個人情報の保護に関する法律(個人情報保護法)は、平成15年5月30日に公布され、一部について同日施行されましたが、「個人情報取扱事業者」の義務や罰則などについては、平成17年4月1日から施行されます。
この法律でいう「個人情報取扱事業者」は、5千人分以上の個人情報を保有している民間企業等の全てが該当します。健保組合の場合は、レセプト(患者の個人情報が記載された医療費の明細請求書)など重要度の高い医療情報を取り扱っていることから、厚生労働省のガイドラインによって、保有する個人情報の人数に関係なく、「個人情報取扱事業者」と全く同様の義務が課せられることとなります。
この法律の大きな特徴は、「個人情報が漏えいしないように守る。」、「自己情報コントロール権を本人が有する。」の2点であります。前者の考えは、これまでの守秘義務であり、当然としても、後者の“自己情報コントロール権”については、欧米先進国では浸透していることですが、日本ではなじみの少ない考えであるかと思います。この法律が施行されることによって、今後は、個人情報の記載されている加入者本人がコントロール権を有することになります。加入者が自己情報をコントロールできるようにするためには、加入者に対し透明化をはかることが必要になり、そのために個人情報の利用目的等について公表するなどの取扱いが、健康保険組合にも義務づけられることとなりました。
また、同様の趣旨から、健保組合が保有する加入者の個人データについては、第三者に提供する場合、原則として本人の同意が必要になります。第三者とは、本人以外の者であり、夫婦、親子、兄弟であっても本人以外は第三者となります。健保組合にとっては、事業主も第三者になります。
ただし、第三者への個人データの提供について、法律ではいくつかの同意不要事項や第三者提供に該当しない事項についても触れています。同意不要事項としては、①法令に基づく場合、②人の生命、身体又は財産の保護に必要な場合、③公衆衛生・児童の健全育成に特に必要な場合、④国等に協力する場合の4点であります。また、第三者提供に該当しない事項としては、①委託先への提供、②合併等に伴う提供、③グループによる共同利用の3点があります。
健保組合の業務は、健康保険法の趣旨にのっとって行うものであり、ほとんどの基本的業務処理は、健康保険法令に基づいており、加入者の同意を要しません。また、健保組合の多くの業務処理はコンピュータによって行っているため、外部業者に業務処理を委託しております。さらに、共同利用による事業もあり、結果として、加入者の同意なく行う個人データの提供が数多くなっています。
この法律の施行後は、健保組合として、前述の除外事項等を除く、個人データの第三者提供に当たる事項については、加入者の同意を得るとともに、個人情報の利用目的について公表しなければなりません。それと同時に、加入者の個人データについて、この法律では、開示、訂正、追加または削除、利用停止または消去する権利が加入者本人にあることとなります。
しかし、健保組合が保有する加入者の個人データは、健康保険法に基づく届出等により保有するものが大半であり、健康保険法では任意継続被保険者を除き、事業所ごとの強制加入となっており、原則として加入者の申し出で削除や消去はできません。訂正、追加につきましては、これまでと同様に「変更届・訂正届」を提出していただくこととなります。残る権利として、個人データの利用停止がありますが、仮に、個人情報の利用停止を申し出られても、多くの場合、結果として給付が受けられなくなったり、健診が受けられなくなったり、他の保健事業についても加入者の受益が損なわれるおそれがあります。
したがって、実際問題としては、健保組合が行う業務については、開示、訂正、一部の利用停止についての権利を加入者が有することとなります。