Contract
社 会 x x 法 人 x x x x 会
個 人 情 報 保 護 規 程
社会福祉法人 x x x x 会
個人情報保護規程
(目 的)
第1条 この規定は、xxxx会個人情報保護方針に基づいて当法人が取り扱う個人情報の適切な保護のための基本規定である。
役職員は、この規定に従って個人情報を保護していかなければならない。
(本規定の対象)
第2条 この規定は、当法人が保有する個人情報を対象とする。
(定 義)
第3条 この規定において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
1 個人情報
生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)をいう。
但し、利用者の死亡に関する情報も個人情報保護の対象とすることが求められており、当法人では個人情報と同様に取り扱う。
2 個人情報データベース
特定の個人情報を一定の規則(例えば、五十xx、生年月日順など)に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態においているものをいう。紙媒体、電子媒体の如何を問わない。
3 個人データ
「個人情報データベース等」を構成する個人情報をいう。
診療記録や介護関係記録については、媒体の如何にかかわらず個人データに該当する。
4 保有個人データ
個人データのうち、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有するものをいう。
但し、以下のものを除く。
①その存否が明らかになることにより、公益その他の利益が害されるもの。
②6ヶ月以内に消去するもの(更新するものは除く)。
5 個人情報管理責任者
個人情報保護計画の策定、実施、評価、改善等の個人情報保護のための業務について、統括的責任の権限を有する者をいう。
6 個人情報取扱担当者
個人情報のコンピュータへの入力・出力、台帳・申込書等の個人情報を記載した帳票・帳表を保管・管理等する担当者をいう。
7 預託
当法人以外の者にデータ処理等の委託のために当法人が保有する個人情報を預けること。
(収集の原則)
第4条 個人情報の収集は、収集目的(第7条に記載)を明確に定め、その目的の達成に必要な限度において行わなければならない。
2 新しい目的で個人情報を収集するときは、個人情報管理担当者は、個人情報管理責任者に届け出なければならない。
3 前項の届け出を受けた個人情報管理責任者は、速やかに理事長の承認を得なければならない。理事長の承認後、新しい目的での個人情報の収集が可能となる。
(収集方法の制限)
第5条 個人情報の収集は、適法、かつxxな手段(第8条に記載)によって行わなければならない。
2 新しい方法又は間接的に個人情報を収集するときは前条第2項と同様。
3 前項の届け出を受けた個人情報管理責任者は前条第3項と同様。
(特定の個人情報の収集の禁止)
第6条 次に示す内容を含む個人情報の収集、利用又は提供を行ってはならない
① 門地、犯罪歴、その他社会的差別の原因となる事項
② 思想、信条及び宗教に関する事項
③ 勤労者の団結権、団体交渉及びその他団体行動の行為に関する事項
④ 集団示威行為への参加、請願権の行使及びその他の政治的権利の行使に関する事項
(個人情報を収集する目的)
第7条 利用者・家族等関係者から個人情報を取得する目的は、利用者に対する医療・介護の提供、介護保険事務、入退所等の施設管理等、施設運営に必要な事項などで利用することである。
役職員に付いての個人情報収集の目的は、雇用管理のためである。
通常の業務で想定される個人情報の利用目的は、インターネットホームページ、ポスターの掲示、パンフレットの配布、説明会の実施等にて広報する。
(個人情報を収集する方法)
第8条 利用者および家族等から個人情報を取得する方法は次のとおり。
1 本人の申告および提供
2 直接の面談
3 利用者家族、知人、関係者等からの提供
4 主治医からの提供
5 他の介護施設、居宅介護支援事業者等からの紹介等による提供
6 その他は、本人又は家族(認知症等で判断できない)の同意を得て収集する。
(利用範囲の制限)
第9条 個人情報の利用は、原則として収集目的の範囲内で、具体的な業務に応じ権限を与えられた者が、業務の遂行上必要な限りにおいて行う。
2 個人情報管理責任者の承諾を得ないで、個人情報の目的外利用、第三者への
提供・預託、通常の利用場所からの持ち出し、外部への送信等の個人情報の漏えい行為をしてはならない。
3 当法人役職員、派遣職員、委託外注職員および関係者は、業務上知り得た個人情報の内容をみだりに第三者に知らせ、又は不当な目的に使用してはならない。その業務に係る職を退いた後も、同様とする。
(利用目的の範囲)
第10条 個人情報は、通常の業務で想定される個人情報の利用目的および通常の業務以外として次の1号から5号について使用する。
1 利用者および関係者が同意した介護業務
2 利用者および関係者が当事者である契約の準備又は履行のために必要な場合
3 当法人が従うべき法的義務の履行のために必要な場合
4 利用者および関係者の生命、健康、財産等の重大な利益を保護するために必要な場合
5 裁判所および令状に基づく権限の行使による開示請求等があった場合
(目的範囲外利用の措置)
第11条 収集目的の範囲を超えて個人情報の利用を行う場合は、利用者および関係者本人の同意を必要とする。
(個人情報の委託処理等に関する措置)
第12条 情報処理や作業を第三者に委託するために、個人情報を第三者に預託する場合においては、委託担当者は事前に個人情報管理責任者に届け出なければならない。
2 第三者より個人情報の預託を受ける場合においては第三者の定める管理計画を考慮して当規程に従うものとする。
3 個人情報管理責任者は、以下の各号の措置を講じた後、理事長が基本契約を締結する。
基本契約締結後に個別契約を締結し、当該個人情報の預託は、個別契約締結後にしなければならない。
(1)個人情報の預託先について預託先責任者との面接、必要に応じて預託先の情報処理施設の状況を視察あるいは把握し、個人情報保護及びセキュリティ管理が当法人の基準に合致することを確認すること。
再委託に関しては、同様の取り扱いをするか、あるいは、委託先の責任で同様の取り扱いを保証することが必要である。
(2)次の事項を入れた基本契約書案を作成すること。
①守秘義務の存在、取り扱うことのできる者の範囲に関する事項
②預託先における個人情報の秘密保持方法、管理方法ついての事項
③預託先の個人情報の取扱担当者に対する個人情報保護のための教育・訓練に関する事項
④契約終了時の個人情報の返却及び消去に関する事項
⑤個人情報が漏えい、その他事故の場合の措置、責任分担についての事項
⑥再委託に関する事項
⑦当法人からの監査の受け入れについての事項
4 個別契約に基づき個人情報を預託先に提供するときは、個人情報管理責任者は前項③の事項を記した書面を預託先に交付して、注意を促さなければならない。
5 委託中、個人情報管理責任者は、預託先が当法人との契約を遵守しているかどうかを確認し、万一、契約に抵触する事項を発見したときは、その旨を理事長に通知しなければならない。
6 前項の通知を受けた理事長は、直ちに個人情報管理責任者と協議して個人情報の預託先に対して必要な措置を講じなければならない。
7 個人情報管理責任者は、年に一度以上、個人情報の預託先責任者と面接し、必要に応じて預託先の情報処理を把握あるいは視察し、監査しなければならない。
8 個人情報管理責任者は、本条に基づき作成された基本契約、個別契約、監査報告書、通知書等の文書(電磁的記録を含む)を当該個人情報の預託先との個別契約終了後5年間保存しなければならない。
(個人情報の第三者への提供)
第13条 個人情報の第三者への提供は本人の同意がない場合は禁止する。但し、以下の場合には第三者に提供することができる。
① 令状等により要求された場合(届出、通知)
② 公衆衛生上、特に必要な場合(疫学調査等)
③ 人の生命、身体又は財産の保護に必要な場合
2 前条の②③の場合、および理事長が必要と判断した場合には、これを理事会に諮り、承認を得なければならない。
3 理事会の承認を得た後、理事長は第三者へ情報提供をするものとする。
(個人情報の共同利用)
第14条 個人情報を第三者との間で共同利用する場合、本人の同意を得た後、個人情報管理責任者は、理事長の承認を得て後、これを行う。
(自己情報に関する権利)
第15条 利用者本人から、介護内容に関する事項について説明、開示を求められた場合、施設長は、遅滞なく施設が保有している利用者に関する個人情報を、希望する方法で説明、開示しなければならない。
2 家族または第三者へ利用者に関する個人情報を提供する場合、あらかじめ、本人の同意を得なければならない。
但し、認知症などで合理的判断ができない場合は、施設長の判断で、本人の同意を得ずに家族等に提供することができる。
3 開示した情報の訂正、追加又は削除を求められたときは、施設長は、その請求が妥当であるかを判断し、妥当であると判断した場合には、訂正等を行い、遅滞なく利用者にその内容を通知しなければならない。
また、訂正しない場合にも、遅滞なく利用者に訂正しない理由を通知しなければならない。
4 死亡者の情報は、利用者本人の生前の意思、名誉等を十分に尊重し、遺族
に対して診療情報・介護関係の記録の提供を行なう。
(自己情報の利用又は提供の拒否権)
第16条 法人が保有している個人情報について、利用者本人から自己情報について の利用又は第三者への提供を拒まれた場合、これに応じなければならない。但し、裁判所および令状に基づく権限の行使による開示請求等または
当法人が法令に定められている義務を履行するために必要な場合については、この限りでない。
(個人情報管理責任者)
第17条 個人情報管理責任者は、個人情報の保護についての統括的責任と権限を有する。
2 個人情報管理責任者は、各施設に1名以上の個人情報管理担当者を選任し、自己に代わり必要な個人情報保護についての業務を行わせ、これを管理・監督しなければならない。
(個人情報保護苦情・相談窓口の設置)
第18条 個人情報管理責任者は、個人情報及び個人情報保護計画に関しての苦情・相談窓口を設けなければならない。
管理組織・体制 組織図
個人情報管理責任者
法人管理職員
個人情報管理担当者
各施設長および管理者
相談・開示請求窓口
理事会
理事長
(個人情報の特定とリスク調査)
第19条 個人情報管理責任者は、法人が保有する全ての個人情報を特定し、危機を調査・分析するための手順・方法を確立し、維持する。
2 個人情報管理責任者は、施設毎に前項の手順に従って各施設の個人情報を特定し、個人情報に関する危険要因(個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏えい等)を調査・分析の上、適切な保護措置を講じない場合の影響を認識し、必要な対策を策定し、維持する。
(法令及びその他の法規範)
第20条 個人情報管理責任者は、顧問弁護士および法律顧問と協議の上、個人情報に関する法令及びその他の法規範を特定し、参照できる手順を確立し、維持するものとする。
(個人情報保護計画の策定)
第21条 個人情報管理責任者は、個人情報管理担当者と協議のうえ、個人情報保護計画書を作成し、理事長へ提出し、承認を得なければならない。
2 個人情報保護計画には次の事項を記載する。
(1) 個人情報の特定と危機対策
① 個人情報を記録したシステム、媒体の特定
② 個人情報に対する危機の識別
③ 危機の調査・分析に基づく対応策の策定、実施、評価、改善
(2) 個人情報保護のための管理責任者および管理担当者の業務分掌
① 個人情報管理責任者
② 個人情報管理担当者
③ 個人情報保護苦情及び相談窓口
(3) 研修実施計画
① 個人情報管理担当者、役職員、苦情及び相談窓口、個人情報保護監査人に対する研修実施計画(研修項目、時間割、講師、日程、予算)
(4) 委託先に対する監査計画及び必要な場合の研修計画
① 監査体制、日程、監査方法、監査報告様式
② 委託先研修実施計画(研修項目、時間割、講師、日程、予算)
(本規定の改訂・改廃)
第22条 理事長は、経営環境等に照らして、適切な個人情報の保護を維持するために、顧問弁護士および法律顧問と協議の上、個人情報管理責任者に対して、本規程等の改訂・改廃案の作成を命ずることができる。
本規程の改訂・改廃は、理事会の承認を要する。
(文書の管理)
第23条 この規定に基づき作成される文書(電磁的記録を含む)は、統括して個人情報管理責任者が管理する。
(研修実施)
第24条 個人情報管理責任者は、職員および個人情報の預託先等の関係者に対して、個人情報保護計画に基づき次のような研修を行ものとする。
(1) 個人情報保護法の内容
(2) 個人情報保護方針、本規定の内容
(3) 個人情報保護計画の内容と役割分担
(4) セキュリティ教育
2 個人情報管理責任者は、個人情報管理担当者に対して次のような研修を行なうものとする。
(1) 個人情報保護法の内容
(2) 個人情報保護方針、本規定の内容と個人情報管理担当者の役割
(3) 個人情報保護計画の内容と個人情報管理担当者の役割
(4) セキュリティ管理教育
(5) 個人情報の預託先の調査と監査
(6) 個人情報の漏えい事故等が発生した場合の対応
3 個人情報管理責任者は、第1項、第2項の研修を効果的に行い、個人情報の重要性を自覚させる手順・方法を確立し維持するものとする。
(個人情報の廃棄)
第25条 個人情報を廃棄する場合には、匿名化または廃棄物処理業者に廃棄を委託する。
2 個人情報を記録したコンピュータを廃棄するときは、特別のソフトウェア等を使用して個人情報を消去し、記憶媒体は物理的に破壊する。
3 個人情報を記録したコンピュータを他に転用するときは、特別のソフトウェア等を使用して個人情報を消去してから転用する。
4 役職員の雇用管理に利用した個人情報についても,同様の処理をする。
5 個人情報の廃棄作業は、個人情報管理責任者の管理の下行う。
(懲戒および求償)
第26条 当法人は、本規定に違反した役職員に対して就業規則に基づき、褒章懲罰委員会に諮り、その決議により、理事長が懲戒を行う。
2 本規定に違反し、法人に損害を与えた役職員に対して、その損害額を求償することができる。
附 則
1.この規定は平成19年4月1日制定する。
1.この規定は平成19年4月1日に改定し、平成28年4月1日から施行する