個人情報保護について

• 個人情報保護に対する取り組み
• 個人情報保護に関する基本方針
• 個人情報保護管理規程
• 保有する個人情報及び利用目的について
• 個人情報の共同利用の取扱いについて
• 個人情報の第三者への提供について

個人情報保護に対する取り組み

健康保険組合では、資格・給付情報や診療記録をはじめ、被保険者や被扶養者のみなさんに関する個人情報を扱っています。

個人情報の取り扱いには、常に細心の注意を払っていますが、平成17年4月からは個人情報保護法が全面施行され、個人情報を取り扱ううえで遵守すべき基準等が明確になっています。

そこで、健康保険組合が個人情報の保護にどのように取り組んでいるか、その概略をお知らせします。ただし、例外的な規定などもありますので、詳しい内容につきましては、お問い合わせください。

健康保険組合の個人情報保護に対する取り組み

• 利用目的の特定・目的外の利用制限
  個人情報を取り扱うときは利用目的をできる限り特定します。あらかじめ本人の同意がなければ、それ以外の目的で利用することはありません。
• 利用目的の通知・公表
  個人情報を取得するときは、本人への通知またはパンフレットやホームページなどで公表することにより、利用目的をお知らせします。
• 個人情報の適正な取得・個人データ内容の正確性の確保
  不正な手段で個人情報を取得することはありません。また、取得した個人データは、利用目的の達成に必要な範囲内で、できるだけ正確性を保つようにしています。
• 安全管理措置および職員・委託先の監督
  個人情報保護に関する規程を整備、公表するとともに、安全管理に努めています。また、個人情報を扱う職員および業務委託先を適切に監督しています。
• 個人データの第三者への提供の制限
  原則として、本人の同意を得ることなく、個人データを第三者へ提供することはありません。
• 個人データの開示、訂正、利用停止
  本人から個人データの開示が求められたときや、訂正・利用停止等の求めが適正に行われたときは、原則としてそれに応じます。また、苦情にも適切かつ迅速に対応します。

個人情報保護に関する基本方針

ふくおかＩＣＴ健康保険組合は、加入者個人に関する情報（以下「個人情報」といいます。）を適切に保護する観点から、以下の取り組みを推進します。

• 当健康保険組合は、取得した加入者の個人情報について、適切な安全措置を講じることにより、加入者の個人情報の漏えい、紛失、き損又は加入者の個人情報への不正なアクセスを防止することに努めます。
• 当健康保険組合は、加入者からご提供いただいた個人情報を、加入者の健康の保持・増進など加入者にとって有益と思われる目的のためのみに使用いたします。また、個人番号については、番号法で定められた利用範囲において特定した利用目的でのみ利用いたします。
• 当健康保険組合は、あらかじめ加入者の事前の同意を得た場合を除き、加入者の個人情報を第三者に提供いたしません。また、個人番号をその内容に含む個人情報（以下「特定個人情報」という。）については、本人の同意有無にかかわらず、番号法に定める場合を除き、提供致しません。ただし、特定個人情報でない個人情報について、次の各号に該当する場合は、加入者の事前の同意を得ることなく、加入者の個人情報を第三者に提供することがあります。
  • 法令の定めに基づく場合
  • 人の生命、身体又は財産の保護のために必要であって、加入者の同意を得ることが困難である場合
  • 公衆衛生の向上または児童の健全な育成の推進のために必要であって、加入者の同意を得ることが困難である場合
  • 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、加入者の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがある場合
• 当健康保険組合は、職員に対し個人情報保護に関する教育啓蒙活動を実施するほか、個人情報を取り扱う部門ごとに管理責任者を置き、個人情報の適切な管理に努めます。
• 当健康保険組合の業務を委託する場合については、より個人情報の保護に配慮したものに見直し・改善を図ります。業務委託契約を締結する際には、業務委託の相手としての適格性を十分審査するとともに、契約書の内容についてもより個人情報の保護に配慮したものとします。
• 加入者が、加入者の個人情報の照会、修正等を希望される場合、当健康保険組合担当窓口までご連絡いただければ、合理的な範囲ですみやかに対応させていただきます。
• 当健康保険組合は、加入者の個人情報の取扱いに関係する法令その他の規範を遵守するとともに、本個人情報保護ポリシーの内容を継続的に見直し、改善に努めます。

個人情報保護管理規程

目的

第1条

本規程は、「個人情報の保護に関する法律」（平成15年5月30日・法律第57号。以下「法」という。）及び「行政手続における特定の個人を識別するための番号の利用等に関する法律」（平成25年5月31日・法律第27号。以下「番号法」という。）、「健康保険組合等における個人情報の適切な取扱いのためのガイダンスについて」（平成29年4月14日保発0414第18号厚生労働省保険局長通知。以下「ガイダンス」という。）、「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」（以下「特定個人情報ガイドライン」という。）、「健康保険組合における個人情報保護の徹底について」（平成14年12月25日保保発第1225001号厚生労働省保険局保険課長通知。以下「保険課長通知」という。）に基づき、個人情報保護の重要性にかんがみ、ふくおかＩＣＴ健康保険組合（以下「組合」という。）における被保険者及びその被扶養者（以下「被保険者等」という。）等、組合が保有する個人情報の漏えい・滅失又はき損等（以下「漏えい等」という。）を防止し、個人情報保護の徹底を図ることを目的とする。

個人情報の定義

第2条

本規程による個人情報とは、法第2条第1項に定める特定の個人を識別することができるものをいい、紙に記載されたものであるか、写真・映像や音声であるか、電子計算機・光学式情報処理装置等のシステムにより処理されているかは問わない。また、この組合における個人情報は原則として別表１に掲げるものとする。

2

本規程による特定個人情報とは、番号法第2条第8項に定める個人番号をその内容に含む個人情報をいう。

3

本規程による要配慮個人情報とは、法第2条第3項に定める取扱いに特に配慮を要する記述等が含まれる個人情報をいう。

4

死者に関する情報は、法の対象外であるが、ガイダンスに基づき、死者に関する情報が、同時に、遺族等の生存する個人に関する情報でもある場合には、当該生存する個人に関する情報となる。

5

前項にかかわらず、個人番号を含む死者に関する情報は、生存する者に関する情報と同様に取扱うものとする。

個人情報の利用目的の特定と公表等

第3条

個人情報を取り扱うに当たって、その利用目的を別表2においてできる限り特定し、被保険者等本人にわかりやすい形で通知し、またはホームページ、組合・事業所掲示板への掲示等で公表する。また、新たに個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を被保険者等本人に通知し、または前記手段等を用いて公表する。

2

組合は、あらかじめ本人の同意なく別表２により定める利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。ただし、利用目的と関連性を有すると合理的に認められる場合は、本人に対し通知又は公表することにより変更できるものとする。

3

前項の規定は、次に掲げる場合については、適用しないものとする。
一　法令に基づく場合
二　人の生命、身体又は財産の保護のために必要であって、本人の同意を得ることが困難であるとき
三　公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
四　国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することにより当該事務の遂行に支障を及ぼすおそれがあるとき

4

第1項の場合において、特定個人情報の利用目的は、番号法第9条に定める利用範囲において特定しなければならない。

5

第2項、第3項にかかわらず、特定個人情報については本人の同意有無にかかわらず、番号法第9条に定める範囲において特定した利用目的を超えて、取扱ってはならない。

個人情報の第三者への提供

第4条

法第23条第1項に定める除外事項等を除き、あらかじめ被保険者等本人の同意を得ないで、個人情報を提供してはならない。ただし、同条第５項各号に定める委託、事業の承継または特定の者との間で共同して利用する場合において、個人情報の提供を受ける者は第三者に該当しないものとする。

2

当該個人情報が特定個人情報である場合、本人の同意の有無にかかわらず、番号法第19条に定める場合を除き、提供してはならない。

3

法第23条第1項に定める除外事項等ガイダンスIII7(1)に定める場合を除き、個人情報を第三者に提供する場合、様式第1号に定める記録を作成するとともに当該記録を提供した日から3年間保存しなければならない。

4

法第23条第1項に定める除外事項等ガイダンスIII8(1)に定める場合を除き第三者から個人情報の提供を受ける場合、様式第2号に定める記録を作成するとともに当該記録の提供を受けた日から3年間保存しなければならない。

個人情報の適正な取得及び正確性の確保

第5条

偽りその他の不正の手段により個人情報を取得してはならない。また、利用目的の達成に必要な範囲内において、個人情報を正確かつ最新の内容に保つよう努めなければならない。

2

特定個人情報については、番号法第19条に定める場合を除き、収集又は保管してはならない。また、本人又は代理人から個人番号の提供を受けるときは、番号法第16条に定める本人確認の措置をとらなくてはならない。

3

法第17条第2項各号に定める場合を除き、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。

管理組織

第6条

個人情報保護に関する管理組織として、個人情報取扱責任者及び個人情報保護管理担当者を設置するものとする。

2

前項に定めるもののほか、管理組織について必要な事項は、理事会において別に定める。

個人情報取扱責任者及び個人情報保護管理担当者の責務等

第7条

個人情報取扱責任者は、常務理事が就任するものとし、個人情報保護の徹底が図られるよう、各種安全対策の実施、組合の役職員に対する教育訓練、外部委託業者の監督、個人情報に関する開示請求や苦情処理等を適切に行うなど個人情報保護に関して必要な措置の全般を管理し、理事長など役員とともに、その責任を負うものとする。

2

個人情報保護管理担当者は、事務長が就任するものとし、個人情報取扱責任者の指揮のもと、前項に定める個人情報保護に関する必要な措置を実行するものとする。

守秘義務

第8条

役職員及び組合会議員は、被保険者等の個人情報の漏えい等をしてはならない。その職務を退いた後においても同様とする。

個人情報の管理

第9条

被保険者等の個人情報が記載された文書等（帳票、電子データ等全ての記録様式を含む。以下同じ。）の保管場所については常時施錠し、その鍵の管理は、個人情報取扱責任者が行うものとする。また、個人情報取扱責任者は第７条に定める安全対策として、個人情報が記載、記録された文書等について整理及び保管状況を把握するとともに、電子計算機及び番号法第2条第1項第14号に定める情報提供ネットワークシステムへの接続環境の管理を適正に実施するものとする。

2

前項に定めるもののほか、被保険者等の個人情報への不当なアクセス並びに故意又は過失による虚偽入力、書換え及び消去を防止するため必要な事項に関しては、理事会において別に定める。

死者に関する情報の管理

第10条

組合が死者に関する情報を保存している場合には、組合は漏えい等の防止のため、個人情報と同等の安全管理措置を講じる。

個人情報の廃棄及び消去

第11条

被保険者等の個人情報が記載された文書等の廃棄を行う場合は、個人情報取扱責任者の指示に従い、個人情報を読取不可能な状態にしなければならない。

2

電子計算機及び光学式情報処理装置の廃棄又は転売・譲渡等（リースの場合は返却）を行う場合は、個人情報取扱責任者の指示に従い、ハードディスク内のデータを復元不可能な状態にしなければならない。

3

特定個人情報については、必要でなくなった場合かつ所管法令で定める保存期間を経過した場合、前二項に定める方法により、可及的速やかに廃棄又は消去しなければならない。

4

前三項に定めるもののほか、個人情報の廃棄及び消去のため必要な事項に関しては、理事会において別に定める。

教育訓練

第12条

個人情報取扱責任者は、役職員の採用及び組合会議員の就任に当たり、個人情報保護の重要性等について理解し遵守の徹底が図られるよう必要な研修、教育を実施するほか、随時、役職員及び組合会議員に対し、個人情報保護に関して必要な研修、教育を実施する。

2

前項に定める研修、教育を実施した場合、個人情報取扱責任者または個人情報保護管理担当者は、実施時期、場所、対象者及び内容を記録し保存するものとする。

委託先の監督

第13条

組合の被保険者等の個人情報に関する業務を委託した場合には、委託業務に用いる個人情報の安全管理が図られるよう、委託先に対し、必要かつ適切な監督を行わなければならない。

外部委託

第14条

個人情報及び特定個人情報に関する処理は、次の各号に掲げる事項を契約書上に明記することを了承した業者に限り、外部委託することができる。
(1)法令、関連通知及びガイダンス（当該個人情報が特定個人情報である場合には、特定個人情報ガイドラインを含む）を遵守し、個人情報の保護に万全を期すこと。また、契約期間終了後においても同様であること。
(2)被保険者等の個人情報を、組合の事業目的以外に利用しないこと。
(3)被保険者等の個人情報の漏えい等が生じた場合には、契約を解除すること。
(4)被保険者等の個人情報の漏えい等により損害が生じた場合には、損害賠償を行うこと。
(5)組合の個人情報取扱責任者は、随時、委託契約に関する調査を行い、説明を求め及び報告を徴することができること。
(6)個人情報取扱責任者から問題が指摘された場合には、速やかに必要な措置を行うこと。
(7)組合との直接の契約関係を伴わない再委託を行わないこと。

保有個人データの開示

第15条

組合が保有する診療報酬明細書、調剤報酬明細書、及び訪問看護療養費明細書（老人医療に係るものを除く。以下「レセプト」という。）の開示に当たっては、「診療報酬明細書等の被保険者等への開示について」（平成17年3月31日保発第0331009号厚生労働省保険局保険局長通知）に基づき取扱い、レセプト開示に係る具体的取扱いについては、組合の「診療報酬明細書等の開示に係る取扱要領」に則り処理を行う。

2

組合のレセプト以外の保有個人データの開示に当たっては、組合の「保有個人データ（診療報酬明細書等を除く）の開示・訂正・利用停止等に係る取扱要領」に則り処理を行う。

開示手数料

第16条

開示の請求に対しては以下の手数料を徴収する。
(1)レセプト並びに保有個人データの開示申請に係る手数料（以下「開示手数料」という。）は、開示、不開示に関わりなく文書1件に付き1,000円を徴収する。
(2)開示申請後、開示決定した場合は、開示手数料のほか、開示実施手数料としてA4文書1枚につき10円を徴収する。
(3)郵送を希望する場合には、郵送料（書留郵便、配達記録郵便）相当額を徴収する。

保有個人データの訂正及び利用停止等

第17条

被保険者等本人から、個人データの内容が事実でないという理由によってデータの内容の訂正、追加又は削除（以下「訂正等」という。）を求められた場合、若しくは個人データが、特定した利用目的の達成に必要な範囲を超えて取扱われる、偽りその他不正の手段により取得される、また特定個人情報が番号法において限定的に明記された場合に違反して違法に第三者に提供されるなどの理由によって、データの利用の停止又は消去（以下「利用停止等」という。）を求められた場合、組合の「保有個人データ（診療報酬明細書等を除く）の開示・訂正・利用停止等に係る取扱要領」に則り処理を行う。

個人情報相談窓口の設置

第18条

個人情報の取扱いに関する相談や苦情の適切な処理を行うため、組合に個人情報相談窓口を設置する。

2

被保険者等から苦情等の申し出があった場合は、苦情等の内容を調査、確認のうえ個人情報取扱責任者に報告しなければならない。

監査

第19条

監事は、個人情報保護の徹底に関して、監査を毎年1回実施する。

2

前項の監査により、監事から問題点の指摘等があった場合には、個人情報取扱責任者は、速やかに必要な措置を講じなければならない。

損害賠償

第20条

故意、過失による個人情報の漏えい等により、損害を及ぼした者は賠償の責を負う。

懲戒

第21条

職員が、本規程並びに関連規程に違反した場合は、職員就業規則に基づき、懲戒する。

漏洩等の事故にかかる対策

第22条

組合は個人情報の重要性及び秘匿性を十分理解するとともに、漏洩等の事故が発生しないよう、その予防対策や事故発生時の対応についてあらかじめ定めるとともに、常時事故防止に努めなければならない。

2

漏洩等の事故が発生した場合、組合が定める対応のほか、ガイダンスIII4(5)に定める二次被害の防止及び事実関係の公表ならびに所管官庁への報告を速やかに実施するものとする。

附則

この規程は、平成17年4月1日より施行する。

この規程は、平成28年4月1日より施行する。

この規程は、平成29年5月30日より施行する。

• 別表1　健康保険組合等が保有する個人情報
• 別表2　健康保険組合の通常業務で想定される主な利用目的
• 様式第1号
• 様式第2号

保有する個人情報及び利用目的について

個人情報保護法では、個人情報取扱事業者（当組合を含む）が個人情報を取得する場合は、その利用目的を本人に通知又は公表しなければならないとされています。

当組合での保有する個人情報並びに利用目的の詳細につきましては、「個人情報保護管理規程」別表１．別表２をご覧ください。

なお、個人情報に関する通知又は公表につきましては、ホームページ等での掲載をもって行うことといたします。

個人情報の共同利用の取扱いについて

個人情報保護法では、健康診査事業等について事業主と共同して個人データを利用する場合には(1)個人データを共同利用する趣旨(2)共同して利用する個人データの項目(3)共同利用者の範囲(4)利用する者の利用目的(5)データ管理責任者の氏名または名称について、あらかじめ本人に通知または公表することとされています。

当組合では、共同利用の内容の公表を、当組合事務所への掲示、ホームページ及び機関紙等への掲載をもって行うことといたします。

《当組合が実施している共同事業は以下のとおりです。》

ふくおかICT健康保険組合及び健康保険組合連合会が共同で実施する高額医療交付金交付事業の公表について

個人情報保護法においては、個人情報を第三者に提供する場合、原則として本人の同意が必要となります。ただし、①委託先への提供、②合併等に伴う提供、③グループによる共同利用―については、法律上、第三者提供に当たらないこととなっています。ふくおかＩＣＴ健康保険組合（以下「当組合」という。）では、高額な医療費が発生した場合に、健康保険組合連合会（以下「健保連」という。）が実施する高額医療交付金交付事業（以下「高額医療事業」という。）から医療費の助成を受けるため、診療報酬明細書データを共同利用しております。
したがって、法律で求められている①共同利用する旨、②共同利用する個人データ項目、③共同利用する者の範囲、④共同利用する者の利用目的、⑤個人データ管理責任者名もしくは名称―について、次のように公表いたします。

• 健保連との高額医療事業の共同実施について
  健康保険組合と健保連では、健康保険法附則第２条に基づく事業として、組合が高額な医療費が発生した場合に、その費用の一部を健保連から交付する事業を実施しています。その事業の申請のために、①診療報酬明細書（調剤報酬明細書を含む。以下「レセプト」という。）については、電子レセプトのCSV情報、もしくは紙レセプトのコピー、②当該レセプト患者氏名、性別、本人家族別、入院外来別、診療年月、レセプト請求金額などを記録（記載）した「交付金交付申請総括明細データ」、もしくは「交付金交付申請総括明細書」を健保連・交付金交付事業グループ・高額医療担当に提出します。この交付を受けることによって、当組合の高額医療費の支出が軽減されることとなります。
• 共同利用する個人データ項目について
  前項の「交付金交付申請総括明細データ」もしくは「交付金交付申請総括明細書」の記載項目のほか、レセプト記載データの全ての項目
• レセプトデータを共同利用する者の範囲について
  • 当健康保険組合　　　高額医療交付金交付事業担当者
  • 健康保険組合連合会　交付金交付事業グループ・高額医療担当職員
  • 業務委託先　　　　　公益財団法人日本生産性本部　ICT・ヘルスケア推進部
    　　　　　　　　　　及び協力会社
• レセプトデータを共同利用する者の利用目的について
  当組合においては、高額医療事業の申請を行うことによって、医療費の一部の交付を受けるためにレセプトデータを利用します。
  健保連・交付金交付事業グループ・高額医療担当においては、全組合からの申請を受理するため、当該組合からの申請が間違いないかをチェックし、適正な交付を行うために利用します。また、特に高額である１月１千万円以上のレセプトについては、個人情報を除いた上で、金額、主病名などについて公表することによって、医療費の高額化傾向を訴えていく材料とします。
• レセプトデータ等の管理責任者の氏名又は名称及び住所並びに法人の代表者氏名
  ふくおかＩＣＴ健康保険組合　福岡市博多区博多駅前3-23-18
  　　　　　　　　　　　　　　アバンダント92 6Ｆ
  　　　　　　　　　　　　　　理事長　平石　大助
  　　　　　　　　　　　　　　管理責任者　常務理事
  
  健康保険組合連合会　　　　　東京都港区南青山１－２４－４
  　　　　　　　　　　　　　　会 長　宮永　俊一
  　　　　　　　　　　　　　　管理責任者　組合サポート部　部長

個人情報の第三者への提供について

個人情報保護法では、個人情報取扱事業者（当組合を含む）は、あらかじめ本人の同意を得ないで、個人情報を第三者に提供してはならないとされていますが、個人情報の通常必要な利用目的のうち、被保険者にとって利益となるもの、又は事業者側の負担が膨大である上、明示的な同意を得ることが必ずしも被保険者本人等にとって合理的であるとはいえないものについては、あらかじめ公表しておいて被保険者から特段明確な反対・留保の意思表示がないものについては「黙示的な同意」が得られたものとして取り扱ってよいこととされています。当組合では、以下の事項につきその趣旨に該当するものといたしますので、加入者の皆様の同意をお願いいたします。同意されない場合には、書面にて当組合までお申し出て下さい。お申し出がない場合には同意していただいたものとさせていただきます。

• 医療費通知については世帯分まとめて被保険者本人に通知すること。