Contract

東京かつしか赤十字母子医療センターの保有する個人情報保護規程

(令和元年 7 月 1 日付葛産総第 371 号)

東京かつしか赤十字母子医療センターの保有する個人情報保護規程を次のように定める。

(目的)

第 1 条 この規程は、個人情報の保護に関する法律（以下「個人情報保護法」という。）及び行政手続における特定の個人を識別するための番号の利用等に関する法律（以下

「番号法」という。）に基づき、東京かつしか赤十字母子医療センターが保有する個人情報の適正な取扱いに関して必要な基本的事項を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。

(用語の定義)

第 2 条 この規程において、次の各号に掲げる用語の定義は、当該各号に定めるところによる。

なお、本規程において、特にことわりのない限り、「個人情報」には特定個人情報及び要配慮個人情報を含むものとする。

(1) 個人情報

生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）、又は個人識別符号が含まれるものをいう。

(2) 個人識別符号

当該情報単体から特定の個人を識別できるものとして個人情報保護法令に定められた文字、番号、記号その他の符号をいう。

(3) 要配慮個人情報

不当な差別や偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして個人情報保護法第 2 条第 3 項、個人情報保護法令第 2 条及び個人情

報保護規則第 5 条で定める記述等が含まれる個人情報をいう。

(4) 匿名加工情報

個人情報を個人情報の区分に応じて定められた措置を講じて特定の個人を識別することができないように加工して得られる個人に関する情報であって、当該個人情報を復元して特定の個人を再識別することができないようにしたものをいう。

(5) 個人情報データベース等

ア 特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した個人情報を含む情報の集合体をいう。

イ コンピュータを用いていない場合であっても、紙面で処理した個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても検索可能な状態においているものをいう。

(6) 個人情報取扱事業者

個人情報データベース等を事業の用に供している者をいう。

(7) 個人データ

個人情報データベース等を構成する個人情報をいう。

(8) 保有個人データ

個人データのうち、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有するものであって、下記以外のものをいう。

ア その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの

イ 6 ヶ月以内に消去する（更新することは除く。）こととなるもの

2 「個人番号」及び「特定個人情報」の定義は、番号法第 2 条第 5 項及び第 8 項の定めに従う。

(基本理念)

第 3 条 個人情報は、個人の人格尊重の理念の下に慎重に取扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない。

(特定個人情報の取扱い)

第 4 条 東京かつしか赤十字母子医療センターは、特定個人情報に係る安全管理措置に関し、特定個人情報事務取扱担当者が遵守すべき事項について、本規程に定めるもののほか、日本赤十字社特定個人情報取扱要領に基づくものとする。

(匿名加工情報の取扱い)

第 5 条 東京かつしか赤十字母子医療センターは、匿名加工情報に係る安全管理措置に関し、匿名加工情報事務取扱担当者が遵守すべき事項について本規程に定めるもののほか、日本赤十字社匿名加工情報取扱要領に基づくものとする。

(利用目的の特定)

第 6 条 東京かつしか赤十字母子医療センターは、個人情報を取扱うに当たっては、その利用の目的をできる限り特定しなければならない。

また、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。

(利用目的による制限)

第 7 条 あらかじめ本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。

2 次に掲げる場合については、本人の同意を得ずに個人情報を取り扱うことができる。

(1) 法令に基づく場合

(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき

(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき

(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

(利用目的の通知・公表)

第 8 条 個人情報を取得するに当たり、あらかじめその利用目的を公表しておくか、個人情報を取得した場合、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

2 本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、院内掲示等によりその利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急の必要がある場合は、この限りではない。

3 利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。

4 次に掲げる場合については、前各項に関する規定は適用されない。

(1) 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

(2) 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害する恐れがある場合

(3) 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき

(4) 取得の状況からみて利用目的が明らかであると認められる場合 (適正な取得)

第 9 条 東京かつしか赤十字母子医療センターは、偽りその他不正の手段により個人情報を取得してはならない。

2 次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。

(1) 法令に基づく場合

(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき

(3) 公衆衛生の向上又は児童の健全な育成のために特に必要がある場合であって、本人の同意を得ることが困難であるとき

(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

(5) 当該要配慮個人情報が、本人、国の機関、地方公共団体等により公開されている場合

(6) 本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合

(7) 他の事業者等への情報提供であるが、第三者に該当しない場合

3 診療等のために必要な過去の受診歴等については、真に必要な範囲について、本人から直接取得するほか、第三者提供について本人の同意を得た者から取得しなければならない。ただし、本人以外の家族等から取得することが診療上やむを得ない場合はこの限りではない。

(データ内容の正確性の確保等)

第 10 条 東京かつしか赤十字母子医療センターは、適切な医療サービスを提供するという利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない。また、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。

(職員の責務)

第 11 条 職員は、本規程の定めるところに従い、個人情報を取扱わなければならない。

2 職員は、本規程の定めるところに従い、個人情報の適正な取扱い等に関する教育・研修を受けなければならない。

3 職員は、個人情報の漏えい、滅失又はき損の事故が発生した場合又はその兆候を把 握した場合には、その旨を次条の個人情報管理者に速やかに報告しなければならない。 (管理・監督者〔個人情報管理者〕等の配置)

第 12 条 東京かつしか赤十字母子医療センターに個人情報に関する管理・監督者として個人情報管理者を置き、事務部長をもってあてる。

2 個人情報管理者は、その事務の一部を補助させるため、個人情報管理補助者を置くことができる。

(安全管理措置、従業者の監督〔個人情報管理者等の責務〕)

第 13 条 個人情報管理者は、個人情報の取扱いに関し個人データの漏えい、滅失又はき損の防止その他個人データの安全管理のために必要かつ適切な措置（組織的、人的、物理的及び技術的安全管理措置）を講じなければならない。

また、安全管理措置が図られるように、個人情報の適正な取扱い等に関して職員等

（医療資格者や雇用関係のある者のみならず、派遣労働者等も含む。）に対し必要かつ適切な監督を行わなければならない。

2 個人情報管理者は、奉仕団員、ボランティア等がその活動において、特定個人情報を除く個人情報を取扱うときは、その保護を周知徹底させなければならない。

3 個人情報管理者は、本規程並びに別に定める日本赤十字社特定個人情報取扱要領、日本赤十字社匿名加工情報取扱要領及び個人情報の安全管理マニュアルを理解し遵守するとともに、第 4 条及び第 5 条に定める事務取扱担当者にこれを理解させ、遵守させるための教育・研修、安全対策の実施並びに周知徹底等の措置を実施する責任を負う。

4 個人情報管理補助者は、個人情報管理者の指示に基づきその業務を補助する。 (委員会の設置)

第 14 条 東京かつしか赤十字母子医療センターは、個人情報の保護及び本規程を厳正に運営するために情報管理委員会を設置する。委員会に関する規程は別途定めるものとする。

(個人情報漏えい等の場合の対応)

第 15 条 東京かつしか赤十字母子医療センターは、個人データの漏えい等の問題が発生した場合、又は発生した可能性が高いと判断した場合、個人データの取扱いに関する規定等に違反している事実が生じた場合、又は兆候が高いと判断した場合における院内の責任者等及び行政への報告連絡体制の整備を行う。報告連絡体制は別途定めるものとする。

(教育・研修)

第 16 条 個人情報管理者は、教育・研修の実施により、個人データを実際の業務で取り扱う従業者の啓発を図り、従業者の個人情報保護意識を徹底しなければならない。 (物理的安全管理措置)

第 17 条 個人情報管理者は、個人データの盗難・紛失等を防止するため、次に掲げる物理的安全管理措置を行わなければならない。

(1) 入退館（室）管理の実施

(2) 盗難等に対する予防対策の実施

(3) 機器、装置等の固定など物理的な保護

(4) スマートフォン、パソコン等の記録機能を有する機器の接続の制限及び機器の更新への対応

(技術的安全管理措置)

第 18 条 個人情報管理者は、個人データの盗難・紛失等を防止するため、個人データを取り扱う情報システムについて次に掲げる技術的安全管理措置を行わなければならない。

(1) 個人データに対するアクセス管理

(2) 個人データに対するアクセス記録の保存

(3) 不正が疑われる異常な記録の存否の定期的な確認

(4) 個人データに対するファイアウォールの設置

(5) 情報システムへの外部からのアクセス状況の監視及び当該監視システムの動作の定期的な確認

(6) ソフトウェアに関する脆弱性対策 (個人情報の廃棄)

第 19 条 不要となった個人データを廃棄する場合には、焼却や溶解など、個人データを復元不可能な形にして廃棄する。

2 個人データを取り扱った情報機器を廃棄する場合は、記憶装置内の個人データを復元不可能な形に消去して廃棄する。

(事務取扱担当者の配置)

第 20 条 第 4 条及び第 5 条に定める事務取扱担当者は、個人情報管理者が別途指定するものとする。

(事務取扱担当者の責務)

第 21 条 事務取扱担当者の責務は、次の各号に定めるところによる。

(1) 特定個人情報事務取扱担当者

特定個人情報等の「取得」、「利用」、「保管」、「提供」、「開示、訂正、追加、利用停止」、「廃棄・削除」及び委託契約等の各業務を行うにあたり、本規程並びに別に定める日本赤十字社特定個人情報取扱要領及び個人情報の安全管理マニュアルを理解し遵守しなければならない。また、特定個人情報等の漏えい、滅失又はき損のないように取扱わなければならない。

(2) 匿名加工情報事務取扱担当者

匿名加工情報等を取扱う業務に従事する際、本規程並びに別に定める日本赤十字社匿名加工情報取扱要領及び個人情報の安全管理マニュアルを理解し遵守しなければならない。また、匿名加工情報等の漏えい、滅失又はき損のないように取扱わなければならない。

(個人情報管理表の作成)

第 22 条 特定個人情報を除く個人情報の安全管理のため、個人情報管理者は別紙様式 1 の「個人情報管理表」により、個人情報管理の状況を常に明らかにしておかなければならない。

(特定個人情報ファイル管理台帳の作成)

第 23 条 個人情報管理者は、特定個人情報ファイルの取扱状況を確認するため、別紙様式 2 の「特定個人情報ファイル管理台帳」により、特定個人情報を取扱う部署ごとに特定個人情報の取扱いを記録し管理しなければならない。

(匿名加工情報管理台帳の作成)

第 24 条 個人情報管理者は、匿名加工情報等の取扱状況を確認するため、別紙様式 3の「匿名加工情報管理台帳」により、匿名加工情報等を取扱う部署ごとに匿名加工情報等の取扱いを記録し管理しなければならない。

(情報システムの安全管理)

第 25 条 診療録等の電子媒体による保存システムを含めた医療に関わる情報を扱うすべての情報システムの導入及び診療情報等の外部保存を行う場合には、「医療情報システムの安全管理に関するガイドライン」により、その取扱いについて安全性が確保されるよう規程を定め、実施しなければならない。

2 情報及び情報機器の院外持出しについては、別に定めるものとする。 (委託先の監督〔取扱いの外部委託〕)

第 26 条 東京かつしか赤十字母子医療センターが個人データの取扱いの全部又は一部 を外部に委託する場合は、その取扱いを委託された個人データの安全管理が図られる よう、十分な保護水準が確保できる委託業者を選定するとともに、個人情報が適正に 取扱われるよう、当該委託業者に対する必要かつ適切な監督を行わなければならない。

2 東京かつしか赤十字母子医療センターは、委託業者に対し委託契約等により、事故発生時の責任等を担保させなければならない。

(個人データの第三者提供の制限)

第 27 条 東京かつしか赤十字母子医療センターは、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

2 次に掲げる場合については、本人の同意を得ずに第三者提供ができる。

(1) 法令に基づく場合

(2) 人の生命、身体又は財産の保護のために必要ある場合であって、本人の同意を得ることが困難であるとき

(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要ある場合であって、本人の同意を得ることが困難であるとき

(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

(外国にある第三者への提供の制限)

第 28 条 東京かつしか赤十字母子医療センターが、個人情報保護法第 24 条の規定に基づき、外国にある第三者に個人データを提供する場合には、第三者提供の例外に当たる場合を除き、外国にある第三者へ提供することについて本人の同意を得なければならない。

2 次の各号のいずれかに該当する場合は、国内と同様に本人同意による第三者提供、又は他の事業者等への情報提供であるが「第三者」に該当しない場合の委託、共同利用による提供が可能である。

(1) 外国にある第三者が、日本と同等の水準にあると認められる個人情報保護制度を有している国として個人情報の保護に関する規則で定める国にある場合

(2) 外国にある第三者が、個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制として規則で定める基準に適合する体制を整備している場合

(第三者提供に係る記録の作成等)

第 29 条 東京かつしか赤十字母子医療センターは、個人データを第三者（個人情報保護法第 2 条第 5 項各号に掲げる者を除く。）に提供したときは、記録義務が適用されない場合を除いて、当該個人データを提供した年月日、当該第三者の氏名又は名称その他法令で定める事項に関する記録の作成及びその記録の保存をしなければならない。

2 次の場合において、記録義務は適用されない。

(1) 第三者が国の機関、地方公共団体等の場合

(2) 第三者提供の例外に当たる提供である場合

(3) 他の事業者等への情報提供であるが、「第三者」に該当しない場合

(4) 本人に代わって提供している場合

(5) 本人と一体と評価できる関係にある者に提供する場合 (第三者提供を受ける際の確認等)

第 30 条 東京かつしか赤十字母子医療センターは、第三者から個人データの提供を受けるに際は、確認義務が適用されない場合を除いて、次に掲げる事項の確認を行わなければならない。また、記録を作成し、かつ、その記録を保存しなければならない。

2 前条第 2 項各号に加えて、次の場合においても、確認・記録義務は適用されない。

(1) 受領者にとって個人データに該当しない場合

(2) 受領者にとって個人情報に該当しない場合 (保有個人データに関する事項の公表等)

第 31 条 東京かつしか赤十字母子医療センターは、保有個人データに関し、次に掲げる事項について、本人の知りうる状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置かなければならない。

(1) 個人情報取扱い事業者の氏名又は名称

(2) 利用目的（第 8 条第 4 項第 1 号から第 3 号に該当する場合を除く。）

(3) 保有個人データの利用目的の通知、開示、訂正及び利用停止等の手続の方法

(4) 前項の手続きについて、手数料を定めたときは、その手数料の額（開示手数料については、病院内の見やすい場所に掲示しておくこと。）

(5) 保有個人データの取扱いに関する苦情の申出先 (保有個人データの開示)

第 32 条 本人から、当該本人が識別される保有個人データの開示（当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ。）の請求を受けたときは、本人に対し、書面の交付による方法（開示の請求を行った者が同意した方法があるときは、当該方法）により、遅滞なく、当該保有個人データを開示しなければならない。

2 開示することにより、次のいずれかに該当する場合は、その全部又は一部を開示しないことができる。

(1) 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

(2) 個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合

(3) 他の法令に違反することとなる場合

3 死者の情報は個人情報保護法の適用対象とならないが、遺族から死亡した患者の診療経過等について照会された場合、患者本人の生前の意思、名誉等を十分に尊重しつつ、特段の配慮を行わなければならない。

(保有個人データの訂正等)

第 33 条 個人情報管理者は、本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって保有個人データの内容の訂正、追加又は削除（以下

「訂正等」という。）の請求を受けた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、保有個人データの訂正等を行わなければならない。

2 次の場合については、訂正等を行う必要はない。

(1) 利用目的から見て訂正等が必要でない場合

(2) 誤りである指摘が正しくない場合

(3) 訂正等の対象が事実でなく評価に関する情報である場合 (保有個人データの利用停止等、第三者への提供の禁止)

第 34 条 本人から、当該本人が識別される保有個人データが、利用目的の制限に違反して取り扱われている又は不正の手段によって取得されたものであるという理由に よって、当該保有個人データの利用の停止又は消去（以下「利用停止等」という。）の請求を受けた場合であって、その請求に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。

2 本人から、当該本人が識別される保有個人データが、第三者への提供の制限に違反して第三者に提供されているという理由によって、保有個人データの第三者への提供の停止の請求を受けた場合であって、その請求に理由があることが判明したときは、遅滞なく、第三者への提供を停止しなければならない。

3 次の場合、利用停止等及び第三者への提供の停止を行う必要はない。

(1) 多額の費用を要する場合など利用停止等及び第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとる場合

(2) 手続き違反等の指摘が正しくない場合 (開示等の手続及び手数料)

第 35 条 開示等の手続及び手数料については、別に定めるものとする。

(1) 保有個人データの利用目的の通知の求め、開示、訂正等、利用停止等、第三者への提供の停止の請求（以下、「開示等の請求等」という。）に関し、本人に過重な負担を課すものとならない範囲において、次に掲げる事項について、その請求等を受け付ける方法を定めることができる。この場合において、本人は、当該方法に従って、開示等の請求等を行わなければならない。

ア 開示等の請求等の申出先

イ 開示等の請求等に際して提出すべき書面（電磁的記録を含む。）の様式その他の開示等の請求等の方式

ウ 開示等の請求等をする者が本人又は代理人等、開示等の請求等を行いうる者であることの確認の方法

エ 手数料の徴収方法

(2) 本人に対し、開示等の請求等に関して、その対象となる保有個人データを特定するに足りる事項の提示を求めることができる。この場合には、本人が容易かつ的確に開示等の請求等をすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便性を考慮した措置をとらなければならない。

(3) 開示等の請求等は、次に掲げる者によって行うことができる。なお、代理人等、開示等の請求等を行いうる者から開示等の請求等があった場合、原則として患者本人に対し保有個人データの開示を行う旨の説明を行った後、開示の請求等を行った者に対して開示等を行うものとする。

ア 本人

イ 未成年者又は成年被後見人の法定代理人

ウ 開示等の請求等をすることにつき本人が委任した代理人

(4) 次に掲げる点に留意しつつ、開示等の手続きを定めるものとする。

ア 開示等を請求等する者が本人（又はその代理人）であることを確認する。

イ 主治医等の担当スタッフの意見を聴いた上で、速やかに保有個人データの開示等をするか否か等を決定し、これを開示等の請求等を行った者に通知する。

ウ 保有個人データの開示にあたり、その全部又は一部を開示しないことができる場合に該当する可能性があるときは、関係委員会等において検討した上で、速やかに開示の可否を決定することが望ましい。

エ 保有個人データの開示等を行う場合には、本人に過重な負担を課すものとならない範囲で、日時、場所、方法等を指定することができる。

(5) 保有個人データの利用目的の通知を求められたとき又は開示の請求を受けたときは、当該措置の実施に関し、手数料を徴収することができる。なお、手数料を徴収する場合は、実費を勘案して合理的と認められる範囲内において、手数料の額を定めなければならない。

(苦情対応・処理)

第 36 条 個人情報管理者は、本人等から個人情報の取扱いに関する苦情の適切かつ迅速な対応に努めなければならない。また、適切かつ迅速な対応を行うにあたり、苦情への対応を行う窓口機能等の整備や苦情への対応の手順を定めるなど必要な体制に努めなければならない。

(違反に対する措置)

第 37 条 本規程に違反して個人情報を取扱った職員に対しては、就業規則の定めるところにより懲戒処分を行い、委託業者等に対しては、日本赤十字社及び葛飾赤十字産院がこうむった損害の程度に応じて必要な措置を講ずるものとする。

附 則

この規程は、令和元年 7 月 1 日から施行する。

(別紙様式 1)

個人情報管理表 [別紙参照]

(別紙様式 2)

特定個人情報ファイル管理台帳 [別紙参照]

（別紙様式 3）

匿名加工情報管理台帳 [別紙参照]