健康保険組合連合会(以下、「健保連」という。)は、健康保険法という特別な法律に基づき設立された法人だ。日本全国47都道府県ごとに支部が置かれ1,372の健康保険組合が加盟しており、加入者総数は全国民の4分の1をカバーする2,800万人にのぼる(令和7年度予算時)。健康保険組合連合会東京連合会(以下、「東京連合会」という。)は、東京都内に事務所を構える約590の会員組合の業務運営支援や健保連との連絡・調整を主な役割としている。さらに会員組合は地域ごとに11の地区方面会に分かれており、東京連合会の事業推進を支えるとともに、地区ごとに独自の事業を展開している。こうした地区方面会と連携しながら、東京連合会は16名という限られた人員体制で、会員組合の活動を支援する多様な事業を実施している。
その一環として、2021年度より会員組合の委託先業者における個人情報保護管理体制を確認する「共同監査※1」を当機構と提携して企画・実行。
加入者の重要な情報を取り扱う組合は、委託先業者の個人情報保護管理においても確実な体制が求められるからだ。今回は、「共同監査」の導入経緯や目的、メリットおよび今後の展望について、東京連合会 菅牟田常務理事および業務課の米内課長、桜井係長、谷平職員に伺った。
※1 共同監査
同じ委託先を利用する複数の会員組合が集まり、厚生労働省ガイダンスに基づき、当該委託先の個人情報保護管理体制が適切であるか、活動状況を監査すること。JQAでは共同監査を代行し、一定の水準で委託先業者の監査を実施。会員組合の監査リソース支援や高度な情報セキュリティ監査サービスを提供している。
-日頃健康保険にかかわるニュースを耳にしますが、会員組合ではどのような役割を担っているのでしょうか。また、東京連合会とのかかわりについて教えてください。
健康保険組合連合会 東京連合会
常務理事 菅牟田 健一
会員組合を取り巻く事業環境は目まぐるしく変わっており、近年、非常に業務負担が増えています。例えば2024年12月には保険証の新規発行が廃止されました。これに伴い、加入者からの問い合わせサポートや事務処理なども発生しています。また、2026年度からは子ども・子育て支援金の徴収が始まりますが、これは健保組合を通じて徴収されるものになるため、対応するための体制を各健保組合のなかで速やかに構築する必要があります。このように社会から健保組合に寄せられる期待は大変大きく、国民の安心な医療制度を守る立場として非常に責任のある業務を遂行する必要がある一方で、時代のニーズや国の制度に合わせた臨機応変な対応が求められています。東京連合会では、医療保険制度改革や適切な社会保障制度構築に寄与するべくさまざまな事業を行っていますが、そのなかでも私たちは会員組合の事業運営支援として、保健師による保健指導、女性や子どもに関する健康相談窓口事業の実施といった保健事業の推進や、会員組合が日々実行する適用給付のサポートをしています。ほかにも、健康企業宣言「銀の認定」「金の認定」※2の事業を通じて健康優良企業を認定するなど、企業の健康づくりに貢献しています。
※2 健康企業宣言について
-共同監査の導入経緯や目的について教えてください。
健康保険組合連合会 東京連合会
業務課 課長 米内 久永
もともと、健康保険組合では保険証の発行や給付金の手続きなどを主に実施してきましたが、少子高齢化に伴い医療費が増加し、財政を圧迫するようになったため、保険者機能の発揮による医療費の適正化に取り組むようになりました。また、マイナンバー制度の導入といった法改正対応など、事業が多様化・複雑化している状況に加えて国の方針などにより、業務自体の電子化が進んでおらず、加えて組合内部の人手不足問題に直面しています。このような事業環境の変化に伴い、事業の一部を外部委託する組合も増えてきました。しかしながら、日々加入者の重要な情報を取り扱う組合にとって個人情報管理は非常に重要なものであり、厚生労働省ガイダンス〈Ⅲ-5.安全管理措置、従業者の監督及び委託先の監督(法第23条~第25条)〉でも委託者の設置や委託先における個人データ取り扱い状況の把握や、委託先に対する厳しい管理・監督が求められています。また、ますますIT技術が発達し、クラウドサービス等を利用する機会も増えるなど、情報セキュリティリスクも変化しています。これらへ対応するためには高度な専門知識も必要となりますが、このようなリソースの確保や、具体的な監査手法に悩む会員組合も多いことから、そのサポートとして業務委託先における個人情報保護管理体制について共同監査を立ち上げました。共同とした理由としては、複数の会員組合が同じ事業者へ委託している場合、監査を共同で行うことで効率化できるからです。しかしながら、個人情報保護については個人情報保護法をはじめ、見るべきポイントが多数あり、どのような監査体制にしたらよいか分からないことから、JQAに相談することにしました。そこで個人情報保護法のみならずJIS Q 15001(個人情報保護)、ISO/IEC 27001(情報セキュリティマネジメントシステム)、ISO/IEC 27017(クラウドサービスセキュリティ)の視点など、さまざまな監査基準の知見を踏まえた上で組合独自の共同監査基準およびチェックシートを作成してもらいました。それを会員組合へ配布し、共同監査や業者選定時のスクリーニングとして利用してもらっています。
-監査内容や当日の状況、指摘事項について教えてください。
健康保険組合連合会 東京連合会
業務課 係長 桜井 直人
監査チェックシートは共通、組織・人的事項、物理的・技術的事項の3カテゴリー、全部で37の質問に分かれています。それぞれ監査で何を見るべきかまで記載しており、監査人に分かりやすい形式となっています。当日は共同監査を希望する会員組合の監査人が数十人集まり、用意したチェックシートに基づいてJQAの監査人が確認していく監査を一緒に行います。私たちも事務局としてすべての監査に立ち会います。チェックシートそのものがとても細かくできているのですが、ほかに気になる点があれば追加で独自に確認される方もいらっしゃいます。指摘事項については、基本的なところは抑えられている事業者がほとんどですが、法改正へのキャッチアップが遅れてしまっていることや、事故があった場合の報告手続き漏れに関する事項、事業継続体制に関する事項が整っていないことが多い印象です。事業継続については、BCPはつくっているものの、実際に稼働するかどうか、例えばデータ復旧を実際に行うことができるかといったアクションが不十分な場合があります。また、共同監査では情報セキュリティに関する事故の状況も確認しますが、監査プロセスのなかで「事故がありました」と報告を受けることもあります。いわゆる重大案件ではなかったものの、事故があった場合は、事故発生原因の追究状況、事故発生後の対応、再発防止策も確認しています。
監査で使用するチェックシートの一部
-共同監査のメリットはどのようなものでしょうか。
健康保険組合連合会 東京連合会
業務課 谷平 梓
先述の通り、東京連合会は約590の会員組合がおり、1,000万人を超える加入者を抱える最大規模の支部ですが、会員組合の規模についてはばらばらで、50万人以上の加入者があるところもあれば数百人程度のところもあります。よって、小規模な会員組合では単体での監査が難しいこともあります。私たち東京連合会がこのような会員組合の委託先の共同監査を企画することで個別に委託先監査を行うよりも費用面をかなり抑えるだけでなく、監査手法や個人情報保護管理に関するラーニングの機会として活用していただけているかなと思います。また、いろいろな会員組合が一堂に会する機会ともなりますので名刺交換や情報共有といった交流の場にもなっています。ほかにも一般的な二者監査とは異なり、自分の目線における監査に留まらず、ほかの人の視点から複合的に監査を行えるというのが大きなメリットではないでしょうか。単体の会員組合だけでは見えてこなかった課題も見えてきます。受審側となる委託事業者のメリットとしては、監査の受審回数を大幅に減らせるということでしょう。もし20の会員組合がそれぞれ監査を行った場合、単純に考えて20回受審することになってしまいます。監査対応に追われて本業をおろそかにするわけにはいかないでしょうから、なかには積極的に共同監査を受審される事業者もあります。
-5年間ほど共同監査を実施してきましたが、変化は感じられていますか?
共同監査が立ち上がったころはまだ手探り状態で、どのようなやり方が良いのか日々模索していました。それは会員組合も同じで、当初は共同監査へどのように関与したら良いか躊躇されている様子もありましたが、年度を重ねるうちにすごく熱心にメモを取って聞いてくださっている方や積極的に発言される方も増え、より前向きに関与しようとしている会員組合も増えてきていると感じます。毎年共同監査を実施すること自体が、情報セキュリティに対する意識づけの効果を発揮しているのではないかと思っております。
-共同監査の課題は何ですか?また、今後の方針などをお聞かせください。
経緯でも述べたように、共同監査は個別の監査対応が難しい会員組合に向けて企画したものです。今後はそのような会員組合が自ら監査できるように、力量をつける研修等を通じたフォロー体制を充実させることが重要な課題だと考えております。2025年度は初めて共同監査希望の組合先着100名程度を対象にした監査人育成セミナーを開催しました。こちらはJQAのISO/IEC 27001審査やISO/IEC 27017審査なども手掛けている審査員の方にお願いし、監査の基本規格となるISO 19011(マネジメントシステム監査のための指針)をベースとしながら監査手法についてとても分かりやすく解説いただきました。また、クイズ形式で情報リスクの見つけ方や管理方法なども講義いただきました。来年度以降、さらにこの研修内容を充実させていければと思っております。また、長期的な課題としては今後の方針にもつながりますが、クラウドサービスの普及など、ICT(情報通信技術)が急速に発展するなかで、共同監査についても単なる個人情報の委託という観点だけでなく、このような時代の情勢に合った最新の内容に更新し続ける必要があります。情報セキュリティに関する動向や専門知識を組合全体と共有していくことが必要だと考えております。
-JQAではお客さまの課題に寄り添いながら継続的にサポートを行っています。共同監査で見えてきた課題に対し、より良い監査サービスや研修を提供してまいります。
左:東京連合会 常務理事 菅牟田 健一
右:マネジメントシステム部門 理事 深尾 卓
JQAマネジメントシステム部門
情報審査部主幹 若井 秀子
2024年度から共同監査の監査人を務めています。共同監査では健保組合の皆さまからの質問を受け付ける時間を必ず設けていますが、委託元としてのリアルな視点で質問をしてくださることで共同監査の有効性がより高まっていると感じています。
今年度は会員組合の担当者を対象にしたセミナーも実施しました。監査や情報システム管理は、担当者の皆様にとってあまり馴染みのない話題かもしれませんが、皆さま大変意欲的にご参加くださいました。会員組合の皆さまにとっても委託先の情報管理は切実な課題なのだと実感しました。
昨今サプライチェーンの重要性がますます高まっていますので、委託した業務が適切に実施されていることを確認する二者監査の重要性も増しています。二者監査の場では監査者である委託元、被監査者である委託先、と立場は異なりますが、「委託した業務を適切に実施したい」という大きな目的は同じです。委託元と委託先の両者の意向をくみとり、円滑な業務遂行のお手伝いができれば、監査人としても大変うれしく思います。
JQAマネジメントシステム部門
情報審査部参与 川津 一郎
共同監査を担当するなかで一番工夫していることは、監査で得たノウハウの蓄積です。自分自身の気づきや東京連合会が監査中に話したトピックスを「監査の観点」としてまとめ、監査チェックシートと共に活用しています。このような観点の活用は、ISO規格の審査経験に基づくもので、JQAが共同監査を担当する強みであると考えます。 共同監査を担当して最近感じていることは、会員組合からの質問のレベルが高くなってきていることです。このことからも、共同監査が会員組合の情報セキュリティに対する意識付けの効果を発揮しているのではないかと思います。一方で、共同監査で得られるメリットは「知る人ぞ知る」状態となっており、業界内に知れ渡っているとは言えません。今後は、このメリットをどんどん広め、多くの顧客の課題解決につながればうれしいです。
ソリューションサービス課
主査 伊林 高広
2020年からJQAの営業担当者として、監査基準の作成や共同監査の構築・実施に携わっております。定期的に東京連合会の事務局の方とコミュニケーションさせていただくなかで、共同監査の有効性の高まりを強く感じています。
また、会員組合の事業運営を取り巻く社会環境の変化に伴い、対応すべき業務領域がこれまでより広がっており、少ない人員での運営体制構築についてご相談を受けることも多くなってきました。共同監査では個人情報保護体制に関する支援をさせていただきましたが、このサービスの発展や、健康保険組合の事業運営におけるさまざまな課題解決に貢献できるよう、「監査サービス」を通じて努めていきたいと考えています。お気軽にご相談ください。
取材日:2025年7月30日、8月20日、8月29日、9月9日
| 本社 | 東京都新宿区四谷1-1-2 |
|---|---|
| 従業員 | 16名(2025年6月時点) |
| 創立 | 1943年 |
| URL | |
| 事業内容 |
|
