前回は、特定個人情報ガイドラインに基づいて第2区分の「特定個人情報の提供制限等」について、具体的に「しなければならない」ことや「してはならない」ことなどをお話ししました。今回は最終回として、第3区分の「特定個人情報の安全管理措置等」を含め、医療現場のマイナンバー実務対応のための導入プロセスについて、お話しします。
第3区分の「特定個人情報の安全管理措置等」について、主な保護措置は以下の通りです。
事業者は、特定個人情報等の適正な取扱いに関する安全管理措置を講ずる責務(委託先の監督も含む)があり、その概要は次項で述べます。
医療現場の情報セキュリティ・マネジメントにおけるマイナンバー実務対応のための導入プロセスは、次の通りです。
前述の1~5で、個人番号関係事務の業務内容及びその事務で取扱う帳票、データを洗い出し、特定個人情報の取扱いのプロセス(取得、利用、委託、提供、保管、返却、削除・廃棄など)を可視化(業務フロー図化)します。そして、各プロセス単位に想定されるリスクを洗い出し、まず、どんなリスクがあるのかを認識することが重要です。
尚、医療機関では個人番号を利用しない場合でも、医療機関または医師等の証明や、医療機関作成の書類添付を要する申請書類(例えば、傷病手当金支給申請書など)に個人番号が記載されているものを取扱う場合があります。これは、「3.特定個人情報(帳票、データ)の範囲の明確化」の対象であり、漏れが無いように洗い出す必要があるので、気をつけてください。
一方、昨今、委託先での漏えい等の事故が度々発生しており、委託者に、委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を委託先(間接的に再委託先も含む)に対する監督義務を課していますので、委託先でのリスクの洗い出し及びリスクの認識は欠かせません。
洗い出されたリスクに対して、合理的な対策及び対策後の残存リスクを明確にし、定期的に見直すようなマネジメントシステムを構築することが望まれます。
尚、合理的な安全管理措置として、以下の4区分あり、前述の「6.個人番号関係事務に関する取扱規程等の策定」において、例えば、安全管理規程等に盛り込むと共に、既存の就業規則を改訂(特定個人情報についての秘密保持に関する事項の追加、懲戒処分の対象となる行為を列挙している条項にマイナンバー法の義務違反行為を追加)しておくことも欠かせません。
これらの安全管理措置については、特定個人情報委員会「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(2014年12月11日)の(別添)「特定個人情報に関する安全管理措置(事業者編)」に具体的な手法が例示されているので参照し、医療機関の規模及び特定個人情報等を取扱う事務の特性等により、適切な手法を採用することが望まれます。
ところで、マイナンバー法は、一般法である個人情報保護法の特別法であり、特別法は一般法に優先します。特別法であるマイナンバー法以外の部分は、特定個人情報も個人情報なので個人情報保護法に対応しなければならないが、コラム枠の都合上、割愛しましたのでご了解下さい。
以上、4回にわたり、医療機関の情報セキュリティ・マネジメントにおけるチェックポイントについて、マイナンバー実務対応の視点で、マイナンバー制度の主旨、注意すべきポイント、導入プロセスなどについて、お話しさせて頂きました。少しでも皆様のご参考になれば幸いです。
