QUPiO(クピオ)は、医療保険者(健康保険組合、共済組合、国民健康保険など)からみなさんの健診データをお預かりして、一人ひとりの健康状況に応じた情報を、わかりやすくお届けするサービスです。

でも「なぜ医療保険者がこのようなサービスを行っているの?」「本人に断りなく個人情報である健診データを使って構わないの?」と疑問に思われる方もいるかもしれません。そこでここでは、医療保険者がみなさんの大切な個人情報である健診データを利用して、このような事業を行っている理由を簡単にご説明します。

※以下では、医療保険者の中から健康保険組合(健保)を例にご説明していますが、共済組合、国民健康保険などのみなさんについても同様の理由で健診データをお預かりしています。

加入者の健康増進も健康保険組合などの役割

今日からQUPiOを使い始めたんだ。自分の健診結果やリスクがWeb上で確かめられるのは便利だけど、これって健保が提供しているサービスなんだよね? 健保って医療費の負担だけじゃなく、こんな事業もやっているの?
そうよ。健保などが行っている事業には、主に「保険給付事業」と「保健事業」の2種類があるの。「保険給付事業」は、病気やけがなどのときに医療費を負担したり、給付金を支給したりするもの。これはわかるわよね?
うん。それじゃあ「保健事業」っていうのは?
加入者やその家族の、健康増進のために行う事業のことよ。こうした事業は国も推奨していて、 「健康増進法」や「健康保険法」などの法律(※1)にも「積極的に推進するよう努めなければならない」ということが明記されているのよ。

健康保険組合など(医療保険者)の主な事業

保険給付事業 保健事業
加入者やその家族が病気、けが、出産、死亡をしたときに医療費を負担したり、さまざまな給付金を支給したりする事業。健康保険証の発行も行っています。 加入者やその家族の健康の保持・増進をはかる事業。健康相談や、健康づくりのPR、体育奨励事業、保養所利用補助事業など。
へぇ。じゃあ、メタボ健診を行ったり、保健指導をしたり、健康増進のためのイベントをしたりしているのも、その「保健事業」の一環ということなのか。
そうね。病気になったときの給付だけじゃなくて、病気にならないよう健康の大切さを伝えることも、健保にとっては大切な役割なのよ。QUPiOで健診データを分析して、自分の健康状態を把握してもらうようにしているのも、そのためね。
そうなのかぁ。健保がどうしてこういう事業をやっているのかはわかったけど、QUPiOは健保が運営しているわけではないよね?
そうね。QUPiOは健保などから委託された会社が運営しているので、健保が直接運営しているわけではないわね。
その委託先の会社が健診データを利用するのは、構わないの?  個人情報保護の観点からすると、なんだかしっくりこない気がするんだけど。
※1
健康増進法第一章

第四条

健康増進事業実施者は、健康教育、健康相談その他国民の健康の増進のために必要な事業(以下「健康増進事業」という。)を積極的に推進するよう努めなければならない。

第六条

この法律において「健康増進事業実施者」とは、次に掲げる者をいう。

  1. 健康保険法(大正十一年法律第七十号)の規定により健康増進事業を行う全国健康保険協会、健康保険組合又は健康保険組合連合会
  2. 船員保険法(昭和十四年法律第七十三号)の規定により健康増進事業を行う全国健康保険協会
  3. 国民健康保険法(昭和三十三年法律第百九十二号)の規定により健康増進事業を行う市町村、国民健康保険組合又は国民健康保険団体連合会
  4. 国家公務員共済組合法(昭和三十三年法律第百二十八号)の規定により健康増進事業を行う国家公務員共済組合又は国家公務員共済組合連合会
  5. 地方公務員等共済組合法(昭和三十七年法律第百五十二号)の規定により健康増進事業を行う地方公務員共済組合又は全国市町村職員共済組合連合会
  6. 私立学校教職員共済法(昭和二十八年法律第二百四十五号)の規定により健康増進事業を行う日本私立学校振興・共済事業団
  7. 学校保健安全法(昭和三十三年法律第五十六号)の規定により健康増進事業を行う者
  8. 母子保健法(昭和四十年法律第百四十一号)の規定により健康増進事業を行う市町村
  9. 労働安全衛生法(昭和四十七年法律第五十七号)の規定により健康増進事業を行う事業者
  10. 高齢者の医療の確保に関する法律(昭和五十七年法律第八十号)の規定により健康増進事業を行う全国健康保険協会、健康保険組合、市町村、国民健康保険組合、共済組合、日本私立学校振興・共済事業団又は後期高齢者医療広域連合
  11. 介護保険法(平成九年法律第百二十三号)の規定により健康増進事業を行う市町村
  12. この法律の規定により健康増進事業を行う市町村
  13. その他健康増進事業を行う者であって、政令で定めるもの
健康保険法第百五十条
保険者は、高齢者の医療の確保に関する法律第二十条 の規定による特定健康診査及び同法第二十四条 の規定による特定保健指導(以下この項及び第百五十四条の二において「特定健康診査等」という。)を行うものとするほか、特定健康診査等以外の事業であって、健康教育、健康相談、健康診査その他の被保険者及びその被扶養者(以下この条において「被保険者等」という。)の健康の保持増進のために必要な事業を行うように努めなければならない。

QUPiOでの健診データの取り扱いが、個人情報保護法と矛盾しないのはなぜ?

たしかに個人情報保護法には「本人の同意を得ないで個人データを第三者に提供してはならない」と書いてあるわね。
ほら。僕の同意を得ないで健診データを委託先に渡すのは、その「第三者への提供」っていうのに当たるんじゃないの?
A男くんがそう思うのも無理ないわ。でもね、外部への提供が、すべて法律で制限されている「第三者への提供」に該当するというわけではないのよ。個人情報保護法には「こういう場合は、第三者への提供に該当しませんよ」とか「こういう場合は第三者であっても提供することができますよ」ということも明記されているの。

ふーん。それってつまり、僕が同意をしていなくても構わない場合があるってこと?

そう。例えば健保が健診データを使ってみんなの健康に役立つような事業をやろうとしたときに、自分たちだけで行うよりも、医療の知識や経験が豊富な委託先の会社を使ったほうがより効果的で効率的な事業が行えるとしたら、A男くんはどう思う?
それは外部に委託したほうがいいのかもしれないなぁ。
そうよね。そういう場合を想定して、利用目的の達成に必要な範囲内であれば、個人データの取り扱いを含む業務を外部に委託することが認められているの。つまり、QUPiOを運営している会社は、私たちの健康増進を目的とした保健事業を達成するために必要な委託先であって、この場合、健保は私たち一人ひとりの同意をとらないで個人データを提供しても構わないことになっているというわけね(※2)。
そうなんだ。僕が知らなかっただけで、法律的には問題ないんだね。
そうなのよ。ただし、個人情報の利用目的などは、例えばホームページや健保だより、事業所の窓口や掲示板などを通して、公表することが必要よ(※3)。
なるほどね。でも、その委託先ではきちんとした管理がおこなわれているのかなぁ?
たしかにQUPiOを運営しているのは委託先の会社だけど、健保と委託先の間では個人情報の取り扱いを含んだ業務委託契約がきちんと結ばれているはずだし、それに健保も健診データを渡してそれで終わりというわけではないのよ。健保の個人情報の取り扱いについては、厚生労働省が定めたガイドラインがあってね。委託先がきちんと情報を管理しているか定期的に検査をするなど、健保のほうでもさまざまな安全管理をしなければならないことになっているの(※4)。
そうなんだ。でもなんだか心配だな~。データが漏れてほかの人に知られちゃったり、不正に利用されたりすることはないのかな?
その点は大丈夫だと思うわ。個人情報を扱う保健事業は、どこに委託してもいいというわけではないの。個人情報を適切に取り扱っている事業者を委託先として選定するように、ってガイドラインにも書いてあるわ。
その「適切に取り扱っている事業者」って、なんだかあいまいだなぁ。具体的にはどういうこと?
※2
個人情報の保護に関する法律

(利用目的の特定)

第十五条

個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。

2 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。

(利用目的による制限)

第十六条

個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。

2 個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。

3 前二項の規定は、次に掲げる場合については、適用しない。

  1. 法令に基づく場合
  2. 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
  3. 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
  4. 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

(第三者提供の制限)

第二十三条

1 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

  1. 法令に基づく場合
  2. 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
  3. 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
  4. 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

2 個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。

  1. 第三者への提供を利用目的とすること。
  2. 第三者に提供される個人データの項目
  3. 第三者への提供の手段又は方法
  4. 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。

3 個人情報取扱事業者は、前項第二号又は第三号に掲げる事項を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

4 次に掲げる場合において、当該個人データの提供を受ける者は、前三項の規定の適用については、第三者に該当しないものとする。

  1. 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合
  2. 合併その他の事由による事業の承継に伴って個人データが提供される場合
  3. 個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。

5 個人情報取扱事業者は、前項第三号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

※3
健康保険組合等における個人情報の適切な取扱いのためのガイドライン
III 健保組合等の義務等

2 利用目的の通知等

 【法の規定により遵守すべき事項等】

  • 健保組合等は、個人情報を取得するに当たって、あらかじめその利用目的を公表しておくか、個人情報を取得した場合、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
  • 利用目的の公表方法としては、健保組合等のホームページへの掲載のほか、パンフレットの配布、事業所担当窓口や健保組合等の掲示板への掲示・備付け、公告等により、なるべく広く公表する必要がある。
  • 健保組合等は、健診の申込みを受け付ける際に問診票の記入を求める場合など、本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を事業所担当窓口や健保組合等の掲示板等により明示しなければならない。
  • 健保組合等は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
  • 取得の状況からみて利用目的が明らかであると認められる場合など利用目的の通知等の例外に該当する場合は、上記内容は適用しない。(「利用目的が明らか」な場合についてはIII1.(1)を参照)

国民健康保険については、「国民健康保険組合における個人情報の適切な取扱いのためのガイドライン」に指針等が定められています。

※4
健康保険組合等における個人情報の適切な取扱いのためのガイドライン
III 健保組合等の義務等

4 安全管理措置、従業者の監督及び委託先の監督

(3)業務を委託する場合の取扱い

2 業務を委託する場合の留意事項

健保組合等関係事業者は、個人データの取扱いの全部又は一部を委託する場合、以下の事項に留意すべきである。

  • 個人情報を適切に取り扱っている事業者を委託先(受託者)として選定する
  • 契約において、委託している業務の内容、委託先事業者、個人情報の適切な取扱いに関する内容を盛り込み(委託期間中のほか、委託終了後の個人データの取扱いも含む。)、契約内容を公表する
  • 受託者が個人情報を適切に取り扱っていることを定期的に確認する
  • 受託者における個人情報の取扱いに疑義が生じた場合(被保険者等からの申出があり、確認の必要があると考えられる場合を含む。)には、受託者に対し、説明を求め、必要に応じ改善を求める等適切な措置をとる
  • なお、個人情報保護の観点から、可能な限り、個人情報をマスキングすることにより、当該個人情報を匿名化した上で、委託するよう努めること。
  • また、委託するに当たっては、本来必要とされる情報の範囲に限って提供すべきであり、情報提供する上で必要とされていない事項についてまで他の事業者に提供することがないよう努めること。

個人情報を適切に取り扱っている事業者が取得できる「プライバシーマーク」

そうねぇ、例えばQUPiOを運営している会社は特定保健指導を行う「保健指導機関(※5)」としても登録されているし、プライバシーマークも取得しているわ。
プライバシーマーク?
「この事業者は個人情報について適切な取り扱い体制を整備し、運用することができますよ」と認められた事業者に対して与えられるマークよ。
それはだれが認定しているの?
プライバシーマークの審査は、一般財団法人日本情報経済社会推進協会(JIPDEC)というところが中心になって行っているわ。日本工業規格、いわゆるJISの規格番号「JISQ15001」には、個人情報保護のマネジメントシステムについて、さまざまな項目が規定されていてね、それに適合していているかどうかを審査するのよ。
どうやって?
プライバシーマーク

一般財団法人日本情報経済社会推進協会(JIPDEC)より、個人情報の適切な取り扱いを行う事業者に付与されるプライバシーマーク。企業や団体ごとに、それぞれ認定番号が付与されます。QUPiOを運営するヘルスケア・コミッティー株式会社の認定番号は、右のように10861130(05)です。

まず書類による審査があって、そのあと実際に現地に立ち入り調査をするの。
プライバシーマークの有効期間は2年間だから、マークを使い続けるためには、定期的な更新審査を受けて合格しなければならないのよ。

けっこう厳しい審査みたいだね。
そうよ。だからA男くんも安心してQUPiOを使って、脱メタボがんばって! 健康増進法の第2条にはね、健康な生活習慣の重要性を理解して健康の増進に努めるのは、私たち国民の責務だって書いてあるわ(※6)。いくら健保が予防のための保健事業を行っても、私たち自身が何もしなかったら健康は維持できないもの。今日からお互い、がんばって生活習慣の改善に取り組みましょう!

40~74歳のみなさんへ

2008年から、特定健診制度が始まったのはご存知でしょうか?

これにより、健康保険組合などの医療保険者には、40~74歳のみなさんへ特定健診(いわゆるメタボ健診)を行うことと、該当者へ保健指導を実施することが義務づけられました。

この制度は、加入者の方だけでなく、そのご家族の方も対象となります。

もし、みなさんのご協力が得られず、特定健診の受診率や特定保健指導の実施率などが基準を下回ると、医療保険者にはペナルティが課せられる可能性があります。そうなると、みなさんの保険料率にも跳ね返ってくるかもしれません。

みなさん一人ひとりの健康意識が、医療保険制度を支えています。ぜひ、特定健診・保健指導にご協力ください。

厚生労働省が定めた「特定健康診査及び特定保健指導の実施に関する基準」では、医療保険者は特定健診の結果を通知するだけでなく、「加入者が自らの健康状態を自覚し、健康な生活習慣の重要性を理解するような情報を提供しなければならない」としています(※7)。QUPiOも、みなさんの健診結果を利用して、自分の健康に関心を持ってもらうための情報提供の一環です。みなさん自身の健康のために、ぜひ積極的にQUPiOを利用してください。

※5 「特定健康診査・特定保健指導の円滑な実施に向けた手引き」には、保健指導機関の委託基準として、「業務を統括する者は常勤の医師、保健師又は管理栄養士であること」「個別支援を行う際に、対象者のプライバシーが十分に保護される施設及び設備等が確保されていること」などが書かれています。
※6
健康増進法第二条

(国民の責務)

第二条 国民は、健康な生活習慣の重要性に対する関心と理解を深め、生涯にわたって、自らの健康状態を自覚するとともに、健康の増進に努めなければならない。

※7
厚生労働省令第百五十七号「特定健康診査及び特定保健指導の実施に関する基準」
第三条 保険者は、法第二十三条の規定により、特定健康診査を受けた加入者に対し、特定健康診査に関する結果を通知するに当たっては、当該特定健康診査に関する結果に加えて、当該加入者が自らの健康状態を自覚し、健康な生活習慣の重要性に対する関心と理解を深めるために必要な情報を提供しなければならない。

ログインすることで、多くの機能や情報を活用することができます。

ログインすると何ができるか