5 個人情報管理責任者(CIO)
医療法人 恵 生 会
個 人 情 報 保 護 規 程
第1 条(目的)
第1章 x x
この規程は,医療法人恵生会(以下,会)および役員・職員等が業務上取り扱うすべての情報を,個人情報保護に関する法律,関係諸法令および監督当局のガイドラインを遵守し,適正に管理・運用するための諸事項を規程する.
第2条(本規程の対象)
この規程は,会が保有する個人情報を対象とする.第3条(用語の定義)
この規程において,次の各号に掲げる用語の意義は,当該各号に定めるところによる.
1 個人情報
生死を問わず,会に関係した個人の情報であって,当該情報に含まれる氏名,生年月日,その他の記述により特定の個人を識別できるもの(他の情報と容易に照合することができ,それにより特定の個人を識別することが可能となるものを含む)そして個人識別符号(「特定の個人の身体の一部の特徴」を変換した符号によって本人認証ができるようにしたものや個人に割り当てられた符号)をいう.
※個人情報を以下に例示する
診療録,処方箋,看護記録,処置表,事故報告書(アイリス),検査所見記録,エックス線写真,紹介状,診療要約,調剤録等の診療記録,検査等の目的で患者から採取した血液等の検体の情報等,職員(研修医,各部門実習生を含む)に関する情報(採用時の履歴書,身上書,職員検診記録),指紋・掌紋データ,容貌データ,旅券番号,免許証番号,住民票コード,健康保険の被保険者番号,基礎年金番号,雇用保険被保険者証の被保険者番号.
2 個人情報データベース
特定の個人情報を一定の規則(例えば五十xx,生年月日順など)に従って整理・分類し,特定の個人情報が容易に検索できるよう,目次,索引,符号等を付し,他人によって容易に検索可能な状態においているものをいう.紙媒体,電子媒体の如何を問わない.
3 個人データ
「個人情報データベース」を構成する個人情報をいう.検査結果や介護・リハビリテーション関係記録等についても媒体の如何に関わらず個人データに該当する.
4 保有個人データ
個人データのうち会が,開示,内容の訂正,追加または削除,利用の停止,消去
および第三者への提供の停止を行うことのできる権限を有するものをいう.ただし,その存否が明らかになることにより,公益その他の利益が害されるもの,6ヶ月以内に消去する(更新するものは除く)ものは除く.
5 個人情報管理責任者(CIO)
個人情報保護計画の策定,実施,改善等の個人情報保護のための業務に関して統括的責任と権限を有するものをいい,理事長もしくは理事長が任命した者が担当する.
6 個人情報保護監査機関
会から選任され,理事長の諮問としながらもxxかつ客観的な立場にあり,監査の実施および報告を行う権限を有する機関であり.情報委員会が担当する.
7 個人情報管理担当者
各所属長が個人情報管理責任者の指示のもと,この任にあたるものとする.
8 従業者
医療資格者のみならず,会の指揮命令を受けて業務に従事する者すべてをいう.また,雇用関係のある者のみならず,理事,派遣労働者等も含む.
第4条(基本方針)
第2章 個人情報の基本方針
個人情報は法令に則って取得し,その内容は正確・最新となるよう努める.
2 個人情報の利用は,利用目的の範囲を超えては行わない.
3 第三者への個人情報の開示・提供は,法令に基づきその開示が義務付けられるなどの正当な理由がない限り,本人の承諾なしには行わない.
4 個人情報の流出,不正利用などを防止するために,役員・職員等への教育を徹底する.また,管理・点検の責任者を任命し,適正な管理体制を整備する.
5 個人情報については,本人の求めに応じ開示・訂正・利用停止などを法令に則って行う.この場合,所定の費用を頂戴する場合がある.
6 要配慮個人情報(心身の機能障害や健康診断結果、刑事事件に関する手続きが行われたことなど、本人に不当な差別や偏見などが生じないように特に配慮が必要な情報)は、本人の同意がある場合や,法令に基づく場合など一定の場合を除いて取得を行わない.
第3章 個人情報の利用目的の通知
第5条(取得に際しての利用目的の通知等)
個人情報の利用目的をホームページへの掲載等により公開する.
2 次に掲げる場合については,本人へ利用目的を通知しない.
(1)利用目的を本人に通知し,または公表することにより本人または関係者,第三者の生命,身体,財産その他の権利・利益を害するおそれがある場合
(2)利用目的を本人に通知し,または公表することにより会の権利または正当な利益を害するおそれがある場合
(3)国の機関または地方公共団体が法令で定める事務を遂行することに対して協力する必要がある場合であって,利用目的を本人に通知し,または公表することにより当該事務の遂行に支障を及ぼすおそれがある場合
(4)取得の状況から見て利用目的が明らかであると認められる場合
第6条(利用範囲の制限)
第4章 個人情報の利用
個人情報の利用は原則として目的の範囲内で,具体的な業務において権限を与えられた者が,業務遂行上必要な限りにおいて行う.
2 個人情報管理責任者の承諾を得ないで個人情報の目的外利用,第三者への提供,通常の利用場所からの持ち出し,外部への送信等の個人情報漏洩行為をしてはならない.
3 従業者は業務上知り得た個人情報の内容を,みだりに第三者に知らせ,または不当な目的に使用してはならない.その業務に係る職を退いた後も同様とする.
第7条(利用目的の範囲)
個人情報は通常の業務で想定される個人情報の利用目的および,通常業務以外では次の(1)から(3)についても使用する.
(1)会が従うべき法的義務の履行のために必要な場合
(2)本人または関係者,第三者の生命,身体,財産その他の権利・利益を保護するために必要な場合
(3)裁判所および令状に基づく権限の行使による開示請求等があった場合第8条(目的外利用の措置)
利用目的以外で個人情報を利用する場合(学会発表など)は患者・利用者・関係者・本人の同意を得なければならない.
第5章 個人情報の第三者提供に関する対応
第9条(第三者提供の制限)
個人情報の第三者への提供は,医療の提供に通常必要な範囲の利用目的について,予め包括的な同意を得た範囲を除いては本人の同意がない場合は禁止する.
個人データを第三者に提供する場合には、以下の事項の記録を作成する.
(1) 個人データの提供先の氏名または名称その他の第三者を特定するに足りる事項
(2) 本人の氏名又は名称その他の本人を特定するに足りる事項
(3) 個人データの項目
(4) 本人の同意を得ている旨
2 次に掲げる場合については,本人の同意を得ずに個人情報を第三者に提供できる.
(1)法令に基づく場合
(2)人の生命,身体または財産の保護のために必要であり,本人の同意を得ることが困難な場合
(3)公衆衛生の向上または児童の健全な育成の推進のために特に必要であり,本人の同意を得ることが困難な場合
(4)国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める業務を遂行するのに必要であり,本人の同意を得ることが困難な場合
3 第三者から個人データの提供を受ける場合、提供者に関する以下の情報を確認する.
(1) 氏名又は名称
(2) 住所
(3) 代表者の氏名(法人の場合)
(4) 提供を受ける個人データの取得の経緯.この場合、個人データの取得の経緯を示す書面(契約書や同意書、本人が個人データを示した書面など)の提示を求める必要がある.
4 第三者から個人データの提供を受ける場合、以下の事項の記録を作成する
(1) 当該第三者の氏名又は名称
(2) 当該第三者の住所
(3) 当該第三者の代表者名(当該第三者が法人である場合)
(4) 当該第三者による取得の経緯
(5) 個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
(6) 当該個人データの項目
個人情報取扱事業者から本人の同意に基づいて個人データの提供を受ける場合
(7) 本人の同意がある旨
オプトアウト手続きに基づいて個人データの提供を受ける場合
(8) 個人データの提供を受けた年月日
(9) 個人情報保護委員会からオプトアウト手続きの届出が公表されている旨
5 外国にある第三者に対して個人データを提供する場合、以下のいずれかに該当しなければならない.
(1) 外国にある第三者に対して個人データを提供する旨の本人の同意がある場合
(2) 個人情報取扱事業者に求められるものと同等の体制を整備する第三者に対して個人データを提供する場合(第三者に提供する旨の同意が必要)
(3) 日本の個人情報保護法と同等の個人情報保護制度がある国にある第三者に提供する場合(第三者に提供する旨の同意が必要)
(4) 法令に基づく場合など
第6章 個人情報に関する本人等からの請求に対する対応
第10条(個人情報に関する権利)
会が保有する個人情報に関して,本人等から説明や開示を求められた場合,遅滞なく説明または開示しなければならない.
2 家族あるいは第三者への個人情報の提供は,予め本人等に対象者を確認し同意を得た上で行うが,意識不明や認知障害などで合理的な判断ができない場合は本人の家族等であることを確認した上で,個人情報を提供する場合もある.この場合,本人等の意識が回復した際は速やかに本人に事情を説明するものとする.
3 死者の情報である場合には,患者・利用者の生前の意思・名誉等を尊重し第2章,第5章および第6章の前項に照らし合わせ遺族や第三者に対して提供するものとする.
4 本人等からの診療記録の開示請求が、医師、医療機関と本人等との信頼関係の構築、疾病や治療に対する正しい理解の助けとなることを目的としたものである場合には、会の「個人情報保護規程」および日本医師会の「診療情報の提供に関する指針」に基づいて対応するものとする。
5 会の「個人情報保護規程」に記載の無い事項及び関係条文については、通則ガイドライン「個人情報の保護に関する法律についてのガイドライン」に準ずるものとする。
第11条(開示の拒否)
開示することにより以下の何れかに該当すると判断される場合は,その全部または一部を開示しないことができる.
(1)本人等または第三者の生命,身体,財産,その他の権利・利益を害するおそれがある場合
(2)会の業務の適正な実施に著しい支障を及ぼすおそれがある場合
(3)開示することが他の法令に違反する場合第12条(情報提供の拒否権)
会が保有する個人情報に関して,本人等から個人情報についての利用または第三者への提供を拒まれた場合は,これに応じなければならない.ただし裁判所および令状に基づく権限の行使による開示請求等など法令で定められている義務を履行する場合はこの限りではない.
第13条(個人情報管理)
第7章 管理組織・体制
個人情報管理責任者(CIO)
個人情報保護監査機関
個人情報の管理に関する組織体制を以下に図示する.
理事長
個人情報管理担当者各所属長
医療安全委員会
個人情報取扱者従業者
第8章 廃棄
第14条 必要な保存期間経過後に個人情報を破棄する場合は,確実に復元不可能となるよう,適切な手段で行うものとする.
第9章 罰則
第15条 理事長は本規程に違反した職員等に対し,就業規程に基づいた懲戒を行うことがある.
第10章 規程の改廃
第16条 この規程の改廃は個人情報管理責任者の意見を聞き,理事長が施行を指示する.
x x
第11章 医療情報システム運用管理
第17条(用語の定義)
医療情報システムとは電子カルテ及びその周辺機器をいう.第18条(基本原則)
医療情報システムへのコンピュータウィルスの侵入,外部からの不正アクセス等に対し必要な対策を講ずる.具体的には,USB ポート及びDVD ドライブ等が認識出来ない状態に設定している.
2 個人情報管理責任者が必要と認めたパソコン及びプリンタへのUSB 接続は,個人情報管理担当者の許可を得る.
3 医療情報システムと外部システムとのデータの連携に関しては,個人情報管理責任者の承認を得る.
第19条(利用者の遵守事項)
医療情報システムを使用する際は,必ず自己のID 及びパスワードで行う.
2 利用者に係るID 及びパスワードの適正な管理及び漏えいを防止する為,パスワードは90日以内に一度変更する.
3 各部署に配置されたアクセス対策を講じられたパソコンや周辺機器へは,USB 端末の接続やソフトウェアのインストールを行ってはならない.
4 医療情報システムから個人を特定できる情報を取り出す必要があるときは,恵生会個人情報保護規程に則り適正に行う.
5 医療情報システムは,必要時以外の使用や持ち出しを禁ずる.
6 医療情報システムの改ざんを厳に禁ずる.第20条(補足事項)
上記事象以外が生じた場合は,個人情報管理責任者の指示で検討する.
平成23 年4 月1 日施行
平成25 年7 月1 日改正
平成29 年5 月30 日改正