Contract

xx病院個人情報保護規程

第 1 章 総則

（目的）

第 1 条 医療法人社団景翠会xx病院（以下、当院）個人情報保護規程は、個人情報の取扱いについて定めたもので、当院が取り扱う個人情報の適切な保護のための基本規程である。なお、本規程は、個人情報保護法ならびにその他の法令に基づいて作成している。

（用語の定義）

第 2 条 本規程における用語の定義は、次の各号に定める通りとする。

（1） 個人情報

個人に関する情報（死亡患者を含む）であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む）をいう。

（2） 要配慮個人情報

本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。具体的な内容としては、診療録等の診療記録に記載された病歴、診療や調剤の過程で医療従事者が知り得た診療情報や調剤情報、健康診断の結果および保健指導の内容、障害(身体障害、知的障害、精神障害等)の事実、犯罪により害を被った事実等が挙げられる。

（3） 個人情報データベース等

個人情報を含む情報の集合物であって、特定の個人情報をデータベース化したり、検索可能に構成したもの、または、これに含まれる個人情報を一定の規則に従って整理することにより、特定の個人情報を容易に検索できるように体系的に構成したものをいう。

（4） 保有個人データ

当院が、開示、内容の訂正、追加または削除、利用の停止または消去及び第三者への提供の停止を行うことができる権限を有し、6 か月以上保有する個人データをいう。

（5） 個人情報の匿名化

当該個人情報から、当該情報に含まれる氏名、生年月日、住所等、個人を識別する情報を取り除くことにより、特定の個人を識別できないようにすることをいう。

（6） 個人情報保護管理責任者

本規程に基づき率先して個人情報の適正な管理及び保護の任にあたるとともに、個人情報保護管理者を指導・監督し、本規程を遵守させるための教育訓練、個人情報の安全性確保等の措置を実施する責任を負うものとする。

（7） 個人情報保護管理者

本規程および個人情報管理責任者の指示を遵守し、個人情報の適正な管理および保護に努めるものとする。

（8） 個人情報保護監査責任者

個人情報保護管理責任者から独立したxxかつ客観的な立場にあり、当院の個人情報保護管理の監査を行う権限を有するものとする。

（9） 個人情報保護委員会

個人情報保護の推進と個人情報保護に関する方針の策定やその継続的改善のため、個人情報保護管理責任者を委員長とする個人情報保護委員会を設置する。

（10） 個人情報利用者

診療などの当院の業務遂行のために雇用契約、委任契約、請負契約に基づき個人情報を取り扱うあるいは利用する者を言う。

（11） 従業者等

病院の業務に従事する専任職員のほか、非常勤職員、臨時職員、派遣職員等を含む。また、病院と業務委託契約を締結する事業者に雇用され、病院から委託された業務に従事する者も含む。

（12） 学生等

病院で見学および実習する教育施設の学生ならびに他の医療施設等からの研修者をいう。

（13） 預託

当院以外の者にデータ処理等の委託のために当院が保有する個人情報を預けること。

第 2 章 個人情報の利用目的

（利用目的の特定）

第 3 条 個人情報を取り扱うにあたっては、その利用目的を出来る限り特定し、その利用目的に関して本人の同意を得てから個人情報を取り扱わなければならない。

2 通常の業務で想定される利用目的は「金沢病院における個人情報の利用目的」※1 に例示されるものであり、院内掲示やホームページ等で公表する。

（利用目的における制限）

第 4 条 同意があった利用目的を変更する場合は、変更前の利用目的と相当の関連性があると合理的に認められる範囲を超えて変更してはならない。また、あらかじめ特定・公表された利用目的の達成に必要な範囲を超えて、本人の同意を得ることなしに、個人情報を取り扱ってはならない。新しい目的で個人情報を収集する場合は、個人情報保護委員会に届け出なければならない。

2 同意を得るために電話をかけることや、利用にあたって匿名化のために個人情報を加工しても差し支えない。

（利用目的における例外）

第 5 条 次の各号に該当する場合は、本人の同意なく個人情報を利用することができる。

（1） 法令に基づく場合

（2） 人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき

（3） 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき

（4） 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

第 3 章 個人情報の利用目的の通知

第 6 条 病院は個人情報を取得するにあたって、あらかじめその利用目的を公表する。

2 患者本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を院内掲示等により明示する。ただし、救急の処置が必要な場合はこの限りではない。

第 4 章 個人情報の適切な取得と正確性の確保

第 7 条 適切な医療サービスを提供するという利用目的の達成に必要な範囲内において、保有個人データを正確かつ最新の内容に保つよう努めなければならない。

（個人情報の適正な取得）

第 8 条 個人情報の収集は、偽りその他不正の手段により個人情報を取得してはならない。

2 新しい方法で個人情報を収集する場合は、個人情報保護委員会に届け出なければならない。

3 診療などのために必要な個人情報は、本人から直接取得するほか、第三者提供について本人の同意を得た者から取得することを原則とする。

4 第三者提供により他の医療・介護関係事業者から個人情報を取得したとき、本人の個人情報の内容に疑義が生じた場合には、記載内容の事実に関して本人または情報の提供を行った者に確認をとる。

（個人情報を収集する方法）

第 9 条 患者・家族・関係者等から個人情報を取得する方法は、次に定める通りとする。

（1） 本人の申告および提供

（2） 直接の問診または面談

（3） 患者家族、知人、目撃者、救急隊、関係者からの提供

（4） 他の医療機関、介護施設等からの紹介状等による提供

（5） 十分な判断能力を有していない子供の個人情報については、診察に関して必要な事項

以外は原則として保護者等から提供をうける。

（6） その他の場合は、本人、もしくは家族の（意識不明、認知症等で判断できないとき）同意を得て収集する。

※1 金沢病院における個人情報の利用目的

【患者への医療の提供に必要な利用目的】

[当院の内部における利用に係る事例]

・当院が患者等に提供する医療サービスおよび医療保険事務

・患者に係る当院の管理運営業務のうち、

－入退院等の病棟管理

－会計・経理

－医療事故等の報告

－当該患者の医療サービスの向上

[他の事業者等への情報提供を伴う事例]

・当院が患者等に提供する医療サービスのうち

－他の病院、診療所、助産所、薬局、訪問看護ステーション、介護サービス事業者等との連携

－他の医療機関等からの照会への回答

－患者の診療等に当たり、外部の医師等の意見・助言を求める場合

－検体検査業務の委託およびその他の業務委託

－家族等への病状説明

・医療保険事務のうち

－審査支払機関へのレセプトの提供

－審査支払機関又は保険者からの照会への回答

・事業者等からの委託を受けて検診等を行った場合における、事業者等へのその結果の通知

・医師賠償責任保険などに係る、医療に関する専門の団体、保険会社等への相談または届け出等

【上記以外の利用目的】

[当院の内部における利用に係る事例]

・当院の管理運営業務のうち

－医療サービスや業務の維持・改善のための基礎資料

－当院の内部において行われる学生の実習への協力

－当院の内部において行われる症例研究

［当院の外部における利用に係る事例］

・匿名化したデータの研究への活用 ・匿名化したデータの学会等への登録

[他の事業者等への情報提供を伴う事例]

・当院の管理運営業務のうち

－外部監査機関への情報提供

第 5 章 安全管理措置、従業者の監督及び委託先の監督

（講ずるべき安全管理措置等）

第 10 条 当院は、「要配慮個人情報」を取り扱い、漏洩した場合などに本人が被る権利利益の侵害の大きさを鑑み、保有個人データの漏洩、滅失またはき損の防止、その他の保有個人データの安全管理のため、組織的、人的、物理的、及び技術的安全管理措置を講じる。

第 11 条 保有個人データの漏洩、滅失またはき損の防止、保有個人データの不適切な利用を防ぐため、当院の従業者等および学生等が、安全管理措置を遵守するよう、必要かつ適切な監督をする。

（安全管理措置の具体的事項）

第 12 条 保有個人データの利用目的、適正な取得、適正管理、保有個人データの開示手順、その他個人情報保護に関する規程を整備する。規程の公表は、院内掲示およびホームページに掲載し、患者に対して周知徹底を図る。

2 保有個人データが含まれる文書管理については、「診療情報管理規程」「情報システム運用管理規程」「スキャン運用管理規程」に準じた対応とする。

第 13 条 病院長は、従業者等の責任体制の明確化を図り、本規程の具体的取組を進めるために、個人情報保護管理責任者 1 名、個人情報保護監査責任者 1 名を選任する。さらに、病院長の指示のもと、個人情報保護委員会の設置および個人情報管理の監査体制を構築し、個人情報保護の推進と適正管理を徹底する。

（1） 個人情報保護管理責任者

個人情報保護管理責任者の業務は下記の通りである。

・個人情報保護計画の策定（年 1 回）と目標管理

・個人情報に関する職員研修の開催（年 1 回以上）

・個人情報保護委員会の運営

・個人情報保護管理者の選任（各部門 1 名ずつ）および指導・監督

・個人情報保護関連の文書管理

・個人情報および個人情報保護計画に関しての苦情・相談窓口の設置

・個人情報漏洩時の調査、対応

（2） 個人情報保護監査責任者

個人情報保護管理責任者が策定した個人情報保護計画に従い、本規程の運用状況を定期的

（毎年 1 回以上）に監査し、監査報告書を作成し、運営会議で報告しなければならない。

（3） 個人情報保護委員会

個人情報保護委員会の運用および構成員については別途定める。

第 14 条 保有個人データの漏洩等の事故の発生、または発生の可能性が高いと判断した場合や保有個人データの取り扱いに関する規程等に違反している事実の発覚、または兆候が高いと判断した場合に、その事案等を認識した従業者等は、直ちに当該保有個人情報

を管理する個人情報保護管理者に報告しなければならない。

2 個人情報保護管理者は、被害の拡大防止または復旧等のために必要な措置を迅速に講じなければならない。ただし、外部からの不正アクセスや不正プログラムの感染が疑われる当該端末等の LAN ケーブルを抜くなど、被害拡大防止のため直ちに行う必要がある措置については、迅速に行わなければならない。（従業者等に行わせることを含む）

3 個人情報保護管理者は、発生した事案の経緯、被害状況などを調査し、個人情報保護管理責任者に報告するものとする。ただし、特に重大と認める事案が発生した場合には、直ちに個人情報保護管理責任者に当該事案の内容などについて報告しなければならない。

4 個人情報保護管理責任者は、報告を受けた事案について、直ちに必要な調査および原因を分析し、再発防止の為に必要な措置を講じなければならない。

5 保有個人データの漏洩時の具体的な対応については、別途定める。

第 15 条 医療従事者は、各種の法律（刑法、医療法、医療関係資格の法律）で守秘義務が課せられており、正当な理由なく、業務上知り得た個人情報を漏洩してはならない。

2 当院の雇用契約および就業規則において、従業者等は、守秘義務を課せられており、これを遵守しなければならない。なお、離職後も業務上知り得た個人情報を漏洩してはならない。

第 16 条 「要配慮個人情報」を取り扱い、漏洩した場合などに本人が被る権利利益の侵害の大きさを鑑み、保有個人データの適切な保護が確保されるよう、従業者等に対し教育・研修を年 1 回以上実施し、啓発を図る。

第 17 条 保有個人データの盗難・紛失等を防止するため、以下のような物理的安全管理措置を行う。

（1） 入退館（室）管理の実施

（2） 盗難等に対する予防対策の実施（ex.当法人で登録した USB のみ利用可能）

（3） 機器、装置等の固定など物理的な保護

第 18 条 保有個人データの盗難・紛失等を防止するため、保有個人データを取り扱う情報システムについて以下のような技術的安全管理措置を行う。

（1） 保有個人データに対するアクセス管理（xx.XX やパスワード等による認証、パスワー ドの定期的変更、従業者等および学生等の業務内容に応じて業務上必要な範囲にのみ アクセスできるシステムの構成、CD-ROM へのデータ書き込みができるパソコンを限定）

（2） 保有個人データに対するアクセス記録の保存

（3） 保有個人データに対するファイアウォールの設置

第 19 条 保有個人データを長期にわたって保存する場合には、保存媒体の劣化防止等、保有個人データが消失しないよう適切に保存する。

2 保有個人データを保存する際は、本人からの照会等に対応する場合等の必要な時に迅速に対応できるよう、インデックスの整備など検索可能な状態で保存する。

第 20 条 不要となった保有個人データを廃棄する場合は、焼却や溶解など、保有個人データを復元不可能な形にして廃棄する。

2 保有個人データを取り扱った情報機器を廃棄する場合は、記憶装置内の保有個人データを復元不可能な形に消去して廃棄する。

3 これらの廃棄業務を委託する場合には、適切な廃棄物処理業者を選定し、保有個人データの取り扱いについても委託契約において明確に定める。

4 個人情報の廃棄作業に関する管理は、個人情報保護管理責任者が行う。

（業務を委託する場合の取り扱い）

第 21 条 患者の保有個人情報の取り扱いに関わる業務を外部に委託する場合には、当院が定める安全管理措置を遵守するよう義務づけ、かつ、業務が適切に行われていることを定期的に監督しなければならない。

第 22 条 個人情報保護管理責任者は、次に掲げる事項に基づいて、個人情報を適切に取り扱っている事業者を委託先として選定し、契約を締結しなければならない。当該個人情報の取扱いに関わる業務の委託は、契約締結後にしなければならない。

2 当該個人情報の取扱いに関わる業務の委託先について、委託先責任者との面接、必要に応じて委託先の情報処理施設の状況を視察あるいは把握し、個人情報保護及びセキュリティ管理が当院の基準に合致することを確認する。また、委託先が、個人情報を第三者に預託する場合や再委託においても、同様の手続きを踏まなければならない。

3 契約書に明記する事項は、次に定める通りとする。

（1） 守秘義務の存在、取り扱う事の出来る者の範囲に関する事項

（2） 委託先（預託先）における個人情報の秘密保持方法、管理方法についての事項

（3） 委託先（預託先）の個人情報の取扱担当者に対する個人情報保護のための教育・訓練に関する事項

（4） 契約終了時の個人情報の返却および消去に関する事項

（5） 個人情報が漏洩、その他事故の場合の措置、責任分担についての事項

（6） 再委託に関する事項

（7） 当院からの監査の受け入れについての事項

4 委託先担当者は、委託を受けた業務の一部を再委託することを予定している場合は、再委託先が当院との契約を遵守しているかどうかを確認し、万が一、契約に抵触する事項を発見した場合は、その旨を個人情報保護管理責任者に通知しなければならない。通知を受けた個人情報保護管理責任者は、個人情報の再委託先に対して必要な措置を講じなければならない。

（個人データの漏洩等の問題が発生した場合における二次被害の防止等）

第 23 条 保有個人データの漏洩等の問題が発生した場合には、二次被害の防止、類似事案の発生回避等の観点から、次に掲げる点について、別途定める。

（1） 病院内部における報告及び被害の拡大防止

（2） 事実関係の調査及び原因の究明

（3） 影響範囲の特定

（4） 再発防止策の検討及び実施

（5） 影響を受ける可能性のある本人への連絡等

（6） 事実関係及び再発防止策等の公表

（患者氏名の呼び出しや名札の掲示）

第 24 条 患者誤認防止の観点から、氏名での呼び出しや病室前およびベッドネームでの氏名表記は原則行うこととする。本人からの申し入れがあった場合は、柔軟に対応する。

（病状説明）

第 25 条 病状の説明などは、患者本人または代理人に行う。患者の同意が得られない人への説明は原則、行わない。

（院内での患者家族などによる撮影）

第 26 条 患者や職員のプライバシーおよび病院内における個人情報を保護するため、原則、院内の動画・写真撮影、録音は禁止とする。また、SNS やインターネットへの掲載などの無断使用は許可しない。撮影を認める場合の手順については、別途定める。

第 6 章 個人データの第三者提供

(第三者提供の取扱い)

第 27 条 当院は、あらかじめ本人の同意を得ないで保有個人データを第三者に提供してはならない。次のような場合には、本人の同意を得てから保有個人データの提供をする。

（1） 民間保険会社からの照会

（2） 患者の職場からの照会

（3） 患者の所属する学校からの照会

（4） マーケティング等を目的とする会社等からの照会

第 28 条 患者の病状について家族に説明する場合にも、あらかじめ本人の同意を得る。患者が死亡した場合の遺族への診療情報の提供については、日本医師会発行の「診療情報の提供に関する指針」に基づいて行う。

(第三者提供の例外)

第 29 条 第三者提供にあたる場合でも、利用目的における例外（※第 2 章 個人情報の利用目的 第 5 条参照）に該当する場合は、本人の同意を得る必要はない。

(本人の同意が得られていると考えられる場合)

第 30 条 患者の傷病の内容によっては、個人情報を第三者に提供するにあたり、事前に本人の明確な同意が必要となる場合がある。その際は、本人の意思に応じた対応を行う。

2 利用目的を院内掲示等で公表しておくことにより、同意を得ているとする場合 、患者から不同意の意思表示がない以上、公表された利用目的に黙示の同意があったものとして取り扱う。その同意の範囲は、患者のための医療サービスの提供に必要な範

囲内とする。また、次のような項目が特定されている場合は、これらについても患者の同意があったものとする。

（1） 患者への医療の提供のため、他の病院等との連携を図ること

（2） 患者への医療の提供のため、外部の医師等の意見・助言を求めること

（3） 患者への医療の提供のため、他の病院等から照会があった場合にこれに応じること

（4） 患者への医療の提供に際して、家族等への病状の説明を行うこと

3 院内掲示等には、次の点についてもあわせて公表する。

（1） 患者は、病院が示す利用目的の中で同意しがたいものがある場合には、その事項について、あらかじめ本人の明確な同意を得るよう病院に求めることができること

（2） 患者が、上記の意思表示を行わない場合は、公表された利用目的について患者の同意が得られたものとすること

（3） 同意および留保は、その後、患者からの申し出により、いつでも変更することが可能であること

4 当院が法令に基づき、事業者、保険者または市町村が行う健康診断等を受託し、その結果を事業者、保険者または市町村に通知する場合も本人の同意が得られていると考える。

(「第三者」に該当しない場合)

第 31 条 次の各号にあげる場合については、第三者に該当しないものとみなされ、本人の同意を得ずに情報提供を行うことができる。

（1） 検査等の業務を委託する場合

（2） 外部監査機関への情報提供

（3） 合併その他の事由による事業の承継に伴って保有個人データが提供される場合

（4） 保有個人データを特定の者との間で共同して利用することを、あらかじめ本人に通知している場合

第 32 条 医療法人社団景翠会内で情報提供する場合は第三者提供にあたらないため、当院での個人情報の利用に対する同意が得られていれば、改めて同意を得る必要はない。院内掲示やホームページ等で情報の提供先を明確にする。

(他の事業者への情報提供に関する留意事項)

第 33 条 他の事業者へ情報提供する場合は、本来必要とされる情報の範囲に限って提供すべきであり、必要とされていない事項についてまで提供してはならない。特に、医療事故等に関する情報提供については、患者および家族等の意思を踏まえ、できる限り匿名化を行う。医療事故発生直後にマスコミへの公表を行う場合等については、匿名化する場合であっても本人または家族等の同意を得るよう努める。

第 7 章 外国にある第三者への提供の制限

第 34 条 「個人情報の保護に関する法律についてのガイドライン (外国にある第三者への提供編)」に準じて対応する。

第 8 章 第三者提供に係る記録の作成等

第 35 条 「個人情報の保護に関する法律についてのガイドライン (第三者提供時の確認・記録義務編)」に準じて対応する。

第 9 章 第三者提供を受ける際の確認等

第 36 条 「個人情報の保護に関する法律についてのガイドライン (外国にある第三者への提供編)」に準じて対応する。

第 10 章 本人からの求めによる保有個人データの開示

（個人情報の開示）

第 37 条 本人は、自己に関する個人情報について、個人情報保護委員会を通して、当該個人情報を管理する病院長に対して開示請求することができる。なお、開示請求の判断については、個人情報保護委員会規程に別途定める。

2 病院長は、本人から当該本人の個人情報の開示を求められた場合は、遅滞なく当該個人情報を開示しなければならない。また、法定代理人等、開示の求めを行い得る者から開示の求めがあった場合、原則として患者本人に対し保有個人データの開示を行う旨の説明を行った後、法定代理人等に対して開示を行うものとする。

3 病院長は、次の各号のいずれかに該当する場合は、本人に個人情報の全部または一部を開示しないことができる。この場合、病院長は、当該本人にその理由を文書により通知しなければならない。

（1） 本人または第三者の生命、身体、財産その他の権利利益を害するおそれがあるとき

（2） 当院の業務の適正な執行に著しい支障を及ぼすおそれがあるとき。

（3） その他、個人情報保護委員会が定めたとき。

第 11 章 開示等の請求等に応じる手続及び手数料

第 38 条 当該本人が識別される「保有個人データ」の開示請求に関して、次の手続きにより応じるものとする。

（1） 開示等の請求等の窓口は、医事課とする。

（2） 開示等の請求等に用いる書面の様式は、診療録等の開示申込書を使用する。

（3） 開示等の請求等については、本人又はその代理人に対して応じるものとする。

（4） 本人確認の方法は、個人情報保護委員会が定めるものとする。

（5） 開示等請求等をすることができる代理人は、次に掲げるものとする。

・未xx者又はxx被後見人の法定代理人

・開示等を請求等することにつき本人が委任した代理人

（6） 開示等の請求に際し、手数料として 1 件につき 3,000 円（税別）を徴収する。

第 12 章 訂正及び利用停止

第 39 条 本人が保有個人データの訂正等、利用停止等、第三者への提供の停止について、個人情報保護委員会を通して、病院長に請求した場合は、それらの請求が適正であると認められるときは、これらの措置を行うものとする。

2 病院長は、本人から該当個人情報の内容が事実でないという理由によって、内容の訂正、追加または削除を請求されたときは、遅滞なく必要な調査を行い、その結果に基づき、当該個人情報の訂正または削除を行わなければならない。ただし、利用停止等および第三者への提供の停止については、個人情報の訂正や削除に多額の費用を要する場合など当該措置を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

3 次の場合については、第 39 条-1、2 の措置を行う必要はない。

（1） 訂正等の請求があった場合であっても、（ｱ）利用目的から見て訂正等が必要でない場合、（ｲ）誤りである指摘が正しくない場合または（ｳ）訂正等の対象が事実でなく評価に関する情報である場合

（2） 利用停止等、第三者への提供の停止の請求があった場合であっても、手続違反等の指摘が正しくない場合

4 第 39 条-1、2 の措置を行ったとき、または行わない旨を決定したときは、本人に対し、遅滞なく、その旨を通知する。また、本人に通知する場合には、その理由を説明するよう努める。

第 13 章 理由の説明、苦情対応

（個人情報保護苦情・相談窓口の設置）

第 40 条 個人情報保護管理責任者は、個人情報に関しての苦情・相談を１階患者相談窓口で受け、この体制について院内掲示あるいはホームページへ掲載しなければならない。

第 14 章 罰則

第 41 条 当院は、本規程に違反した職員に対して就業規則に基づき、懲戒を行うことがある。

2 懲戒の手続きは就業規則に定める。

第 15 章 規程の改廃第 42 条 本規程の改廃は、個人情報保護委員会が行う。

2 本規程は、原則、年 1 回以上、見直しを行う。

平成 17 年 4 月 1 日初版

平成 31 年 4 月 1 日改訂

令和 3 年 4 月 1 日改訂個人情報保護委員会