等により特定の個人を識別することができるものは、個人情報に該当する。

2．個人識別符号(法第2条第2項)

「個人識別符号」とは、当該情報単体から特定の個人を識別できるものとして令に定められた文字、番号、記号その他の符号をいい、これに該当するものが含まれる情報は個人情報となる。

具体的な内容は、令第1条及び個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号。以下「規則」という。)第2条から第4条までに定められており、国民健康保険法(昭和33年法律第192号)に係るものについては、保険者番号及び被保険者記号・番号が該当する。

したがって、当該保険者番号及び被保険者記号・番号のいずれもが含まれる情報は、個人情報となる。

3．要配慮個人情報(法第2条第3項)

「要配慮個人情報」とは、不当な差別や偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして法第2条第3項、令第2条及び規則第5条で定める記述等が含まれる個人情報をいう。なお、国保連合会等において想定される要配慮個人情報に該当する情報とは、レセプト等に掲載された病歴、犯罪により害を被った事実、申請書等により確認した障害(身体障害、知的障害、精神障害等)の事実、健康診断の結果及び健康診断後の措置(医師による改善指導又は診療、調剤)が行われた事実等が挙げられる。

要配慮個人情報の取得や個人データの第三者提供には、原則として本人同意が必要である。

本人同意を得る方法として、特定された利用目的の範囲をホームページへの掲載等により明らかにしておき、被保険者から特段明確な反対・留保の意思表示がない場合には、これらの範囲内での個人情報の利用について同意が得られているものとする「黙示の同意」という考え方を用いることがある。(詳細はⅢ7．(3)を参照)

一方、要配慮個人情報が含まれる個人データについては、法第27条第2項の規定により、一定の条件を満たすことで本人同意を得ることなく第三者提供する方法(オプトアウトによる第三者提供)は認められない。また、要配慮個人情報が含まれる個人データの漏えい等が発生し、又は発生したおそれがある事態が生じた場合には、個人情報保護委員会に報告しなければならない(詳細はⅢ6．を参照)。

なお、国保連合会等においては、第三者への提供を目的として個人情報を取得することは通常想定されない。

【要配慮個人情報のポイント】

要配慮個人情報を取得する場合、本人同意が必要である。(Ⅲ．4参照)

4．特定個人情報(番号法第2条第8項)

「特定個人情報」とは番号法に定める個人番号をその内容に含む個人情報をいう。特定個人情報については、番号法の対象となるだけでなく、個人情報として法の対象となることに留意が必要である。

「特定個人情報」に関する具体的な取扱等については、「特定個人情報の適正な取扱いに関するガイドライン(事業者編)平成26年特定個人情報保護委員会告示第5号」及び「医療保険者向けデジタルPMO」サイトを参照のこと。

5．仮名加工情報(法第2条第5項)

「仮名加工情報」とは、個人情報に含まれる記述等の一部や、個人識別符号の全部を削除する等の措置を講じて、他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。

個人情報から仮名加工情報を作成する場合には、法第41条第1項に規定する規則で定める基準に従って加工する等一定の制限を受けることとなる。詳細は、別途定める「個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)」(平成28年個人情報保護委員会告示第9号)を参照のこと。

6．匿名加工情報(法第2条第6項)

「匿名加工情報」とは、個人情報を個人情報の区分に応じて定められた措置を講じて特定の個人を識別することができないように加工して得られる個人に関する情報であって、当該個人情報を復元して特定の個人を再識別することができないようにしたものをいう。

【匿名加工情報のポイント】

個人情報から匿名加工情報を作成する場合には、法第43条第1項に規定する規則で定める基準に従って加工する等一定の制限を受けることとなる。詳細は、別途定める「個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)」(平成28年個人情報保護委員会告示第9号)を参照のこと。

匿名加工情報取扱事業者(法第16条第6項関係)

匿名加工情報取扱事業者の定義については、別途定める「個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)」(平成28年個人情報保護委員会告示第9号)を参照のこと。

(参考)

7．個人情報データベース等(法第16条第1項)、個人データ(法第16条第3項)、保有個人データ(法第16条第4項)

「個人情報データベース等」とは、特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した個人情報を含む情報の集合体、又はコンピュータを用いていない場合であっても、紙面で処理した個人情報を一定の規則(例えば、五十音順、生年月日順など)に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているものをいう。

「個人データ」とは「個人情報データベース等」を構成する個人情報をいう。

「保有個人データ」とは、個人データのうち、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有するものをいう。ただし、その存否が明らかになることにより、公益その他の利益が害されるものは除く。

レセプト、介護給付費明細書等、委託を受けて処理している個人データについて、国保連合会等は開示、訂正、利用停止等を行う権限を有していないため、国保連合会等が取り扱っているレセプトや介護給付費明細書等は、「保有個人データ」に該当しない。

8．本人の同意

「本人の同意」とは、本人の個人情報が、個人情報取扱事業者によって示された取扱方法で取り扱われることを承諾する旨の当該本人の意思表示をいう(当該本人であることを確認できていることが前提となる。)。

また、「本人の同意を得(る)」とは、本人の承諾する旨の意思表示を当該個人情報取扱事業者が認識することをいい、事業の性質及び個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければならない。

なお、個人情報の取扱いに関して同意したことによって生ずる結果について、未成年者、成年被後見人、被保佐人及び被補助人が判断できる能力を有していないなどの場合は、親権者や法定代理人等から同意を得る必要がある。

【本人の同意を得ている事例】

事例1)　本人からの同意する旨の口頭による意思表示

事例2)　本人からの同意する旨の書面(電磁的記録を含む。)の受領

事例3)　本人からの同意する旨のメールの受信

事例4)　本人による同意する旨の確認欄へのチェック

事例5)　本人による同意する旨のホームページ上のボタンのクリック

事例6)　本人による同意する旨の音声入力、タッチパネルへのタッチ、ボタンやスイッチ等による入力

法は、個人情報の目的外利用や第三者提供の場合には、原則として本人の同意を得ることを求めている。これは、法の基本となるOECD8原則のうち、利用制限の原則の考え方の現れであるが、国保連合会等については、被保険者に適切な保険給付等を提供する保険者を支援する目的から、当該国保連合会等において、通常必要と考えられる個人情報の利用範囲を国保連合会等のホームページへの掲載、パンフレットの配布、掲示板への掲示・備付けや公告等により明らかにしておくこと。

国保連合会等は保険者から委託を受け、診療報酬審査支払業務、第三者行為求償事務、保険者事務共同電算等を実施しているが、同委託業務において被保険者本人に同意を求める必要が生じた場合にも、国保連合会等が被保険者本人に直接同意を求めるのではなく、委託元である保険者が被保険者の同意を求めるべきであり、国保連合会等が保険者と委託契約を締結するに当たっては、被保険者本人への同意は保険者が行うことを明記すべきである。

具体的には、第三者行為求償事務において、被保険者のレセプトの写しを損害保険会社等へ提出することについて、委託元である保険者が本人に同意を得ることを委託契約上明記する必要がある。

【要配慮個人情報における本人の同意について】

個人情報取扱事業者が要配慮個人情報を書面又は口頭等により本人から適正に直接取得する場合は、本人が当該情報を提供したことをもって、当該個人情報取扱事業者が当該情報を取得することについて本人の同意があったものと解される。

Ⅲ　国保連合会等の義務等

1．利用目的の特定等(法第17条、第18条)

(1)　利用目的の特定及び制限

国保連合会等の通常の業務で想定される主な利用目的は別表1に例示されるものであり、国保連合会等は、これらを参考として、自らの業務に照らして通常必要とされるものを特定して公表しなければならない。

また、別表2に掲げる利用目的の範囲については、法第17条第2項に定める利用目的の変更を行うことができると考えられる。ただし、保険者から委託を受けた業務以外で、変更された利用目的については、本人へ通知又は公表しなければならない。(Ⅲ3．参照)

(2)　利用目的による制限の例外

国保連合会等は、あらかじめ本人の同意を得ないで法第17条の規定により特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならないが(法第18条第1項)、同条第3項に掲げる場合については、本人の同意を得る必要はない。具体的な例としては以下のとおりである。

①法令(条例を含む。)に基づく場合

国民健康保険法第106条に基づく報告の徴収等、法令に基づいて個人情報を利用する場合

根拠となる法令の規定としては、一般に刑事訴訟法第218条(令状による捜査)等が考えられる。

これらの法令は強制力を伴って回答が義務づけられるため、国保連合会等は捜査等が行われた場合、回答する義務が生じる。

また、刑事訴訟法第197条第2項(捜査に必要な取調べ)等については、法の例外規定の対象であるが、当該法令において任意協力とされており、国保連合会等は取調べ等が行われた場合、回答するか否かについて個別の事例ごとに判断する必要がある。この場合、本人の同意を得ずに個人情報を取扱ったとしても、法第18条違反とはならないが、当該本人からの民法に基づく損害賠償請求等を求められるおそれがある。

②人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき

(例)

・意識不明となった被保険者について、家族の連絡先等に関する情報を医療機関等に提供する場合

③公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき

(例)

・疫学上の調査・研究のために、レセプト等から得られた情報を個人名を伏せて研究者に提供する場合

④国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

(例)

・事業者が警察の任意の求めに応じて個人情報を取り扱う場合

・一般統計調査や地方公共団体が行う統計調査において個人情報を取り扱う場合

⑤当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人情報を学術研究の用に供する目的(以下「学術研究目的」という。)で取り扱う必要があるとき(当該個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。

「学術研究機関等」とは、大学その他の学術研究を目的とする機関若しくは団体(大学、学会等)又はそれらに属する者をいい、国保連合会等はこれに当たらない。

⑥学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。

なお、これらの場合においても、可能な限り個人情報を匿名加工情報及び仮名加工情報に加工することが望ましい。

【法の規定により遵守すべき事項等】

・国保連合会等は、個人情報を取り扱うに当たって、その利用目的をできる限り特定しなければならない。

・国保連合会等は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。

・国保連合会等は、あらかじめ本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。なお、本人の同意を得るために個人情報を利用すること(同意を得るために被保険者の連絡先を利用して電話をかける場合など)、個人情報を匿名加工情報及び仮名加工情報に加工することは差し支えない。

・個人情報を取得する時点で、本人の同意があったにもかかわらず、その後、本人から利用目的の一部についての同意を取り消す旨の申出があった場合は、その後の個人情報の取扱いについては、本人の同意が取り消されなかった範囲に限定して取り扱う。

・国保連合会等は、他の事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。

・利用目的の制限の例外(法第18条第3項)に該当する場合は、本人の同意を得ずに個人情報を取り扱うことができる。(利用目的を変更する場合の取扱いについてはⅢ3．を参照)

【その他の事項】

・利用目的の制限の例外に該当する「法令に基づく場合」等であっても、利用目的以外の目的で個人情報を取り扱う場合は、当該法令等の趣旨をふまえ、その取り扱う範囲を真に必要な範囲に限定することが求められる。

・被保険者が未成年者等の場合、法定代理人の同意を得ることで足りるが、一定の判断能力を有する未成年者等については、法定代理人等の同意にあわせて本人の同意を得る。

2．不適正な利用の禁止(法第19条)

【法の規定により遵守すべき事項等】

・国保連合会等は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。

・「違法又は不当な行為」とは、法その他の法令に違反する行為、及び直ちに違法とはいえないものの、法その他の法令の制度趣旨又は公序良俗に反する等、社会通念上適正とは認められない行為をいう。

・「おそれ」の有無は、個人情報取扱事業者による個人情報の利用が、違法又は不当な行為を助長又は誘発することについて、社会通念上蓋然性が認められるか否かにより判断される。この判断に当たっては、個人情報の利用方法等の客観的な事情に加えて、個人情報の利用時点における個人情報取扱事業者の認識及び予見可能性も踏まえる必要がある。例えば、個人情報取扱事業者が第三者に個人情報を提供した場合において、当該第三者が当該個人情報を違法な行為に用いた場合であっても、当該第三者が当該個人情報の取得目的を偽っていた等、当該個人情報の提供の時点において、提供した個人情報が違法に利用されることについて、当該個人情報取扱事業者が一般的な注意力をもってしても予見できない状況であった場合には、「おそれ」は認められないと解される。

(違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用している事例)

事例1)　違法行為を営むことが疑われる事業者に対し、当該事業者の違法な行為を助長するおそれが想定されるにもかかわらず、個人情報を提供する場合

事例2)　個人情報を提供した場合、提供先において法第27条第1項に違反する第三者提供がなされることを予見できるにもかかわらず、当該提供先に対して、個人情報を提供する場合

事例3)　個人情報を取得した国保連合会等が、性別、国籍等の特定の属性のみにより、正当な理由なく本人に対する違法な差別的取扱いを行うために、個人情報を利用する場合

3．利用目的の通知等(法第21条)

【法の規定により遵守すべき事項等】

・国保連合会等は、個人情報を取得するに当たって、あらかじめその利用目的を公表しておくか、個人情報を取得した場合、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

・利用目的の公表方法としては、国保連合会等のホームページへの掲載、パンフレットの配布、掲示板への掲示・備付け、公告等により、なるべく広く公表する必要がある。

・国保連合会等は、高額療養費貸付事業、出産費貸付事業、介護保険の苦情処理申立て及び医師斡旋事業等において申込み者から履歴情報を求める場合など、本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を掲示板等により明示しなければならない。

・国保連合会等は、保険者から委託を受けた業務以外で、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。

・取得の状況からみて利用目的が明らかであると認められる場合など利用目的の通知等の例外に該当する場合は、上記内容は適用しない。

【その他の事項】

・利用目的が、本規定の例外である「取得の状況からみて利用目的が明らかであると認められる場合」に該当する場合であっても、本人に利用目的をわかりやすく示す観点から、利用目的の公表に当たっては、当該利用目的についても併せて記載する。

・本人の希望がある場合、詳細の説明や当該内容を記載した書面の交付等を行う。

4．個人情報の適正な取得、個人データ内容の正確性の確保(法第20条、第22条)

【法の規定により遵守すべき事項等】

・国保連合会等は、偽りその他の不正の手段により個人情報を取得してはならない。

・親の同意なく、十分な判断能力を有していない子どもから家族の個人情報を取得してはならない。

・要配慮個人情報を取得する場合には、あらかじめ本人の同意を得なければならない。ただし、法第20条第2項各号に定める場合については、本人の同意を得る必要はない。

(例)

・国民健康保険法第82条第2項に基づき、労働安全衛生法に基づく健康診断等について、事業者等から被保険者に関する健康診断に関する情報を取得する場合、法第20条第2項第1号に該当すると考えられる。

・事業者が警察の任意の求めに応じて要配慮個人情報に該当する個人情報を提出するために、当該個人情報を取得する場合、法第20条第2項第4号に該当する可能性があると考えられる。

・なお、要配慮個人情報を、法第27条第5項各号に定める委託、事業承継又は共同利用により取得する場合は、あらかじめ本人の同意を得る必要はない。

【法第20条第2項に違反している事例】

本人の同意を得ることなく、法第20条第2項第7号及び規則第6条で定める者以外がインターネット上で公開している情報から本人の信条や犯罪歴等に関する情報を取得し、既に保有している当該本人に関する情報の一部として自己のデータベース等に登録すること。

・国保連合会等は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない。

・国保連合会等は、保有する個人データについて利用する必要がなくなったとき、すなわち、利用目的が達成され当該目的との関係では当該個人データを保有する合理的な理由が存在しなくなった場合や、利用目的が達成されなかったものの当該目的の前提となる事業自体が中止となった場合等は、当該個人データを遅滞なく消去するよう努めなければならない(※)。なお、法令の定め及び規程により保存期間等が定められている場合は、この限りではない。

(※)「個人データの消去」とは、当該個人データを個人データとして使えなくすることであり、当該データを削除することのほか、当該データから特定の個人を識別できないようにすること等を含む。

【その他の事項】

・第三者提供により他の国保連合会等から個人情報を取得したとき、当該個人情報の内容に疑義が生じた場合には、記載内容の事実に関して本人に確認をとる。(国保連合会等は保険者から委託を受けている業務の場合には、国保連合会等が被保険者本人に直接確認をとるのではなく、保険者が被保険者本人に確認をとるべきである。)

・国保連合会等は、個人データの内容の正確性、最新性を確保するため、Ⅲ5．(2)②に示す委員会等において、具体的なルールを策定したり、データ管理等の技術水準の向上のための研修の開催などを行ったりすることが望ましい。

・第三者提供(法第27条第1項各号に掲げる場合並びに個人情報の取扱いの委託、事業の承継及び共同利用に伴い、個人情報を提供する場合を除く。)により、個人情報(令第2条第2号に規定するものから取得した個人情報を除く。)を取得する場合には、提供元の法の遵守状況(例えば、オプトアウト(法第27条第2項・第3項参照)、利用目的、開示手続、問合せ・苦情の受付窓口を公表していることなど)を確認し、個人情報を適切に管理している者を提供元として選定するとともに、実際に個人情報を取得する際には、例えば、取得の経緯を示す契約書等の書面の点検又はこれに代わる合理的な方法により、当該個人情報の取得方法等を確認した上で、当該個人情報が適法に取得されたことが確認できない場合は、偽りその他不正の手段により取得されたものである可能性もあることから、その取得を自粛することを含め、慎重に対応することが望ましい。

5．安全管理措置、従業者の監督及び委託先の監督(法第23条～第25条)

(1)　国保連合会等が講ずるべき安全管理措置等

①安全管理措置

国保連合会等は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のため、組織的、人的、物理的及び技術的安全管理措置等を講じなければならない。また、外国において個人データを取り扱う場合には、外的環境の把握を行ったうえで、これらの安全管理措置を講じなければならない。その際、本人の個人データが漏えい、滅失又は毀損をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個人データの取扱い状況等に起因するリスクに応じ、必要かつ適切な措置を講ずるものとする。なお、その際には、個人データを記録した媒体の性質に応じた安全管理措置を講ずる。

国保連合会等は、行政機関等から個人情報の取扱いの委託(二以上の段階にわたる委託を含む。)を受けた業務を行う場合には、法第23条だけでなく、法第66条第1項に基づく行政機関等と同様の安全管理措置等を講じなければならない(同条第2項第1号及び第5号)。詳細は「個人情報の保護に関する法律についてのガイドライン(行政機関等編)」(令和4年個人情報保護委員会告示第1号)及び「個人情報の保護に関する法律についての事務対応ガイド(行政機関等向け)」を参照されたい。

(※)「その他の個人データの安全管理のために必要かつ適切な措置」には、個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているものの漏えい等を防止するために必要かつ適切な措置も含まれる。そのため、当該個人データとなる前の個人情報(個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているもの)についても、上記の安全管理措置等を講じる必要がある。

②従業者の監督

国保連合会等は、①の安全管理措置を遵守させるよう、従業者に対し必要かつ適切な監督をしなければならない。なお、「従業者」とは、当該事業者の指揮命令を受けて業務に従事する者全てを含むものであり、また、雇用関係のある者のみならず、理事、派遣労働者等も含むものである。

「国民健康保険団体連合会における個人情報保護の徹底について」(平成15年3月14日保国発0314第3号)では、国保連合会等に対して、服務規程等において、国民健康保険団体連合会の役職員について職員の守秘義務を課すこととしている。

国保連合会等が行政機関等から個人情報の取扱いの委託(二以上の段階にわたる委託を含む。)を受けた業務に従事している者又は従事していた者に対して法第67条が適用されることにより、これらの者は、当該業務に関して知り得た個人情報の内容をみだりに他人に知らせ、又は不当な目的に利用してはならない義務が課せられる。詳細は「個人情報の保護に関する法律についてのガイドライン(行政機関等編)」(令和4年個人情報保護委員会告示第1号)及び「個人情報の保護に関する法律についての事務対応ガイド(行政機関等向け)」を参照されたい。

③委託者の監督

国保連合会等は、個人データの取扱いの全部又は一部を委託する場合、委託先において当該個人データの安全管理措置が適切に講じられるよう、「適切な委託先の選定」「安全管理措置の遵守事項を含む委託契約の締結」「委託先における個人データ取扱状況の把握」により、委託先に関して必要かつ適切な管理、監督をしなければならない。

なお、国保連合会等が行政機関等から個人情報の取扱いの委託を受けた業務を更に委託する場合には、委託先に対しては法第66条第1項の義務が、当該委託先の当該業務に従事している者又は従事していた者に対しては法第67条の義務が、それぞれ課される(①及び②参照)ことに留意する必要がある(法第66条第2項第5号)。

(2)　安全管理措置として考えられる事項

国保連合会等は、その取り扱う個人データの重要性に鑑み、個人データの漏えい、滅失又は毀損の防止その他の安全管理のため、その規模、従業者の様態等を勘案して、以下に示すような取組を参考に、必要な措置を行うものとする。

また、同一国民健康保険団体連合会が複数の事務所等を有する場合、当該事務所等の間の情報交換については第三者提供に該当しないが、各事務所等ごとに安全管理措置を講ずるなど、個人情報の利用目的を踏まえた個人情報の安全管理を行う。

①個人情報保護に関する規程の整備、公表

・国保連合会等は、保有個人データの開示手順を定めた規程その他個人情報保護に関する規程を整備し、苦情への対応体制も含めて、国保連合会等のホームページへの掲載、パンフレットの配布、掲示板への掲示・備付け、公告等を行うなど、被保険者に対して周知徹底を図る。

・また、個人データを取り扱う情報システムの安全管理措置に関する規程等についても同様に整備を行うこと。

②個人情報保護推進のための組織体制等の整備

・従業者の責任体制の明確化を図り、具体的な取組を進めるため、国保連合会等における個人情報保護に関し十分な知識を有する者を個人データの安全管理の実施及び運用に関する責任及び権限を有する個人情報取扱責任者(例えば、役員などの組織横断的に監督することのできる者)、個人情報管理担当者又は情報システム監査責任者等として定めたり、個人情報保護の推進を図るための部署、委員会等を設置する。

・国保連合会等で行っている個人データの安全管理措置について定期的に自己評価を行い、見直しや改善を行うべき事項について適切な改善を行う。

・個人情報保護対策及び最新の技術動向を踏まえた情報セキュリティ対策に十分な知見を有する者による事業所内の対応の確認(外部の知見を有する者を活用し確認させることを含む。)を実施する。

③個人データの漏えい等の問題が発生した場合等における報告連絡体制の整備

・1)個人データの漏えい等の事故が発生した場合、又は発生の可能性が高いと判断した場合、2)個人データの取扱いに関する規程等に違反している事実が生じた場合、又は兆候が高いと判断した場合における責任者等への報告連絡体制の整備を行う。

・個人データの漏えい等の情報は、苦情等の一環として、外部から報告される場合も想定されることから、苦情への対応体制との連携も図る。(Ⅲ15．参照)

④雇用契約時における個人情報保護に関する規程の整備

・雇用契約や就業規則において、就業期間中はもとより離職後も含めた守秘義務を課すなど従業者の個人情報保護に関する規程を整備し、徹底を図る。

⑤従業者に対する教育研修の実施

・取り扱う個人データの適切な保護が確保されるよう、従業者に対する教育研修の実施等により、個人データを実際の業務で取り扱うこととなる従業者の啓発を図り、従業者の個人情報保護意識を徹底する。

⑥物理的安全管理措置

・個人データの盗難・紛失等を防止するため、以下のような物理的安全管理措置を行う。

―入退館(室)管理の実施(カメラによる撮影や作業への立会い等による記録又は監視の実施)

―盗難等に対する予防対策の実施

―機器、装置等の固定など物理的な保護

―記録機能を持つ媒体の持込み・持出し禁止又は検査の実施

―記録機能を持つ媒体の接続の禁止又は制限

―離席時等におけるパソコン等のパスワードロックの実施

⑦技術的安全管理措置

・個人データの盗難・紛失等を防止するため、「個人情報の適切な取扱いに係る基幹システムのセキュリティ対策の強化について(再要請)」(平成27年12月18日老発1218第1号・保発1218第1号)の主旨に則り、個人データを取り扱う情報システムについて以下のような技術的安全管理措置を行う。

―個人データに対するアクセス管理(IDやパスワード等による認証、各職員の業務内容に応じて業務上必要な範囲にのみアクセスできるようなシステム構成の採用等)

―個人データに対するアクセス記録の保存

―個人データに対するファイアウォールの設置

―個人データに対する暗号化・パスワードの設定

―個人データへのアクセスや操作の記録及び不正が疑われる異常な記録の存否の定期的な確認

―基幹システムに接続されたネットワークとインターネットに接続されたネットワークの物理的又は論理的分離

―ソフトウェアに関する脆弱性対策(セキュリティパッチの適用、当該情報システム固有の脆弱性の発見及びその修正等)

―ソフトウェア及びハードウェア等の必要かつ適切な時期における更新

⑧個人データの保存

・個人データを長期にわたって保存する場合には、保存媒体の劣化防止など個人データが消失しないよう適切に保存する。

・個人データの保存に当たっては、本人からの照会等に対応する場合など必要なときに迅速に対応できるよう、インデックスの整備など検索可能な状態で保存しておく。

⑨不要となった個人データの廃棄、消去

・不要となった個人データを廃棄する場合には、焼却や溶解など、個人データを復元不可能な形にして廃棄する。

・個人データを取り扱った情報機器を廃棄する場合は、記憶装置内の個人データを復元不可能な形に消去して廃棄する。

・これらの廃棄業務を委託する場合には、個人データの取扱いについても委託契約において明確に定める。

(3)　業務を委託する場合の取扱い

①委託先の監督

国保連合会等は、保険者事務共同電算処理等(資格確認書の作成、医療費通知書の作成等)において個人データの取扱いの全部又は一部を委託する場合、法第23条に基づく安全管理措置を遵守させるよう受託者に対し、必要かつ適切な監督をしなければならない。

「必要かつ適切な監督」には、委託契約において委託者である国保連合会等が定める安全管理措置の内容を契約に盛り込み受託者の義務とするほか、業務が適切に行われていることを定期的に確認することなども含まれる。

また、業務が再委託された場合で、再委託先が不適切な取扱いを行ったことにより、問題が生じた場合は、国保連合会等や再委託した事業者が責めを負うこともあり得る。

②業務を委託する場合の留意事項

国保連合会等は、個人データの取扱いの全部又は一部を委託する場合、以下の事項に留意すべきである。

・個人情報を適切に取り扱っている事業者を委託先(受託者)として選定すること。委託先の選定に当たっては、委託先の安全管理措置が、少なくとも法第23条で求められているものと同様であることを確認するため、委託先の体制、規程等の確認に加え、必要に応じて個人データを取り扱う場所に赴く又はこれに代わる合理的な方法による確認を行った上で、個人情報取扱責任者等が、適切に評価することが望ましい。

・契約において、委託している業務の内容、委託先事業者、個人情報の適切な取扱いに関する内容を盛り込み(委託期間中のほか、委託終了後の個人データの取扱いも含む。)、契約内容を公表すること。

・受託者が個人情報を適切に取り扱っていることを定期的に確認すること。

・受託者における個人情報の取扱いに疑義が生じた場合(被保険者等からの申出があり、確認の必要があると考えられる場合を含む。)には、受託者に対し、説明を求め、必要に応じ改善を求める等適切な措置をとること。

・また、委託するに当たっては、本来必要とされる情報の範囲に限って提供すべきであり、情報提供する上で必要とされていない事項についてまで他の事業者に提供することがないよう努めること。

＊国保連合会等における業者委託に関する通知

上記の留意事項のほか、業者委託に関する通知を遵守する。

・「個人情報保護の徹底について」(平成14年12月25日保発1225第3号)

・「国民健康保険団体連合会における個人情報保護の徹底について」(平成15年3月14日保国発0314第3号)

③業務を再委託する場合の留意事項

国保連合会等は、個人情報に関する処理の全部又は一部を再委託する場合、以下の事項に留意すべきである。

・個人情報を含む業務を再委託すること自体は禁じられてはいないが、国保連合会等との直接の契約関係を伴わない個人情報に関する処理の再委託は行わないこと。(「国民健康保険団体連合会における個人情報保護の徹底について」(平成15年3月14日保国発0314第3号)

・なお、個人情報を含む業務の再委託や個人情報に関する処理の再委託をする場合には、個人情報保護の観点から、本来必要とされる情報の範囲に限って提供すべきであり、情報提供する上で必要とされていない事項についてまで他の事業者に提供することがないよう努めること。

この場合において、国保連合会等は第一次委託先と委託契約を締結するに当たっては、第一次委託先が、上記通知の基準に掲げる事項を遵守するよう委託契約上明記することはもちろんのこと、これに加え、再委託の可否及び再委託を行うに当たっての委託元への文書による事前報告又は承認を行うことや当該再委託契約上、再委託先に対して、同通知の基準に掲げる事項を遵守することを明記するよう、第一次委託契約上明記すること。

なお、第一次委託先が再委託を行おうとする場合は、国保連合会等は委託を行う場合と同様、再委託の相手方、再委託する業務内容及び再委託先の個人データの取扱方法等について、第一次委託先に事前報告又は承認手続を求める、直接又は第一次委託先を通じて定期的に監査を実施する等により、第一次委託先が再委託先に対して本条の第一次委託先の監督を適切に果たすこと、再委託先が法第23条に基づく安全管理措置を講ずることを十分に確認することが望ましい。

(4)　レセプトの紙以外の媒体による保存等又はそれらの外部委託を行う場合の取扱い

国保連合会等において、レセプトの紙以外の媒体による保存又はレセプトの電算処理及びレセプト以外の個人データの取扱いを含む業務の外部委託を行う場合には、国保連合会等において、その運営及び委託等の取扱いについて安全性が確保されるよう規程を定め、実施するものとする。

【法の規定により遵守すべき事項等】

・国保連合会等は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他個人データの安全管理のために必要かつ適切な措置を講じなければならない。

・国保連合会等は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

・国保連合会等は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

・国保連合会等は、市町村等の行政機関等から個人情報の取扱いの委託(二以上の段階にわたる委託を含む。)を受けた業務を行う場合には、法第66条及び法第67条の規定を順守しなければならない((1)①～③、(3)参照)。

【その他の事項】

・国保連合会等は、安全管理措置に関する取組を一層推進するため、安全管理措置が適切であるかどうかを一定期間ごとに検証するほか、必要に応じて外部機関による検証を受けることで、改善を図ることが望ましい。

6．漏えい等の報告等(法第26条)

個人データ(※)の「漏えい」とは、個人データが外部に流出すること、「滅失」とは個人データの内容が失われること、「毀損」とは個人データの内容が意図しない形で変更されることや、内容を保ちつつも利用不能な状態となることをいう。

個人データの漏えい等やそのおそれのある事案(以下「漏えい等事案」という。)が発覚した場合は、規則で定めるところにより、個人情報保護委員会への報告等を行わなければならない。

(※)規則第7条は、法第26条第1項に基づく漏えい等の報告の対象となる事態について定めているところ、規則第7条に規定する「個人データ」とは、個人情報取扱事業者が取り扱う個人データをいう。ただし、同条第3号に規定する「個人データ」には、「当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているもの」が含まれる。そのため、同号に定める事態との関係では、本6．における「個人データ」は、個人情報取扱事業者が取り扱う個人データに加え、「当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているもの」を含む。

【法の規定により遵守すべき事項等】

・国保連合会等において、漏えい等事案が発覚した場合には、当該事案の内容等に応じて、次の①～⑤に掲げる事項について必要な措置を講じなければならない。

①国保連合会等内部における報告及び被害の拡大防止

②事実関係の調査及び原因の究明

③影響範囲の特定

④再発防止策の検討及び実施

⑤個人情報保護委員会への報告及び本人への通知

7．個人データの第三者提供(法第27条)

(1)　第三者提供の取扱い

国保連合会等は、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

※　本条の「本人」、「第三者」の定義

・「本人」・・・個人データで識別される個人。

・「第三者」・・・本人及び個人情報取扱事業者以外の者をいい、自然人か法人その他の団体かを問わない。

(2)　第三者提供の例外

ただし、次に掲げる場合については、本人の同意を得る必要はない。

①法令(条例を含む。)に基づく場合

国民健康保険法第106条に基づく報告の徴収等、法令に基づいて個人情報を利用する場合(Ⅲ1．(2)①参照)

②人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき

(例)

・意識不明となった急病の被保険者について、当該本人の受診状況等に関する情報を医療機関等に提供する場合

③公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき

(例)

・疫学上の調査・研究のために、レセプト等から得られた情報を個人名を伏せて研究者に提供する場合

④国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

⑤個人情報取扱事業者が学術研究機関等である場合であって、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)

⑥個人情報取扱事業者が学術研究機関等である場合であって、当該個人データを学術研究目的で提供する必要があるとき(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該第三者が共同して学術研究を行う場合に限る。)

⑦第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)

(3)　本人の同意が得られていると考えられる場合

特定された利用目的の範囲内であり、個人データの第三者提供が本人にとって利益となるもの、又は個人データが提供される都度、事前に同意を求めることが本人にとって必ずしも合理的であるとは言えないものについては、国保連合会等のホームページ・掲示板等において、

(ア)　被保険者は、国保連合会等が示す利用目的の中で同意しがたいものがある場合には、その事項について、あらかじめ本人の明確な同意を得るよう国保連合会等に求めることができること。

(イ)　被保険者が、(ア)の意思表示を行わない場合は、公表された利用目的について被保険者の同意が得られたものとすること。

(ウ)　同意及び留保は、その後、被保険者からの申出により、いつでも変更することが可能であること。

を掲示し、本人から特段明確な反対・留保の意思表示がない場合、本人の黙示による同意が得られていると考えられる。

(4)　「第三者」に該当しない場合

①他の事業者等への情報提供であるが、「第三者」に該当しない場合

法第27条第5項各号に掲げる場合(委託・事業承継・共同利用)の当該個人データの提供を受ける者については、第三者に該当せず、本人の同意を得ずに情報の提供を行うことができる。

※個人データの共同での利用における留意事項

あらかじめ個人データを特定の者との間で共同して利用することが予定されている場合、(ア)共同して利用される個人データの項目、(イ)共同利用者の範囲(個別列挙されているか、本人から見てその範囲が明確となるように特定されている必要がある)、(ウ)利用する者の利用目的、(エ)当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名をあらかじめ本人に通知し、又は本人が容易に知り得る状態においておくとともに、共同して利用することを明らかにしている場合には、当該共同利用者は第三者に該当しない。

この場合、(ア)、(イ)については変更することができず、(ウ)、(エ)については、本人が想定することが困難でない範囲内で変更することができ、変更前、本人に通知又は本人の容易に知り得る状態におかなければならない。

②同一事業者内における情報提供であり、第三者に該当しない場合

同一事業者内で情報提供する場合は、当該個人データを第三者に提供したことにはならないので、本人の同意を得ずに情報の提供を行うことができる。国保連合会等における具体的事例は以下のとおりである。

・国保連合会等内の他の部署との連携など当該国保連合会等内部における情報の交換

・国保連合会等内の複数の事務所等との間における情報の交換及び事務所等間における情報の交換

・国保連合会等の職員を対象とした研修での利用(特定し、公表した利用目的との関係で、目的外利用として所要の措置を行う必要があり得る)

・国保連合会等内で事業分析を行うための情報の交換

このうち、国保連合会等内部の研修でレセプトや介護給付費明細書等を利用する場合には、具体的な利用方法を含め、あらためて本人の同意を得るか、個人が特定されないよう匿名加工情報又は仮名加工情報に加工する。

(5)　その他留意事項

・他の事業者への情報提供に関する留意事項

第三者提供を行う場合のほか、他の事業者への情報提供であっても、①法令に基づく場合など第三者提供の例外に該当する場合、②「第三者」に該当しない場合、③個人が特定されないように匿名加工情報に加工して情報提供する場合などにおいては、本来必要とされる情報の範囲に限って提供すべきであり、情報提供する上で必要とされていない事項についてまで他の事業者に提供することがないようにすべきである。

また、被保険者と医師等双方の二面性を持っている個人情報を第三者提供するに当たっては、双方の同意が必要となるが、一方の同意のみで第三者提供する場合は、他方の個人情報に係る部分をマスキングした上で行うこと。

【法の規定により遵守すべき事項等】

・国保連合会等においては、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。なお、国保連合会等については、(2)の本人の同意を得る必要がない場合に該当する場合には、本人の同意を得る必要はない。

・個人データの第三者提供について本人の同意があった場合で、その後、本人から第三者提供の範囲の一部についての同意を取り消す旨の申出があった場合は、その後の個人データの取扱いについては、本人の同意のあった範囲に限定して取り扱うものとする。

【その他の事項】

・第三者提供に該当しない情報提供が行われる場合であっても、国保連合会等のホームページへの掲載、パンフレットの配布、掲示板への掲示・備付け、公告等により情報提供先をできるだけ明らかにするとともに、被保険者からの問合せがあった場合に回答できる体制を確保する。

・例えば、業務委託の場合、当該国保連合会等において委託している業務の内容、委託先事業者、委託先事業者について可能な範囲で公表する。

8．外国にある第三者への提供の制限(法第28条)

詳細は、別途定める「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」(平成28年個人情報保護委員会告示第7号)を参照のこと。

(参考)