個人情報保護について

情報セキュリティ基本方針

第1条(目的)

情報セキュリティ基本方針(以下「基本方針」という)は、エンターテイメント健康保険組合(以下、「組合」という)の取り扱う個人情報を、故意、過失、偶然の区別に関係なく、改ざん、破壊、漏洩から保護すると共に、個人情報を利用する役員、職員、非常勤職員、派遣社員(以下、「役職員」という)に対して、個人情報に関する安全管理の重要性、及び個人情報の適切な取り扱いと保護についての認識を高め、医療保険者としての信頼感と安心感の向上を図る事を目的として制定する基本姿勢である。

第2条(適用範囲)

基本方針は、役職員の雇用形態、職位、資格、勤務地を問わず、全役職員に対して適用する。

第3条(個人情報)

  • 個人情報とは、「個人情報の保護に関する法律」(平成15年5月30日・法律第57号。)第2条第1項に定める特定の個人を識別することができるものをいい、紙に記載されたものであるか、写真・映像や音声であるか、電子計算機・光学式情報処理装置等のシステムにより処理されているかは問わない。
  • 特定個人情報とは、「行政手続における特定の個人を識別するための番号の利用等に関する法律」(平成25年5月31日・法律第27号。)第2条第8項に定める個人番号をその内容に含む個人情報をいう。

第4条(基本方針)

  • 役職員は、個人情報に関し守秘義務を負うものとし、関連法令、通知及び関連規程を遵守するものとする。
  • 組合は、個人情報保護に関する管理体制・管理運用方法・保存期間・役職員への教育・苦情・質問窓口設置等の安全管理措置を講ずるものとする。
  • 前項の安全管理措置は次の規程により組合会が定めるものとする。
    • (1)個人情報保護管理規程
      個人情報保護に関する基本的事項について定めるもの
    • (2)システム等運用管理規程
      情報システム(組合において使用する全てのサーバー・PC等の電算機及び関連ソフトウェアをいう。以下同じ。)及び電子データ(全ての記録様式を含む。以下同じ)に関する具体的運用方法について定めるもの
    • (3)機密文書管理規程
      紙媒体に関する具体的運用方法について定めるもの
  • 個人情報の漏えい等、事故発生時においてはその事実を速やかに公表し、再発防止策を含む適切な対策を講じるものとする。

第5条(基本方針及び関連規程の管理体制)

  • 基本方針及び基本方針に基づく規程は、次に掲げる場合において改訂を行う等、組合会の責任において維持管理を行うものとする。
    • (1)IT技術の発展との整合性を維持する必要がある場合
    • (2)社会環境の変化との整合性を維持する必要がある場合
    • (3)法令及び標準規格等との整合性を維持する必要がある場合
  • 改訂された基本方針及び基本方針に基づく規程は、改訂後即時に役職員に向けて公開する。原則として、組合の外部に向けては公開しない。

第6条(苦情・質問窓口の設置)

個人情報の取扱い及び情報システムの運用に関して、本人及びシステム利用者からの苦情及び質問を受け付け、適切かつ迅速な対応を行うために、苦情・質問を受け付ける窓口を設ける。

第7条(罰則)

組合は、役職員が法令通知、基本方針及び関連規程等に違反して、組合の情報セキュリティに重大な影響を与えた場合、又はそれに準ずる悪質な行為などが認められた場合、組合の就業規則に基づいた処罰を勧告することができる。

第8条(監査及び是正措置)

  • 個人情報の適正な保護を維持するために、毎年1回内部監査を実施する。なお、情報システム上の技術的対策等において、高度な技術を要する監査が必要な場合は、外部の専門家による等の措置を講ずるものとする。
  • 前項の監査の結果、問題点の指摘等がある場合には、直ちに必要な措置を講じる。

附  則 この方針は、令和3年6月1日から施行する。

個人情報保護管理規程

第1条(目的)

本規程は、「個人情報の保護に関する法律」(平成15年5月30日・法律第57号。以下「法」という。)及び「行政手続における特定の個人を識別するための番号の利用等に関する法律」(平成25年5月31日・法律第27号。以下「番号法」という。)、「健康保険組合等における個人情報の適切な取扱いのためのガイダンスについて」(平成29年4月14日保発0414第18号厚生労働省保険局長通知。以下「ガイダンス」という。)、「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(以下「特定個人情報ガイドライン」という。)、「健康保険組合における個人情報保護の徹底について」(平成14年12月25日保保発第1225001号厚生労働省保険局保険課長通知。以下「保険課長通知」という。)に基づき、個人情報保護の重要性にかんがみ、エンターテイメント健康保険組合(以下「組合」という。)における被保険者及びその被扶養者(以下「被保険者等」という。)等、組合が保有する個人情報の漏えい・滅失又はき損等(以下「漏えい等」という。)を防止し、個人情報保護の徹底を図ることを目的とする。

第2条(個人情報の定義)

  • 本規程による個人情報とは、法第2条第1項に定める特定の個人を識別することができるものをいい、紙に記載されたものであるか、写真・映像や音声であるか、電子計算機・光学式情報処理装置等のシステムにより処理されているかは問わない。また、この組合における個人情報は原則として別表1に掲げるものとする。
  • 本規程による特定個人情報とは、番号法第2条第8項に定める個人番号をその内容に含む個人情報をいう。
  • 本規程による要配慮個人情報とは、法第2条第3項に定める取扱いに特に配慮を要する記述等が含まれる個人情報をいう。
  • 死者に関する情報は、法の対象外であるが、ガイダンスに基づき、死者に関する情報が、同時に、遺族等の生存する個人に関する情報でもある場合には、当該生存する個人に関する情報となる。
  • 前項にかかわらず、個人番号を含む死者に関する情報は生存する者に関する情報と同様に取扱うものとする。

第3条(個人情報の利用目的の特定と公表等)

  • 個人情報を取り扱うに当たって、その利用目的を別表2においてできる限り特定し、被保険者等本人にわかりやすい形で通知し、またはホームページ、組合・事業所掲示板への掲示、広報紙等で公表する。また、新たに個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を被保険者等本人に通知し、または前記手段等を用いて公表する。
  • 組合は、法第18条第3項各号に定める場合を除き、あらかじめ本人の同意なく別表2により定める利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。ただし、利用目的と関連性を有すると合理的に認められる場合は、本人に対し通知又は公表することにより変更できるものとする。
  • 第1項の場合において、特定個人情報の利用目的は、番号法第9条に定める利用範囲において特定しなければならない。
  • 第2項にかかわらず、特定個人情報については本人の同意有無にかかわらず、番号法第9条に定める範囲において特定した利用目的を超えて、取扱ってはならない。

第4条(個人情報の第三者への提供)

  • 法第27条第1項各号に定める場合を除き、あらかじめ被保険者等本人の同意を得ないで、個人情報を提供してはならない。ただし、同条第5項各号に定める場合において、個人情報の提供を受ける者は第三者に該当しないものとする。
  • 当該個人情報が特定個人情報である場合、本人の同意有無にかかわらず、番号法第19条に定める場合を除き、提供してはならない。
  • 法第27条第1項各号又は第5項各号に定める場合を除き、個人情報を第三者(法第16条第2項各号に掲げる者を除く。次項において同じ。)に提供する場合、様式第1号に定める記録を作成するとともに当該記録を提供した日から3年間保存しなければならない。
  • 法第27条第1項各号又は第5項各号に定める場合を除き、第三者から個人情報の提供を受ける場合、様式第2号に定める記録を作成するとともに当該記録の提供を受けた日から3年間保存しなければならない。

第5条(個人情報の適正な取得及び正確性の確保)

  • 偽りその他の不正の手段により個人情報を取得してはならない。また、利用目的の達成に必要な範囲内において、個人情報を正確かつ最新の内容に保つよう努めなければならない。
  • 特定個人情報については、番号法第20条に定める場合を除き、収集又は保管してはならない。また、本人又は代理人から個人番号の提供を受けるときは、番号法第16条に定める本人確認の措置をとらなくてはならない。
  • 法第20条第2項各号に定める場合を除き、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。

第6条(管理組織)

  • 個人情報保護に関する管理組織として、個人情報取扱責任者及び個人情報保護管理担当者を設置するものとする。
  • 前項に定めるもののほか、管理組織について必要な事項は、理事会において別に定める。

第7条(個人情報取扱責任者及び個人情報保護管理担当者の責務等)

  • 個人情報取扱責任者は、常務理事が就任するものとし、個人情報保護の徹底が図られるよう、各種安全対策の実施、組合の役職員等に対する教育訓練、外部委託業者の監督、個人情報に関する開示請求や苦情処理等を適切に行うなど個人情報保護に関して必要な措置の全般を管理し、理事長など役員とともに、その責任を負うものとする。
  • 個人情報保護管理担当者は、事務局長が就任するものとし、個人情報取扱責任者の指揮のもと、前項に定める個人情報保護に関する必要な措置を実行するものとする。

第8条(守秘義務)

役職員及び組合会議員は、被保険者等の個人情報の漏えい等をしてはならない。その職務を退いた後においても同様とする。

第9条(個人情報の管理)

  • 被保険者等の個人情報が記載された文書等(帳票、電子データ等全ての記録様式を含む。以下同じ。)の保管場所については常時施錠し、その鍵の管理は、個人情報取扱責任者が行うものとする。また、個人情報取扱責任者は第7条に定める安全対策として、個人情報が記載、記録された文書等について整理及び保管状況を把握するとともに、電子計算機及び番号法第2条第14項に定める情報提供ネットワークシステムへの接続環境の管理を適正に実施するものとする。
  • 前項に定めるもののほか、被保険者等の個人情報への不当なアクセス並びに故意又は過失による虚偽入力、書換え及び消去を防止するため必要な事項に関しては、理事会において別に定める。

第10条(死者に関する情報の管理)

組合が死者に関する情報を保存している場合には、組合は漏えい等の防止のため、個人情報と同等の安全管理措置を講じる。

第11条(個人情報の廃棄及び消去)

  • 被保険者等の個人情報が記載された文書等の廃棄を行う場合は、個人情報取扱責任者の指示に従い、個人情報を読取不可能な状態にしなければならない。
  • 電子計算機及び光学式情報処理装置の廃棄又は転売・譲渡等(リースの場合は返却)を行う場合は、個人情報取扱責任者の指示に従い、ハードディスク内のデータを復元不可能な状態にしなければならない。
  • 特定個人情報については、必要でなくなった場合かつ所管法令で定める保存期間を経過した場合、前二項に定める方法により、可及的速やかに廃棄又は消去しなければならない。
  • 前三項に定めるもののほか、個人情報の廃棄及び消去のため必要な事項に関しては、理事会において別に定める。

第12条(教育訓練)

  • 個人情報取扱責任者は、役職員の採用及び組合会議員の就任に当たり、個人情報保護の重要性等について理解し遵守の徹底が図られるよう必要な研修、教育を実施するほか、随時、役職員及び組合会議員に対し、個人情報保護に関して必要な研修、教育を実施する。
  • 前項に定める研修、教育を実施した場合、個人情報取扱責任者または個人情報保護管理担当者は、実施時期、場所、対象者及び内容を記録し保存するものとする。

第13条(委託先の監督)

組合の被保険者等の個人情報に関する業務を委託した場合には、委託業務に用いる個人情報の安全管理が図られるよう、委託先に対し、必要かつ適切な監督を行わなければならない。

第14条(外部委託)

個人情報及び特定個人情報に関する処理は、次の各号に掲げる事項を契約書上に明記することを了承した業者に限り、外部委託することができる。

  • (1)法令、関連通知及びガイダンス(当該個人情報が特定個人情報である場合には、特定個人情報ガイドラインを含む)を遵守し、個人情報の保護に万全を期すこと。また、契約期間終了後においても同様であること。
  • (2)被保険者等の個人情報を、組合の事業目的以外に利用しないこと。
  • (3)被保険者等の個人情報の漏えい等が生じた場合には、契約を解除すること。
  • (4)被保険者等の個人情報の漏えい等により損害が生じた場合には、損害賠償を行うこと。
  • (5)組合の個人情報取扱責任者は、随時、委託契約に関する調査を行い、説明を求め及び報告を徴することができること。
  • (6)個人情報取扱責任者から問題が指摘された場合には、速やかに必要な措置を行うこと。
  • (7)組合との直接の契約関係を伴わない再委託を行わないこと。

第15条(保有個人データの開示)

  • 組合が保有する診療報酬明細書、調剤報酬明細書、及び訪問看護療養費明細書(老人医療に係るものを除く。以下「レセプト」という。)の開示に当たっては、「診療報酬明細書等の被保険者等への開示について」(平成17年3月31日保発第0331009号厚生労働省保険局保険局長通知)に基づき取扱い、レセプト開示に係る具体的取扱いについては、組合の「診療報酬明細書等の開示に係る取扱要領」に則り処理を行う。
  • 組合のレセプト以外の保有個人データの開示に当たっては、組合の「保有個人データ(診療報酬明細書等を除く)の開示・訂正・利用停止等に係る取扱要領」に則り処理を行う。

第16条(開示手数料)

開示の請求に対しては以下の手数料を徴収する。

  • (1)レセプト並びに保有個人データの開示申請に係る手数料(以下「開示手数料」という。)は、開示、不開示に関わりなく文書1件に付き1,000円を徴収する。
  • (2)開示申請後、開示決定した場合は、開示手数料のほか、開示実施手数料としてA4文書1枚につき50円を徴収する。
  • (3)郵送を希望する場合には、郵送料(書留郵便)相当額を徴収する。

第17条(保有個人データの訂正及び利用停止等)

被保険者等本人から、個人データの内容が事実でないという理由によってデータの内容の訂正、追加又は削除(以下「訂正等」という。)を求められた場合、若しくは個人データが、特定した利用目的の達成に必要な範囲を超えて取扱われる、偽りその他不正の手段により取得される、また特定個人情報が番号法において限定的に明記された場合に違反して違法に第三者に提供されるなどの理由によって、データの利用の停止又は消去(以下「利用停止等」という。)を求められた場合、組合の「保有個人データ(診療報酬明細書等を除く)の開示・訂正・利用停止等に係る取扱要領」に則り処理を行う。

第18条(個人情報相談窓口の設置)

  • 個人情報の取扱いに関する相談や苦情の適切な処理を行うため、組合に個人情報相談窓口を設置する。
  • 被保険者等から苦情等の申し出があった場合は、苦情等の内容を調査、確認のうえ個人情報取扱責任者に報告しなければならない。

第19条(監査)

  • 監事は、個人情報保護の徹底に関して、監査を毎年1回実施する。
  • 前項の監査により、監事から問題点の指摘等があった場合には、個人情報取扱責任者は、速やかに必要な措置を講じなければならない。

第20条(損害賠償)

故意、過失による個人情報の漏えい等により、損害を及ぼした者は賠償の責を負う。

第21条(懲戒)

職員が、本規程並びに関連規程に違反した場合は、服務規程等(就業規則)に基づき、懲戒する。

第22条(漏洩等の事故にかかる対策)

  • 組合は個人情報の重要性及び秘匿性を十分理解するとともに、漏えい等の事故が発生しないよう、その予防対策や事故発生時の対応につきあらかじめ定めるとともに、常時事故防止に努めなければならない。
  • 漏えい等の事故が発生した場合、組合が定める対応のほか、ガイダンスⅢ6に定める二次被害の防止及び事実関係の公表ならびに所管官庁への報告を速やかに実施するものとする。

附  則 この規程は、令和3年6月1日から施行する。

附  則(施行期日) 第1条 この規程の別表は、令和3年10月25日から施行する。

附  則 この規程は、令和4年4月1日から施行する。

個人情報保護管理規程(別表)

個人情報保護管理規程(別表)

機密文書管理規程

第1条(目的)

本規程は、組合の情報セキュリティ基本方針及び個人情報保護管理規程に従い、当組合で取り扱う文書のうち、特に機密性の高い文書(以下「機密文書」という。)の適正な管理を図ることを目的とする。

第2条(機密文書の定義)

機密文書とは、秘密保全の必要性が特に高く、当該文書が漏洩することによって、組合に甚大な損害や損失を与える恐れがある文書であって、機密度を規定する区分(以下、「機密区分」という)を指定した文書と定義する。

第3条(機密区分)

機密文書の機密区分は以下の通りとする。

  • (1)指定された者以外に開示してはならない機密文書を「極秘」と指定する。
  • (2)取扱い部署以外に開示してはならない機密文書を「秘密」と指定する。
  • (3)当組合の役職員以外に開示してはならない機密文書を「社外秘」と指定する。
  • (4)開示には、文書の移動、複写、編集等の文書の取扱いに関わる行為も含まれることとする。

第4条(適用対象)

本規程の適用対象は以下の通りとする。

  • (1)当組合が作成及び編集した(情報システムから出力された帳票類を含む)文書
  • (2)申請・届出及び添付書類等の加入者及び事業主から受領した文書
  • (3)他の地方公共団体、医療保険者、その他の機関から入手した文書、又は情報を文書化したもの(メモを含む)

第5条(個人情報の取扱い)

  • 個人情報は、以下のような機密区分の指定に基づいて取扱うこととする。
    • (1)特定個人情報または要配慮個人情報が記載された文書は、機密区分として「極秘」を指定する。
    • (2)個人情報(特定個人情報または要配慮個人情報を除く)が記載された文書は、機密区分として「秘密」以上を指定する。
  • 前項(1)(2)において、個人情報、又は特定個人情報が記載された文書を「指定文書」という。
    なお、指定文書のうち、個人情報、又は特定個人情報の記入欄がある帳票(以下、「指定帳票」という。)については、前項の指定を省略できるものとする。

第6条(管理体制)

本規程の実施にかかる管理体制は次の実務責任者により構成されるものとする。

  • (1)本規程の実施にかかる管理責任者として、「機密文書管理責任者」を置くものとし、原則として個人情報取扱責任者が就任するものとする。
  • (2)機密文書管理責任者の指示のもとに本規程の実施にかかる実務担当者として「機密文書管理担当者」を置くものとし、原則として個人情報保護管理担当者が就任するものとする。
  • (3)本規程の適正な実施にかかる監査は監事が実施するものとする。

第7条(機密保持)

  • 機密文書の開示を受けた役職員等(組合の指揮監督のもと、組合業務を遂行する者をいう。以下同じ。)は、知り得た機密情報を、関係する業務以外に使用してはならない。
  • 機密文書の開示を受けた役職員等は、知り得た機密情報を、機密区分に基づく開示可能な範囲の者又は機密文書管理責任者が、業務上開示が必要と認めた者以外に開示、又は漏洩してはならない。
  • 役職員等は、業務上必要な場合に限り、予め機密文書管理責任者に報告して、その指示に従って機密文書を最低必要部数に限って複写することができる。複写した文書を配布する場合は、連番を付与する等、配布先を特定可能とする措置を講ずる。また、使用終了後は原則として当該文書をすべて回収して破棄する。
  • 役職員は、機密区分で開示が許可されていない役職員等がいる場所で機密文書を取り扱う場合、機密文書から離れなければならない状況が発生した場合は、機密文書を施錠できる場所に保管してから離席する等の配慮をしなければならない。
  • 役職員は、当組合外に機密文書を持ち出すことを原則禁止する。ただし、機密文書管理責任者が業務上、必要と認めた場合にはこの限りでない。

第8条(機密文書の作成および指定)

  • 機密文書の作成及び入手は、必要最低限に留める。
  • 機密文書管理責任者は、指定帳票を除く、機密文書の内容を評価して、機密区分を指定する。
  • 機密文書管理担当者は、機密文書について、開示可能な者の範囲及び開示期間等を定めて、機密文書管理責任者に報告する。
  • 機密文書管理責任者は、報告を受けた機密文書に機密文書指定番号を付与等、機密区分が明確となる措置を実施する。

第9条(機密文書の表示)

  • 前条第4項の措置において、以下の事項を明確にするものとする。
    • (1)機密区分
    • (2)機密文書指定番号
    • (3)機密取扱期間
    • (4)開示・使用範囲
  • 指定帳票は、個別の文書について上記記載事項を省略することができる。

第10条(機密文書の保管)

  • 機密文書は、原則として、当該機密文書を作成、又は入手した部署で所在を明示して、法令の定めた保存期間、法令に定められているものの他は別に定めた保存期間の間保存・管理する。
  • 保存期間が経過した文書において、引き続き保存する必要があるものについては、改めて保存期間を定めて保存・管理する。
  • 「極秘」、又は「秘密」が指定された機密文書は、機密文書管理台帳を作成する等、保存・管理の状態が確認できるようにする。
  • 「極秘」、又は「秘密」が指定された機密文書は、キャビネット等の施錠可能な保管庫に、常時施錠して保管・管理する。
  • 機密文書の保管庫の施錠・開錠は、管理責任者、又は機密文書管理責任者が文書で指定した担当者が行う。

第11条(機密文書の指定の変更、解除)

機密文書管理責任者は、機密文書の指定に変更事由が生じた場合、指定の変更、又は解除などの適切な措置を講じる。

第12条(機密文書の引継ぎ)

人事異動、改組、業務委譲等によって機密文書を他部署に引継ぐ場合は、機密文書引継書を作成して、受領を明確にしなければならない。

第13条(機密文書の廃棄)

  • 保存期間が経過して廃棄すべき機密文書、又は使用後回収した複写した機密文書は、原則として、保管の所管部門において廃棄処分する。
  • 廃棄する機密文書は、シュレッダー等で破砕処理または溶融処理する等復元不可能な状態にしなければならない。

第14条(非常持出)

  • 火災または天災等により、滅失毀損した場合、業務上著しく支障をきたす恐れのある機密文書は、専用の容器に入れ、「非常持出」の表示をする等、他の機密文書との区分けを明確にする。
  • 「非常持出」の機密文書の保管場所は、火災盗難の予防並びに非常の際に搬出の容易なことを考慮して定める。

附  則 この規程は、令和3年6月1日から施行する。

個人情報保護に関する基本方針(プライバシーポリシー)

エンターテイメント健康保険組合は、加入者個人に関する情報(以下「個人情報」といいます。)を適切に保護する観点から、以下の取り組みを推進します。

  • 当健康保険組合は、取得した加入者の個人情報について、適切な安全措置を講じることにより、加入者の個人情報の漏えい、紛失、き損又は加入者の個人情報への不正なアクセスを防止することに努めます。
  • 当健康保険組合は、加入者からご提供いただいた個人情報を、加入者の健康の保持・増進など加入者にとって有益と思われる目的のためのみに使用いたします。また、個人番号については、番号法で定められた利用範囲において特定した利用目的でのみ利用いたします。
  • 当健康保険組合は、あらかじめ加入者の事前の同意を得た場合を除き、加入者の個人情報を第三者に提供いたしません。また、個人番号をその内容に含む個人情報(以下「特定個人情報」という。)については、本人の同意有無にかかわらず、番号法に定める場合を除き、提供致しません。ただし、特定個人情報でない個人情報について、「個人情報の保護に関する法律」(平成15年5月30日・法律第57号)第27条第1項各号に該当する場合は、加入者の事前の同意を得ることなく、加入者の個人情報を第三者に提供することがあります。
  • 当健康保険組合は、職員に対し個人情報保護に関する教育啓蒙活動を実施するほか、個人情報を取り扱う部門ごとに管理責任者を置き、個人情報の適切な管理に努めます。
  • 当健康保険組合の業務委託する場合については、より個人情報の保護に配慮したものに見直し・改善を図ります。業務委託契約を締結する際には、業務委託の相手としての適格性を十分審査するとともに、契約書の内容についてもより個人情報の保護に配慮したものとします。
  • 加入者が、加入者の個人情報の照会、修正等を希望される場合、当健康保険組合担当窓口までご連絡いただければ、合理的な範囲ですみやかに対応させていただきます。
  • 当健康保険組合は、加入者の個人情報の取扱いに関係する法令その他の規範を遵守するとともに、本個人情報保護ポリシーの内容を継続的に見直し、改善に努めます。

附  則 この規程は、令和4年4月1日から施行する。

担当窓口

エンターテイメント健康保険組合
TEL:03-5843-6213/FAX:03-5843-6214
受付時間 午前10時~午後4時(土曜・日曜・祝日、年末年始を除く)

特定個人情報保護評価書