Contract

医療法人xxx個人情報保護規程

（目 的）

第１章 総則

第１条 この規定は、医療法人xxx（以下「法人」という。）が取り扱う個人情報の適切な保護に関し、必な事項を定めたものである。法人職員はこの規程に従って個人情報を保護していかなければならない。

（本規定の対象）

第２条 この規定は、法人が保有する個人情報を対象とする。

（定 義）

第３条 この規定おいて、次の各号に掲げる用語の意義は、当該各号に定める所による。

(1)個人情報

生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（ 他の情報と容易に照合することができ、それにより特定の個人を識別することができるものを含む。） をいう。個人情報を以下に例示する。

診療録、処方箋、看護・介護記録、エックス線写真、紹介状、診療要約、リハビリ記録等の診療記録。検査等の目的で、利用者から採取された血液等の検体の情報。介護サービス提供に係る計画、提供したサービス内容等の記録。

職員（研修、各部門実習生等を含む。）に関する情報（採用時の履歴書・身上書、職員健診記録等）。但し、医療においては死者の情報も個人情報保護の対象とする事が求められており、法人は生存者の個人情報と同様に取り扱う。

(2)個人情報データベース

特定の個人情報を検索する事が出来る様に体系的に構成した個人情報を含む情報の集合体の事をいう。

(3)個人データ

「個人情報データベース等」を構成する個人情報をいう。

(4) 保有個人データ

個人データの内、法人が開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行う事の出来る権限を有するものをいう。但し、①その存否が明らかになる事により、公益その他の利益が害されるもの、②６か月以内に消去する（更新する事は除く）ものは除く。

(5) 個人情報管理責任者（以下「管理責任者」という。）

本規定の策定、実施、改善等の個人情報保護の為の業務について、統括的責任と権限を有する者をいう。原則、法人理事長が就任する。

(6) 個人情報管理者（以下「取扱管理者」という。）

原則、各部署の所属長が務め、個人情報取扱担当者に啓蒙を行う。

(7) 個人情報取扱担当者（以下「担当者」という。）

個人情報のコンピュータへの入力・出力、台帳・申込書等の個人情報を記載した帳票・帳表を保管・管理等する担当者をいう。

(8) 個人情報の匿名化

当該個人情報から、当該情報に含まれる氏名、生年月日、住所等、個人を識別する情報を取り除くことで、特定の個人を識別出来ない様にする事をいう。

(9) 預託

法人職員以外の者にデータ処理等の委託の為に法人が保有する個人情報を預けること。

（収集の原則）

第２章 個人情報の収集

第４条 個人情報の収集は、収集目的（第７条）を明確に定め、その目的の達成に必要な限度において行わなければならない。

２ 新しい目的で個人情報を収集する時は、担当者は管理責任者に届け出なければならない。

３ 前項の届け出を受けた管理責任者は、速やかに処理しなければならない。承諾後、新しい目的での個人情報の収集が可能となる。

（収集方法の制限）

第５条 個人情報の収集は、適法、かつxxな手段（第８条）によって行わなければならない。

２ 新しい方法又は間接的に個人情報を収集する時は、担当者は管理責任者に届け出なければならない。

３ 前項の届け出を受けた管理責任者は、速やかに処理しなければならない。承諾後、新しい方法又は間接的に個人情報の収集が可能となる。

（特定の個人情報の収集の禁止）

第６条 次に示す内容を含む個人情報の収集、利用又は提供を行ってはならない。

１）門地、本籍地（所在都道府県に関する情報を除く）、犯罪歴、その他社会的差別の原因となる事項

２）思想、信条及び宗教に関する事項

注：上記１）及び２）は疾病と関連する場合に限定し利用、収集できる

３）勤労者の団結権、団体交渉及びその他団体行動の行為に関する事項

４）集団示威行為への参加、請願権の行使及びその他の政治的権利の行使に関する事項

（個人情報を収集する目的）

第７条 利用者・関係者から個人情報を取得する目的は、利用者・関係者に対する医療・介護の提供、医療保険事務、入退院等の病棟管理等、法人施設運営に必要な事項などで利用することである。

法人職員についての個人情報収集の目的は、雇用管理の為である。

通常の業務で想定される個人情報の利用目的（別表）は、ホームページ、ポスターの掲示等にて公表する。

（個人情報を収集する方法）

第８条 利用者・関係者から個人情報を取得する方法は以下である。

１）本人の申告および提供

２）直接の問診または面談

３）利用者家族、知人、目撃者、救急隊員、関係者等からの提供

４）他の医療機関、介護施設等からの紹介状等による提供

５）１５歳未満の方の個人情報については、診療に関して必要な事項以外は原則と

して保護者等から提供を受ける。

６）その他の場合は、本人、もしくは家族の（意識不明、認知症等で判断できない時）同意を得て収集する。

（利用範囲の制限）

第３章 個人情報の利用

第９条 個人情報の利用は、原則として収集目的の範囲内で、具体的な業務に応じ権限を与えられた者が、業務の遂行上必要な限りにおいて行う。

２ 管理責任者の承諾を得ないで、個人情報の目的外利用、第三者への提供・預託、通常の利用場所からの持ち出し、外部への送信等の個人情報の漏洩行為をしてはならない。

３ 法人職員、派遣職員、委託外注職員および関係者は、業務上知り得た個人情報の内容をみだりに第三者に知らせ又は不当な目的に使用してはならない。その業務に係る職を退いた後も同様とする。

（利用目的の範囲）

第１０条 個人情報は、通常の業務で想定される個人情報の利用目的（別表） 及び、通常の業務以外として次の１）から５）について使用する。

１）利用者・関係者が同意した医療業務

２）利用者・関係者が当事者である契約の準備又は履行の為に必要な場合

３）法人が従うべき法的義務の履行のために必要な場合

４）利用者・関係者の生命、健康、財産等の重大な利益を保護する為に必要な場合

５）裁判所及び令状に基づく権限の行使による開示請求等があった場合

（目的範囲外利用の措置）

第１１条 収集目的の範囲を超えて個人情報の利用を行う場合は、利用者・関係者本人の同意を必要とする。

（個人情報の入出力、保管等）

第１２条 診療情報、台帳・申込書等の個人情報を記載した帳票の保管・管理や紹介状等の書類のスキャナーでの電子カルテへ等への取り込み及びそれらの管理等は、担当者が行わなければならない。

第４章 個人情報の適正管理

（個人情報の正確性の確保）

第１３条 管理責任者は、個人情報を利用目的に応じ必要な範囲内において、正確かつ最新の状態で管理しなければならない。

２ 利用者・関係者から、個人情報の開示、当該情報の訂正、追加、削除、利用停止等の希望を受けた場合は、各部署責任者又は「相談窓口担当者」が窓口となり、管理責任者は速やかに処理しなければならない。

（個人情報の安全性の確保）

第１４条 管理責任者は、個人情報への不当なアクセス又は個人情報の紛失、破壊、改ざん、漏洩等の危険に対して、セキュリティ体制を構築し、個人情報の安全性を

確保しなければならない。

（個人情報の委託処理等に関する措置）

第１５条 情報処理や作業を第三者に委託するために、個人情報を第三者に預託する場合においては、委託担当者は事前に管理責任者に届け出なければならない。

２ 第三者より個人情報の預託を受ける場合においては第三者の定める管理規則を考慮して法人規程に従うものとする。

３ 管理責任者は、以下の各号の措置を講じてから基本契約を締結しなければならない。基本契約締結後に個別契約を締結し、当該個人情報の預託は、個別契約締結後にし

なければならない。

(1) 個人情報の預託先について預託先責任者との面接、必要に応じて預託先の情報処理施設の状況を視察あるいは把握し、個人情報保護及びセキュリティ管理が法人の基準に合致することを確認すること。再委託に関しては、同様の取り扱いをするか、あるいは、委託先の責任で同様の取り扱いを保証することが必要である。

(2) 次の事項を入れた基本契約書案を作成すること。

① 守秘義務の存在、取り扱うことのできる者の範囲に関する事項

② 預託先における個人情報の秘密保持方法、管理方法ついての事項

③ 預託先の個人情報の取扱担当者に対する個人情報保護のための教育・訓練に関する事項

④ 契約終了時の個人情報の返却及び消去に関する事項

⑤ 個人情報が漏洩、その他事故の場合の措置、責任分担についての事項

⑥ 再委託に関する事項

⑦ 法人からの監査の受け入れについての事項

４ 個別契約に基づき個人情報を預託先に提供する時は、担当者は前項③の事項を記した書面を預託先に交付して、注意を促さなければならない。

５ 委託中、担当者は、預託先が法人との契約を遵守しているかどうかを確認し、契約に抵触する事項を発見した時は、その旨を管理責任者に通知しなければならない。

６ 前項の通知を受けた管理責任者は、直ちに個人情報の預託先に対して必要な措置を講じなければならない。

７ 管理責任者は、年に一度以上、個人情報の預託先責任者と面接し、必要に応じて預託先の情報処理を把握あるいは視察し、監査しなければならない。

８ 管理責任者は、本条に基づき作成された基本契約、個別契約、監査報告書、通知書等の文書（電磁的記録を含む）を当該個人情報の預託先との個別契約終了後７年間保存しなければならない。

（個人情報の第三者への提供）

第１６条個人情報の第三者への提供は本人の同意がない場合は禁止する。例外として、以下の場合には第三者に提供することがある。

①令状等により要求された場合（届出、通知）

②公衆衛生、児童の健全育成に特に必要な場合（疫学調査等）

③人の生命、身体又は財産の保護に必要な場合

２ 第三者への提供は、原則として管理責任者の承諾を得て、必要な措置を講じた後でなければならない。

３ 前記の通知あるいは報告を受けた管理責任者は、速やかにその是非を検討しなければならない。

（個人情報の共同利用）

第１７条 個人情報を第三者との間で共同利用する場合、本人の同意をえた後、担当者は管理責任者に届け出なければならない。

２前項の届け出を受けた管理責任者は、速やかに処理しなければならない。

第５章 自己情報に関する情報主体からの諸請求に対する対応

（自己情報に関する権利）

第１８条 法人が保有している個人情報について、利用者から説明、開示を求められた場合、診療の現場における診療内容に関する事項は、主治医は、遅滞なく法人が保有している利用者の診療に関する個人情報を、希望する方法で説明、開示しなければならない。開示に関する詳細は「診療情報の提供（開示）に関する指針」に定める。

２ 家族あるいは第三者への個人情報の提供は、あらかじめ、本人に対象者を確認し、同意を得る。一方、意識不明の患者や認知症などで合理的判断ができない場合は、本人の同意を得ずに家族等に提供する場合もある。この場合、本人の家族等であることを確認した上で、本人の意識が回復した際には、速やかに、提供及び取得した個人情報の内容とその相手について本人に説明する。

３ 開示した結果、誤った情報があった場合で、訂正、追加又は削除を求められた時は、主治医、管理責任者は、遅滞なくその請求が妥当であるかを判断し、妥当であると判断した場合には、訂正等を行い、遅滞なく利用者に対してその内容を通知しなければならない。訂正しない場合は、遅滞なく利用者に対してその理由を通知しなければならない。

４ 死者の情報は、利用者本人の生前の意思、名誉等を十分に尊重しつつ、「診療情報の提供（開示）に関する指針」において定められている規程により、遺族に対して診療情報・介護関係の記録の提供を行なう。

第１９条 （自己情報の利用又は提供の拒否権）

当院が保有している個人情報について、利用者から自己情報についての利用又は第三者への提供を拒まれた場合、これに応じなければならない。ただし、裁判所および令状に基づく権限の行使による開示請求等又は法人が法令に定められている義務を履行するために必要な場合については、この限りでない。

（個人情報保護委員会）

第６章 管理組織・体制

第２０条 法人は、個人情報保護の推進を図る為の責任体制として、個人情報保護委員会を設置する。

２ 個人情報保護委員会は、個人情報保護法に沿って、個人情報を正確かつ安全に取扱い、運用していく事を目的とする。

３ 構成は以下の通りとする。 (1)委員長

(2)個人情報管理責任者 (3)個人情報管理担当者 (4)苦情相談担当者

(5)その他必要な委員

（個人情報管理責任者）

第２１条 個人情報管理責任者は、個人情報の保護についての統括的責任と権限を有する者をいう。

（個人情報保護苦情・相談窓口の設置）

第２２条 法人は、個人情報の取り扱いに関する苦情・相談を受け付けて対応する窓口を設置する。なお、対応については法人規定「相談処理取扱要綱」にて行うものとする。

（発生時の報告）

第７章 事故対応

第２３条 担当者は、漏洩などの不正行為や情報機器（ PC・USB など）の盗難等により個人情報が侵害され、又は侵害される恐れがある場合、直ちに取扱管理者に報告しなければならない。

２ 取扱管理者は、漏洩などの不正行為や情報機器（ PC・USB など）の盗難等により個人情報が侵害され、又は侵害される恐れがあるとの報告があった時は、直ちに管理責任者に報告しなければならない。

（二次被害の防止）

第２４条 管理責任者は、必要に応じ以下の措置を講じなければならない。

① 被害者への説明、謝罪

② 報道機関への公表

③ 医療法に基づく保健所への報告

④ 警察への被害届の提出

第８章 管理責任者の職務

（個人情報の特定とリスク調査）

第２５条 管理責任者は、法人が保有するすべての個人情報を特定し、危機を調査・分析するための手順・方法を確立し、維持しなければならない。

２ 管理責任者は、各部ごとに前項の手順に従って各部における個人情報を特定し、個人情報に関する危険要因（個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏洩等） を調査・分析の上、適切な保護措置を講じない場合の影響を認識し、必要な対策を策定し、維持しなければならない。

（法令及びその他の法規範）

第２６条 管理責任者は、個人情報に関する法令及びその他の法規範を特定し、参照で きる手順を確立し、維持しなければならない。

（本規程等の見直し）

第２７条 管理責任者は、個人情報を保護する為に、適宜この規程を見直さなければならない。

（文書の管理）

第２８条 管理責任者は、この規程に基づき作成される文書（電磁的記録を含む）を管理しなければならない。

（研修実施）

第２９条 管理責任者は、法人職員その他個人情報の預託先等の関係者に対して、教育・研修を受けさせるよう努めなければならない。

（個人情報の廃棄）

第９章 廃棄

第１６条 個人情報を廃棄する場合は、匿名化もしくは、適切な廃棄物処理業者に廃棄を委託する。

２ 個人情報を記録したコンピュータ、記憶媒体（ ＣＤ・ＭＯ・ＤＶＤ・フロッピー等）を廃棄する時は、特別のソフトウェア等を使用して個人情報を完全に消去するか、記憶媒体を物理的に破壊してから廃棄する。

３ 個人情報を記録したコンピュータを他に転用する時は、特別のソフトウェアを使用して個人情報を完全に消去してから転用する。

４ 個人情報の廃棄作業は担当者が行う。

（罰則）

第９章 罰則

第１７条 当法人は、本規定に違反した職員に対して就業規則に基づき懲戒を行う事がある。

（その他）

第１０章 雑則

第１８条 この規定の実施に必要な事項は、協議の上、定めるものとする。

附 則

この規定は平成１７年４月１日から施行する。 この規定は平成２５年１２月１日から変更する。