個人情報保護管理規程

（目的）

第１条　本規程は、「個人情報の保護に関する法律」（平成１５年５月３０日・法律第５７号。以下「法」という。）及び「行政手続における特定の個人を識別するための番号の利用等に関する法律」（平成２５年５月３１日・法律第２７号。以下「番号法」という。）、「健康保険組合等における個人情報の適切な取扱いのためのガイダンスについて」（平成２９年４月１４日保発０４１４第１８号厚生労働省保険局長通知。以下「ガイダンス」という。）、「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」（以下「特定個人情報ガイドライン」という。）、「健康保険組合における個人情報保護の徹底について」（平成１４年１２月２５日保保発第１２２５００１号厚生労働省保険局保険課長通知。）に基づき、個人情報保護の重要性にかんがみ、北関東しんきん健康保険組合（以下「組合」という。）が保有する個人情報の漏えい・滅失又はき損等（以下「漏えい等」という。）を防止し、個人情報保護の徹底を図ることを目的とする。

（用語の定義）

第２条　本規程で用いる用語の定義は、本規程で定めがない限り、法及び番号法で定めるところによる。

２　死者に関する情報は、法の対象外であるが、ガイダンスに基づき、死者に関する情報が、同時に、遺族等の生存する個人に関する情報でもある場合には、当該生存する個人に関する情報となる。

３　前項にかかわらず、個人番号を含む死者に関する情報は生存する者に関する情報と同様に取扱うものとする。

（個人情報の利用目的の特定と公表等）

第３条　組合が取得する個人情報の利用目的は、原則としてあらかじめ組合のホームページ等で公表し、あらかじめ公表していない利用目的で個人情報を取得したときは、速やかにその利用目的を本人に通知し、又は組合のホームページ等で公表することとする。

２　個人情報の利用目的の変更は、前の利用目的と関連性を有すると合理的に認められる範囲で行うこととし、利用目的を変更したときは、変更された利用目的について、本人に通知し、又は組合のホームページ等で公表することとする。

（個人データの第三者への提供）

第４条　法第２７条第１項各号に定める場合を除き、あらかじめ被保険者等本人の同意を得ないで、個人データを第三者に提供してはならない。ただし、同条第５項各号に定める場合において、個人データの提供を受ける者は第三者に該当しないものとする。

２　当該個人データが特定個人情報である場合、本人の同意有無にかかわらず、番号法第１９条に定める場合を除き、提供してはならない。

３　法第２７条第１項各号又は第５項各号に定める場合を除き、個人データを第三者（法第１６条第２項各号に掲げる者を除く。次項において同じ。）に提供する場合、様式第1号に定める記録を作成するとともに、個人データを提供した日から３年間保存しなければならない。

４　法第２７条第１項各号又は第５項各号に定める場合を除き、第三者から個人データの提供を受ける場合、様式第2号に定める記録を作成するとともに、個人データの提供を受けた日から３年間保存しなければならない。

（個人情報の適正な取得及び正確性の確保）

第５条　偽りその他の不正の手段により個人情報を取得してはならない。また、利用目的の達成のために必要な範囲内において、個人情報を正確かつ最新の内容に保つように努めなければならない。

２　特定個人情報については、番号法第２０条に定める場合を除き、収集又は保管してはならない。また、本人又は代理人から個人番号の提供を受けるときは、番号法第１６条に定める本人確認の措置をとらなくてはならない。

３　法第２０条第２項各号に定める場合を除き、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。

（管理組織）

第６条　個人情報保護に関する管理組織として、個人情報取扱責任者及び個人情報保護管理担当者を設置するものとする。

２　前項に定めるもののほか、管理組織について必要な事項は、理事会において別に定める。

（個人情報取扱責任者及び個人情報保護管理担当者の責務等）

第７条　個人情報取扱責任者は、常務理事が就任するものとし、個人情報保護の徹底が図られるよう、各種安全対策の実施、健保組合の役職員等に対する教育訓練、外部委託業者の監督、保有個人データの開示請求や苦情処理等を適切に行うなど個人情報保護に関して必要な措置の全般を管理し、理事長など役員とともに、その責任を負うものとする。

２　個人情報保護管理担当者は、個人情報取扱責任者が任命した者とし、個人情報取扱責任者の指揮のもと、前項に定める個人情報保護に関する必要な措置を実行するものとする。

（守秘義務）

第８条　役職員及び組合会議員は、業務上知り得た秘密を他に漏らしてはならない。その職務を退いた後においても同様とする。

（安全管理措置）

第９条　個人データの保管場所については常時施錠するものとする。また、個人情報取扱責任者は第７条に定める安全対策として、個人データの整理及び保管状況を把握するとともに、電子計算機及び番号法第２条第１４項に定める情報提供ネットワークシステムへの接続環境の管理を適正に実施するものとする。

２　前項に定めるもののほか、個人データへの不当なアクセス並びに故意又は過失による虚偽入力、書換え及び消去を防止するため必要な事項に関しては、理事会において別に定める。

（死者に関する情報の管理）

第１０条　組合が保有する死者に関する情報は、漏えい等の防止のため、個人データと同等の安全管理措置を講じる。

（個人データの廃棄及び消去）

第１１条　個人データを廃棄又は消去するときは、個人情報取扱責任者の指示に従い、個人データを読取不可能な状態にしなければならない。

２　前項に定めるもののほか、個人データの廃棄及び消去のため必要な事項に関しては、理事会において別に定める。

（教育訓練）

第１２条　個人情報取扱責任者は、役職員の採用及び組合会議員の就任に当たり、個人情報保護の重要性等について理解し遵守の徹底が図られるよう必要な研修、教育を実施するほか、随時、役職員及び組合会議員に対し、個人情報保護に関して必要な研修、教育を実施する。

２　前項に定める研修、教育を実施した場合、個人情報取扱責任者または個人情報保護管理担当者は、実施時期、場所、対象者及び内容を記録し保存するものとする。

（委託先の監督）

第１３条　個人データに関する業務を委託した場合には、委託業務に用いる個人情報の安全管理が図られるよう、委託先に対し、必要かつ適切な監督を行わなければならない。

（外部委託）

第１４条　個人データに関する処理は、次の各号に掲げる事項を契約書上に明記することを了承した業者に限り、外部委託することができる。

(1)法令、関連通知及びガイダンス（当該個人情報が特定個人情報である場合には、特定個人情報ガイドラインを含む。）を遵守し、個人情報の保護に万全を期すこと。また、契約期間終了後においても同様であること。

(2) 個人データを委託業務以外に利用しないこと。

(3)個人データの漏えい等が生じた場合には、契約を解除すること。

(4)個人データの漏えい等により損害が生じた場合には、損害賠償を行うこと。

(5)組合の個人情報取扱責任者は、随時、委託契約に関する調査を行い、説明を求め及び報告を徴することができること。

(6)個人情報取扱責任者から問題が指摘された場合には、速やかに必要な措置を行うこと。

(7)組合との直接の契約関係（組合が再委託について許諾している場合を含む。）を伴わない再委託を行わないこと。

（保有個人データの開示）

第１５条　組合が保有する診療報酬明細書、調剤報酬明細書、及び訪問看護療養費明細書（以下「レセプト」という。）の開示に当たっては、「診療報酬明細書等の被保険者等への開示について」（平成１７年３月３１日保発第０３３１００９号厚生労働省保険局保険局長通知）に基づき取扱い、レセプト開示に係る具体的取扱いについては、組合の「診療報酬明細書等の開示に係る取扱要領」に則り処理を行う。

２　組合のレセプト以外の保有個人データの開示に当たっては、組合の「保有個人データ（診療報酬明細書等を除く）の開示・訂正・利用停止等に係る取扱要領」に則り処理を行う。

（開示手数料）

第１６条　開示の請求に対しては以下の手数料を徴収する。

(1)レセプト並びに保有個人データの開示申請に係る手数料（以下「開示手数料」という。）は、開示、不開示に関わりなく文書１件に付き３００円を徴収する。

(2)郵送を希望する場合には、郵送料（書留郵便）相当額を徴収する。

（保有個人データの訂正及び利用停止等）

第１７条　本人から、法第３４条第１項に定める訂正等を求められた場合及び法第３５条第１項に定める利用停止等を求められた場合は、組合の「保有個人データ（診療報酬明細書等を除く）の開示・訂正・利用停止等に係る取扱要領」に則り処理を行う。

（個人情報相談窓口の設置）

第１８条　個人情報の取扱いに関する相談や苦情（以下「苦情等」という。）の適切な処理を行うため、組合に個人情報相談窓口を設置する。

２　本人から苦情等の申し出があった場合は、苦情等の内容を調査、確認のうえ個人情報取扱責任者に報告しなければならない。

（監査）

第１９条　監事は、個人情報保護の徹底に関して、監査を毎年１回実施する。

２　前項の監査により、監事から問題点の指摘等があった場合には、個人情報取扱責任者は、速やかに必要な措置を講じなければならない。

（損害賠償）

第２０条　故意又は重大な過失による個人データの漏えい等により、損害を及ぼした者は賠償の責を負う。

（懲戒）

第２１条　職員が、本規程並びに関連規程に違反した場合は、服務規程等（就業規則）に基づき、懲戒する。

（漏えい等の事故にかかる対策）

第２２条　組合は個人情報の重要性及び秘匿性を十分理解するとともに、漏えい等の事故が発生しないよう、その予防対策や事故発生時の対応につきあらかじめ定めるとともに、常時事故防止に努めなければならない。

２　漏えい等の事故が発生した場合、組合が定める対応のほか、ガイダンスⅢ６に定める対応並びに地方厚生（支）局への報告を速やかに実施するものとする。

附　　則　この規程は、平成２９年５月３０日から施行する。

附　　則　この規程は、令和２年１１月１日から施行する。

附　　則　この規程は、令和３年９月１日から施行する。

附　　則　この規程は、令和３年１０月１日から施行する。

附　　則　この規程は、令和４年４月１日から施行する。

附　　則　この規程は、令和４年１０月１日から施行する。

附　　則　この規程は、令和６年８月１日から施行する。