Contenu connexe
Plus de HealthcareBitStation (20)
医療機関等におけるマイナンバー対応Q&A
- 1. 医療機関等における
マイナンバー対応Q&A
小川 敏治 NPO 法人 公的病院を良くする会
(公認情報セキュリティ監査人/プライバシーマーク審査員研修主任講師/認定登録 医業経営コンサルタント)
寄 稿 2
Q1 収集
職員からマイナンバーを収集する
際にも、本人確認は行わなければ
ならないのですか?
収集に際しては、①マイナンバー法により
「本人のマイナンバー確認」+「本人の身元
全国の市区町村から一括委任を受けた地方公共
団体情報システム機構が、個人番号(以下、マイ
ナンバー)を、転送不要の簡易書留で世帯主宛て
に、概ね 11 月末頃までに配布できるよう取り組
んでおり、本誌発行の頃にはすでにお手元に届き
始めていると思われる。そのような状況下で、読
者の皆さんには顧問先の医療機関等から、マイナ
ンバー対応に関する質問やアドバイスを求められ
ることが、日増しに増えることが予想される。
そこで、医療機関等におけるマイナンバーの対
応で、具体的に「しなければならないこと」「し
てはならないこと」を、「特定個人情報の適正な
取扱いに関するガイドライン(事業者編)」(以下、
ガイドライン)、および「ガイドライン Q & A」注 1
に基づきまとめた。
注 1:詳細は http://www.ppc.go.jp/legal/policy/ 参照
[Q & A カテゴリ区分]
Q&A は、マイナンバーの取り扱いに関する「手
続き上の約束事」と、情報セキュリティ・マネジメン
確認」の義務注 1
が、②保護法により「利用目的の
特定と明示」の義務注 2
が課せられています。
職員の身元確認については、雇用契約成立時等
に本人であることの確認を行っており、対面確認
(本人に相違ないことが明らかに判断できる状況)
下でマイナンバーを収集する場合は、身元確認の
ための書類提示を求める必要はありません。ただ
しこの場合も番号確認は、必ず通知カード等を提
ト「安全管理措置」に大別。前者について、取り
扱いプロセスにより「Q1 収集」「Q2 利用・提供」
「Q3 保管・廃棄」に分け、さらに取り扱いの一部
または全部を委託する場合の「Q4 委託」を別途
項目立てた。「Q5 安全管理措置」は Q1∼Q4 全
体に関連するものと認識いただきたい(図表 1)。
[略語について]
マイナンバー法:「行政手続における特定の個人
を識別するための番号の利用等に関する法律」
保護法:「個人情報の保護に関する法律」
通知カード等:当初郵送されてくる「通知カード」、
申請により配布される顔写真付きの「個人番号
カード」がある。
A
Q1-1
●図表 1 Q&A カテゴリ(著者作成)
対 応
取り扱い
手続き上の
約束事
安全管理措置
収集 Q1
委託
Q4
Q5利用・提供 Q2
保管・廃棄 Q3
10 JAHMC 2015 November
- 2. 示してもらって行います注 3
。
なお、対面・非対面の収集いずれにおいても、
もし本人が「通知カードを紛失した」という場合
は、市区町村の窓口に行き①通知カード等の再交
付を申請する、もしくは②マイナンバーが記載され
た住民票の写しをとるように情報提供してください。
一方、収集の前提として、保護法による「利用
目的の特定と明示」の対応も必要です。また、マ
イナンバーは、複数の事務で利用することが十分
想定されます。医療機関等と職員の間では、「源
泉徴収票作成事務」「健康保険・厚生年金保険届
出事務」などを利用目的としてまとめて本人に明
示しておくことで、その都度、利用目的の特定と
明示が必要なくなり手間が省けます。
注 1:マイナンバー法第 16 条(本人確認)
注 2:保護法第 15 条第 1 項(利用目的の特定)、第 18 条第 2 項(直
接書面等による取得)
注 3:本人確認の詳細は国税庁「国税分野における番号法に基づ
く本人 確 認 方 法 」www.nta.go.jp/mynumberinfo/pdf/
kakunin.pdf を参照されたい。有効な書類、インターネット
による方法なども紹介されている
身元確認の際に提示を受けた本人
確認書類のコピーを、医療機関内
に保管することはできますか?
本人確認書類のコピーを保管する法令上の
義務はありませんが、本人確認の記録を残
すためにコピーを保管することはできます。ただ
し、コピーを保管する場合は、安全管理措置を適
切に講じる必要が求められています(Q5 参照)。
収集したマイナンバーに誤りが
あった場合、事務実施者である医
療機関等に責任は及びますか?
罰則規定はありませんが、前述 Q1-1 のと
おり、マイナンバーの「確認」が義務付け
られており、また保護法により「正確性の確保の
努力義務」注 4
が課されています。
そこで、実はマイナンバー 12 桁のうち下 1 桁
は検査用数字(チェックデジット)で、上 11 桁
の基礎番号を規定の計算式注 5
で計算すると下 1
桁の数字となります。既存の情報システムをマイ
ナンバー対応にバージョンアップする際に、この
チェックデジット機能を組み込むことも、入力ミ
スを防ぐ対応策の 1 つになります注 6
。
注 4 : 保護法第 19 条
注 5:総務省の省令で規定
注 6:参考までに法人番号は 13 桁で、上 1 桁が検査用数字
職員等からマイナンバーを収集で
きない場合、どのように対応すれ
ばいいですか?
まず、安易に行政機関等にマイナンバーを
記載しない書類の提出はせず、職員に対し、
マイナンバーの収集は、医療機関等にとって法律
で定められた義務であることを伝え、提供を求め
てください。
それでもなお提供を受けられない場合は、提供
を求めた経過等を記録、保存するなどし、安易に
記載していないのではないことを明確にしておき
ます。経過等の記録がなければ、マイナンバーを
収集していないのか、できていないのか、あるい
は収集したのに紛失したのかが判別できません。
経過等の記録をとることについて、たとえば「マ
イナンバーに関する取扱規程」(仮)などに反映
しておき、事務担当者の教育を行うことも重要で
す。また、就業規則にも「マイナンバーの提供お
よび本人確認に協力しなければならない」旨を追
加しておくことも望まれます。
なお国税庁は、「法定調書などの記載対象となっ
ている方すべてが個人番号をお持ちとは限らず、
そのような場合は個人番号を記載することはでき
ませんので、個人番号の記載がないことをもって、
税務署が書類を受理しないということはありませ
ん」と公表しています。
Q 2 利用・提供
マイナンバー法では、マイナン
バーの「利用」を厳しく制限して
いると聞いたのですが、どういうことですか?
A
A
A
Q1-2
Q1-3
Q1-4
Q2-1
11JAHMC 2015 November
- 3. Q2-1 の利用制限と同様に、提供について
も保護法よりも限定的に定められていま
す注 9
。医療機関等がマイナンバーを「提供」でき
るのは、行政機関等に限られ、次のような場合は
違反となります。
①医療法人や社会福祉法人、介護事業者等の複数
の法人を統括して運営している医療・福祉・介
護グループで、グループ内の各法人間の出向ま
たは転籍による異動の際に、医療法人 A から
社会福祉法人 B に当該職員のマイナンバーを
受け渡しした場合。
②医療・福祉・介護グループで一元管理している
人事・労務システムで、医療法人 A の職員が、
社会福祉法人 B の職員の個人番号が閲覧でき
る場合。
保護法では、個人データを特定の者との間で共
同して利用し、ある一定の条件を満たせば、第三
者提供にあたらないとされています注 10
。しかし、
マイナンバー法では、共同利用の適用を除外して
います注 11
。したがって①②は通常の「提供」と
みなされ、マイナンバー法の提供制限注 12
に違反
することになります。
したがって、グループ内の各法人の職員情報を
一元管理・共有しており、既存の人事・労務シス
テムで職員のマイナンバーを管理するための情報
システムを改修する場合は、以下の点を考慮する
必要があります。
①他法人の職員の個人番号へのアクセス禁止、さ
らに自法人内においては、個人番号取扱事務担
当者以外の職員が個人番号の閲覧、入力、変更、
削除、印字などができないように、アクセス制
御強化、アクセス・ログ記録とそのログの点検
機能追加などの情報システムの見直し。
②別法人に出向または転籍する職員本人の意思に
基づく操作により出向先に移動させる機能追
加などの情報システムの見直し。
注 9 :マイナンバー法第 19 条
注 10:保護法第 23 条第 4 項第 3 号
注 11:同法第 29 条第 3 項
注 12:同法第 14 条∼第 16 条、第 19 条、第 20 条、第 29 条第 3 項
マイナンバーを主体的に利用できるのは、
行政機関等です注 7
。医療機関等を含む事業
者は、同法で規定された行政機関等の事務に協力
するよう努めるものとする注 8
とされ、従属的な
利用(行政機関等への提出)に限定されています。
また、行政機関等への提出事務に必要な範囲を超
えた「特定個人情報ファイル(マイナンバーを含む個
人情報データベース等)の作成」は禁止されています。
つまり医療機関等が、法令に基づき職員等のマ
イナンバーを、給与所得の源泉徴収票、健康保険・
厚生年金保険被保険者資格取得届等の書類に印字
して行政機関や健康保険組合に提出するために、
人事・労務システムに入力して印字することは従
属的利用の範囲内です。しかし、入力したマイナ
ンバーを職員番号として主体的に人事・労務管理
に利用することは、処罰対象になり得ることに注
意してください。
たとえ本人の同意を得ても、保護法と異なり、
行政機関等への提出事務に必要な範囲外での利用
はできません。注意を要しますので、職員教育な
どで周知徹底することが望まれます。
注 7: マイナンバー法の別表第 1( 利用範囲 ) 及び別表第 2( 情報
連携 ) で明記された行政等の事務 ( 個人番号利用事務 ) の
み。 それ以外での利用 ( 利活用 ) は禁止されている
注 8: 同法 6 条
職員等本人に給与所得の源泉徴収
票を交付する場合に、その職員等
本人や扶養親族のマイナンバーを記載して交付し
てよいですか?
本人交付用の給与所得の源泉徴収票につい
ては、2015 年 10 月 2 日に所得税法施行
規則第 93 条が改正され、「本人及び扶養親族の
個人番号を記載しないこと」とされました。した
がって、本人へ渡す源泉徴収票にはマイナンバー
を記載しないでください。
マイナンバー法では、マイナン
バーの「提供」を厳しく制限して
いると聞いたのですが、どういうことですか?
A
A
A
Q2-2
Q2-3
12 JAHMC 2015 November
- 6. 寄 稿 2
ことから、委託には該当しないものと解されます。
ただし、マイナンバー法では安全管理措置を講
ずる義務が課せられている注15
ので、マイナンバー
が漏えいしないよう、適切な外部事業者の選択、
安全な配送方法の指定等の措置を講じる必要があ
ります(Q5 参照)。
注 15:同法第 12 条等
Q5 安全管理措置
ガイドラインの「しなければなら
ない」こととしてある「事務取扱
担当者の明確化」で、個人名は明記しなくてもよ
いのですか?
部署名(○○課等)、事務名(○○事務担
当者)などで担当者が明確になれば十分で
あると考えられます。ただし、部署名等により事
務取扱担当者が明確にならない場合は、担当者氏
名を明記する必要があると考えられます。
事務取扱担当者には、マイナン
バーを取り扱う事務に従事するす
べての者が該当しますか?
一般的には、マイナンバーの収集から廃棄
までの事務に従事するすべての者が該当
すると考えられます。
ここで重要なのは、事務取扱担当者に該当する
か否かを判断することよりも、マイナンバー取り
扱いにはリスクが伴うことを前提に、必要かつ適
切な安全管理措置を講じることです。
たとえば、定期的に発生する事務、中心となる
事務を担当する者に対する安全管理措置と、書類
を移送するなど補助的に一部の事務を行う者に対
する安全管理措置は異なってくることは十分に考
えられます。取り扱いにかかわる事務フロー全体
として、漏れのない必要かつ適切な安全管理措置
を講じることが重要です。
ガイドラインに示す安全管理措置
を講じれば十分ですか?
ガイドラインでは、組織的、人的、物理的、
技術的の 4 区分の安全管理措置について、
具体的な手段・方法の制限は示されていません。
「事業者の規模及び特定個人情報等を取り扱う事
務の特性等により、適切な手法を採用することが
重要である」と明記されています。
また、ガイドライン Q&A では「保有する特定
A
A
A
Q5-1
Q5-2
Q5-3
▶2015 年 6 月 30 日に閣議決定された政府の「日
本再興戦略」改訂 2015 に、「医療等分野における
番号制度の導入」の項目が明示され、マイナンバー
とは別に医療等分野専用の番号制度の創設が盛り
込まれ、5 年後までに本格運用を目指すとされてい
ます。
▶まず、先行(2017 年 7 月以降のできるだけ早い時
期に)するのは「医療保険のオンライン資格確認」
で、医療機関と保険者との間に「資格確認サービス
機関」(仮称)を介在させ、医療機関の窓口で扱う
「医療等分野での番号」と保険者が資格情報を管理
するマイナンバーとの照合を計画しています。つまり、
医療機関は患者のマイナンバーを直接取り扱わない
情報システムの構築を目指しているのです。
▶なお、日本医師会「医療分野等 ID 導入に関する
検討委員会」中間とりまとめ(2015 年 7 月 15 日)
では、医療等 ID の記載・格納媒体について「現行
の保険証に医療等 ID を記載・格納する方法」と、「マ
イナンバーカードの公的個人認証機能を活用したオ
ンライン保険資格確認の方法」が併記されています。
▶一方、昨年末から一時休止していた厚生労働省
「医療等分野における番号制度の活用等に関する研
究会」が約 10 カ月ぶりに再開し、前述の日本医師
会の中間とりまとめを受け、具体的な制度設計や
固有の番号が付された個人情報の取り扱いルール
を検討し、今年末までに一定の結論を得るとして
います。
医療等分野における番号制度
15JAHMC 2015 November
- 7. 寄 稿 2
おがわ としはる:1981 年千葉大学機械工学部卒、帝人(株)
入社。1990 年エイコー産業(株)(現社名:one(株))入社。
2002 年 南大阪大学経営情報学科講師、2004 年 日本経営
品質賞・審査員((公財)日本生産性本部)、2006 年 IT-WG
研究員((一財)日本情報経済社会推進協会)、2009 年 P マー
ク研修委員会委員((一財)関西情報センター)、2012 年 監
査品質 WG メンバー(日本セキュリティ監査協会)、2014 年
日本セキュリティ監査協会 会長賞受賞 ( 日本セキュリティ
監査協会 ) など。現在、one(株)代表取締役。医療現場の
マイナンバー実務対応のセミナーで講師を務める。
http://one.jp/(ogawa@one.jp)
PROFILE
個人情報等の性質、情報漏えい・滅失・毀損等に
よる影響等の検討に基づき、事案発生の抑止、未
然防止及び検知並びに事案発生時の拡大防止等の
観点から、適切に判断してください」とあります。
つまり、適切な情報セキュリティ対策は、院内
および委託先に散在するマイナンバーの所在把
握、およびそれらのリスクを把握することが前提
となっています。各現場の実態に基づく、各局面
(Q1 ∼ Q4 の収集、利用・提供、保管・廃棄、委
託)におけるリスクを洗い出し、それらのリスク
に応じた合理的な対策を講じるとともに、リスク
対策後の残存リスクも管理し、継続的に改善する
リスクマネジメントを行うことが求められます。
リスクマネジメントについては、医療機関等の
トップ(理事長、院長)の最終承認が必要である
ことはいうまでもありません。現場任せにせず、
トップ自らが、現場での想定されるリスクを把握
しておかなければならない時代に突入しており、
トップのリーダーシップが欠かせません。
*
以上、マイナンバー対応の主な Q&A をまとめ
た。本誌の他稿と重複する部分は割愛したこと、
現時点での Q & A であり、今後の改正や変更な
どがある旨をご理解・ご了承いただきたい。
今後 5 年間(図表 2)で、本年 9 月に改正され
た保護法の 2 年以内の施行→ 3 年後のマイナン
バー法見直し→ 5 年後までに本格運用を目指す
「医療等分野における番号制度」と、順次、改正
および見直し、制度導入が予定されている。医療
機関等においては、その都度、個人情報(マイナ
ンバーを含む)の保護に関する運用体制や内部規
程、業務フロー、安全管理措置などを見直すこと
になる。
顧問先の医療機関等がこれらの外的環境変化に
柔軟に対応できるように、情報セキュリティ・マ
ネジメント力の向上および組織成熟度の向上のた
めの支援ツールの 1 つとして、拙稿をご活用い
ただければ幸いである。
●図表 2 医療機関等における医療・介護分野の個人情報に関する法・制度の動向(2015 年 10 月現在、著者作成)
法・制度
区分および項目
個人情報保護法
(個人情報)
マイナンバー法
(特定個人情報)
医療等分野における
番号制度
(医療等 ID(仮称))
対
象
者
︵
個
人
︶
医療・介護等
サービス利用
患者
要介護者、
施設入居者 等
厚生労働省
「 医 療・介 護 関 係 事
業者における個人情
報の適切な取扱いの
ためのガイドライン」
厚生労働省
「○○○○○
ガイドライン」注 16
医療・介護等
サービス提供
被雇用者
医師、看護師、
事務職員 等
特定個人情報委員会
「 特 定 個 人情 報 の 適
正な取扱いに関する
ガ イド ラ イン( 事 業
者編)」その他
被雇用者の
控除対象配偶者
扶養親族
個人
講師、地主、家主
等
今後5年間の動向
本年9月改正
( 2年以内の施行 )
3年後見直し
5年後までに
本格運用を目指す
注 16:「医療等分野における番号制度」の創設に伴い、新たな厚生労働省のガイドラインが公表されることが予想される。
16 JAHMC 2015 November