Contract
社会保険診療報酬支払基金特定個人情報取扱規程
第1章 総則
(目的)
第1条 本規程は、「行政手続における特定の個人を識別するための番号の利用等に関する法律」(平成 25 年法律第 27 号。以下「番号法」という。)、「個人情報の保護に関する法律」
(平成 15 年法律第 57 号。以下「個人情報保護法」という。)及び「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(以下「特定個人情報ガイドライン」という。)に基づき、社会保険診療報酬支払基金(以下「支払基金」という。)が取り扱う個人番号
(生存する個人のものだけでなく死者のものも含む。以下同じ。)及び特定個人情報(以下「特定個人情報等」という。)の適正な取扱いを確保することを目的とし、特定個人情報等の「取得」、「利用」、「保管」、「提供」、「開示、訂正、利用停止」、「削除・廃棄」の各段階における留意事項及び安全管理措置について定めるものである。
(定義)
第2条 本規程における用語の定義は、次のとおりとする。
なお、本規程における用語は、ほかに特段の定めのない限り番号法その他の関係法令の定めに従う。
一 「個人情報」とは、生存する個人に関する情報であって、次のア又はイのいずれかに該当するものをいう。
ア 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。)で作られる記録をいう。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号(個人情報保護法第2条第2項に規定するもの。以下同じ。)を除く。)をいう。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
イ 個人識別符号が含まれるもの
二 「個人番号」とは、番号法第7条第1項又は第2項の規定により、住民票コードを変換して得られる番号であって、当該住民票コードが記載された住民票に係る者を識別するために指定されるものをいう。
三 「特定個人情報」とは、個人番号をその内容に含む個人情報をいう。
四 「個人情報ファイル」とは、個人情報データベース等であって、行政機関及び独立行政法人等以外の者が保有するものをいう。
五 「特定個人情報ファイル」とは、個人番号をその内容に含む個人情報ファイルをいう。六 「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人デー タであって、その存否が明らかになることにより公益その他の利益が害されるものとし て「個人情報の保護に関する法律施行令」(平成 15 年政令第 507 号)で定めるもの以外
のものをいう。
七 「個人番号利用事務」とは、番号法第9条第1項の規定により保有する特定個人情報ファイルにおいて個人情報を効率的に検索し、及び管理するために必要な限度で個人番号を利用して処理する事務をいう。
八 「個人番号利用事務実施者」とは、個人番号利用事務を処理する者及び個人番号利用事務の全部又は一部の委託を受けた者をいう。
九 「個人番号関係事務」とは、番号法第9条第4項の規定により個人番号利用事務に関して行われる他人の個人番号を必要な限度で利用して処理する事務をいう。
十 「個人番号関係事務実施者」とは、個人番号関係事務を処理する者及び個人番号関係事務の全部又は一部の委託を受けた者をいう。
十一 「個人情報取扱事業者」とは、特定個人情報ファイルを事業の用に供している者(国の機関、地方公共団体、独立行政法人等及び地方独立行政法人を除く。)をいう。
十二 「役職員等関係者」とは、支払基金の役員、常任顧問、職員(常勤嘱託、非常勤嘱託及び継続雇用職員を含む。)、審査委員、参与、審査運営協議会の協議会委員及び臨時職員その他期間を定めて雇用している者をいう。
十三 「特定個人情報等統括管理責任者」とは、特定個人情報等の管理に関して統括し責任を担う者をいう。
十四 「特定個人情報等管理責任者」とは、特定個人情報等の管理に関する責任を担う者をいう。
十五 「事務取扱責任者」とは、特定個人情報等を取り扱う事務に関する責任を担う者をいう。
十六 「事務取扱担当者」とは、特定個人情報等を取り扱う事務に従事する者をいう。 十七 「管理区域」とは、特定個人情報ファイルを取り扱う情報システムを管理する区域
をいう。
十八 「取扱区域」とは、特定個人情報等を取り扱う事務を実施する区域をいう。
十九 「医療保険者等」とは、全国健康保険協会、健康保険組合、国民健康保険組合、後期高齢者医療広域連合、法律で組織された共済組合及び日本私立学校振興・共済事業団並びに社会保険診療報酬支払基金法(昭和 23 年法律第 129 号)第 15 条第2項第5号の規定により情報の収集若しくは整理又は利用若しくは提供に関する事務を支払基金に委託した国、都道府県又は市町村等をいう。
二十 「情報提供ネットワークシステム」とは、電子計算機を相互に電気通信回線で接続した電子情報処理組織であって、暗号その他その内容を容易に復元することができない通信の方法を用いて行われる番号法第 19 条第8号の規定による特定個人情報の提供を
管理するために、同法第 21 条第1項の規定に基づき内閣総理大臣が設置し、及び管理するものをいう。
二十一 「医療保険者等向け中間サーバー等」とは、医療保険者等による情報連携において利用される情報提供ネットワークシステムに接続するための中間サーバー及び住民基本台帳ネットワークシステムに接続するためのサーバーをいう。
二十二 「情報連携事務」とは、医療保険者等向け中間サーバー等における資格履歴管理、
情報提供ネットワークシステムを通じた情報照会・提供及び本人確認に関する事務をいう。
二十三 「機関別符号」とは、特定個人情報の提供を管理するために個人番号に代わって用いられる特定の個人を識別する符号をいう。
(適用範囲)
第3条 本規程は、役職員等関係者に適用する。
(個人番号を取り扱う事務の範囲)
第4条 支払基金が個人番号を取り扱う事務の範囲は、別表のとおりとする。
(取り扱う特定個人情報等の範囲)
第5条 前条において支払基金が個人番号を取り扱う事務において使用する特定個人情報等は次のとおりとする。
一 役職員等関係者又は役職員等関係者以外の個人から、番号法第 16 条に基づく本人確認の措置を実施する際に提示を受けた本人確認書類及びこれらの写し
二 支払基金が税務署等の行政機関等に提出するために作成した法定調書等の記載事項 三 支払基金が法定調書等を作成する上で役職員等関係者又は役職員等関係者以外の個人
から受領する個人番号が記載された申告書等の記載事項
四 情報提供ネットワークシステムを通じた情報提供の求めを受けた際に、必要な情報を保有する医療保険者等を特定するために、医療保険者等向け中間サーバー等を利用する全ての医療保険者等の加入者の資格履歴情報を管理するファイル
五 情報連携事務を効率的に行うために、医療保険情報提供等実施機関が一括して取得する医療保険者等の機関別符号を管理するファイル
六 加入者からの開示請求や番号法第 35 条(報告及び立入検査)に基づき、個人情報保護委員会から報告を求められた場合等のために、情報連携の際の情報提供等記録を含むアクセス記録を管理するファイル
七 住民基本台帳ネットワークシステムへの接続を集約化し、効率的な運用を実現するために、医療保険者等からの照会要求及び住民基本台帳ネットワークシステムからの照会結果を一時的に管理するファイル
八 その他個人番号と関連付けて保存される情報
2 前項第八号に該当するか否かが定かでない情報は、事務取扱責任者が判断し、当否を決定する。
第2章 組織的安全管理措置
(組織体制)
第6条 特定個人情報等の安全管理を統括するため、支払基金の主たる事務所(以下「基金本部」という。)に特定個人情報等統括管理責任者を置き、財政執行役をもってこれに充てる。
2 基金本部に特定個人情報等管理責任者を置き、財政部長、人事部長及び情報化企画部長をもってこれに充てる。
3 第4条に規定する事務を所管する担当課の課長を事務取扱責任者とする。
4 第4条に規定する事務を所管する担当課において、特定個人情報等の事務を取り扱う職員を事務取扱担当者とする。
(特定個人情報等管理責任者の責務)
第7条 特定個人情報等管理責任者は、次の業務を所管する。一 特定個人情報等の安全管理に関する規程の承認及び周知二 事務取扱責任者からの報告聴取及び助言・指導
三 特定個人情報等の安全管理に関する教育・研修の企画四 特定個人情報等統括管理責任者に対する報告
五 その他所管部署における特定個人情報等の安全管理
(事務取扱責任者の責務)
第8条 事務取扱責任者は、次の業務を所管する。
一 特定個人情報等の利用申請の承認及び記録等の管理二 管理区域及び取扱区域の設定
三 特定個人情報等の管理区分及び権限についての設定、変更の管理四 特定個人情報等の取扱状況の把握
五 委託先における特定個人情報等の取扱状況等の監督 六 特定個人情報等の安全管理に関する教育・研修の実施七 特定個人情報等管理責任者に対する報告
八 その他所管部署における特定個人情報等の安全管理
(事務取扱担当者の責務)
第9条 事務取扱担当者は、特定個人情報等の「取得」、「利用」、「保管」、「提供」、「開示、訂正、利用停止」、「削除・廃棄」又は委託処理等、特定個人情報等を取り扱う業務に従事する際、番号法及び個人情報保護法並びにその他の関連法令、特定個人情報ガイドライン、本規程及びその他の内部規程並びに事務取扱責任者の指示した事項に従い、特定個人情報等の保護に十分な注意を払ってその業務を行うものとする。
2 事務取扱担当者は、特定個人情報等の漏えい等、番号法若しくは個人情報保護法又はその他の関連法令、特定個人情報ガイドライン、本規程又はその他の内部規程に違反している事実又は兆候を把握した場合、速やかに事務取扱責任者に報告するものとする。
(運用状況の記録)
第10条 事務取扱担当者は、本規程に基づく運用状況を確認するため、次の項目について記録する(ただし、第五号については、委託先から受領した証明書等により確認するものとする。)。
一 特定個人情報等の取得及び特定個人情報ファイルへの入力状況二 特定個人情報ファイルの利用・出力の状況
三 書類・媒体等の持ち運びの状況
四 特定個人情報ファイルの削除・廃棄状況
五 削除・廃棄を委託した場合、これを証明する記録等
(特定個人情報管理台帳)
第11条 事務取扱担当者は、特定個人情報ファイル又は特定個人情報ファイルを含んだ電子媒体の取扱状況を確認するための手段として、特定個人情報管理台帳に次の事項を記録するものとする。
なお、特定個人情報管理台帳には、特定個人情報等は記載しないものとする。一 特定個人情報ファイルの種類、名称
二 取扱日時、取扱部署及び責任者三 利用目的
四 削除・廃棄状況
五 事務取扱担当者(アクセス権を有する者)
(情報漏えい事案等への対応)
第12条 特定個人情報等統括管理責任者は、特定個人情報等の漏えい、滅失又はき損による事故が発生又は発生したおそれがあること(以下「漏えい事案等」という。)を知った場合は、本規程に基づき適切に対処するものとする。
2 特定個人情報等統括管理責任者は、漏えい事案等が発生したと判断した場合は、その旨及び調査結果を社会保険診療報酬支払基金情報セキュリティポリシーに規定する最高情報セキュリティ責任者に報告し、当該漏えい事案等の対象となった個人情報を提供する本人
(以下「情報主体」という。)に対して、事実関係の通知、原因関係の説明等を速やかに行うものとする。
3 特定個人情報等統括管理責任者は、漏えい事案等が発生した場合、厚生労働大臣及び個人情報保護委員会に対して必要な報告を速やかに行う。
4 特定個人情報等統括管理責任者は、漏えい事案等が発生したと判断した場合は、情報漏えい等が発生した原因を分析し、再発防止に向けた対策を講じるものとする。
5 特定個人情報等統括管理責任者は、漏えい事案等が発生したと判断した場合は、その事実を本人に通知するとともに、必要に応じて公表する。
(苦情への対応)
第13条 支払基金は、番号法、個人情報保護法、特定個人情報ガイドライン又は本規程に関し、苦情の申出を受けた場合には、適切かつ迅速な対応に務めるものとする。
(特定個人情報等の取扱状況の確認並びに安全管理措置の見直し)
第14条 特定個人情報等管理責任者は、年1回以上及び必要に応じて特定個人情報等の取扱状況について、自ら行う点検又は他部署等による監査を実施する。
2 特定個人情報等管理責任者は、前項に規定する点検等の結果に基づき、安全管理措置の評価、見直し及び改善に取り組むものとする。
第3x x的安全管理措置
(事務取扱担当者の監督)
第15条 事務取扱責任者は、特定個人情報等が本規程に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行うものとする。
(教育・研修)
第16条 事務取扱責任者は、事務取扱担当者に対し本規程を理解させるとともに、特定個人情報等の安全管理のために、十分な教育・研修を施さなければならない。
2 事務取扱担当者は、実施計画に基づく教育・研修を受けることにより、本規程を理解し、特定個人情報等の取扱いに問題が生じないようにしなければならない。
(体制)
第16条の2 個人番号利用事務において、特定個人情報ファイルにアクセスする場合、個人番号利用事務実施者は必ず二人で相互確認できる体制で行わなければならない。
第4章 物理的安全管理措置
(特定個人情報等を取り扱う区域の管理)
第17条 事務取扱責任者は特定個人情報等を取り扱う区域を明確にし、当該区域に対し、次の各号に従い措置を講じる。
一 管理区域
入退室管理及び管理区域へ持ち込む機器及び電子媒体等の制限を行うものとする。二 取扱区域
壁又は間仕切り等を設置し、事務取扱担当者以外の者の往来が少ない場所や、後ろから覗き見される可能性が低い場所へ座席を配置するなどの工夫を施すものとする。
(機器及び電子媒体等の盗難等の防止)
第18条 事務取扱責任者は管理区域及び取扱区域における特定個人情報等を取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、次の各号に掲げる措置を講じる。一 特定個人情報等を取り扱う機器、電子媒体及び書類等は、施錠できるキャビネット・
書庫等に保管する。
二 特定個人情報ファイルを取り扱う情報システムが運用されている機器は、セキュリティワイヤー等により固定する。
(電子媒体等を持ち運ぶ場合の漏えい等の防止)
第19条 特定個人情報等が記録された電子媒体又は書類等の持ち運びは、次に規定する場合を除き禁止する。
なお、「持ち運び」とは、管理区域又は取扱区域から外へ移動させること又は当該区域の外から当該区域へ移動させることをいう。
一 個人番号利用事務及び個人番号関係事務に係る外部委託先に、委託事務を実施する上で必要と認められる範囲内でデータを提供する場合
二 法定調書の提出等、行政機関等へデータ又は書類を提出する場合
三 前二号の他、第4条に規定する事務の遂行に際し必要と認められる場合
2 前項により特定個人情報等が記録された電子媒体又は書類等を持ち運ぶ場合は、パスワードの設定、封緘し施錠できる搬送容器の使用、並びに追跡可能な移送手段の利用等、紛失・盗難等を防ぐための安全な方策を講じるものとする。ただし、行政機関等に法定調書等をデータで提出するに当たっては、行政機関等が指定する提出方法に従うものとする。
(特定個人情報等の削除、機器及び電子媒体等の廃棄)
第20条 特定個人情報等の削除・廃棄段階における記録媒体等の管理は、次のとおりとする。
一 特定個人情報ファイル中の個人番号又は一部の特定個人情報等を削除する場合は、容易に復元できない手段を用いるものとする。
二 事務取扱担当者は、特定個人情報等が記録された書類等を廃棄する場合、いかなる方法によっても復元不可能な手段を用いるものとする。
三 事務取扱担当者は、特定個人情報等が記録された機器及び電子媒体等を廃棄する場合、専用データ削除ソフトウェアの利用又は物理的な破壊等により、復元不可能な手段を用いるものとする。
四 特定個人情報等を取り扱う情報システムにおいては、当該関連する書類等の法定保存期間経過後速やかに個人番号を削除するものとする。
五 個人番号が記載された書類等については、当該関連する法定調書の法定保存期間経過後速やかに廃棄をするものとする。
2 事務取扱担当者は、個人番号若しくは特定個人情報ファイルを削除した場合、又は電子媒体等を廃棄した場合には、削除又は廃棄した次の事項を記録するものとする。
一 特定個人情報ファイルの種類、名称二 取扱日時、取扱部署及び責任者
三 削除・廃棄状況
第5章 技術的安全管理措置
(情報システムへのアクセス制御)
第21条 特定個人情報等へのアクセス制御は、次のとおりとする。
一 個人番号と紐付けてアクセスできる情報の範囲をアクセス制御機能により限定する。二 特定個人情報ファイルを取り扱う情報システムを、アクセス制御機能により限定する。三 ユーザIDに付与するアクセス権により、特定個人情報ファイルを取り扱う情報シス
テムを使用できる者を事務取扱担当者に限定する。
(事務取扱担当者の識別と認証)
第22条 特定個人情報等を取り扱う情報システムは、ユーザID、パスワード、磁気・I Cカード等の識別方法により、事務取扱担当者が正当なアクセス権を有する者であることを識別した結果に基づき認証するものとする。
(外部からの不正アクセス等の防止)
第23条 情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する方法は、次のとおりとする。
一 情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断する。
二 情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入する。
三 導入したセキュリティ対策ソフトウェア等により、入出力データにおける不正ソフト
ウェアの有無を確認する。
四 機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等は常に最新の状態とする。
五 ログ等の分析を定期的に行い、不正アクセス等を検知する。
(情報送信時における漏えい等の防止)
第24条 特定個人情報等をインターネット等により外部に送信する場合は、通信経路における情報漏えい等を防止するために、通信経路の暗号化等の安全管理措置を講じるものとする。
2 情報システムに保存されている特定個人情報等の情報漏えい等を防止するため、データの暗号化又はパスワードによる保護を行うものとする。
(特定個人情報等の作業上の制限)
第24条の2 特定個人情報等を適切に取り扱うため、次の各号に定める取扱いを遵守しなければならない。
一 特定個人情報等を取り扱う作業は、情報系ネットワークに接続されたパソコン等では行わない。
二 特定個人情報等を取り扱う作業にあたって一時的にサーバ装置、電子媒体(CD-R、 DVD-R等)に特定個人情報等を保存した場合は、作業終了後に当該個人情報を容易に復元できない手段にて処理する。
第6章 特定個人情報等の取得
(特定個人情報等の適正な取得)
第25条 支払基金は、特定個人情報等の取得を適法かつxxな手段によって行うものとする。
(特定個人情報等の利用目的)
第26条 支払基金が、役職員等関係者又はそれ以外の者から取得する特定個人情報等は、第4条に規定する個人番号を取り扱う事務の範囲内とする。
(特定個人情報等の取得時の利用目的の通知等)
第27条 支払基金は、特定個人情報等を取得する場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を情報主体に通知し、又は公表するものとする。
なお、役職員等関係者から特定個人情報等を取得する場合には、イントラネットメールにおける通知、利用目的を記載した書類の提示等の方法による。
2 利用目的の変更を要する場合は、当初の利用目的と相当の関連性を有すると合理的に認められる範囲内で利用目的を変更して、本人への通知、公表又は明示を行うことにより、変更後の利用目的の範囲内で特定個人情報等を利用することができる。
(個人番号の提供の要求)
第28条 支払基金は、第4条に規定する事務を処理するために必要がある場合に限り、本人又は他の個人番号関係事務実施者に対して個人番号の提供を求めることができるものと
する。
2 役職員等関係者又はそれ以外の者が、支払基金からの個人番号の提供の要求又は第 32 条に基づく本人確認に応じない場合には、番号法に基づく制度の意義について説明をし、個人番号の提供及び本人確認に応じるように求めるものとする。
(個人番号の提供を求める時期)
第29条 支払基金は、第4条に規定する事務を処理するため、必要があるときに個人番号の提供を求めるものとする。
2 前項にかかわらず、本人との法律関係等に基づき、個人番号関係事務の発生が予想される場合には、当該事務の発生が予想できた時点においてあらかじめ個人番号の提供を求めることができるものとする。
(特定個人情報等の提供の求めの制限)
第30条 支払基金は、番号法第 19 条各号のいずれかに該当し特定個人情報等の提供を受けることができる場合を除き、特定個人情報等の提供を求めてはならない。
(特定個人情報等の収集制限)
第31条 支払基金は、第4条に規定する事務の範囲を超えて、特定個人情報を収集しないものとする。
(本人確認)
第32条 支払基金は、番号法第 16 条に規定する方法により、役職員等関係者又はそれ以外の者の個人番号の確認及び当該人の身元確認を行うものとする。また、代理人については、同条に規定する方法により、当該代理人の身元確認、代理権の確認及び本人の個人番号の確認を行うものとする。
第7章 特定個人情報等の利用
(特定個人情報等の利用制限)
第33条 支払基金は、第 26 条に規定する利用目的の範囲内でのみ特定個人情報等を利用するものとする。ただし、人の生命、身体又は財産の保護のために必要がある場合にあって、本人の同意があり、又は本人の同意を得ることが困難であるときは、この限りではない。
(特定個人情報ファイルの作成等の制限)
第34条 特定個人情報ファイルは、第4条に規定する事務を実施するために必要な範囲に限り、作成又は複製することができる。
第8章 特定個人情報等の保管
(特定個人情報等の正確性の確保)
第35条 支払基金は、第 26 条に規定する利用目的の範囲において、特定個人情報等を正確かつ最新の状態で管理するよう努めるものとする。
(保有個人データに関する事項の公表等)
第36条 支払基金は、個人情報保護法第 32 条第1項に基づき、特定個人情報等に係る保有
個人データに関する事項を本人の知り得る状態に置くものとする。
(特定個人情報等の保管制限)
第37条 支払基金は、第4条に定める事務の範囲を超えて、特定個人情報等を保管しないものとする。
2 前項における特定個人情報等は、所管法令で定められた個人番号を記載する書類等の保存期間を経過するまでの間、保管するものとする。
3 番号法上の本人確認の措置を実施する際に提出された本人確認書類の写し、支払基金が行政機関等に提出する法定調書の控え、当該法定調書を作成する上で受領する個人番号が記載された申告書等は特定個人情報等として保管するものとする。ただし、本人確認書類については、本人確認・番号保管後速やかに廃棄するものとする。
第9章 特定個人情報等の提供
(特定個人情報等の提供制限)
第38条 支払基金は、番号法第 19 条各号に掲げる場合を除き、本人の同意の有無に関わらず、特定個人情報等を第三者に提供しないものとする。
(第三者提供の停止)
第39条 前条の定めに反して特定個人情報等が違法に第三者に提供されているという理由により、支払基金が本人から第三者への当該特定個人情報等の提供の停止を求められ、その求めに理由があることが判明した場合には、遅滞なく当該特定個人情報等の第三者への提供を停止するものとする。
第10章 特定個人情報等の開示等
(特定個人情報等の開示)
第40条 支払基金は、特定個人情報等に係る保有個人データについて本人から開示を求められた場合は、遅滞なく、当該情報の情報主体であることを確認した上で、当該本人が開示を求めてきた範囲内でこれに応じるものとする。
2 次の事由に該当する場合には、当該開示請求の全部又は一部を不開示とすることができ、その場合には請求者に対してその旨及び理由を説明するものとする。
一 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合二 支払基金の業務の適正な実施に著しい支障を及ぼすおそれがある場合
三 他の法令に違反することとなる場合
(保有個人データの訂正等)
第41条 支払基金は、保有個人データの内容が事実でないことを理由に本人から訂正、追加又は削除(以下「訂正等」という。)を求められた場合は、必要な調査を行い、その結果に基づき、遅滞なくこれに応じるものとする。かかる訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、当該本人に対し、遅滞なくその旨(訂正等を行ったときは、その内容を含む。)を通知するものとする。
(保有個人データの利用停止等)
第42条 支払基金は、保有個人データが法令に違反して取得された等の理由により、本人から当該保有個人データの利用の停止、消去又は第三者への提供の停止(以下「利用停止等」という。)を求められた場合であって、利用停止等に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該特定個人情報等の利用停止等を行うものとする。ただし、利用停止等を行うことに多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、当該本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りではない。
2 前項の規定に基づき求められた利用停止等の全部又は一部を行ったとき若しくは行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(当該本人から求められた措置と異なる措置を行う場合にはその措置内容を含む。)を通知しなければならない。
なお、利用停止等を行わない場合又は本人の求めと異なる措置をとる場合は、その判断の根拠及びその根拠となる事実を示し、その理由を説明するものとする。
第11章 特定個人情報等の削除・廃棄
(特定個人情報等の削除・廃棄)
第43条 支払基金は、第4条に規定する事務を処理する必要がある範囲内に限り特定個人情報等を収集又は保管し続けるものとする。
なお、所管法令によって一定期間保存が義務付けられている書類等に記載された個人番号については、その期間保管するものとし、収集又は保管する必要がなくなった場合で、所管法令において定められている保存期間を経過した場合には、速やかに削除又は廃棄するものとする。
第12章 特定個人情報等の委託の取扱い
(委託先の監督)
第44条 支払基金が、個人番号利用事務及び個人番号関係事務の全部又は一部を委託する場合は、委託先が取り扱う特定個人情報等の安全管理措置が適切に講じられるよう、委託先を監督する。
2 前項の必要かつ適切な監督には次に掲げる事項が含まれるものとする。一 委託先の適切な選定
二 委託先に安全管理措置を遵守させるために必要な契約の締結三 委託先における特定個人情報等の取扱状況の把握
3 前項第一号については、次の事項について特定個人情報等の保護に関して支払基金が定める水準を満たしているかをあらかじめ確認する。
一 設備
二 技術水準
三 従業者(事業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務
に従事している者をいう。具体的には、従業員のほか、取締役、監査役、理事、監事、派遣社員等を含む。)に対する監督・教育の状況
四 経営環境
4 第2項第二号については、委託契約の内容として、以下の事項を規定するものとする。一 秘密保持義務
二 委託内容及び作業場所
三 管理区域及び取扱区域の明確化
四 事業所内からの特定個人情報等の持出しの禁止
五 データ等の搬送、授受、保管及び廃棄等の実施方法六 特定個人情報等の目的外利用の禁止
七 再委託における条件
八 漏えい、滅失、毀損、紛失及び改ざん等の防止策九 漏えい事案等が発生した場合の委託先の責任
十 委託契約終了後の特定個人情報等の返却又は廃棄十一 従業者に対する監督・教育
十二 契約内容の遵守状況について報告を求める規定十三 特定個人情報等を取り扱う従業者の明確化
十四 特定個人情報等の取扱状況の報告並びに委託者が委託先に対して実地の調査を行うことができる規定
十五 運用状況の記録の提供
5 支払基金は、委託先において特定個人情報等の安全管理が適切に行われていることについて、1年に1回以上の頻度で及び必要に応じて検証をするものとする。
6 支払基金は、委託先において漏えい事案等が発生した場合、速やかに適切な対応がなされ、かつ、状況が報告される体制になっていることを確認するものとする。
(再委託)
第45条 委託先は、支払基金の許諾を得た場合に限り、委託を受けた個人番号利用事務、個人番号関係事務の一部を再委託することができるものとする。ただし、再委託先が更に再委託することは認めないものとする。
2 支払基金は、再委託先の適否の判断のみならず、委託先が再委託先に対しても必要かつ適切な監督を規定するものとする。
3 支払基金は、委託先が再委託をする場合、当該再委託契約の内容として、前条第4項と同等の事項を規定させるものとする。
第13章 特定個人情報等の受託の取扱い
(受託者としての義務)
第46条 支払基金は、医療保険者等より委託を受けて特定個人情報等を取り扱う際に、その責任を十分に認識し、特定個人情報等の保護に万全を期すものとする。
2 支払基金は、委託を受けて特定個人情報等を取り扱う際に、本取扱規程等並びに医療保
険者等との契約に従うものとする。
(医療保険者等への協力)
第47条 支払基金は、支払基金が本取扱規程等に基づき適正に特定個人情報等を取り扱う能力を有する委託先であることを、医療保険者等があらかじめ確認するために、本取扱規程等を医療保険者等に対し委託契約の締結前に提出するものとし、医療保険者等からこれら以外の資料の提出を求められた場合は、これに協力するものとする。
2 支払基金は、医療保険者等との間で、特定個人情報等の取扱いに関する契約を締結する際は、以下の事項を契約内容に含めるものとする。
一 秘密保持義務
二 委託内容及び作業場所
三 管理区域及び取扱区域の明確化
四 事業所内からの特定個人情報等の持出しの禁止
五 データ等の搬送、授受、保管及び廃棄等の実施方法六 特定個人情報等の目的外利用の禁止
七 再委託における条件
八 漏えい、滅失、毀損、紛失及び改ざん等の防止策
九 漏えい事案等が発生した場合の委託元等に対する速やかな報告及び支払基金の責任十 委託契約終了後の特定個人情報等の返却又は廃棄
十一 従業者に対する監督・教育十二 契約内容の遵守状況の報告
十三 支払基金の責任者、作業者等の履行体制(特定個人情報等を取り扱う従業者の限定を含む。)
十四 特定個人情報等の取扱状況の報告並びに実地調査十五 運用状況の記録の提供
3 特定個人情報等管理責任者は、委託された特定個人情報等の取扱いに関して、次の各号に定める事項を遵守しなければならない。
一 特定個人情報等の取扱い状況(委託先におけるものを含む。)、運用状況の記録及び特定個人情報管理台帳に関するアクセス権限の管理状況の委託元への報告(3か月に一度)
二 特定個人情報等の取扱い状況の総括報告及び特定個人情報管理台帳の委託元への提出
(1年に一度)
三 医療保険者等が個人情報保護委員会に行う報告の協力、その他の報告、資料の提出及び支払基金への実地調査等の協力(必要に応じて随時)
4 特定個人情報等管理責任者は、1年に一度及び必要に応じて随時、特定個人情報等統括管理責任者に対し、前項の状況について報告するものとする。
(受託後の再委託)
第48条 支払基金は、医療保険者等から委託された個人番号利用事務において、更に再委託(以下「受託後の再委託」という。)する場合及び受託後の再委託先が更に再委託(以下
「受託後の再々委託」という。)する場合は、医療保険者等の事前の許諾を得ること並びに 支払基金及びその医療保険者等が受託後の再委託先及び受託後の再々委託先に報告を求め、
資料を提出させ、又は受託後の再委託先及び受託後の再々委託先において特定個人情報等を取り扱っている場所に実地調査を行うことができることを条件とするものとする。
2 支払基金は、医療保険者等から委託された個人番号利用事務において、受託後の再委託及び受託後の再々委託をする場合は、受託後の再委託先及び受託後の再々委託先に関する次の事項について、医療保険者等に対し申請を行い、許諾を得なければならない。
一 商号又は名称及び住所
二 履行体制図(支払基金による監督体制を含む。)
三 受託後の再委託及び受託後の再々委託を実施する理由四 業務の範囲
五 取り扱う特定個人情報等の範囲六 業務の履行能力
七 実地調査にかかる要件
八 予定金額及び契約書のうち委託元の許諾のために必要な範囲の内容を記載した資料九 特定個人情報取扱規程その他の必要な資料の提出
3 支払基金は、医療保険者等から委託された個人番号利用事務において、受託後の再委託先及び受託後の再々委託先に特定個人情報等を取り扱わせる際に、前条の規定を遵守させるものとする。
4 支払基金は、医療保険者等から委託された個人番号利用事務において、受託後の再委託先及び受託後の再々委託先に特定個人情報等を取り扱わせるに際に、委託元が当該委託先の監督を行えるよう、委託契約への必要な条項の追加その他必要な措置を講じるものとする。
5 支払基金は、医療保険者等から委託された個人番号利用事務において、受託後の再々委託先が更に再委託することは認めないものとする。
第14章 補則
(補則)
第49条 この規程に定めるもののほか、特定個人情報等に係るデータの保護及び管理に関し必要な事項は、別に定める。
附 則
この規程は、平成28年4月1日から施行する。
附 則
この規程は、平成28年10月12日から施行し、この規程による改正後の社会保険診療報酬支払基金特定個人情報取扱規程の規定は、平成28年10月1日から適用する。
附 則
この規程は、平成29年4月1日から施行する。
附 則
この規程は、平成29年7月24日から施行し、この規程による改正後の社会保険診療報酬支払基金特定個人情報取扱規程の規定は、平成29年5月30日から適用する。
附 則
この規程は、平成30年4月1日から施行する。ただし、第2条の改正規定は、平成30年7月1日から施行する。
附 則
この規程は、令和5年7月20日から施行する。
附 則
この規程は、令和6年3月1日から施行する。
別表 個人番号を取り扱う事務の範囲
1 個人番号利用事務 | 医療保険者等向け中間サーバー等における資格履歴管理、情報提供ネットワークシステムを通じた情報照会・提供及び本人確認に関する事務 | 資格履歴管理事務 |
情報提供ネットワークシステムを通じた情報照会・提供事務 | ||
本人確認事務 | ||
2 個人番号関係事務 | ⑴ 役職員等関係者(扶養家族を含む)に係る個人番号関係事務(右記に関連する事務を含む) | xxxx関連事務等 |
扶養控除等(異動)申告書作成事務等 | ||
給与支払報告書作成事務等 | ||
退職手当金等受給者別支払調書作成事務等 | ||
退職所得に関する申告書作成事務等 | ||
財産形成住宅貯蓄・財産形成年金貯蓄に関する申告 書、届出書及び申込書作成事務等 | ||
【被保険者に関する届出等】 健康保険、厚生年金、企業年金届出事務等 | ||
【被扶養者に関する届出等】 健康保険届出事務等 | ||
国民年金第三号届出事務等 | ||
健康保険申請・請求事務等 | ||
雇用保険届出事務、申請・請求事務、証明書作成事 務等 | ||
労災保険届出事務、申請・請求事務、証明書作成事 務等 | ||
⑵ 役職員等関係者以外の個人に係る個人番号関係事務 (右記に関連する事務を含む) | 報酬、料金、契約金及び賞金の支払調書作成事務等 | |
不動産の使用料等の支払調書作成事務等 | ||
不動産等の譲受けの対価の支払調書作成事務等 | ||
不動産等の売買又は貸付けのあっせん手数料の支払調書作成事務等 |