• TOP
  • 全ての記事
  • 保険者における個人情報の取扱い 関係法令や実務上の注意点を総まとめ
catch-img

保険者における個人情報の取扱い 関係法令や実務上の注意点を総まとめ

基礎知識健康経営/コラボヘルス

目次[非表示]

  1. 1.「個人情報」の定義
  2. 2.【業務別】保険者が取り扱う個人情報の例
  3. 3.要配慮個人情報の取り扱いは慎重に
  4. 4.保険者が遵守すべき法令とガイドライン
  5. 5.迷ったときには「ガイダンス」と「事例集」を参照
  6. 6.コラボヘルスにおける健康情報の取扱い 3つのポイント
    1. 6.1.1.個人が特定されない「集計データ」の活用を検討
    2. 6.2.2.事業主と「共同利用」する場合の手続き
    3. 6.3.3.外部事業者に業務委託する際の手当て
  7. 7.事業主の「健康情報の取扱規程」義務化にも留意
  8. 8.おわりに


健診結果やレセプト情報などセンシティブな個人情報を扱う保険者にとって、適正な個人情報の取扱いは永遠の最重要課題のひとつです。特にコラボヘルスの推進に当たっては、保険者と事業主が各種データを安全に共有できるよう、十分に対策しなければなりません。

今回は、保険者が押さえておきたい個人情報(健康情報)の取扱いについて、参照すべき関係法令やガイドラインの内容を中心におさらいしていきましょう。


「個人情報」の定義


個人情報保護法で定義されている「個人情報」とは、生存する個人に関する情報で、特定の個人を識別できる情報、または個人識別符号*1が含まれるものを指します。保険者としては、主に次の3点に注意しましょう。


  1. ID等によって仮名化された状態の情報でも「個人情報」となりうる。
  2. 他の情報と容易に照合できそれにより特定の個人を識別できるもの(例:居住地域情報や所属情報それ単体では特定の個人を識別できないが、内部の他のDB等の情報と組み合わせることで識別できる。)を含む、個人に紐づく情報全体が「個人情報」となる。
  3. 死亡した本人の情報は、法律上は個人情報とならない。ただし、死亡後もその情報を保持し続ける場合には、個人情報と同等の安全管理措置を講じる。また、死者に関する情報が、同時に遺族等の生存する者の個人情報となる場合には、引き続きその遺族の個人情報として取り扱う必要がある。


*1 パスポート番号や基礎年金番号、マイナンバー、保険者番号など、その情報(番号、記号)のみで特定の個人を識別できる情報で、政令・規則で定められたもの。


【業務別】保険者が取り扱う個人情報の例


保険者が取り扱う個人情報の一覧は「健康保険組合等における個人情報の適切な取扱いのためのガイダンス」(個人情報保護委員会、厚生労働省)に例示されています。下記抜粋のように、どの担当業務でもセンシティブな個人情報を扱うことが改めて確認できるでしょう。


業務領域

扱う個人情報の例

適用
  • 保険者番号(被保険者等記号・番号)、氏名、生年月日、性別、個人番号
  • 資格取得・喪失日、報酬・賞与実績、被扶養者有無、前年度収入額

給付
  • 診療報酬明細書(レセプト)記載情報
  • 療養費、移送費関連情報(治療用装具内容など)
  • 傷病手当金関連情報(傷病名、労務不能期間、労務不能期間中の報酬額など)
  • 出産手当金・出産育児一時金関連情報(出産日、出勤状況など)
  • 埋葬料(費)関連情報(死亡年月日、埋葬に要した費用など)

保健事業
  • 健康診査、保健指導関連情報(健診・問診結果、指導結果など)

(「健康保険組合等における個人情報の適切な取扱いのためのガイダンス」平成29年4月14日(令和6年12月一部改正) より抜粋)


要配慮個人情報の取り扱いは慎重に


レセプトに掲載された病歴や、加入者からの申請で確認された障害に関する情報、健診・検診結果やその後の措置などは、とりわけ取扱いに注意すべき「要配慮個人情報」に当たります。

要配慮個人情報とは「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」と定義されています(個人情報保護法第2条第3項)。要配慮個人情報の取得や第三者提供には、原則として本人の同意が必要です。


保険者が遵守すべき法令とガイドライン


保険者が個人情報を取り扱う際は、以下の各種法令・ガイドラインを遵守しなければなりません。個人情報保護法などの基本的な法律や、保険者向けのガイドラインのほか、コラボヘルスの推進に当たっては事業主側に定められた法令・ガイドラインもある程度把握しておく必要があります。


保険者

事業主共通
  • 個人情報の保護に関する法律
  • 個人情報の保護に関する法律についてのガイドライン(通則編)
  • 個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)
  • 個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)
  • 「個人情報の保護に関する法律についてのガイドライン」に関するQ&A
​​​​​

保険者
  • 健康保険組合等における個人情報の適切な取扱いのためのガイダンス

  • 「健康保険組合等における個人情報の適切な取扱いのためのガイダンス」を補完する事例集(Q&A)

事業主
  • 労働安全衛生法
  • 労働者の心身の状態に関する情報の適正な取扱いのために事業者が講ずべき措置に関する指針
​​​


(「データヘルス計画作成の手引き(改訂版)」平成29年9月 より抜粋)
※上記は一例です。必要に応じて適切な法令・ガイドラインを参照してください。


迷ったときには「ガイダンス」と「事例集」を参照


上記のように参照すべき法令・ガイドラインが多いことから、判断や対応に迷ったときに、まずどの情報を参照するべきか、判断に悩む場合もあるでしょう。

保険者においては「健康保険組合等における個人情報の適切な取扱いのためのガイダンス」と「『健康保険組合等における個人情報の適切な取扱いのためのガイダンス』を補完する事例集(Q&A)」から参照するのが有効です。

同ガイダンスでは、保険者業務に即した個人情報の適正な取扱いについて詳細に示されており、個人情報保護法や「個人情報の保護に関する法律についてのガイドライン(通則編)」の内容も踏まえたものになっています。さらに、事例集では、実務で迷いやすいシーンごとにQ&A形式でポイントが解説されており、担当者が取るべき対応をより具体的にイメージできるようになっています。

これらを参照しても思うような解決策を得られなかった場合は、保険者・事業主共通で参照するべき法令やガイドラインに立ち返るとよいでしょう。


コラボヘルスにおける健康情報の取扱い 3つのポイント


個人情報の取扱いで担当者が悩みやすいシーンのひとつが、コラボヘルスの推進に当たり、事業主と保険者が加入者の健康情報データ(レセプトデータ、健診・検診データ)を共有して活用するニーズがある場合です。母体企業とはいえ、事業主と保険者は別法人であるため、個人情報の共有には制限が生じます。
実務上、特に押さえておきたいポイントは次の3つです(「データヘルス計画作成の手引き」より抜粋)。


1.個人が特定されない「集計データ」の活用を検討


要配慮個人情報であるレセプト情報、健診・検診情報は、原則として取得しないことが最も安全です。

コラボヘルスや一般の保健事業でこれらのデータを参照したい場合は、特定の個人との対応関係を排斥した統計情報(事業所別、性別、年齢階層別など)での活用を検討しましょう。ただし、分析する集団の母数が少ない場合や、希少疾患などの分析を行う場合は個人の識別が可能となってしまう恐れがあるため、事業主に共有する際には一部の項目を空欄にするなどの配慮が必要です。また、母数が少なすぎると適切なデータ分析ができない可能性もあります。目安として、事業所規模50人以上であれば、ある程度有効に集計データを活用できるでしょう。


2.事業主と「共同利用」する場合の手続き


保険者と事業主それぞれが保有する個人情報を共有する行為は、個人情報保護法上の「第三者提供」に当たり、原則としてあらかじめ本人の同意が必要です*2。ただし個人情報保護法で定められた「共同利用」の手続きを行えば、第三者提供とはならず、本人同意なく提供が可能になります。具体的には、以下5点を、共同利用の開始前にあらかじめ、本人に通知するか、または本人が容易に知り得る状態にします。

  1. 共同利用をする旨
  2. 共同利用される個人データの項目
  3. 共同利用者の範囲
  4. 利用する者の利用目的
  5. 当該個人データの管理について責任を有する者の氏名または名称


この手続きを踏めば、例えば「保険者と事業主が加入者の健診結果を活用し、共同で事後指導を実施する」といった取扱いも可能になります。一方、レセプトデータについては、その情報の性質上、共同利用の対象外と考えるのが適当だと考えられています(「健康経営を推進するための・データヘルス コラボヘルスガイドライン」を参照)。

なお、以上の手続きとは別に、事業主と保険者との間で、安全管理や情報の受け渡し方法などのルールを覚書などで定めておくことが推奨されます。


*2 ただし、高齢者医療確保法に基づき、事業主による健診を特定健診の実施とみなすために、該当の健診データを事業主から保険者に提供する場合には、本人の同意は不要。


3.外部事業者に業務委託する際の手当て


データ分析を外部の専門事業者や研究機関、大学などに委託する場合は、以下のような対応をする必要があります(データ分析など目的の達成に必要な範囲内で外部事業者などが個人情報を取り扱う場合は「第三者提供」には該当しません*5)


  1. 適切に事前チェックをおこない、起用する外部事業者を選定する
  2. 業務委託契約を締結するなどして、相互の役割分担を明確にする
  3. 外部事業者の個人情報の取扱い状況について把握し、管理監督する
  4. 保険者は委託する業務の内容、委託先事業者、委託先事業者との間で取り決めた個人情報の取扱いに関するルールや委託内容を公表する

*5「委託」による提供となるため、委託先は、委託された業務に限り、委託により提供された個人情報を取り扱うことができます。委託された業務以外に、自らまたは第三者のために当該個人情報を取り扱うことはできません。


事業主の「健康情報の取扱規程」義務化にも留意


事業主側の個人情報の取扱いルールについては、直近の労働安全衛生法改正と、同改正に基づいて公表された「労働者の心身の状態に関する情報の適正な取扱いのために事業者が講ずべき措置に関する指針」を、保険者としても意識しておきたいところです。

同規程が未整備の場合、安衛法上の罰則規定はありませんが、労働基準監督署から指導を受ける可能性があります。

事業主が同取扱規程を策定するに当たっては「事業場における労働者の健康情報等の取扱規程を策定するための手引き」(厚生労働省)を参照するとよいでしょう。


おわりに


第3期データヘルス計画もはじまり、データ活用が積極化する中で、個人情報の取扱いには一層の配慮が必要になっています。加入者の健康促進に向けた保健事業、コラボヘルスを効果的かつ安全に実施するためにも、関係法令やガイドラインを正しく理解し、実務に反映させることが重要です。法律やガイドラインなどの改正が頻繁に行われる領域でもあるため、今後も動向を注視し、キャッチアップしておくようにしましょう。


(参考情報)


健康保険組合等における個人情報の適切な取扱いのためのガイダンス
「健康保険組合等における個人情報の適切な取扱いのためのガイダンス」を補完する事例集(Q&A)
「個人情報保護法」をわかりやすく解説 個人情報の取扱いルールとは?(政府広報オンライン)
データヘルス計画作成の手引き(改訂版)
個人情報の保護に関する法律
個人情報の保護に関する法律についてのガイドライン(通則編)
プライバシー情報の取扱い|基本的な対策|一般利用者の対策|国民のための情報セキュリティサイト
労働安全衛生法
労働者の心身の状態に関する情報の適正な取扱いのために事業者が講ずべき措置に関する 指針
事業場における労働者の健康情報等の取扱規程を策定するための手引き


前の記事

prev-article-image

2025年度の新制度でも評価対象に!医療費抑制にもつながる保健事業「女性の健康支援」

JMDCサービスついては下記よりお問い合わせください

会社でお使いのメールアドレスをご記入ください。
当社が取得した情報は、プライバシーポリシーに従って取り扱います。当該プライバシーポリシーに同意のうえ、送信をお願いします。
プライバシーポリシー(https://www.jmdc.co.jp/personal-info/)

こちらの記事もおすすめ

https://stories.jmdc.co.jp/blog/2502_01

https://stories.jmdc.co.jp/blog/2401-2

https://stories.jmdc.co.jp/blog/2502-1

データ分析や保健事業でお悩みの方は
お気軽にご相談ください

CONTACT
お電話でのお問い合わせはこちら
03-5733-5013
平日10:00~17:00
ご不明な点はお気軽に
お問い合わせください
お問い合わせ
保険者支援実績No.1
JMDCのサポート内容はこちら
JMDCカタログダウンロード
お役立ち情報満載の
メルマガをお届けします
メルマガ登録

過去開催したセミナー

 

人気記事ランキング

タグ一覧

© JMDC Inc.