特定個人情報の適正な取扱いに関するガイドラインについて
医療現場におけるマイナンバー実務対応 -情報セキュリティのポイント-(第2回)
2015年8月

執筆者:公認情報セキュリティ監査人
    プライバシーマーク主任審査員
    審査員研修主任講師
    小川 敏治(おがわ としはる)氏

医療機関が取り扱うマイナンバーについて

前回、マイナンバー制度(社会保障・税番号制度)の概要をお話ししました。

尚、マイナンバー法附則では、「法律の施行後3年を目途として、法律の施行状況を勘案し、マイナンバーの利用範囲の拡大や、情報提供ネットワークシステムを利用した特定個人情報の提供範囲の拡大について検討を行い、必要があると認めるときは、国民の理解を得つつ、所要の措置を講じる。」としています。したがって、国民の理解が得られれば、同法改正により患者のマイナンバーを「医療等分野での番号」として利用できる余地も若干残しています。

いずれにしても当面は、医療機関で患者のマイナンバーを医療等分野で利用することは出来ず、窓口で患者のマイナンバーのコピーをとったり、書き写したり、システムに入力し利活用するなどの行為は特定個人情報の目的外利用となり処罰対象となり得るので注意することが必要です。

従って、医療機関が取り扱うマイナンバーの対象者は、主に職員や社員などの従業者、その家族等であり、その方々のマイナンバーを収集・管理して、行政機関・地方公共団体・独立行政法人等の行政等の事務の為に、提出先(行政機関等)に提出する事務(マイナンバー法では「個人番号関係事務」という。)が必須になります。

マイナンバー法は、行政機関等(行政機関・地方公共団体・独立行政法人等又は地方独立行政法人)又は事業者の別を問わず、個人番号を取り扱う全ての者に適用されます。また、個人番号が悪用され、又は漏えいした場合、個人情報の不正な追跡・突合が行われ、個人の権利利益の侵害を招きかねない為、特定個人情報について、個人情報保護法よりも厳格な保護措置を義務付けると共に、特定個人情報保護委員会(保護法改正により、「個人情報保護委員会」に改組予定)による監視・監督及び罰則の強化を規定しています。

今回及び次回の2回にわたって、特定個人情報保護委員会が策定し公表している「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(2014年12月11日)(略称:特定個人情報ガイドライン)に基づいて、特定個人情報(個人番号及び個人番号を含む個人情報)の取扱いで、具体的に「しなければならない」ことや「してはならない」ことなどをお話しします。

個人番号関係事務における厳格な保護措置

特定個人情報ガイドラインで、医療機関を含むすべての事業者に対して、大別して次の3区分での厳格な保護措置の義務を課しています。

(1)特定個人情報の利用制限
(2)特定個人情報の提供制限等
(3)特定個人情報の安全管理措置等

(1)特定個人情報の利用制限

まず、第1区分の「特定個人情報の利用制限」について、主な保護措置は次の通りです。

  1. 個人番号を利用することができる範囲について、社会保障、税及び災害対策に関する特定の事務に限定しています(マイナンバー法第9条)。
  2. 必要な範囲を超えた特定個人情報ファイル(個人番号を含む個人情報データベース等)の作成を禁止しています(同法第28条)。

個人番号を利活用できるのは、行政機関・地方公共団体・独立行政法人等であり、且つ、同法別表に具体的に細かく規定された行政等の事務(個人番号利用事務)のみであり、それ以外での利活用は禁止されています。

一方、医療機関を含むすべての事業者は、同法で規定された行政等の事務(個人番号利用事務)に協力するよう努めるものとする(同法6条)としており、提出先(行政機関等)に提出する事務(個人番号関係事務)のみであり、また、その個人番号関係事務に必要な範囲を超えた特定個人情報ファイルの作成を禁止しています。(特定個人情報ファイルとは、個人番号をその内容に含む個人情報データベース等であって、行政機関及び独立行政法人等以外の者が保有するものをいう(同法第2条)。)

つまり、医療機関が法令に基づき、職員等のマイナンバーを給与所得の源泉徴収票、健康保険・厚生年金保険被保険者資格取得届等の書類に記載して、行政機関等及び健康保険組合等に提出する為に、人事・労務システムに入力し印字することは、「必要な範囲」内となります。しかし、入力したマイナンバーを職員番号として人事・労務管理に利活用することは、「必要な範囲を超えた特定個人情報ファイルの作成」にあたり、処罰対象になり得ます。したがって、人事労務システムに職員等のマイナンバーを登録するための情報システム改修においては、この点を考慮することが必要です。

さらに、個人情報保護法と異なり、例え、本人の同意を得ても個人番号関係事務以外での利用はできないことにも注意を要します。

以上、特定個人情報ガイドラインに基づいて、第1区分の「特定個人情報の利用制限」について、お話ししました。次回は、第2区分の「特定個人情報の提供制限等」について、お話ししますので、皆様のご参考になれば幸いです。

上へ戻る