Contract
医 療 法 人 団 x x 会個 人 情 報 保 護 規 定
第1章 x x
(目的)
第 1 条 この規定は、医療法人社団xx会(以下、法人と記載)の定める個人情報保護方針に基づいて、法人が保有する個人情報を適切に管理し、保護する事を目的とする。
法人職員はこの規定に従って個人情報を保護する事を義務とする。
(本規定の対象)
第 2 条 この規定は、法人が保有する個人情報の全てを対象とする。
(定義)
第 3 条 この規定において、次の各項に掲げる用語の意義は当該各項に定めるところによる。
1 個人情報
生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)をいう。 個人情報を次に例示する。診療録、処方箋、看護計画及び記録、検査所見記録、エックス線写真、紹介状、診療要約及び看護要約などの情報提供に関わる記録、調剤録等の診療記録。検査等の目的で、患者から採取された血液等の検体の情報。介護サービス提供にかかる計画、提供したサービス内容等の記録。外来診療及び入院に際して取り交わす同意文書及び契約に関わる文書等。職員(常勤・非常勤・ボランティアを含む)に関する情報(採用時の履歴書・身上書、身分証明を行う為の撮影画像及び、法人広報に資する画像データ、職員検診記録等)。
ただし、医療においては死者の情報も個人情報保護の対象とすることが求められており、法人では個人情報と同様に取り扱う。
2 個人情報データベース
特定の個人情報を一定の規則(例えば、五十xx、生年月日順など)に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付 し、他人によっても容易に検索可能な状態においているものをいう。紙媒体、電子媒体の如何を問わない。
3 個人データ
「個人情報データベース等」を構成する個人情報をいう。検査結果については、診療録等と同様に検索可能な状態として保存されることから、個人データに該当する。診療録等の診療記録や介護関係記録、法人運用に必要とされる職員台帳については、媒体の如何にかかわらず個人データに該当する。
4 保有個人データ
個人データのうち、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有するものをいう。ただし、①その存否が明らかになることにより、公益その他の利益が害されるもの、② 6ヶ月以内に消去する(更新することは除く)ものは除く。
5 個人情報管理責任者
個人情報保護計画の策定、実施、評価、改善等の個人情報保護のための業務について、統括的責任と権限を有する者をいう。
6 個人情報取扱担当者
個人情報のコンピュータへの入力・出力、台帳・申込書等の個人情報を記載した帳票・帳表を保管・管理等する担当者をいう。
7 個人情報保護監査員
法人代表者から選任され、個人情報管理責任者から独立したxxかつ客観的な立場にあり、監査の実施及び報告を行う権限を有する者をいう。
8 預託
法人以外の者にデータ処理等の委託のために法人が保有する個人情報を預けること。
第 2 章 個人情報の収集
(収集の原則)第 4 条
1 個人情報の収集は、収集目的(第 7 条に記載)を明確に定め、その目的の達成に必要な限度において行わなければならない。
2 新しい目的で個人情報を収集するときは、担当者(第 8 条 7 )により個人情報管理責任者に届け出なければならない。
3 前項の届け出を受けた個人情報管理責任者は、速やかに法人の代表者の承諾を得なければならない。承諾後、新しい目的での個人情報の収集が可能となる。
(収集方法の制限)第 5 条
1 個人情報の収集は、適法、かつxxな手段(第 8 条に記載)によって行わなければならない。
2 新しい方法又は間接的に個人情報を収集するときは、担当者は個人情報管理責任者に届け出なければならない。
3 前項の届け出を受けた個人情報管理責任者は、速やかに法人の代表者の承諾を得なければならない。承諾後新しい目的での個人情報の収集が可能となる。
(特定個人情報の収集の禁止)
第 6 条 次に示す内容を含む個人情報の収集、利用又は提供を行ってはならない。
1 門地、本籍地(所在都道府県に関する情報を除く)、犯罪歴、その他社会的差別の原因となる事項
2 思想、信条及び宗教に関する事項
3 上記 1 、及び 2 は疾病と関連する場合に限定し利用、収集できる
4 集団示威行為への参加、請願権の行使及びその他の政治的権利の行使に関する事項
(個人情報を収集する目的)
第 7 条 患者・利用者・関係者から個人情報を取得する目的は、患者・利用者・関係者に対する医療・介護の提供、医療保険事務、入退院等の病棟管理等、法人運営に必要な事項などで利用することである。また、職員についての個人情報収集の目的は雇用管理のためである。なお、通常の業務で想定される個人情報の利用目的(別表)はインターネットホームページ、ポスターの掲示、パンフレットの配布、説明会の実施等にて広報する。
(個人情報を収集する方法)
第 8 条 患者・利用者・関係者から個人情報を取得する方法は以下の通りである。
1 本人の申告および提供
2 直接の問診または面談
3 患者家族、知人、目撃者、救急隊員、関係者等からの提供
4 他の医療機関、介護施設等からの紹介状等による提供
5 15歳未満の方の個人情報については、診療に関して必要な事項以外は原則として保護者等から提供をうける。
6 その他の場合は、本人、もしくは家族の(意識不明、認知症等で判断できない時)同意をえて収集する。
7 本規定により制限される個人情報および、新たに個人情報を収集し利用する場合、担当者は「個人情報収集・目的範囲外利用同意書」により当事者の同意を取り、個人情報管理責任者に申し出なければならない。なお、この収集利用については法人の代表者の承諾をもって許可とし実施されなければならない。
8 診療及び入院に際し、個人情報の提供に対して同意できない旨の申し入れがあった場合は、十分な説明と理解により別に作成する様式『個人情報に係る条件付き同意書』により同意を得、良質な医療・介護の提供を行う。
第 3 章 個人情報の利用
(利用範囲の制限)
第 9 条 個人情報の利用は、原則として収集目的の範囲内で、具体的な業務に応じ権限を付与された者が、業務の遂行上必要な限りにおいて行う。
1 個人情報管理責任者の承諾を得ないで、個人情報の目的外利用、第三者への提供・預 託、通常の利用場所からの持ち出し、外部への送信等の個人情報の漏えい行為をしてはならない。
2 法人職員、派遣職員、委託外注業者および関係者は、業務上知り得た個人情報の内容をみだりに第三者に知らせ、又は不当な目的に使用してはならない。その業務に係る職を退いた後も同様とする。
(利用目的の範囲)
第10条 個人情報は、通常の業務で想定される個人情報の利用目的(別表)および、通常の業務以外として次の 1 から 7 について使用する。
1 患者・利用者・関係者が同意した医療および介護に関わる業務に係る場合
2 患者・利用者・関係者の日常生活の向上に必要であり、当事者の同意が得られた場合
3 患者・利用者・関係者が当事者である契約の準備又は履行のために必要な場合
4 法人が従うべき法的義務の履行のために必要な場合
5 患者・利用者・関係者の生命、健康、財産等の重大な利益を保護するために必要な場合
6 裁判所および令状に基づく権限の行使による開示請求等があった場合
7 法人職員においては法人が法人運営に必要と判断した広報活動に使用する場合
8 震災・火災等の災害に被災した後の安否確認等を目的とした場合
(目的範囲外利用の措置)
第11条 収集目的の範囲を超えて個人情報の利用を行う場合は、患者・利用者・関係者本人の同意を必要とする。
1 法人が、本規定に定める収集目的を超えて個人情報を利用する場合は、担当者はその都度「個人情報収集・目的範囲外利用同意書」を作成し、患者、利用者、関係者の同意を得ることにより利用することができる。
2 1 により収集、形成、使用した個人情報は、利用目的を終えた時点で速やかに廃棄するものとし、その方法は本規定第32条によるものとする。
(個人情報の入出力、保管等)
第12条 個人情報の診療情報システム(レセコンを含む)への入力・出力、およびそれらの保管等は「xx会情報管理委員会」の定める「診療情報システム運用管理規定」に準じ、診療情報、台帳・申込書等の個人情報を記載した帳票類の保管・管理等は、施錠管理、入室の制限等の合理的な安全管理対策を行う。
第 4 章 個人情報の適正管理
(個人情報の正確性の確保)第13条
1 個人情報管理責任者は、個人情報を利用目的に応じ必要な範囲内において、正確かつ最新の状態でなければならない。
2 患者・利用者・関係者から、当該情報の訂正、追加、削除、利用停止等の希望を受けた場合は、各部署責任者または「個人情報保護相談窓口」及び「患者相談窓口」が窓口となり、個人情報管理責任者はすみやかに処理しなければならない。
(個人情報の安全性の確保)
第14条 個人情報管理責任者は、法人の保有する個人情報への不当なアクセス又は個人情報の紛失、破壊、改ざん、漏えい等の危険に対してつぎの事項に留意し、常に策定、実施、普及、評価、改善をしなければならない。
1 個人情報保護に関する法律および、本規定の遵守に関する誓約書
2 法人の定める利用目的(別表)に関する同意書
3 関係者への啓蒙を目的とするための研修・監査等の計画書
4 法人の保有する個人情報に関わるセキュリティ対策
(個人情報の委託処理等に関する措置)第15条
1 情報処理や作業を第三者に委託するために、個人情報を第三者に預託する場合においては、委託担当者は事前に個人情報管理責任者に届け出なければならない。
2 第三者より個人情報の預託を受ける場合においては第三者の定める管理計画を考慮して法人規定に従うものとする。
3 個人情報管理責任者は、以下の各号の措置を講じ、法人の代表者の承諾を得てから基本契約を締結しなければならない。基本契約締結後に個別契約を締結し、当該個人情報の預託は個別契約締結後にしなければならない。
(1) 個人情報の預託先について預託先責任者との面接、必要に応じて預託先の情報処理施設の状況を視察あるいは把握し、個人情報保護及びセキュリティ管理が法人の基準に合致することを確認すること。再委託に関しては、同様の取扱いをするか、あるいは、委託先の責任で同様の取扱いを保証することが必要である。
(2) 次の事項を入れた基本契約書案を作成すること。
① 守秘義務の存在、取り扱うことのできる者の範囲に関する事項。
② 預託先における個人情報の秘密保持方法、管理方法ついての事項。
③ 預託先の個人情報の取扱担当者に対する個人情報保護のための教育・訓練に関する事項。
④ 契約終了時の個人情報の返却及び消去に関する事項。
⑤ 個人情報が漏えい、その他事故の場合の措置、責任分担についての事項。
⑥ 再委託に関する事項。
⑦ 法人からの監査の受け入れについての事項。
4 個別契約に基づき個人情報を預託先に提供するときは、担当者は前項③の事項を記した書面を預託先に交付して、注意を促さなければならない。
5 委託中、担当者は、預託先が当社との契約を遵守しているかどうかを確認し、万一、契約に抵触する事項を発見したときは、その旨を個人情報管理責任者に通知しなければならない。
6 前項の通知を受けた個人情報管理責任者は、直ちに法人の代表者と協議して個人情報の預託先に対して必要な措置を講じなければならない。
7 個人情報管理責任者は、年に一度以上、個人情報の預託先責任者と面接し、必要に応じて預託先の情報処理を把握あるいは視察し、監査しなければならない。
8 個人情報管理責任者は、本条に基づき作成された基本契約、個別契約、監査報告書、通知書等の文書(電磁的記録を含む)を当該個人情報の預託先との個別契約終了後 7 年間保存しなければならない。
(個人情報の第三者への提供)第16条
1 個人情報の第三者への提供は本人の同意がない場合は禁止する。例外として、以下の場合には第三者に提供することがある。
(1) 令状等により要求された場合(届出、通知)
(2) 公衆衛生、児童の健全育成に特に必要な場合(疫学調査等)
(3) 人の生命、身体又は財産の保護に必要な場合
2 第三者への提供は、原則として個人情報管理責任者の承諾を得て、必要な措置を講じた後でなければならない。
3 前記の通知あるいは報告を受けた個人情報管理責任者は、速やかにその是非を検討しなければならない。
(個人情報の共同利用)第17条
1 個人情報を第三者との間で共同利用する場合、本人の同意をえた後、担当者は個人報管理責任者に届け出なければならない。
2 前項の通知を受けた個人情報管理責任者は、直ちにその是非を検討し、法人の代表者の承諾を得なければならない。
第 5 章 自己情報に関する情報主体からの諸請求に対する対応
(自己情報に関する権利)
第18条 法人が保有している個人情報について、患者・利用者から説明、開示を求められた場 合、診療の現場における診療内容に関する事項は、主治医は遅滞なく法人が保有している患者・利用者の診療に関する個人情報を、希望する方法で説明、開示しなければならない。開示に関する詳細はそれぞれ「診療情報の提示及び開示に関する規定」に定め る。
1 家族あるいは第三者への個人情報の提供は、あらかじめ、本人に対象者を確認し、同意を得る。一方、意識不明の患者や認知症などで合理的判断ができない場合は、本人の同意を得ずに家族等に提供する場合もある。この場合、本人の家族等であることを確認した上で、本人の意識が回復した際には、速やかに、提供及び取得した個人情報の内容とその相手について本人に説明する。
2 開示した結果、誤った情報があった場合で、訂正、追加又は削除を求められたときは、主治医、個人情報管理責任者は、遅滞なくその請求が妥当であるかを判断し、妥当であると判断した場合には、訂正等を行い、遅滞なく患者・利用者に対してその内容を通知しなければならない。訂正しない場合は、遅滞なく患者・利用者に対してその理由を通知しなければならない。
3 死者の情報は、患者・利用者本人の生前の意思、名誉等を十分に尊重しつつ「診療情報の提示及び開示に関する規定」に則って、遺族に対して診療情報・介護関係の記録の提供を行なう。
(自己情報の利用又は提供の拒否権)
第19条 法人が保有している個人情報について、患者・利用者から自己情報についての利用又 は第三者への提供を拒まれた場合、これに応じなければならない。ただし、裁判所および令状に基づく権限の行使による開示請求等又は当院が法令に定められている義務を履行するために必要な場合についてはこの限りでない。
第 6 章 管理組織・体制
(個人情報管理責任者)
第20条 個人情報管理責任者は、個人情報の保護についての統括的責任と権限を有する責任者であって、別に定める業務を行わなければならない。
1 個人情報管理責任者は、各部に 1 名以上の個人情報管理担当者を選任し、自己に代わり必要な個人情報保護についての業務を行わせ、これを管理・監督しなければならない。
2 個人情報管理担当者は部に所属する者のなかから、個人情報取扱担当者を選任しなければならない。
3 個人情報管理担当者は、基本的には各部の責任者とする。ただし、情報管理システムにおける適正等により、個人情報管理責任者が任命する場合はこの限りではない。
(個人情報保護監査責任者)
第21条 個人情報保護監査責任者は、個人情報管理責任者から独立したxxかつ客観的な立場 にあり、監査の実施及び報告を行う権限を有し、法人の代表者が選任する。ただし、法人以外の第三者に監査業務を委託することを妨げない。また、個人情報保護監査責任者は年 1 回監査を実施し、監査結果を理事長に報告しなければならない。
(情報管理委員会の設置)
第22条 個人情報管理責任者は、法人の保有する個人情報の管理および安全な運用の確保を目的として、情報管理委員会を設置する。情報管理委員会は、各部門から選抜された委員およびシステムマネージャーにより構成され、個人情報の適切な取扱いの確保に関する支援と監視を行う。
(個人情報保護苦情・相談窓口の設置)
第23条 個人情報管理責任者は、患者、利用者、関係者等が個人情報および、個人情報保護体 制・計画に関しての苦情・相談を支障なく申し入れられる窓口を設置し、その窓口の設置場所連絡方法等を患者、利用者、関係者等に告知しなければならない。また、個人情報管理者は、患者、利用者、関係者等による申し入れに対し速やかに対処するための組織図を作成しなければならない。
第 7 章 個人情報管理責任者の職務
(個人情報の特定とリスク調査)第24条
1 個人情報管理責任者は、法人が保有するすべての個人情報を特定し、危機を調査・分析するための手順・方法を確立し、維持しなければならない。
2 個人情報管理責任者は、各部ごとに前項の手順に従って各部における個人情報を特定 し、個人情報に関する危険要因(個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏えい等)を調査・分析の上、適切な保護措置を講じない場合の影響を認識し、必要な対策を策定し、維持しなければならない。
(法令及びその他の法規範)
第25条 個人情報管理責任者は、個人情報に関する法令及びその他の法規範を特定し、参照できる手順を確立し、維持しなければならない。
(個人情報保護計画の策定)
第26条 個人情報管理責任者は、個人情報管理担当者の協力を得て個人情報を保護するために必要な個人情報保護計画を年 1 回立案して文書化し、かつ実施、評価、改善を行う。また、個人情報保護計画には次の事項を入れなければならない。
1 個人情報の特定と危機対策
(1) 個人情報を記録したシステム、媒体の特定
(2) 情報管理に対する危機の識別
(3) 危機への対応策の策定、実施、評価、改善
2 個人情報保護のための責任者、管理担当者、担当者の業務と業務方法
(1) 個人情報管理責任者(情報管理委員会の委員長を兼務)
(2) 個人情報管理担当者(基本的には各部門の部門長)
(3) 個人情報取扱担当者(各部門ごとに選出する。)
(4) 個人情報保護苦情及び相談窓口の設置
(5) 個人情報保護監査責任者
3 研修実施計画
(1) 情報管理担当者等に対する知識・技術の向上を図るための年 1 回以上の研修(外部研修への参加を含む)
(2) 一般職員に対する年 1 回以上の研修
(3) 取引業者等に対する年 1 回以上の研修
(本規定等の見直し)
第27条 個人情報管理責任者は、監査報告書及びその他の経営環境等に照らして、適切な個人 情報の保護を維持するために、少なくとも年 1 回本規定及び本規定に基づく個人情報保護計画を見直し、法人の代表者の承認を得なければならない。
(文書の管理)
第28条 個人情報管理責任者は、この規定に基づき作成される文書(電磁的記録を含む)を管理しなければならない。
(研修実施)
第29条 個人情報管理責任者は、法人職員その他個人情報の預託先等の関係者に対して、個人情報保護計画に基づき次のような研修を行い、評価しなければならない。
(1) 個人情報保護法の内容
(2) 個人情報保護方針、本規定の内容
(3) 個人情報保護計画の内容と役割分担
(4) セキュリティ教育
2 個人情報管理責任者は、個人情報管理担当者に対して下記の如く研修を行い、評価しなければならない。
(1) 個人情報保護法の内容
(2) 個人情報保護方針、本規定の内容と個人情報管理担当者の役割
(3) 個人情報保護計画の内容と個人情報管理担当者の役割
(4) セキュリティ管理教育
(5) 個人情報の預託先の調査と監査
(6) 個人情報の漏えい事故等が発生した場合の対応
3 個人情報管理責任者は、第 1 項、前項の研修を効果的に行い、個人情報の重要性を自覚させる手順・方法を確立し維持しなければならない。
(事故発生時の報告)
第30条 個人情報管理責任者及び取扱担当者は、保有個人情報の漏えい等の事故が発生した場 合、または発生の可能性が高いと判断される場合、あるいは、個人情報の取扱いに関する規定等に違反する事実が生じた場合、速やかにその旨を理事長に報告しなければならない。
2 委託事業者による個人情報漏えい、紛失・盗難、滅失、棄損等の事故発生の報告があった場合は、個人情報取扱担当者は、漏えい、紛失・盗難、滅失、棄損した個人情報の項目、内容、数量、事故の発生場所及び発生状況を、速やかに個人情報管理責任者に報告しなければならない。
3 個人情報管理責任者は、前 2 項の漏えい等の問題が発生した場合、速やかに事実関係を調査して報告書をもって日の出ヶ丘病院医療安全管理委員会に報告し、二次被害の防 止、類似事案の発生等の回避に努めなければならない。
病院の社会的信用を損なう危険が見込まれる場合は、xxx福祉保健局医療安全課、介護保険病棟(事業)において発生した事案については患者住所のある行政区介護保険課に速やかに報告しなければならない。
第 8 章 監 査
(監査の実施)
第31条 個人情報保護監査責任者は、本規定及び個人情報保護計画が、個人情報保護法の趣旨に合致しているか、また、その運用状況を監査しなければならない。
2 個人情報保護監査責任者は、監査を指揮し、監査報告書を作成し、法人の代表者に報告しなければならない。
3 個人情報管理責任者は、監査報告書を管理し、保管しなければならない。監査の運用に関しては別に定める。
第 9 章 廃 棄
(個人情報の廃棄)
第32条 個人情報を廃棄する場合は、匿名化もしくは、見読のできない状態にして適切な廃棄物処理業者に廃棄を委託するか、医療廃棄物と併せて溶融処理を施す。
2 個人情報を記録したコンピュータを廃棄するときは、記憶媒体を物理的に破壊する。
3 個人情報を記録したメモリーカード類、メモリースティック等を他に転用するときは、個人情報管理責任者の許可により、情報監理委員が個人情報を消去してから転用する。
4 研修医、実習生等の雇用管理に利用した個人情報についても同様の処理をする。
5 個人情報の廃棄作業は法人の代表者の指示により、個人情報管理責任者の許可により、情報管理委員が行う。
6 廃棄の基準について、患者・利用者・関係者等に告知しなければならない。第10章 罰 則
(罰則)
第33条 当法人は、本規定の遵守を就業規則第12条に定め、違反した職員に対し就業規則第43条および第44条に基づき懲戒を行うことがある。尚、懲戒の手続きは就業規則による。
第11章 規定の改廃
(規定の改廃)
第34条 この規定の改廃は、個人情報管理責任者の意見を聞き、管理会議構成員の過半数の賛成で議決し法人の代表者が施行を指示する。
平成17年 | 03月 | 01日 | 作成 |
平成18年 | 01月 | 17日 | 更新 |
平成19年 | 05月 | 01日 | 更新 |
平成22年 | 04月 | 01日 | 更新 |
平成23年 | 11月 | 15日 | 改定 |
本規定の第 3 条の 1 に画像データについての一部を加え、第10条に 7 を加えて施行する。平成24年 04月 01日 改定
平成25年 02月 14日 改定
本規定の第10条に 8 を加える。