健保組合における個人情報保護の現状診断・助言
1.概要
健康保険組合における個人情報保護の現状を診断し、改善することが望ましい事項を抽出し、今後の対策の方向性を助言します。
2.診断・助言に関連する規定
2.1 個人情報保護法
(安全管理措置)
第二十条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
2.2 健保組合ガイドライン
㈵ 本ガイドラインの趣旨、目的、基本的考え方
7責任体制の明確化と被保険者等窓口の設置等
健保組合等は、個人情報の適正な取扱いを推進し、漏えい等の問題に対処する体制を整備する必要がある。このため、個人情報の取扱いに関し、専門性と指導性を有し、事業者の全体を統括する組織体制・責任体制を構築し、規則の策定や安全管理措置の計画立案等を効果的に実施できる体制を構築するものとする。
4.安全管理措置、従業者の監督及び委託先の監督(法第20条〜第22条)
(2)安全管理措置として考えられる事項
㈪個人情報保護推進のための組織体制等の整備
・従業者の責任体制の明確化を図り、具体的な取組を進めるため、健保組合等における個人情報保護に関し十分な知識を有する管理者、監督者等を定めたり、個人情報保護の推進を図るための委員会等を設置する。
・健保組合等で行っている個人データの安全管理措置について定期的に自己評価を行い、見直しや改善を行うべき事項について適切な改善を行う。
4.安全管理措置、従業者の監督及び委託先の監督(法第20条〜第22条)
(3)業務を委託する場合の取扱い
㈰委託先の監督
健保組合等は、レセプトのパンチ(入力)・点検業務、健康保険被保険者証の印刷作成、 人間ドック等の健診、保健指導等個人データの取扱いの全部又は一部を委託する場合、法第 20条に基づく安全管理措置を遵守させるよう受託者に対し、必要かつ適切な監督をしなければならない。
「必要かつ適切な監督」には、委託契約において委託者である事業者が定める安全管理措置の内容を契約に盛り込み受託者の義務とするほか、業務が適切に行われていることを定期的に確認することなども含まれる。
4.安全管理措置、従業者の監督及び委託先の監督(法第20条〜第22条)
【その他の事項】
・健保組合等は、安全管理措置に関する取組を一層推進するため、安全管理措置が適切であるかどうかを一定期間ごとに検証するほか、必要に応じて外部機関による検証を受けることで、改善を図ることが望ましい。
2.3 健康保険組合における個人情報保護の徹底について
5.個人情報の管理に関する監督
厚生労働省は、健保組合等の個人情報の保護について指導監査等を通じ徹底を期すとともに、健保組合等における個人情報の管理に違反があれば、その態様等に応じ、健康保険法第27条、第29条の規定等に基づき.健保組合に対し、必要な処置等(業務改善命令、役員の解在、組合の解散、違反した委託業者に対する損害賠償請求や契約解除の指導・命令など)を行うとともに、違反した健保組合や委託業者の公表を行うものであること。
2.4 経済産業省ガイドライン
安全管理措置(法第20条関連)
組織的安全管理措置/各項目について講じることが望まれる事項
㈬個人データの安全管理措置の評価、見直し及び改善をする上で望まれる事項
監査計画の立案と、計画に基づく監査(内部監査又は外部監査)の実施
監査実施結果の取りまとめと、代表者への報告
監査責任者から受ける監査報告、個人データに対する社会通念の変化及び情報技術の進歩に応じた定期的な安全管理措置の見直し及び改善
3. 診断の基準
個人情報保護法
保険課長通知
厚労省(健保)ガイドライン及び事例集
(参考となる基準)
経済産業省ガイドライン
個人情報保護マネジメントシステム要求事項(JIS Q15001:2006)
情報技術−セキュリティ技術−情報セキュリティマネジメント実践のための規範
Q 27002:2006 ISO/IEC 17799:2005
上記基準のうち、組織の状況に該当する事項