Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

医療現場の情報セキュリティ・マネジメントにおけるチェックポイント

11,228 views

Published on

 マイナンバー制度開始、個人情報保護法改正を目前に控えて、医療機関の情報セキュリティ・マネジメントにおけるチェックポイントについて、マイナンバー実務対応の視点で記述したので、皆様のご参考になれば幸いである。

Published in: Health & Medicine
  • Be the first to comment

  • Be the first to like this

医療現場の情報セキュリティ・マネジメントにおけるチェックポイント

  1. 1. 寄 稿 1 医療現場の 情報セキュリティ・マネジメントにおける チェックポイント 小川 敏治 NPO 法人 公的病院を良くする会 (公認情報セキュリティ監査人/プライバシーマーク審査員研修主任講師/認定登録 医業経営コンサルタント) マイナンバー制度開始と 個人情報保護法改正を目前に控えて  2013 年 5 月公布の「行政手続における特定の 個人を識別するための番号の利用等に関する法律 (マイナンバー法)」により、2015 年 10 月から 住民票を有する全国民 1 人ひとりに 12 桁の個人 番号(通称:マイナンバー)が付番・通知され、 マイナンバー時代の到来が目前に迫っている。  2016 年 1 月 1 日からのマイナンバー制度(社 会保障・税番号制度)では、医療機関を含むすべ ての民間事業者において、職員や社員などの従業 者、その家族等の個人番号の収集・管理が必須と なるとともに、法律で定められた場合以外での個 人番号の利用、特定個人情報(個人番号および個 人番号を含む個人情報)の第三者への提供・収集・ 保管等を行うことが禁じられる。また、情報漏え い等の場合に厳しい罰則が定められているほか、 「特定個人情報保護委員会」は立入検査権も有し ている。  一方、個人情報保護法改正については 2013 年 9 月より「パーソナルデータに関する検討会」で 制度改正の検討が重ねられ、昨年末に「個人情報 保護法改正に向けた骨子案」が公表された。さら に今年 2 月には「マイナンバー等分科会」で骨 子案の修正を図り、通常国会に提出する「個人情 報保護法改正案の概要」が公表された注 。  この中で、前述の「特定個人情報保護委員会」 を「個人情報保護委員会」に改組し、特定個人情 報だけでなく、個人情報全般を対象とした適正な 取り扱いの確保のための監視・監督など所掌範囲 の拡大が明記されている。  本稿ではマイナンバー制度開始と個人情報保護 法改正を目前に控えて、医療機関の情報セキュリ ティ・マネジメントにおけるチェックポイントに ついて、マイナンバー実務対応の視点で記述した ので皆様のご参考になれば幸いである。 マイナンバー制度 (社会保障・税番号制度)とは?  マイナンバー制度は、社会保障、税、災害対策 の分野で効率的に情報を管理し、複数の行政機関 等(行政機関、地方公共団体、独立行政法人等) が保有する個人の情報が同一人の情報であること を確認するために活用されるものであり、目的は 以下の 3 つである。 ①行政の事務効率化  国や地方公共団体の間での情報の照合、転記等 に要する時間・労力の大幅な削減及び正確な手続き。 ②国民の利便性の向上  社会保障・税関係の面倒な手続の簡単化 ③公平・公正な社会の実現  税や社会保障の負担を不当に免れることや不正 受給の防止など  今回制定されたマイナンバー法においては、同 法で定められた「社会保障分野、税分野、災害対 策分野」(図表 1 の青い背景色部分)の行政等の 事務(マイナンバー法では「個人番号利用事務」 という。図表 1 の下段「個人番号の利用範囲(番 注:5 月 21 日に衆院本会議で可決。6 月中に参院可決、成立する 見通しである。 6 JAHMC 2015 June
  2. 2. 号法別表)」)に利用範囲を限定している。したがっ て、医療分野での利用は行政機関や医療保険者に 限定されており(自治体が行う保健福祉等の事務 について条例で利用範囲を広げることはできる)、 医療機関が患者のマイナンバーを利用することは 禁じられていることに注意したい。  なお、医療等分野の情報連携に用いる番号のあ り方について、厚生労働省「医療等分野における 番号制度の活用等に関する研究会」の中間まとめ (2014 年 12 月 10 日)では、「医療等分野におけ る情報の利活用と保護のための環境整備のあり方 に関する報告書(2012 年 9 月)」の「医療等分 野でやりとりされる情報は、機微性が高い情報を 含むので、所得情報などと安易に紐づけされない 安全かつ効率的な仕組みが必要である。マイナン バーとは異なる医療等分野でのみ使える番号(医 療等 ID〈仮称〉)や安全で分散的な情報連携の基 盤を設ける必要がある」に基づいて、マイナンバー とは異なる別の番号を用いた「医療等分野での番 号制度」」(図表 1 の赤い背景色部分)を検討し ており、具体的には次の 6 つの利用場面での情 報連携を想定している。  ①医療保険のオンライン資格確認  ②保険者間の健診データの連携  ③医療機関・介護事業者等との連携  ④健康医療分野での研究  ⑤健康医療分野のポータルサービス  ⑥全国がん登録  当該研究会では、「①医療保険のオンライン資 格確認」をマイナンバー制度の情報連携システム が稼働する 2017 年 7 月以降にできるだけ早期の 導入を目指すとしている。  医療機関と保険者との間に「資格確認サービス 機関」(仮称)を介在させ、医療機関の窓口で扱 う「医療等分野での番号」と保険者が資格情報を 管理するマイナンバーとの照合を計画している。 つまり、医療機関は患者のマイナンバーを直接取 り扱わないような情報システムの構築を目指して いる。  ただし、マイナンバー法附則では、「法律の施 行後 3 年を目途として、法律の施行状況を勘案し、 マイナンバーの利用範囲の拡大や、情報提供ネッ トワークシステムを利用した特定個人情報の提供 範囲の拡大について検討を行い、必要があると認 めるときは、国民の理解を得つつ、所要の措置を 出所:厚生労働省「医療等分野における番号制度の活用等に関する研究会」中間まとめ資料より ●図表 1 マイナンバーの利用範囲 7JAHMC 2015 June
  3. 3. 講ずるものとする」(図表 1 の黒色の背景色の白 抜き文字「民間」部分)としている(国民の理解 が得られれば、同法改正により患者のマイナン バーを「医療等分野での番号」として利用できる 余地も若干残している)。  いずれにしても当面は、医療機関で患者のマイ ナンバーを医療等分野で利活用することはでき ず、窓口で患者のマイナンバーのコピーをとった り、書き写したり、システムに入力し利用するな どの行為は、特定個人情報の目的外利用となり処 罰対象となり得ることに注意したい。  したがって、医療機関が取り扱うマイナンバー の対象者は、主に職員や社員などの従業者、その 家族等であり、その方々のマイナンバーを収集・ 管理して、行政機関、地方公共団体、独立行政法 人等の行政事務のために、提出先(行政機関等) に提出する事務(マイナンバー法では「個人番号 関係事務」という)が必須になる。  マイナンバー法は、行政機関等(行政機関、地 方公共団体、独立行政法人等)または事業者の別 を問わず、個人番号を取り扱うすべての者に適用 される。また、個人番号が悪用され、または漏え いした場合、個人情報の不正な追跡・突合が行わ れ、個人の権利・利益の侵害を招きかねないため、 特定個人情報について、個人情報保護法よりも厳 格な保護措置を義務付けるとともに、特定個人情 報保護委員会(保護法改正により「個人情報保護 委員会」に改組予定)による監視・監督および罰 則の強化を規定している。  以下、特定個人情報委員会「特定個人情報の適 正な取扱いに関するガイドライン(事業者編)」 (2014 年 12 月 11 日)に基づいて、重要なポイ ントをかいつまんで解説する。 ガイドライン(事業者編)の 重要ポイント 個人番号関係事務における厳格な保護措置  医療機関を含むすべての事業者に対して、大別 して次の 3 区分での厳格な保護措置の義務を課 している。 (1) 特定個人情報の利用制限 (2) 特定個人情報の提供制限等 (3) 特定個人情報の安全管理措置等 特定個人情報の利用制限  まず、特定個人情報の利用制限について、主な 保護措置は以下のとおりである。 ①個人番号を利用することができる範囲について、 社会保障、税および災害対策に関する特定の 事務に限定している(マイナンバー法第 9 条)。 ②必要な範囲を超えた特定個人情報ファイル(個 人番号を含む個人情報データベース等)の作成 を禁止している(同法第 28 条)。  個人番号を利用(利活用)できるのは、行政機 関、地方公共団体、独立行政法人等が同法別表に 具体的に細かく規定された行政等の事務(個人番 号利用事務)のみであり、それ以外での利活用は 禁止されている。事業者は、同法で規定された行 政等の事務(個人番号利用事務)に協力するよう 努めるものとする(同法 6 条)としており、提 出先(行政機関等)に提出する事務(個人番号関 係事務)のみであり、また、その個人番号関係事 務に必要な範囲を超えた特定個人情報ファイルの 作成を禁止している。  つまり、医療機関が、法令に基づき、職員等の マイナンバーを給与所得の源泉徴収票、健康保険・ 厚生年金保険被保険者資格取得届等の書類に印字 して、行政機関等および健康保険組合等に提出す るために、人事・労務システムに入力し印字する ことは「必要な範囲」内であるが、入力したマイ ナンバーを職員番号として人事・労務管理に利活 用することは、「必要な範囲を超えた特定個人情 報ファイル(個人番号を含む個人情報データベー ス等)の作成」にあたり、処罰対象になり得るこ とに注意したい(また、個人情報保護法と異なり、 本人の同意を得ても個人番号関係事務以外での利 用はできないことにも注意を要する)。 特定個人情報の提供制限等  次に、特定個人情報の提供制限等について、主 な保護措置は以下のとおりである。 8 JAHMC 2015 June
  4. 4. ①何人も、特定個人情報の提供を受けることが認 められている場合を除き、他人(自己と同一の 世帯に属する者以外の者をいう)に対し、個人 番号の提供を求めてはならない(同法第15条)。 ②特定個人情報の提供について、個人番号の利用 制限と同様に、個人情報保護法における個人情 報の提供の場合よりも限定的に定めている(同 法第 19 条)。 ③さらに、特定個人情報の収集または保管につい ても同様の制限を定めている(同法第 20 条)。 ④なお、本人から個人番号の提供を受ける場合に は、本人確認を義務付けている(同法第 16 条)。  事業者は、個人番号関係事務に必要な場合以外 は個人番号の提供を求めることを禁止している。  また、事業者が特定個人情報を提供できるのは、 社会保障、税および災害対策に関する行政等の事 務(個人番号利用事務)に協力するために従業員 等の特定個人情報を行政機関等および健康保険組 合等に提供する場合等に限られる。  たとえば、複数の医療法人や社会福祉法人、介 護事業者等を統括して運営している医療・福祉・ 介護グループでは、グループ内の各法人間の出向 または転籍による異動の際に、医療法人 A から 社会福祉法人 B に当該職員の特定個人情報を受 け渡しした場合は、特定個人情報の提供の制限に 関する違反になる。また、医療・福祉・介護グルー プで一元管理している人事・労務システムで、医 療法人 A の職員が、社会福祉法人 B の職員の特 定個人情報が閲覧できる場合も特定個人情報の提 供の制限に関する違反になる。  個人情報保護法においては、個人データを特定 の者との間で共同して利用する場合には、第三者 提供にあたらないとしている(個人情報保護法第 23 条第 4 項第 3 号)が、マイナンバー法におい ては、共同利用の適用を除外している(番号法第 29 条第 3 項)ことから、この場合も通常の「提供」 にあたり、提供制限(同法第 14 条から第 16 条 まで、第 19 条、第 20 条、第 29 条第 3 項)に従 うこととなるため、要注意である。  複数の医療法人や社会福祉法人、介護事業等を 統括して運営している医療・福祉・介護グループ においては、保護法の「個人データを特定の者と の間で共同して利用する場合には、第三者提供に 当たらない」を利用して、グループ内の各法人の 職員情報を一元管理して共有している場合が多い と思われる。その場合は、既存の人事・労務シス テムで職員の特定個人情報を管理するための改修 にあたっては、以下の点を考慮する必要がある。 ①他法人職員のマイナンバーの閲覧を不可とし、 自法人の当該個人番号関係事務担当者のみとす るなどの検討を行う。 ②出向または転籍する職員本人が、異動先法人の 個人番号関係事務担当者に自分のマイナンバー の閲覧を本人の意思で不可から可に変更できる 仕組みを追加するなどの検討を行う。  一方、特定個人情報の収集または保管について も、事業者は、個人番号関係事務に必要な場合以 外は、個人番号の収集または保管することを禁止 している。たとえば、医療機関が外部の医師に講 師をお願いして講演料を支払う場合において、講 師から個人番号が記載された書類等を受け取る教 育研修担当者と支払調書作成事務を行う経理担当 者が異なるときは、書類等を受け取る教育研修担 当者は、支払調書作成事務を行う経理担当者にで きるだけ速やかにその書類を受け渡すこととし、 自分の手元に個人番号を残してはならない。  また、支払調書等の作成事務のために提供を受 けた特定個人情報を情報システムに保存している 場合においては、所管法令で定められている保存 期間を経過した場合には、原則として、個人番号 をできるだけ速やかに廃棄または削除しなければ ならない。そのため、特定個人情報を保存するシ ステムにおいては、保存期間経過後における廃棄 または削除を前提としたシステムを構築すること が求められる。  ところで、特定個人情報の収集時に、本人確認 を義務付けている(同法第 16 条)。  本人確認の要件は、「個人番号の確認」かつ「身 元確認」である。たとえば、「個人番号カード」 であれば、裏面で「個人番号の確認」ができ、表 寄 稿 1 9JAHMC 2015 June
  5. 5. 面で「身元確認」ができる(図表 2)。  一方、「通知カード」であれば、「個人番号の確 認」のみなので、「身元確認」として運転免許証 等の確認が必要になる(ただし、雇用関係にある 等により、人違いでないことが明らかな場合には 省略可)。  なお、職員から扶養親族の個人番号を扶養控除 等申告書に記載して提出を受ける場合は、当該職 員が個人番号関係事務実施者として扶養親族から 個人番号の提供を受けて提出するため、本人確認 義務は当該職員に課せられ、事業者での本人確認 は不要である。 特定個人情報の安全管理措置等  次に、特定個人情報の安全管理措置等について、 主な保護措置は以下のとおりである。 ①個人番号(生存する個人のものだけでなく死者 のものも含む)について安全管理措置を講ずる こととされている(同法第 12 条)。 ②また、個人番号関係事務または個人番号利用事 務を再委託する場合には委託者による再委託の 許諾を要件とする(同法第 10 条)とともに、 委託者の委託先に対する監督義務を課している (同法第 11 条)。  事業者は、特定個人情報等の適正な取扱いに関 する安全管理措置を講ずる責務(委託先の監督も 含む)がある。 マイナンバー実務対応導入プロセス  医療現場における情報セキュリティ・マネジメ ントにおけるマイナンバー実務対応のための導入 プロセスは、次のとおりである。 ①特定個人情報の取扱いに関する基本方針の策定 ②特定個人情報を取り扱う事務の範囲の明確化 ③特定個人情報(帳票、データ)の範囲の明確化 ④個人番号関係事務担当責任者の明確化 ⑤特定個人情報の事務フローに沿ったリスク分析 ⑥個人番号関係事務に関する取扱規程等の策定お よび就業規則の改訂 ⑦個人番号関係事務に係るシステムの改修 ⑧委託先の選定および必要かつ適切な監督 ⑨職員に対する研修・周知 ⑩運用開始および定期的な運用のチェック ⑪内部監査(1 回/年) ⑫マネジメントレビュー(1 回/年)  前述の①~⑤で、個人番号関係事務内容および その事務で取り扱う帳票・データを洗い出し、特 定個人情報の取扱いのプロセス(取得、利用、委 託、提供、保管、返却、削除・廃棄など)を可視 化(フロー図化)し、各プロセス単位に想定され るリスクを洗い出し、どんなリスクがあるのかを ●図表 2 個人番号カードの機能と期待される活用方法 出所:厚生労働省「医療等分野における番号制度の活用等に関する研究会」中間まとめ資料より 10 JAHMC 2015 June
  6. 6. 認識することが重要である。  なお、医療機関では個人番号を利用しない場合 でも、医療機関または医師等の証明や、医療機関 作成の書類添付を要する申請書類(たとえば傷病 手当金支給申請書など)に個人番号が記載されて いるものを取り扱う場合があり、「③特定個人情 報(帳票、データ)の範囲の明確化」の対象であ り、漏れがないように洗い出す必要がある。  また昨今、委託先での漏えい等の事故がたびた び発生しているため、委託者自らが果たすべき安 全管理措置と同等の措置が講じられるよう、必要 かつ適切な監督を委託先(間接的に再委託先も含 む)に対しても行わなければならないとの監督義 務を課しているので、委託先でのリスクの洗い出 しおよびリスクの認識は欠かせない。  洗い出されたリスクに対して、合理的な対策お よび対策後の残存リスクを洗い出し、定期的に見 直すようなマネジメントシステムを構築すること が望まれる。  なお、合理的な安全管理措置として、大別して 4 区分あり、前述の「⑥個人番号関係事務に関す る取扱規程等の策定」において、たとえば安全管 理規程等に盛り込むとともに、既存の就業規則を 改訂(懲戒処分の対象となる行為を列挙している 条項にマイナンバー法の義務違反行為を追加)し ておくことも欠かせない。 ①組織的安全管理措置  組織体制、規程や手順書等の整備等 ②人的安全管理措置  職員に対する監督および教育・訓練等 ③物理的安全管理措置 特定個人情報を取り扱うエリアへの入退館(室) の管理、機器、電子媒体および書類等の盗難の 防止等の物理的な措置 ④技術的安全管理措置 特定個人情報ファイルを取り扱う情報システム へのアクセス制御、不正ソフトウェア対策、情 報システムの監視等の技術的な措置  具体的な安全管理措置については、特定個人情 報委員会「特定個人情報の適正な取扱いに関する ガイドライン(事業者編)」(2014 年 12 月 11 日) の別添「特定個人情報に関する安全管理措置(事 業者編)」に具体的な手法が例示されているので 参照し、医療機関の規模および特定個人情報等を 取り扱う事務の特性等により適切な手法を採用す ることが望まれる。 「マイナンバー実務対応チェックシート」  以上、医療機関の情報セキュリティ・マネジメ ントにおけるチェックポイントについて、マイナ ンバー実務対応の視点で、マイナンバー制度の趣 旨、注意すべきポイント、導入プロセスなどを記 述した。  ところでマイナンバー法は、一般法である個人 情報保護法の特別法であり、特別法は一般法に優 先する。特別法であるマイナンバー法以外の部分 は、特定個人情報も個人情報なので個人情報取扱 事業者の場合は個人情報保護法にも対応しなけれ ばならないが、紙面の都合上、割愛したのでご理 解いただきたい。  なお、医業経営コンサルタントの方々が、顧問 先の医療機関等でマイナンバー対応状況をチェッ クし、対応漏れを防ぐための「マイナンバー実務 対応チェックシート」を別途作成した。NPO 法 人 公的病院を良くする会のホームページ(http:// www.kbyk.jp/)にダウンロードの案内文を掲示 するので、顧問先医療機関等の組織成熟度向上の ための支援ツールの 1 つとしてご活用いただけ れば幸いである。 寄 稿 1 おがわ としはる:1981 年千葉大学機械工学部卒、帝人(株) 入社。1990 年エイコー産業(株)(現社名:one(株))入社。 2002 年南大阪大学経営情報学科講師。2004 年日本経営品 質賞・審査員 (( 公財 ) 日本生産性本部 )。2006 年 IT-WG 研 究員 (( 一財 ) 日本情報経済社会推進協会 )。2009 年 P マー ク研修委員会委員 (( 一財 ) 関西情報センター )。2012 年監査 品質 WG メンバー ( 日本セキュリティ監査協会 )。2014 年日 本セキュリティ監査協会会長賞受賞 ( 日本セキュリティ監査 協会 )。( 公社 ) 日本医業経営コンサルタント協会研究会報 告書「地域包括ケアシステムにおける在宅療養支援病院に対 する期待と課題」作成実行委員。現在、one(株)代表取締役。 http://one.jp/(ogawa@one.jp) PROFILE 11JAHMC 2015 June

×