PRIVACY POLICY東部メディカル健康管理センター個人情報取扱い規定プライバシーポリシー
制定 平成20年10月1日
第1章 総則
第1条 目的
本規程は、当センターにおける個人情報の適法かつ適正な取扱いの確保に関する基本的事項を定めることにより、個人の権利・利益を保護することを目的とする。
第2条 本規定の対象
このキレイは、当センターが保有する個人情報を対象とする。
第3条 定義
この規程において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
(1)個人情報
生存する「個人に関する情報」であって、特定の個人を識別できるもの、又は他の情報と容易に照合することができ、それによって個人を識別することができるものをいう。「個人に関する情報」は、氏名、性別、生年月日等、個人を識別する情報に限らず、個人の身体、財産、職種、肩書き等の属性に関して、事実、判断、評価を表す全ての情報である。なお、死者に関する情報が、同時に、遺族などの生存する個人に関する情報である場合には、当該生存する個人に関する情報となる。
(2)個人情報データベース
特定の個人の情報を一定の規則に従って整理・分類し特定の個人情報を容易に検索することが出来るよう、目次・索引・符号等を付し、他人によっても容易に検索可能な状態においているものをいう。紙媒体・電子媒体の如何を問わない。
(3)個人データ
個人データベース等を構成する個人情報をいう。
(4)保有個人データ
個人データのうち、個人情報取扱い事業者が開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行なうことのできる権限を有するものをいう。ただし以下のものは除く
[1]その在否が明らかになることにより、公共その他の利益が害されるもの。
[2]6ケ月以内に消去(更新は除く)するもの。
(5)個人情報管理責任者
個人情報保護計画の策定、実施、評価、改善等の個人情報保護のための業務について、統括的責任と権限を有するものをいう。
(6)個人情報取扱担当者
個人情報のコンピュータへの入力・台帳・申込書等の個人情報を記載した帳票・ 帳表を保管・管理する担当者をいう。
(7)個人情報保護監査責任者
個人情報管理責任者から独立した公平かつ客観的な立場にあり、監査実施及び報告を行う権限を有する者をいう。
(8)個人情報保護監査人
当院代表者から選任され、個人情報管理責任者から独立した公平かつ客観的な立場にあり、監査の実施及び報告を行なう権限を有する者をいう。
(9)預託
当院以外の者にデータ処理の委託のために当センターが保有する個人情報を預けること。
第2章 個人情報の収集
第4条 収集の原則
1 個人情報は、収集目的(第7条に記載)を明確に定め、その目的の達成に必要な限度において行なわれなければならない。
2 新しい目的で個人情報を収集するときは、担当者は個人情報管理者に届出なければならない。
3 前項の届出を受けた個人情報管理責任者は、速やかに院長の承諾を得なければならない。承諾後、新しい目的での個人情報の収集が可能になる。
第5条 収集方法の制限
1 個人情報の収集は、適法、かつ公正な手段(第8条に記載)によって行なわれなければならない。
2 新しい方法又は間接的に個人情報を収集するときには、担当者は個人情報管理者に届出なければならない。
3 前項の届出を受けた個人情報管理責任者は、速やかに院長の承諾を得なければならない。 承諾後、新しい方法での個人情報の収集が可能になる
第6条 特定個人情報の収集の禁止
次に示す内容を含む個人情報の収集、利用又は提供を行なってはならない。
1)門地、本籍地(所在都道府県に関する情報を除く)、犯罪歴、その他社会的差別の原因となる事項
2)思想、信条及び宗教に関する事項
3)上記1)、および2)は疾病と関連する場合に限定し利用、収集できる。
4)勤労者の団結権、団体交渉及びその他団体行動の行為に関する事項。
5)集団示威行為への参加、請願権の行使及びその他の政治的権利の行使に関する事項
第7条 個人情報お収集する目的
条受診者・利用者・関係者から個人情報を取得する目的は、受診者・利用者・関係者に対する医療の提供・医療保険事務、診療所運営に必要な事項などで利用することである。
第8条 個人所受報を収集する方法
受診者・利用者・関係者から個人情報を取得する方法は以下である。
1)本人の申告及び提供
2)直接の問診面談
3)受診者家族、知人、関係者等からの提供
4)他の医療機関、介護施設等からの紹介状等による提供
5)15歳未満の方の個人情報については、診療に必要な事項以外は原則として保護者等から提供を受ける。
6)その他の場合は、本人、もしくは家族の同意を得て収集する。
第3章 個人情報の利用
第9条 利用範囲の制限
1 個人情報の利用は、原則として収集目的の範囲内で、具体的な業務に応じ権限を与えられた者が、業務の遂行上必要な限り行なう。
2 個人情報管理責任者の承諾を得ないで、個人情報の目的利用、第三者への提供・預託・通常の利用場所からの持ち出し、外部への送信等の個人情報の漏洩行為をしてはならない。
3 当職員、派遣社員、委託外注職員及び関係者は、業務上知り得た個人情報の内容をみだりに第三者に知らせ、又は不当な目的に使用してはならない。その業務に係る職を退いた後も、同様とする。
第10条 利用目的の範囲
個人情報は、通常の業務で想定される個人情報の利用目的および、通常の業務意外として次の1)号から5)号について使用する。
1)受診者・利用者・関係者が同意した医療業務
2)受診者・利用者・関係者が当事者である契約の準備又は履行のために必要な場合
3)当院が従うべき法的義務の履行のために必要な場合
4)受診者・利用者・関係者の生命、健康、財産等の重大な利益を保護するために必要な場合
5)裁判所および令状に基づく権限の行使による開示請求があった場合
第11条 目的範囲外利用の措置
収集目的の範囲を超えて個人情報の利用を行なう場合は、受診者・利用者・関係者本人の同意を必要とする。
第12条 個人情報の入出力、保管
個人情報の医療情報システムへの入力・出力、紹介状などの書類のスキャナーでの取り込み、およびそれらの管理は「診療情報管理規程」に定める。診療情報、台帳、申込書等の個人情報を記載した帳票、帳表の保管管理は「診療情報管理規程」に定める。
第4章 個人情報の適正管理
第13条 利用範囲の制限
1 個人情報管理責任者は、個人情報を利用目的に応じ必要な範囲内において、正確かつ最新の状態で管理しなければならない。診療情報に関する管理は「診療情報管理規程」に定める。
2 受診者・利用者・関係者から、個人情報の開示、当該情報の訂正、追加、削除、利用停止等の希望を受けた場合は、各部署責任者が窓口となり、個人情報管理責任者は、速やかに処理しなければならない。
第14条 個人情報の安全性の確保
個人情報責任者は、個人情報への不当なアクセス又は個人情報の紛失、破壊、改ざん、漏えい等の危険に対して「個人情報保護管理計画」を策定し、実施、普及、評価、改善をしなければならない。
第15条 個人情報の委託処理等に関する措置
1 情報処理や作業を第三者に委託する為に、個人情報を第三者に委託する場合においては、委託担当者は事前に個人情報管理責任者に届出なければならない。
2 第三者より個人情報の委託を受ける場合においては、第三者の定める管理計画を考慮して当院規程に従うものとする。
3 個人情報管理責任者は、以下の各号の措置を講じ、院長の承諾を得てから基本契約を締結しなければならない。基本契約締結後に個別契約を締結し、当該個人情報の預託は、個別契約締結後にしなければならない。
(1)個人情報の預託先について預託先の情報処理施設の状況を視察、あるいは把握し、個人情報保護およびセキュリティ管理が当院の基準に合致することを確認すること。再委託に関しては、同様の取り扱いをするか、あるいは、委託先の責任で同様の取り扱いを保証することが必要である。
(2)次の事項を入れた基本契約書案を作成すること。
[1]守秘義務の存在、取り扱うことの出来るものの範囲に関する事項。
[2]預託先における個人情報の秘密保持方法、管理方法についての事項
[3]預託先の個人情報の取り扱い担当者に対する個人情報保護のための教育・訓練に関する事項。
[4]契約終了時の個人情報の返却および消去に関する事項
[5]個人情報が漏洩、その他事故の場合の措置、責任分担についての事項
[6]再委託に関する事項
[7]当院からの監査の受け入れについての事項
4 個別契約に基づき個人情報を預託するときには、担当者は前項③の事項を記した書面を預託先に交付して、注意を促さなければならない。
5 委託中、担当者は、委託先が当院との契約を遵守しているかどうかを確認し、万一、契約に抵触する事項を発見したときは、その旨を個人情報管理責任者に通知しなければならない。
6 前項の通知を受けた個人情報管理責任者は、直ちに院長と協議し個人情報の預託先に対して必要な措置を講じなければならない。
7 個人情報管理責任者は、年に一度以上、個人情報の預託先責任者と面接し、必要に応じて預託先の情報処理を把握あるいは視察し、監査しなければならない。
8 個人情報管理責任者は、本条に基づき作成された基本契約、個別契約、監査報告書、通知書等の文書(電磁的記録を含む)を当該個人情報の預託先との個別契約終了後5年間保存しなければならない。
第16条 個人情報の第三者への提供
1 個人情報の第三者への提供は本人の同意がない場合は禁止する。例外として、以下の場合には第三者に提供することがある。
[1]令状などにより要求された場合(届出、通知)
[2]公衆衛生、児童の健全育成に特に必要な場合(疫学調査など)
[3]人の生命、身体又は財産の保護に必要な場合
2 第三者への提供は、原則として個人情報管理責任者の承諾を得て、必要な措置を講じた後でなければならない。
3 前記の通知あるいは報告を受けた個人情報管理責任者は、速やかにその是非を検討しなければならない。
第17条 個人情報の共同利用
1 個人情報を第三者との間で共同利用する場合、本人の同意を得た後、担当者又は個人情報管理責任者に届け出なければならない。
2 前項の通知を受けた個人情報管理責任者は、直ちにその是非を検討し、院長の承諾を得なければならない。
第5章 自己情報に関する情報主体からの諸請求に対する対応
第18条 自己情報に関する権利
1 当院が保有している個人情報について、患者、利用者から説明、開示を求められた場合、診療における診療内容に関する事項は、主治医は、遅滞なく当院が保管している受診者、利用者の診療に関する個人情報を希望する方法で説明、開示しなければならない。
2 家族あるいは第三者への個人情報は、あらかじめ、本人に対象者を確認し、同意を得る。受診者本人が何らかの理由で合理的判断ができない場合には、本人の同意を得ずに家族等に提供する場合もある。この場合、本人の家族等であることを確認したうえで行なう。
3 開示した結果、誤った情報があった場合で、訂正、追加、又は削除を求められたときは、主治医、個人情報管理責任者は、遅滞なく患者、利用者に対してその内容を通知しなければならない。訂正しない場合は、遅滞なく患者、利用者に対してその理由を通知しなければならない。
4 死者の情報は、患者、利用者本人の生前の意思、名誉等を十分に尊重しつつ、遺族に対して診療情報等の記録の提供を行なう。
第19条 自己情報の利用又は提供の拒否権
当院が保有している個人情報について、受診者・利用者から自己情報についての利用又は第三者への提供を拒まれた場合、これに応じなければならない。ただし、裁判所および令状に基づく権限の行使による開示請求等は当院が法令に定められている義務を履行する為に必要な場合についてはこの限りでない。
第6章 管理組織・体制
第20条 個人情報管理責任者
1 個人情報管理責任者は個人情報の保護についての統括的責任と権限を有する責任者であって、別に定める業務を行なわなければならない。
2 個人情報管理責任者は、各部に個人情報管理担当者を選任し、自己に代わり必要な個人情報保護についての業務を行なわせ、これを管理・監督しなければならない。
3 個人情報管理責任者は部に所属する者のなかから、個人情報取り扱担当者を選任しなければならない。
第21条 個人情報保護監査責任者
1 個人情報保護監査責任者は、個人情報管理責任者から独立した公平かつ客観的な立場にあり、監査の実施及び、報告を行なう権限を有し、院長が選任する。ただし、院外の第三者に監査業務を委託することを妨げない。
2 個人情報保護監査責任者は、年1回、個人情報保護計画に従い、監査を実施し、監査結果を院長に報告しなければならない。
第22条 個人情報保護苦情・相談窓口の設置
個人情報管理責任者は、個人情報及び個人情報保護計画に関しての苦情・相談を受け付ける窓口を設け、この連絡先を受診者・利用者に告知しなければならない。
第7章 個人情報管理責任者の職務
第23条 個人情報の特定とリスク調査
1 個人情報管理責任者は、当院が保有するすべての個人情報を特定し、危機を調査・分析するための手順・方法を確立し、維持しなければならない。
2 個人情報保護責任者は、各部ごとに前項の手順に従って各部における個人情報を特定し、個人情報に関する危険要因(個人情報への不整アクセス、個人情報の紛失、破壊、改ざん及び漏えい等)を調査、分析の上、適切な保護措置を講じない場合の影響を認識し、必要な対策を策定し、維持しなければならない。
第24条 法令及びその他の法規範
個人情報保護責任者は、個人情報に関する法令、及びその他の法規範を特定し、参照できる手順を確立し、維持しなければならない。
第25条 個人情報保護計画の策定
1 個人情報保護責任者は、個人情報管理担当者の協力を得て個人情報を保護する為に必要な個人情報保護計画を立案して文書化し、かつ実施、評価、改善をしなければならない。
2 個人情報保護計画には次の事項を入れなければならない。
1)個人情報の特定と危機対策
[1]個人情報を記録したシステム、媒体の特定
[2]個人情報に対する危機の識別
[3]危機の調査・分析に基づく対応策の策定、実施、評価、改善
2)個人情報保護のための責任者、管理担当者、担当者の業務と業務方法
[1]個人情報管理責任者
[2]個人情報管理担当者
[3]個人情報取り扱い担当者
[4]個人情報保護苦情及び相談窓口
[5]個人情報保護監査責任者
[6]個人情報保護内部監査責任者
3)研修実施計画
[1]個人情報管理担当者、個人情報取扱い担当者、苦情及び相談窓口、個人情報保護監査責任者に対する研修実施計画(研修項目、時間割、講師、日程、予算)
[2]一般職員に対する研修実施計画(研修項目、時間割、講師、日程、予算)
4)委託先に対する監査計画及び必要な場合の研修計画
[1]監査体制、日程、監査方法、監査報告様式
[2]委託先研修実施計画(研修項目、時間割、講師、日程、予算)
第26条 本規定等の見直し
個人情報管理責任者は、監査報告書及びその他の経営環境等に照らして、適切な個人情報の保護を維持する為に、少なくとも年1回本規定に基づく個人情報保護計画を見直し、院長の承認を得なければならない。
第27条 文書の管理
個人情報管理責任者は、この規定に基づき作成される文書(電磁的記録を含む)を管理しなければならない。
第28条 研修実施
1 個人情報管理責任者は、当院職員その他個人情報の預託先等の関係者に対して、個人情報保護計画に基づき次のような研修を行い、評価しなければならない。
1)個人情報の内容
2)個人情報保護方針、本規定の内容
3)個人情報保護計画の内容と役割分担
4)セキュリティ教育
2 個人情報管理責任者は、個人情報管理担当者に対して下記の如く研修を行い、評価しなければならない。
1)個人情報保護法の内容
2)個人情報保護方針、本規定の内容と個人情報管理担当者の役割
3)個人情報保護計画の内容と個人情報管理担当者の役割
4)セキュリティ管理教育
5)個人情報の預託先の調査と監査
6)個人情報の漏えい事故等が発生した場合の対応
3 個人情報管理責任者は、第1項、前項の研修を効果的に行い、個人情報の重要性を自覚させる手順・方法を確立し維持しなければならない。
第8章 監査
第29条 監査計画
1 個人情報管理責任者は、年1回個人情報保護のための監査計画を立案し、院長の承認を得なければならない。監査に関する規定は別に定める。
2 監査計画には次の事項を入れなければならない。
1)監査体制
2)日程
3)監査方法
4)監査報告様式
第30条 監査の実施
1 個人情報保護監査責任者は、本規定及び個人情報保護計画が、個人情報保護法の趣旨に合致しているか、また、その運用状況を監査しなければならない。
2 個人情報保護監査責任者は、監査を指揮し、監査報告書を作成し、院長に報告しなければならない。
3 個人情報管理責任者、監査報告書を管理し、保管しなければならない。監査の運用に関しては別に定める。
第9章 廃棄
第31条 個人情報の廃棄
1 個人情報を廃棄する場合は、匿名かもしくは、適切な廃棄物処理業者に廃棄を委託する。
2 個人情報を記録したコンピュータを廃棄するときは特別のソフトウエア等を使用して個人情報を消去し、フロッピー、CD、MO等の記憶媒体は物理的に破壊する。
3 個人情報を記録したコンピュータを他に転用するときは、特別のソフトウエア等を使用して個人情報を消去してから転用する。
4 雇用管理に利用した個人情報についても、同様の処理をする。
5 個人情報の廃棄作業は個人情報取り扱い担当者が行なう。
6 廃棄の基準について、患者利用者に告知しなければならない。
第10章 罰則
第32条 罰則
1 当院は、本規定に違反した職員に対して就業規則に基づき懲戒を行なうことがある。
2 懲戒の手続きは職員就業規則に定める。
第11章 規定の改廃
第33条 規定の改廃
この規定の改廃は、個人情報管理責任者の意見を聞き、管理会議構成員の過半数の賛成で議決し、院長が施行を指示する。
附則
この規程は平成20年10月1日より施行する