-
Be the first to like this
Upcoming SlideShare
医療機関等におけるマイナンバー対応Q&A
- 1. 医療機関等における マイナンバー対応Q&A 小川 敏治 NPO 法人 公的病院を良くする会 (公認情報セキュリティ監査人/プライバシーマーク審査員研修主任講師/認定登録 医業経営コンサルタント) 寄 稿 2 Q1 収集 職員からマイナンバーを収集する 際にも、本人確認は行わなければ ならないのですか? 収集に際しては、①マイナンバー法により 「本人のマイナンバー確認」+「本人の身元 全国の市区町村から一括委任を受けた地方公共 団体情報システム機構が、個人番号(以下、マイ ナンバー)を、転送不要の簡易書留で世帯主宛て に、概ね 11 月末頃までに配布できるよう取り組 んでおり、本誌発行の頃にはすでにお手元に届き 始めていると思われる。そのような状況下で、読 者の皆さんには顧問先の医療機関等から、マイナ ンバー対応に関する質問やアドバイスを求められ ることが、日増しに増えることが予想される。 そこで、医療機関等におけるマイナンバーの対 応で、具体的に「しなければならないこと」「し てはならないこと」を、「特定個人情報の適正な 取扱いに関するガイドライン(事業者編)」(以下、 ガイドライン)、および「ガイドライン Q & A」注 1 に基づきまとめた。 注 1:詳細は http://www.ppc.go.jp/legal/policy/ 参照 [Q & A カテゴリ区分] Q&A は、マイナンバーの取り扱いに関する「手 続き上の約束事」と、情報セキュリティ・マネジメン 確認」の義務注 1 が、②保護法により「利用目的の 特定と明示」の義務注 2 が課せられています。 職員の身元確認については、雇用契約成立時等 に本人であることの確認を行っており、対面確認 (本人に相違ないことが明らかに判断できる状況) 下でマイナンバーを収集する場合は、身元確認の ための書類提示を求める必要はありません。ただ しこの場合も番号確認は、必ず通知カード等を提 ト「安全管理措置」に大別。前者について、取り 扱いプロセスにより「Q1 収集」「Q2 利用・提供」 「Q3 保管・廃棄」に分け、さらに取り扱いの一部 または全部を委託する場合の「Q4 委託」を別途 項目立てた。「Q5 安全管理措置」は Q1∼Q4 全 体に関連するものと認識いただきたい(図表 1)。 [略語について] マイナンバー法:「行政手続における特定の個人 を識別するための番号の利用等に関する法律」 保護法:「個人情報の保護に関する法律」 通知カード等:当初郵送されてくる「通知カード」、 申請により配布される顔写真付きの「個人番号 カード」がある。 A Q1-1 ●図表 1 Q&A カテゴリ(著者作成) 対 応 取り扱い 手続き上の 約束事 安全管理措置 収集 Q1 委託 Q4 Q5利用・提供 Q2 保管・廃棄 Q3 10 JAHMC 2015 November
- 2. 示してもらって行います注 3 。 なお、対面・非対面の収集いずれにおいても、 もし本人が「通知カードを紛失した」という場合 は、市区町村の窓口に行き①通知カード等の再交 付を申請する、もしくは②マイナンバーが記載され た住民票の写しをとるように情報提供してください。 一方、収集の前提として、保護法による「利用 目的の特定と明示」の対応も必要です。また、マ イナンバーは、複数の事務で利用することが十分 想定されます。医療機関等と職員の間では、「源 泉徴収票作成事務」「健康保険・厚生年金保険届 出事務」などを利用目的としてまとめて本人に明 示しておくことで、その都度、利用目的の特定と 明示が必要なくなり手間が省けます。 注 1:マイナンバー法第 16 条(本人確認) 注 2:保護法第 15 条第 1 項(利用目的の特定)、第 18 条第 2 項(直 接書面等による取得) 注 3:本人確認の詳細は国税庁「国税分野における番号法に基づ く本人 確 認 方 法 」www.nta.go.jp/mynumberinfo/pdf/ kakunin.pdf を参照されたい。有効な書類、インターネット による方法なども紹介されている 身元確認の際に提示を受けた本人 確認書類のコピーを、医療機関内 に保管することはできますか? 本人確認書類のコピーを保管する法令上の 義務はありませんが、本人確認の記録を残 すためにコピーを保管することはできます。ただ し、コピーを保管する場合は、安全管理措置を適 切に講じる必要が求められています(Q5 参照)。 収集したマイナンバーに誤りが あった場合、事務実施者である医 療機関等に責任は及びますか? 罰則規定はありませんが、前述 Q1-1 のと おり、マイナンバーの「確認」が義務付け られており、また保護法により「正確性の確保の 努力義務」注 4 が課されています。 そこで、実はマイナンバー 12 桁のうち下 1 桁 は検査用数字(チェックデジット)で、上 11 桁 の基礎番号を規定の計算式注 5 で計算すると下 1 桁の数字となります。既存の情報システムをマイ ナンバー対応にバージョンアップする際に、この チェックデジット機能を組み込むことも、入力ミ スを防ぐ対応策の 1 つになります注 6 。 注 4 : 保護法第 19 条 注 5:総務省の省令で規定 注 6:参考までに法人番号は 13 桁で、上 1 桁が検査用数字 職員等からマイナンバーを収集で きない場合、どのように対応すれ ばいいですか? まず、安易に行政機関等にマイナンバーを 記載しない書類の提出はせず、職員に対し、 マイナンバーの収集は、医療機関等にとって法律 で定められた義務であることを伝え、提供を求め てください。 それでもなお提供を受けられない場合は、提供 を求めた経過等を記録、保存するなどし、安易に 記載していないのではないことを明確にしておき ます。経過等の記録がなければ、マイナンバーを 収集していないのか、できていないのか、あるい は収集したのに紛失したのかが判別できません。 経過等の記録をとることについて、たとえば「マ イナンバーに関する取扱規程」(仮)などに反映 しておき、事務担当者の教育を行うことも重要で す。また、就業規則にも「マイナンバーの提供お よび本人確認に協力しなければならない」旨を追 加しておくことも望まれます。 なお国税庁は、「法定調書などの記載対象となっ ている方すべてが個人番号をお持ちとは限らず、 そのような場合は個人番号を記載することはでき ませんので、個人番号の記載がないことをもって、 税務署が書類を受理しないということはありませ ん」と公表しています。 Q 2 利用・提供 マイナンバー法では、マイナン バーの「利用」を厳しく制限して いると聞いたのですが、どういうことですか? A A A Q1-2 Q1-3 Q1-4 Q2-1 11JAHMC 2015 November
- 3. Q2-1 の利用制限と同様に、提供について も保護法よりも限定的に定められていま す注 9 。医療機関等がマイナンバーを「提供」でき るのは、行政機関等に限られ、次のような場合は 違反となります。 ①医療法人や社会福祉法人、介護事業者等の複数 の法人を統括して運営している医療・福祉・介 護グループで、グループ内の各法人間の出向ま たは転籍による異動の際に、医療法人 A から 社会福祉法人 B に当該職員のマイナンバーを 受け渡しした場合。 ②医療・福祉・介護グループで一元管理している 人事・労務システムで、医療法人 A の職員が、 社会福祉法人 B の職員の個人番号が閲覧でき る場合。 保護法では、個人データを特定の者との間で共 同して利用し、ある一定の条件を満たせば、第三 者提供にあたらないとされています注 10 。しかし、 マイナンバー法では、共同利用の適用を除外して います注 11 。したがって①②は通常の「提供」と みなされ、マイナンバー法の提供制限注 12 に違反 することになります。 したがって、グループ内の各法人の職員情報を 一元管理・共有しており、既存の人事・労務シス テムで職員のマイナンバーを管理するための情報 システムを改修する場合は、以下の点を考慮する 必要があります。 ①他法人の職員の個人番号へのアクセス禁止、さ らに自法人内においては、個人番号取扱事務担 当者以外の職員が個人番号の閲覧、入力、変更、 削除、印字などができないように、アクセス制 御強化、アクセス・ログ記録とそのログの点検 機能追加などの情報システムの見直し。 ②別法人に出向または転籍する職員本人の意思に 基づく操作により出向先に移動させる機能追 加などの情報システムの見直し。 注 9 :マイナンバー法第 19 条 注 10:保護法第 23 条第 4 項第 3 号 注 11:同法第 29 条第 3 項 注 12:同法第 14 条∼第 16 条、第 19 条、第 20 条、第 29 条第 3 項 マイナンバーを主体的に利用できるのは、 行政機関等です注 7 。医療機関等を含む事業 者は、同法で規定された行政機関等の事務に協力 するよう努めるものとする注 8 とされ、従属的な 利用(行政機関等への提出)に限定されています。 また、行政機関等への提出事務に必要な範囲を超 えた「特定個人情報ファイル(マイナンバーを含む個 人情報データベース等)の作成」は禁止されています。 つまり医療機関等が、法令に基づき職員等のマ イナンバーを、給与所得の源泉徴収票、健康保険・ 厚生年金保険被保険者資格取得届等の書類に印字 して行政機関や健康保険組合に提出するために、 人事・労務システムに入力して印字することは従 属的利用の範囲内です。しかし、入力したマイナ ンバーを職員番号として主体的に人事・労務管理 に利用することは、処罰対象になり得ることに注 意してください。 たとえ本人の同意を得ても、保護法と異なり、 行政機関等への提出事務に必要な範囲外での利用 はできません。注意を要しますので、職員教育な どで周知徹底することが望まれます。 注 7: マイナンバー法の別表第 1( 利用範囲 ) 及び別表第 2( 情報 連携 ) で明記された行政等の事務 ( 個人番号利用事務 ) の み。 それ以外での利用 ( 利活用 ) は禁止されている 注 8: 同法 6 条 職員等本人に給与所得の源泉徴収 票を交付する場合に、その職員等 本人や扶養親族のマイナンバーを記載して交付し てよいですか? 本人交付用の給与所得の源泉徴収票につい ては、2015 年 10 月 2 日に所得税法施行 規則第 93 条が改正され、「本人及び扶養親族の 個人番号を記載しないこと」とされました。した がって、本人へ渡す源泉徴収票にはマイナンバー を記載しないでください。 マイナンバー法では、マイナン バーの「提供」を厳しく制限して いると聞いたのですが、どういうことですか? A A A Q2-2 Q2-3 12 JAHMC 2015 November
- 4. 医療機関等が患者のマイナンバー を収集し診療などに利用すること は禁じられていると聞いたのですが? Q2-1 で述べたように、医療分野での利用 は行政機関等に限定されています。自院の カルテ管理のために患者のマイナンバーを利用す ること(窓口でのコピー、書き写し、オーダリン グや電子カルテなどの情報システムに入力するな どの行為)は処罰対象となり得るので注意してく ださい(p.15「医療等分野における番号制度」 参照)。 Q3 保管・廃棄 マイナンバーが記載された書類を 一定期間保管する場合注 13 、情報 システム内でマイナンバーを保存することはでき ますか? 書類においてだけでなく、情報システム内 においても保存することができると解され ます。保管期間後は、できるだけ速やかに削除す る必要があります。 注 13:マイナンバーが記載された書類を一定期間保管することが所 管法令によって義務付けられている場合 支払調書の控えには保管義務が課 されていませんが、支払調書の作 成・提出後、マイナンバーが記載された支払調書 の控えを保管することができますか? 支払調書を正しく作成して提出したかを確 認するために支払調書の控えを保管するこ とは、行政機関等への提出事務の一環として認め られると考えられます。 保管期間については、確認の必要性と安全性(リ スク)を勘案し、医療機関等において判断するこ ととなっています(Q5 参照)。 なお、税務における更正・決定等の期間制限に 鑑みると、保管できる期間は最長でも 7 年が限 度だと考えられます。 マイナンバーの廃棄が必要となっ てから、廃棄作業を行うまでの期 間は、どの程度許容されますか? 毎年度末に廃棄を行うなど、安全性(リス ク)と事務の効率性等を勘案し、医療機関 等において判断することとなっています(Q5 参 照)。 マイナンバーを廃棄・削除した場 合に、削除した記録を残す必要が ありますか? ガイドラインで、「削除した場合は、削除 した記録を保存すること」とされています。 削除の記録の内容としては、帳票の種類・名称、 責任者・取扱部署、削除・廃棄状況等で、マイナ ンバー自体は含めないものとされています。 情報システムにおいて、保管期間 を過ぎたマイナンバーを削除せず に、アクセスができないようにするという取り扱 いは許容されますか? アクセス制御を行った場合も、利用の必要 がなくなり、保管する必要性がなくなった マイナンバーは、できるだけ速やかに削除しなけ ればなりません。必要以上に、マイナンバーを保 管し続けることはできません。 現在、業務ソフトウェアを運用し ているパソコン内、かつ同一デー タベース内でマイナンバーを管理することはでき ますか? 可能ですが、行政機関等への提出事務と関 係のない事務で利用することのないよう に、また、マイナンバー取扱事務担当者以外の職 員が閲覧、入力、変更、削除、印字などができな いように、アクセス制御の強化と、アクセス・ロ グ記録・点検機能の追加など、当該情報システム 寄 稿 2 A A A A A A A Q2-4 Q3-1 Q3-2 Q3-3 Q3-4 Q3-5 Q3-6 13JAHMC 2015 November
- 5. せん。 なお、取り扱わない場合とは、契約条項に、マ イナンバーを含む電子データを取り扱わない旨が 定められており、適切にアクセス制御を行ってい る場合などが考えられます。 クラウドサービスがマイナンバー 法上の委託に該当しない場合、そ のクラウドサービス事業者に対して監督を行う義 務は課されないと考えてよいですか? クラウドサービスがマイナンバー法上の委 託に該当しない場合は、監督義務は課され ませんが、クラウドサービスを利用する医療機関 等は、自ら果たすべき安全管理措置の一環として、 クラウドサービス上にあるデータについて、適切な 安全管理措置を講じる必要があります(Q5 参照)。 マイナンバーを取り扱う情報シス テム保守の全部または一部に、外 部の事業者を活用している場合、マイナンバー法 上の委託に該当しますか? Q4-3 と考え方は同様です。単純なハード ウエア・ソフトウエア保守サービスのみを 行う場合で、契約条項によって、外部事業者がマ イナンバーを含む電子データを取り扱わない旨が 定められており、適切にアクセス制御を行ってい る場合は、委託に該当しません。 マイナンバーが記された書類の受 け渡しで、配送業者、通信事業者 など外部事業者による配送・通信手段を利用する 場合、マイナンバー法上の委託に該当しますか? Q4-3 と考え方は同様です。通常、配送業 者は依頼物の特定個人情報の中身の詳細に ついては関知しないことから、マイナンバー関係 事務の委託には該当しないものと解されます。 また、通信事業者による通信手段利用の場合も 同様です。通常、特定個人情報を取り扱っている のではなく、通信手段を提供しているにすぎない の見直しが必要です(Q5 参照)。 Q4 委託 委託先との業務委託契約の締結に 当たり、契約書等に、マイナンバー の取り扱いを委託する旨、特段の記載が必要にな りますか? 業務委託契約では、通常、委託する業務の 「範囲」を特定します。同様の考え方で範 囲を特定する必要があります。マイナンバー法で は、利用範囲が限定的に定められているので、そ の範囲内で委託する旨を記載する必要があります。 委託先が再委託(または再々委託 など)を行うにあたり、最初の委 託元(医療機関等)から必ず許諾を得る必要があ りますか? 必要です。マイナンバー法で明示されてい ます注 14 。許諾の方法についての制限は特 段ありませんが、安全管理措置について確認する 必要があり、書面等の記録として残る形式をとる ことが望ましいと考えられます。 なお、仮に委託先や再委託先からマイナンバー や特定個人情報が漏えいした場合、医療機関等 は、委託先および再委託先に対する監督責任を問 われる可能性があります。 注 14:同法第 10 条第 1 項 マイナンバーを取り扱う情報シス テムに、クラウドサービスによっ て外部の事業者を活用している場合、マイナン バー法上の委託に該当しますか? 委託に該当するか否かは、マイナンバーを 含む電子データを 取り扱う か否かが基 準となります。取り扱いを含む場合は、マイナン バー関係事務の全部または一部を受けたとみなさ れますが、取り扱わない場合は委託には該当しま A A A A A A Q4-1 Q4-2 Q4-3 Q4-4 Q4-5 Q4-6 14 JAHMC 2015 November
- 6. 寄 稿 2 ことから、委託には該当しないものと解されます。 ただし、マイナンバー法では安全管理措置を講 ずる義務が課せられている注15 ので、マイナンバー が漏えいしないよう、適切な外部事業者の選択、 安全な配送方法の指定等の措置を講じる必要があ ります(Q5 参照)。 注 15:同法第 12 条等 Q5 安全管理措置 ガイドラインの「しなければなら ない」こととしてある「事務取扱 担当者の明確化」で、個人名は明記しなくてもよ いのですか? 部署名(○○課等)、事務名(○○事務担 当者)などで担当者が明確になれば十分で あると考えられます。ただし、部署名等により事 務取扱担当者が明確にならない場合は、担当者氏 名を明記する必要があると考えられます。 事務取扱担当者には、マイナン バーを取り扱う事務に従事するす べての者が該当しますか? 一般的には、マイナンバーの収集から廃棄 までの事務に従事するすべての者が該当 すると考えられます。 ここで重要なのは、事務取扱担当者に該当する か否かを判断することよりも、マイナンバー取り 扱いにはリスクが伴うことを前提に、必要かつ適 切な安全管理措置を講じることです。 たとえば、定期的に発生する事務、中心となる 事務を担当する者に対する安全管理措置と、書類 を移送するなど補助的に一部の事務を行う者に対 する安全管理措置は異なってくることは十分に考 えられます。取り扱いにかかわる事務フロー全体 として、漏れのない必要かつ適切な安全管理措置 を講じることが重要です。 ガイドラインに示す安全管理措置 を講じれば十分ですか? ガイドラインでは、組織的、人的、物理的、 技術的の 4 区分の安全管理措置について、 具体的な手段・方法の制限は示されていません。 「事業者の規模及び特定個人情報等を取り扱う事 務の特性等により、適切な手法を採用することが 重要である」と明記されています。 また、ガイドライン Q&A では「保有する特定 A A A Q5-1 Q5-2 Q5-3 ▶2015 年 6 月 30 日に閣議決定された政府の「日 本再興戦略」改訂 2015 に、「医療等分野における 番号制度の導入」の項目が明示され、マイナンバー とは別に医療等分野専用の番号制度の創設が盛り 込まれ、5 年後までに本格運用を目指すとされてい ます。 ▶まず、先行(2017 年 7 月以降のできるだけ早い時 期に)するのは「医療保険のオンライン資格確認」 で、医療機関と保険者との間に「資格確認サービス 機関」(仮称)を介在させ、医療機関の窓口で扱う 「医療等分野での番号」と保険者が資格情報を管理 するマイナンバーとの照合を計画しています。つまり、 医療機関は患者のマイナンバーを直接取り扱わない 情報システムの構築を目指しているのです。 ▶なお、日本医師会「医療分野等 ID 導入に関する 検討委員会」中間とりまとめ(2015 年 7 月 15 日) では、医療等 ID の記載・格納媒体について「現行 の保険証に医療等 ID を記載・格納する方法」と、「マ イナンバーカードの公的個人認証機能を活用したオ ンライン保険資格確認の方法」が併記されています。 ▶一方、昨年末から一時休止していた厚生労働省 「医療等分野における番号制度の活用等に関する研 究会」が約 10 カ月ぶりに再開し、前述の日本医師 会の中間とりまとめを受け、具体的な制度設計や 固有の番号が付された個人情報の取り扱いルール を検討し、今年末までに一定の結論を得るとして います。 医療等分野における番号制度 15JAHMC 2015 November
- 7. 寄 稿 2 おがわ としはる:1981 年千葉大学機械工学部卒、帝人(株) 入社。1990 年エイコー産業(株)(現社名:one(株))入社。 2002 年 南大阪大学経営情報学科講師、2004 年 日本経営 品質賞・審査員((公財)日本生産性本部)、2006 年 IT-WG 研究員((一財)日本情報経済社会推進協会)、2009 年 P マー ク研修委員会委員((一財)関西情報センター)、2012 年 監 査品質 WG メンバー(日本セキュリティ監査協会)、2014 年 日本セキュリティ監査協会 会長賞受賞 ( 日本セキュリティ 監査協会 ) など。現在、one(株)代表取締役。医療現場の マイナンバー実務対応のセミナーで講師を務める。 http://one.jp/(ogawa@one.jp) PROFILE 個人情報等の性質、情報漏えい・滅失・毀損等に よる影響等の検討に基づき、事案発生の抑止、未 然防止及び検知並びに事案発生時の拡大防止等の 観点から、適切に判断してください」とあります。 つまり、適切な情報セキュリティ対策は、院内 および委託先に散在するマイナンバーの所在把 握、およびそれらのリスクを把握することが前提 となっています。各現場の実態に基づく、各局面 (Q1 ∼ Q4 の収集、利用・提供、保管・廃棄、委 託)におけるリスクを洗い出し、それらのリスク に応じた合理的な対策を講じるとともに、リスク 対策後の残存リスクも管理し、継続的に改善する リスクマネジメントを行うことが求められます。 リスクマネジメントについては、医療機関等の トップ(理事長、院長)の最終承認が必要である ことはいうまでもありません。現場任せにせず、 トップ自らが、現場での想定されるリスクを把握 しておかなければならない時代に突入しており、 トップのリーダーシップが欠かせません。 * 以上、マイナンバー対応の主な Q&A をまとめ た。本誌の他稿と重複する部分は割愛したこと、 現時点での Q & A であり、今後の改正や変更な どがある旨をご理解・ご了承いただきたい。 今後 5 年間(図表 2)で、本年 9 月に改正され た保護法の 2 年以内の施行→ 3 年後のマイナン バー法見直し→ 5 年後までに本格運用を目指す 「医療等分野における番号制度」と、順次、改正 および見直し、制度導入が予定されている。医療 機関等においては、その都度、個人情報(マイナ ンバーを含む)の保護に関する運用体制や内部規 程、業務フロー、安全管理措置などを見直すこと になる。 顧問先の医療機関等がこれらの外的環境変化に 柔軟に対応できるように、情報セキュリティ・マ ネジメント力の向上および組織成熟度の向上のた めの支援ツールの 1 つとして、拙稿をご活用い ただければ幸いである。 ●図表 2 医療機関等における医療・介護分野の個人情報に関する法・制度の動向(2015 年 10 月現在、著者作成) 法・制度 区分および項目 個人情報保護法 (個人情報) マイナンバー法 (特定個人情報) 医療等分野における 番号制度 (医療等 ID(仮称)) 対 象 者 ︵ 個 人 ︶ 医療・介護等 サービス利用 患者 要介護者、 施設入居者 等 厚生労働省 「 医 療・介 護 関 係 事 業者における個人情 報の適切な取扱いの ためのガイドライン」 厚生労働省 「○○○○○ ガイドライン」注 16 医療・介護等 サービス提供 被雇用者 医師、看護師、 事務職員 等 特定個人情報委員会 「 特 定 個 人情 報 の 適 正な取扱いに関する ガ イド ラ イン( 事 業 者編)」その他 被雇用者の 控除対象配偶者 扶養親族 個人 講師、地主、家主 等 今後5年間の動向 本年9月改正 ( 2年以内の施行 ) 3年後見直し 5年後までに 本格運用を目指す 注 16:「医療等分野における番号制度」の創設に伴い、新たな厚生労働省のガイドラインが公表されることが予想される。 16 JAHMC 2015 November
Be the first to comment