医療機関等におけるマイナンバー対応Q＆A

1. 医療機関等におけるマイナンバー対応Ｑ＆Ａ小川敏治 NPO 法人公的病院を良くする会（公認情報セキュリティ監査人／プライバシーマーク審査員研修主任講師／認定登録医業経営コンサルタント）寄稿２ Q１収集職員からマイナンバーを収集する際にも、本人確認は行わなければならないのですか？収集に際しては、①マイナンバー法により「本人のマイナンバー確認」＋「本人の身元全国の市区町村から一括委任を受けた地方公共団体情報システム機構が、個人番号（以下、マイナンバー）を、転送不要の簡易書留で世帯主宛てに、概ね 11 月末頃までに配布できるよう取り組んでおり、本誌発行の頃にはすでにお手元に届き始めていると思われる。そのような状況下で、読者の皆さんには顧問先の医療機関等から、マイナンバー対応に関する質問やアドバイスを求められることが、日増しに増えることが予想される。そこで、医療機関等におけるマイナンバーの対応で、具体的に「しなければならないこと」「してはならないこと」を、「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」（以下、ガイドライン）、および「ガイドライン Q ＆ A」注 1 に基づきまとめた。注 1：詳細は http://www.ppc.go.jp/legal/policy/ 参照［Q ＆ A カテゴリ区分］ Q&A は、マイナンバーの取り扱いに関する「手続き上の約束事」と、情報セキュリティ・マネジメン確認」の義務注 1 が、②保護法により「利用目的の特定と明示」の義務注 2 が課せられています。職員の身元確認については、雇用契約成立時等に本人であることの確認を行っており、対面確認（本人に相違ないことが明らかに判断できる状況）下でマイナンバーを収集する場合は、身元確認のための書類提示を求める必要はありません。ただしこの場合も番号確認は、必ず通知カード等を提ト「安全管理措置」に大別。前者について、取り扱いプロセスにより「Q1 収集」「Q2 利用・提供」「Q3 保管・廃棄」に分け、さらに取り扱いの一部または全部を委託する場合の「Q4 委託」を別途項目立てた。「Q5 安全管理措置」は Q1∼Q4 全体に関連するものと認識いただきたい（図表 1）。［略語について］マイナンバー法：「行政手続における特定の個人を識別するための番号の利用等に関する法律」保護法：「個人情報の保護に関する法律」通知カード等：当初郵送されてくる「通知カード」、申請により配布される顔写真付きの「個人番号カード」がある。 A Q1-1 ●図表 1 Q&A カテゴリ（著者作成）対応取り扱い手続き上の約束事安全管理措置収集Ｑ１委託Ｑ４Ｑ５利用・提供Ｑ２保管・廃棄Ｑ３ 10 JAHMC 2015 November

2. 示してもらって行います注 3 。なお、対面・非対面の収集いずれにおいても、もし本人が「通知カードを紛失した」という場合は、市区町村の窓口に行き①通知カード等の再交付を申請する、もしくは②マイナンバーが記載された住民票の写しをとるように情報提供してください。一方、収集の前提として、保護法による「利用目的の特定と明示」の対応も必要です。また、マイナンバーは、複数の事務で利用することが十分想定されます。医療機関等と職員の間では、「源泉徴収票作成事務」「健康保険・厚生年金保険届出事務」などを利用目的としてまとめて本人に明示しておくことで、その都度、利用目的の特定と明示が必要なくなり手間が省けます。注 1：マイナンバー法第 16 条（本人確認）注 2：保護法第 15 条第 1 項（利用目的の特定）、第 18 条第 2 項（直接書面等による取得）注 3：本人確認の詳細は国税庁「国税分野における番号法に基づく本人確認方法」www.nta.go.jp/mynumberinfo/pdf/ kakunin.pdf を参照されたい。有効な書類、インターネットによる方法なども紹介されている身元確認の際に提示を受けた本人確認書類のコピーを、医療機関内に保管することはできますか？本人確認書類のコピーを保管する法令上の義務はありませんが、本人確認の記録を残すためにコピーを保管することはできます。ただし、コピーを保管する場合は、安全管理措置を適切に講じる必要が求められています（Q5 参照）。収集したマイナンバーに誤りがあった場合、事務実施者である医療機関等に責任は及びますか？罰則規定はありませんが、前述 Q1-1 のとおり、マイナンバーの「確認」が義務付けられており、また保護法により「正確性の確保の努力義務」注 4 が課されています。そこで、実はマイナンバー 12 桁のうち下 1 桁は検査用数字（チェックデジット）で、上 11 桁の基礎番号を規定の計算式注 5 で計算すると下 1 桁の数字となります。既存の情報システムをマイナンバー対応にバージョンアップする際に、このチェックデジット機能を組み込むことも、入力ミスを防ぐ対応策の 1 つになります注 6 。注 4 : 保護法第 19 条注 5：総務省の省令で規定注 6：参考までに法人番号は 13 桁で、上 1 桁が検査用数字職員等からマイナンバーを収集できない場合、どのように対応すればいいですか？まず、安易に行政機関等にマイナンバーを記載しない書類の提出はせず、職員に対し、マイナンバーの収集は、医療機関等にとって法律で定められた義務であることを伝え、提供を求めてください。それでもなお提供を受けられない場合は、提供を求めた経過等を記録、保存するなどし、安易に記載していないのではないことを明確にしておきます。経過等の記録がなければ、マイナンバーを収集していないのか、できていないのか、あるいは収集したのに紛失したのかが判別できません。経過等の記録をとることについて、たとえば「マイナンバーに関する取扱規程」（仮）などに反映しておき、事務担当者の教育を行うことも重要です。また、就業規則にも「マイナンバーの提供および本人確認に協力しなければならない」旨を追加しておくことも望まれます。なお国税庁は、「法定調書などの記載対象となっている方すべてが個人番号をお持ちとは限らず、そのような場合は個人番号を記載することはできませんので、個人番号の記載がないことをもって、税務署が書類を受理しないということはありません」と公表しています。Ｑ 2 利用・提供マイナンバー法では、マイナンバーの「利用」を厳しく制限していると聞いたのですが、どういうことですか？ A A A Q1-2 Q1-3 Q1-4 Q2-1 11JAHMC 2015 November

3. Q2-1 の利用制限と同様に、提供についても保護法よりも限定的に定められています注 9 。医療機関等がマイナンバーを「提供」できるのは、行政機関等に限られ、次のような場合は違反となります。 ①医療法人や社会福祉法人、介護事業者等の複数の法人を統括して運営している医療・福祉・介護グループで、グループ内の各法人間の出向または転籍による異動の際に、医療法人 A から社会福祉法人 B に当該職員のマイナンバーを受け渡しした場合。 ②医療・福祉・介護グループで一元管理している人事・労務システムで、医療法人 A の職員が、社会福祉法人 B の職員の個人番号が閲覧できる場合。保護法では、個人データを特定の者との間で共同して利用し、ある一定の条件を満たせば、第三者提供にあたらないとされています注 10 。しかし、マイナンバー法では、共同利用の適用を除外しています注 11 。したがって①②は通常の「提供」とみなされ、マイナンバー法の提供制限注 12 に違反することになります。したがって、グループ内の各法人の職員情報を一元管理・共有しており、既存の人事・労務システムで職員のマイナンバーを管理するための情報システムを改修する場合は、以下の点を考慮する必要があります。 ①他法人の職員の個人番号へのアクセス禁止、さらに自法人内においては、個人番号取扱事務担当者以外の職員が個人番号の閲覧、入力、変更、削除、印字などができないように、アクセス制御強化、アクセス・ログ記録とそのログの点検機能追加などの情報システムの見直し。 ②別法人に出向または転籍する職員本人の意思に基づく操作により出向先に移動させる機能追加などの情報システムの見直し。注 9 ：マイナンバー法第 19 条注 10：保護法第 23 条第 4 項第 3 号注 11：同法第 29 条第 3 項注 12：同法第 14 条∼第 16 条、第 19 条、第 20 条、第 29 条第 3 項マイナンバーを主体的に利用できるのは、行政機関等です注 7 。医療機関等を含む事業者は、同法で規定された行政機関等の事務に協力するよう努めるものとする注 8 とされ、従属的な利用（行政機関等への提出）に限定されています。また、行政機関等への提出事務に必要な範囲を超えた「特定個人情報ファイル（マイナンバーを含む個人情報データベース等）の作成」は禁止されています。つまり医療機関等が、法令に基づき職員等のマイナンバーを、給与所得の源泉徴収票、健康保険・厚生年金保険被保険者資格取得届等の書類に印字して行政機関や健康保険組合に提出するために、人事・労務システムに入力して印字することは従属的利用の範囲内です。しかし、入力したマイナンバーを職員番号として主体的に人事・労務管理に利用することは、処罰対象になり得ることに注意してください。たとえ本人の同意を得ても、保護法と異なり、行政機関等への提出事務に必要な範囲外での利用はできません。注意を要しますので、職員教育などで周知徹底することが望まれます。注 7: マイナンバー法の別表第 1( 利用範囲 ) 及び別表第 2( 情報連携 ) で明記された行政等の事務 ( 個人番号利用事務 ) のみ。それ以外での利用 ( 利活用 ) は禁止されている注 8: 同法 6 条職員等本人に給与所得の源泉徴収票を交付する場合に、その職員等本人や扶養親族のマイナンバーを記載して交付してよいですか？本人交付用の給与所得の源泉徴収票については、2015 年 10 月 2 日に所得税法施行規則第 93 条が改正され、「本人及び扶養親族の個人番号を記載しないこと」とされました。したがって、本人へ渡す源泉徴収票にはマイナンバーを記載しないでください。マイナンバー法では、マイナンバーの「提供」を厳しく制限していると聞いたのですが、どういうことですか？ A A A Q2-2 Q2-3 12 JAHMC 2015 November

4. 医療機関等が患者のマイナンバーを収集し診療などに利用することは禁じられていると聞いたのですが？ Q2-1 で述べたように、医療分野での利用は行政機関等に限定されています。自院のカルテ管理のために患者のマイナンバーを利用すること（窓口でのコピー、書き写し、オーダリングや電子カルテなどの情報システムに入力するなどの行為）は処罰対象となり得るので注意してください（p.15「医療等分野における番号制度」参照）。 Q3 保管・廃棄マイナンバーが記載された書類を一定期間保管する場合注 13 、情報システム内でマイナンバーを保存することはできますか？書類においてだけでなく、情報システム内においても保存することができると解されます。保管期間後は、できるだけ速やかに削除する必要があります。注 13：マイナンバーが記載された書類を一定期間保管することが所管法令によって義務付けられている場合支払調書の控えには保管義務が課されていませんが、支払調書の作成・提出後、マイナンバーが記載された支払調書の控えを保管することができますか？支払調書を正しく作成して提出したかを確認するために支払調書の控えを保管することは、行政機関等への提出事務の一環として認められると考えられます。保管期間については、確認の必要性と安全性（リスク）を勘案し、医療機関等において判断することとなっています（Q5 参照）。なお、税務における更正・決定等の期間制限に鑑みると、保管できる期間は最長でも 7 年が限度だと考えられます。マイナンバーの廃棄が必要となってから、廃棄作業を行うまでの期間は、どの程度許容されますか？毎年度末に廃棄を行うなど、安全性（リスク）と事務の効率性等を勘案し、医療機関等において判断することとなっています（Q5 参照）。マイナンバーを廃棄・削除した場合に、削除した記録を残す必要がありますか？ガイドラインで、「削除した場合は、削除した記録を保存すること」とされています。削除の記録の内容としては、帳票の種類・名称、責任者・取扱部署、削除・廃棄状況等で、マイナンバー自体は含めないものとされています。情報システムにおいて、保管期間を過ぎたマイナンバーを削除せずに、アクセスができないようにするという取り扱いは許容されますか？アクセス制御を行った場合も、利用の必要がなくなり、保管する必要性がなくなったマイナンバーは、できるだけ速やかに削除しなければなりません。必要以上に、マイナンバーを保管し続けることはできません。現在、業務ソフトウェアを運用しているパソコン内、かつ同一データベース内でマイナンバーを管理することはできますか？可能ですが、行政機関等への提出事務と関係のない事務で利用することのないように、また、マイナンバー取扱事務担当者以外の職員が閲覧、入力、変更、削除、印字などができないように、アクセス制御の強化と、アクセス・ログ記録・点検機能の追加など、当該情報システム寄稿２ A A A A A A A Q2-4 Q3-1 Q3-2 Q3-3 Q3-4 Q3-5 Q3-6 13JAHMC 2015 November

5. せん。なお、取り扱わない場合とは、契約条項に、マイナンバーを含む電子データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合などが考えられます。クラウドサービスがマイナンバー法上の委託に該当しない場合、そのクラウドサービス事業者に対して監督を行う義務は課されないと考えてよいですか？クラウドサービスがマイナンバー法上の委託に該当しない場合は、監督義務は課されませんが、クラウドサービスを利用する医療機関等は、自ら果たすべき安全管理措置の一環として、クラウドサービス上にあるデータについて、適切な安全管理措置を講じる必要があります（Q5 参照）。マイナンバーを取り扱う情報システム保守の全部または一部に、外部の事業者を活用している場合、マイナンバー法上の委託に該当しますか？ Q4-3 と考え方は同様です。単純なハードウエア・ソフトウエア保守サービスのみを行う場合で、契約条項によって、外部事業者がマイナンバーを含む電子データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合は、委託に該当しません。マイナンバーが記された書類の受け渡しで、配送業者、通信事業者など外部事業者による配送・通信手段を利用する場合、マイナンバー法上の委託に該当しますか？ Q4-3 と考え方は同様です。通常、配送業者は依頼物の特定個人情報の中身の詳細については関知しないことから、マイナンバー関係事務の委託には該当しないものと解されます。また、通信事業者による通信手段利用の場合も同様です。通常、特定個人情報を取り扱っているのではなく、通信手段を提供しているにすぎないの見直しが必要です（Q5 参照）。 Q4 委託委託先との業務委託契約の締結に当たり、契約書等に、マイナンバーの取り扱いを委託する旨、特段の記載が必要になりますか？業務委託契約では、通常、委託する業務の「範囲」を特定します。同様の考え方で範囲を特定する必要があります。マイナンバー法では、利用範囲が限定的に定められているので、その範囲内で委託する旨を記載する必要があります。委託先が再委託（または再々委託など）を行うにあたり、最初の委託元（医療機関等）から必ず許諾を得る必要がありますか？必要です。マイナンバー法で明示されています注 14 。許諾の方法についての制限は特段ありませんが、安全管理措置について確認する必要があり、書面等の記録として残る形式をとることが望ましいと考えられます。なお、仮に委託先や再委託先からマイナンバーや特定個人情報が漏えいした場合、医療機関等は、委託先および再委託先に対する監督責任を問われる可能性があります。注 14：同法第 10 条第 1 項マイナンバーを取り扱う情報システムに、クラウドサービスによって外部の事業者を活用している場合、マイナンバー法上の委託に該当しますか？委託に該当するか否かは、マイナンバーを含む電子データを取り扱うか否かが基準となります。取り扱いを含む場合は、マイナンバー関係事務の全部または一部を受けたとみなされますが、取り扱わない場合は委託には該当しま A A A A A A Q4-1 Q4-2 Q4-3 Q4-4 Q4-5 Q4-6 14 JAHMC 2015 November

6. 寄稿２ことから、委託には該当しないものと解されます。ただし、マイナンバー法では安全管理措置を講ずる義務が課せられている注15 ので、マイナンバーが漏えいしないよう、適切な外部事業者の選択、安全な配送方法の指定等の措置を講じる必要があります（Q5 参照）。注 15：同法第 12 条等 Q5 安全管理措置ガイドラインの「しなければならない」こととしてある「事務取扱担当者の明確化」で、個人名は明記しなくてもよいのですか？部署名（○○課等）、事務名（○○事務担当者）などで担当者が明確になれば十分であると考えられます。ただし、部署名等により事務取扱担当者が明確にならない場合は、担当者氏名を明記する必要があると考えられます。事務取扱担当者には、マイナンバーを取り扱う事務に従事するすべての者が該当しますか？一般的には、マイナンバーの収集から廃棄までの事務に従事するすべての者が該当すると考えられます。ここで重要なのは、事務取扱担当者に該当するか否かを判断することよりも、マイナンバー取り扱いにはリスクが伴うことを前提に、必要かつ適切な安全管理措置を講じることです。たとえば、定期的に発生する事務、中心となる事務を担当する者に対する安全管理措置と、書類を移送するなど補助的に一部の事務を行う者に対する安全管理措置は異なってくることは十分に考えられます。取り扱いにかかわる事務フロー全体として、漏れのない必要かつ適切な安全管理措置を講じることが重要です。ガイドラインに示す安全管理措置を講じれば十分ですか？ガイドラインでは、組織的、人的、物理的、技術的の 4 区分の安全管理措置について、具体的な手段・方法の制限は示されていません。「事業者の規模及び特定個人情報等を取り扱う事務の特性等により、適切な手法を採用することが重要である」と明記されています。また、ガイドライン Q&A では「保有する特定 A A A Q5-1 Q5-2 Q5-3 ▶2015 年 6 月 30 日に閣議決定された政府の「日本再興戦略」改訂 2015 に、「医療等分野における番号制度の導入」の項目が明示され、マイナンバーとは別に医療等分野専用の番号制度の創設が盛り込まれ、5 年後までに本格運用を目指すとされています。 ▶まず、先行（2017 年 7 月以降のできるだけ早い時期に）するのは「医療保険のオンライン資格確認」で、医療機関と保険者との間に「資格確認サービス機関」（仮称）を介在させ、医療機関の窓口で扱う「医療等分野での番号」と保険者が資格情報を管理するマイナンバーとの照合を計画しています。つまり、医療機関は患者のマイナンバーを直接取り扱わない情報システムの構築を目指しているのです。 ▶なお、日本医師会「医療分野等 ID 導入に関する検討委員会」中間とりまとめ（2015 年 7 月 15 日）では、医療等 ID の記載・格納媒体について「現行の保険証に医療等 ID を記載・格納する方法」と、「マイナンバーカードの公的個人認証機能を活用したオンライン保険資格確認の方法」が併記されています。 ▶一方、昨年末から一時休止していた厚生労働省「医療等分野における番号制度の活用等に関する研究会」が約 10 カ月ぶりに再開し、前述の日本医師会の中間とりまとめを受け、具体的な制度設計や固有の番号が付された個人情報の取り扱いルールを検討し、今年末までに一定の結論を得るとしています。医療等分野における番号制度 15JAHMC 2015 November

7. 寄稿２おがわとしはる：1981 年千葉大学機械工学部卒、帝人（株）入社。1990 年エイコー産業（株）（現社名：one（株））入社。 2002 年南大阪大学経営情報学科講師、2004 年日本経営品質賞・審査員（（公財）日本生産性本部）、2006 年 IT-WG 研究員（（一財）日本情報経済社会推進協会）、2009 年 P マーク研修委員会委員（（一財）関西情報センター）、2012 年監査品質 WG メンバー（日本セキュリティ監査協会）、2014 年日本セキュリティ監査協会会長賞受賞 ( 日本セキュリティ監査協会 ) など。現在、one（株）代表取締役。医療現場のマイナンバー実務対応のセミナーで講師を務める。 http://one.jp/（ogawa@one.jp） PROFILE 個人情報等の性質、情報漏えい・滅失・毀損等による影響等の検討に基づき、事案発生の抑止、未然防止及び検知並びに事案発生時の拡大防止等の観点から、適切に判断してください」とあります。つまり、適切な情報セキュリティ対策は、院内および委託先に散在するマイナンバーの所在把握、およびそれらのリスクを把握することが前提となっています。各現場の実態に基づく、各局面（Q1 ∼ Q4 の収集、利用・提供、保管・廃棄、委託）におけるリスクを洗い出し、それらのリスクに応じた合理的な対策を講じるとともに、リスク対策後の残存リスクも管理し、継続的に改善するリスクマネジメントを行うことが求められます。リスクマネジメントについては、医療機関等のトップ（理事長、院長）の最終承認が必要であることはいうまでもありません。現場任せにせず、トップ自らが、現場での想定されるリスクを把握しておかなければならない時代に突入しており、トップのリーダーシップが欠かせません。＊以上、マイナンバー対応の主な Q&A をまとめた。本誌の他稿と重複する部分は割愛したこと、現時点での Q ＆ A であり、今後の改正や変更などがある旨をご理解・ご了承いただきたい。今後 5 年間（図表 2）で、本年 9 月に改正された保護法の 2 年以内の施行→ 3 年後のマイナンバー法見直し→ 5 年後までに本格運用を目指す「医療等分野における番号制度」と、順次、改正および見直し、制度導入が予定されている。医療機関等においては、その都度、個人情報（マイナンバーを含む）の保護に関する運用体制や内部規程、業務フロー、安全管理措置などを見直すことになる。顧問先の医療機関等がこれらの外的環境変化に柔軟に対応できるように、情報セキュリティ・マネジメント力の向上および組織成熟度の向上のための支援ツールの 1 つとして、拙稿をご活用いただければ幸いである。 ●図表 2 医療機関等における医療・介護分野の個人情報に関する法・制度の動向（2015 年 10 月現在、著者作成）法・制度区分および項目個人情報保護法（個人情報）マイナンバー法（特定個人情報）医療等分野における番号制度（医療等 ID（仮称））対象者︵個人︶医療・介護等サービス利用患者要介護者、施設入居者等厚生労働省「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」厚生労働省「○○○○○ ガイドライン」注 16 医療・介護等サービス提供被雇用者医師、看護師、事務職員等特定個人情報委員会「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」その他被雇用者の控除対象配偶者扶養親族個人講師、地主、家主等今後５年間の動向本年９月改正 ( ２年以内の施行 ) ３年後見直し５年後までに本格運用を目指す注 16：「医療等分野における番号制度」の創設に伴い、新たな厚生労働省のガイドラインが公表されることが予想される。 16 JAHMC 2015 November

医療機関等におけるマイナンバー対応Q＆A

HealthcareBitStation

医療機関等におけるマイナンバー対応Q＆A