個人情報保護方針

第1章 総則(目的)

第1条

(目的)

本規程は、個人情報の保護に関する法律(以下「個人情報保護法」という。)、医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス、診療情報の提供等に関する指針等に従い、医療法人社団さくら会世田谷中央病院が取得、利用、保有する個人情報に関する取扱いについて必要な事項を定め、その適切な運用を図ることを目的とする。

(定義)

第2条 次の各号に掲げる用語の定義は、以下のとおりであり、個人情報保護法と同義とする。

(1)個人情報

ア 生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)。

イ 個人識別符号が含まれるもの。

(2)要配慮個人情報

病歴、健康診断等の結果、本人の人種、信条、社会的身分、犯罪の経歴その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報

(3)個人情報データベース等

特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した個人情報を含む情報の集合物。また、コンピュータを用いていない場合であっても、紙面で処理した個人情報を一定の規則(例えば、五十音順等)に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態においているもの。

(4)個人データ

「個人情報データベース等」を構成する個人情報

(5)保有個人データ

個人情報取扱事業者が、本人から請求される開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止等の全てに応じることができる権限を有する個人データをいう。

第2章 個人情報の取得・利用

(利用目的の特定)

第3条 患者等の個人情報は、当院における通常業務の遂行のために利用するものとし(別紙1)、従業者の個人情報は労務管理のために利用するものとする。

(利用目的による制限)

第4条 あらかじめ本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。

2 前項の規定は、次に掲げる場合については適用しない。

(1)法令に基づく場合

(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

(4)国の機関若しくは地方公共団体又はその委託を受けた者が訪れの定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

(利用目的の公表等)

第5条 個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を本人に通知し、又は公表しなければならない。

2 利用目的を変更した場合は、変更された利用目的について本人に通知し、又は公表しなければならない。

3 前二項の規定は、次に掲げる場合には適用しない。

(1)利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

(2)利用目的を本人に通知し、又は公表することにより当院の権利又は正当な利益を害するおそれがある場合

(3)国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。

(4)取得の状況からみて利用目的が明らかであると認められる場合

(適正な取得)

第6条 偽りその他不正の手段により個人情報を取得してはならない。

2 要配慮個人情報を取得する場合は、あらかじめ本人の同意を得ることを原則とする。

(正確性の確保等)

第7条 個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、遅滞なく消去するよう努めなければならない。

(匿名化)

第8条 個人情報を取扱う場合は、その利用目的を達しうる範囲内で、可能な限り匿名化しなければならない。

第3章 個人データの安全管理措置

(個人情報管理責任者)

第9条 個人情報管理責任者は、個人情報保護計画の策定、実施、評価、改善等の個人情報保護のための業務について、統括的責任と権限を有する。

2 個人情報管理責任者は、事務長をもって充てるものとする。

(個人情報保護管理委員会)

第10条 個人情報保護の推進を図るため、個人情報保護管理委員会を設置する。

2 個人情報保護管理委員会は、個人データの安全措置等について定期的に自己評価を行い、必要な改善や見直しを行うものとする。

3 個人情報保護管理委員会については、別に定める。

(物理的安全措置)

第11条 個人データの盗難・紛失、不正操作等を防止するため、以下のような物理的安全管理措置を行う。

(1)院外への持ち出し禁止

(2)盗難等に対する予防対策の実施

(3)機器及び装置等の固定等

(4)個人データを取り扱う端末の接続の制限

2 個人データを院外に持ち出すやむを得ない状況が生じた場合は、事前に管理職及び個人情報保護管理者の許可を得なければならず、個人情報保護管理者は、個人データの院外への持ち出し及び返却に関して、日時、利用者、利用目的等を記録し、5年間保存するものとする。

(技術的安全措置)

第12条 個人データの盗難・紛失等を防止するため、個人データを取り扱う情報システムについて以下のような技術的安全管理措置を行う。

(1)個人データに対するアクセス管理

(2)個人データに対するアクセス記録の保存

(3)不正アクセス・不正ソフトウェアへの対策

(情報システムの安全管理)

第13条 診療録等の電子媒体による保存システムを含めた医療に関わる情報を扱う全ての情報システムの導入及びそれに伴う診療録等の外部保存を行う場合には、「医療情報システムの安全管理に関するガイドライン」により、その取り扱いについて確認し、実施すること

2 個人情報の医療情報システムへの入力・出力、スキャナーでの書類の取り込み及びそれらの管理等については、「情報システム運用管理規程」に定める。

(個人データの保存)

第14条 長期にわたり個人データを保存する場合には、保存媒体の劣化防止など個人データが消失しないよう適切に保存すること。

(廃棄・消去)

第15条 不要となった個人データを廃棄・消去する場合には、記憶装置内の個人データは復元不可能な形にして廃棄・消去し、紙媒体記録の個人データは裁断又は溶解処理等により復元不可能な形にして廃棄するものとする。

(従業者の監督)

第16条 当院は、個人データの安全管理が図られるよう、従業者に対する必要かつ適切な監督を行わなければならない。

2 当院は、従業者に対し、個人情報保護の規程を周知徹底し、研修、教育、訓練等を実施する。

3 従業者は、雇用等契約時に、個人情報を含めた秘密保持契約を締結し、契約書の提出しなければならない。

4 従業者とは、当院の業務に従事する者で、常勤職員、非常勤職員、理事等の役員、派遣職員、実習生等をいう。

(受託者の監督)

第17条 第三者に個人データの取扱いの全部又は一部を委託する場合は、当該個人データの安全管理が図られるよう、受託者に対する必要かつ適切な監督を行わなければならない。

2 委託契約時に、受託者との間で次の事項等を明確化しなければならない。

(1)個人データの安全管理に関する事項

(2)受託者が委託を受けた業務の一部を再委託するにあたり、再委託を受ける事業者の個人データの安全管理に関する事項の確認方法と報告方法

(3)個人データの取扱い状況に関する委託者への報告の内容及び頻度

(4)委託契約の内容、期間が遵守されていることの確認

(5)委託契約の内容、期間が遵守されなかった場合の措置

(6)個人データの漏えい等の事故が発生した場合の報告・連絡に関する事項

(7)個人データの漏えい等の事故が発生した場合における委託元と委託先の責任の範囲

(第三者提供の制限)

第18条 あらかじめ本人の同意を得ないで、個人情報を第三者に提供してはならない。ただし、医療の提供のために通常必要な範囲の利用目的について、公表等によりあらかじめ包括的な同意を得る場合は、本人から明示的に留保の意思表示がなければ、本人の黙示による同意があったものとする。

2 前項の規定は、次に掲げる場合には適用しない。

(1)法令に基づく場合

(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき

(4)国の機関若しくは地方公共団体又はその委託を受けた者が訪れの定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

第4章 保有個人データの開示等

(保有個人データの開示)

第19条 保有個人データの開示(保有個人データが存在しない時にその旨を知らせることを含む。以下同じ。)を本人から求められたときは、遅滞なく、当該保有個人データを開示しなければならない。

2 本人は、保有個人データの開示について、書面にて請求することができるものとし、本人確認書類等の当院の指定する書類を併せて提出しなければならない。

3 本人から保有個人データの開示を求められた場合には、院内で協議のうえ、開示請求に応じるか否かを決定し、本人に回答するものとする。

4 開示の可否につき決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならず、全部又は一部について開示しない旨の通知をする場合は、その理由を説明するよう努めなければならない。

(開示の拒否)

第20条 本人からの開示請求が、以下のいずれかの事由に該当すると判断された場合には、開示の全部又は一部を拒むことができる。

(1)本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

(2)当院の業務の適正な実施に著しい支障を及ぼすおそれがある場合

(3)開示することが法令に違反することになる場合

(死者の情報の開示)

第21条 死亡した患者の保有個人データにつき、その遺族から開示請求がなされた場合については、患者の生前の意思、名誉等を十分に尊重しつつ、「診療情報の提供等に関する指針(厚生労働省医政局長通知)」に従い開示の有無を決定するものとする。

2 前項の遺族の範囲は、患者の配偶者、子、父母及びこれに準ずる者とする。

(手数料)

第22条 保有個人データの開示を求められたときは、当該措置の実施に関し、手数料を徴収することができる。

2 手数料は、実費を勘案して合理的と認められる範囲内においてを徴収することができる(別紙2)。

(保有個人データの訂正等)

第23条 保有個人データの内容が事実でないとういう理由によって、当該保有個人データの内容の訂正、追加又は削除(以下「訂正等」という。)を本人から求められたときは、内容の訂正等に関して他の法令の規定により特別の手続きが定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、保有個人データの訂正等を行わなければならない。なお、「削除」とは、不要な情報を除くことをいう。

2 本人は、保有個人データに事実でない内容を発見した場合には、保有個人データの訂正等について、書面にて請求することができるものとし、その際、本人確認書類等の当院の指定する書類を併せて提出しなければならない。

3 本人から保有個人データの訂正等を求められた場合には、院内で協議のうえ、訂正等の請求に応じるか否かを決定し、本人に回答するものとする。

4 保有個人データの全部若しくは一部について訂正等を行ったとき又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知しなければならず、全部又は一部について訂正等を行わない旨の通知をする場合は、その理由を説明するよう努めなければならない。

(訂正等の拒否)

第24条 本人からの訂正等の請求が、以下のいずれかの事由に該当すると判断された場合には、訂正等の全部又は一部を拒むことができる。

(1)当該情報の利用目的からみて訂正等が必要でない場合

(2)当該情報に誤りがあるとの指摘が正しくない場合

(3)訂正等の対象が事実でなく評価に関する情報である場合

(4)対象となる情報について当院には訂正等の権限がない場合

(訂正等の方法)

第25条 訂正等を行う場合は、訂正前の記載が残るよう訂正等を行い、訂正した者、訂正日時、訂正事由等を付記しておくものとする。なお、訂正等の請求に応じなかった場合においても、請求があった事実を付記しておくものとする。

(保有個人データの利用停止等)

第26条 保有個人データが、利用目的の制限に違反して取り扱われているという理由又は不正な手段によって取得されたものである理由によって、当該保有個人データの利用の停止又は消去(以下「利用停止等」という。)を求められた場合であって、その求めに理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用を停止等しなければならない。なお、「消去」とは、保有個人データを保有個人データとして使えなくすることをいい、当該データを削除することのほか、当該データから特定の個人を識別できないようにすることを含む。

2 本人は、保有個人データの利用停止等について、書面にて請求することができるものとし、本人確認書類等の当院の指定する書類を併せて提出しなければならない。

3 本人から保有個人データの利用停止等を求められた場合には、院内で協議のうえ、開示請求に応じるか否かを決定し、本人に回答するものとする。

4 保有個人データの全部若しくは一部について利用停止等を行ったとき又は利用停止等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならず、全部又は一部について利用停止等を行わない旨を通知する場合は、その理由を説明するよう努めなければならない。

(保有個人データの第三者への提供の停止)

第27条 保有個人データが、第三者への提供に違反して第三者に提供されているという理由によって、当該保有個人データの第三者提供の停止を求められた場合であって、その求めに理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。

2 本人は、保有個人データの第三者提供の停止について、書面にて請求することができるものとし、本人確認書類等の当院の指定する書類を併せて提出しなければならない。

3 本人から保有個人データの第三者提供の停止を求められた場合には、院内で協議のうえ、開示請求に応じるか否かを決定し、本人に回答するものとする。

4 保有個人データの全部若しくは一部について第三者提供を停止したとき又は利用停止等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならず、全部又は一部について利用停止等を行わない旨を通知する場合は、その理由を説明するよう努めなければならない。

(訂正等の拒否)

第28条 本人からの前2条の請求が、以下のいずれかの事由に該当すると判断された場合には、利用停止等及び第三者への提供の停止を拒むことができる。

(1)多額の費用を要する場合など利用停止等及び第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとる場合

(2)手続き違反等の指摘が正しくない場合

(開示等請求者)

第29条 第19条、第23条、第26条又は第27条に規定された請求ができる者については、原則として本人とするが、次に掲げる者も請求することができるものとする。

(1)法定代理人

(2)本人が委任した代理人

第5章 苦情・相談への対応

(苦情・相談窓口)

第30条 個人情報の取り扱い等に関する患者等からの苦情・相談窓口を設置する。

2 苦情・相談窓口は、個人情報の取り扱いに関する苦情の適切かつ迅速な処理に努めなければならず、適切かつ迅速な対応を行うにあたり、院内掲示やホームページへの掲載等により患者等に対して、苦情・相談窓口の周知を図るものとする。

3 苦情・相談窓口は、患者の意向を聞きつつ必要に応じて医師会又は行政の相談窓口を紹介することとする。

(漏洩等の対応)

第31条 個人情報の漏洩等の問題が発生した場合、二次的被害の防止、類似事案の発生回避等の観点から、個人情報の保護に配慮しつつ速やかに委員会で対応検討を行い、個人情報の漏洩等があった本人への連絡及び可能な限り事実関係を公表するとともに、行政等に速やかに報告するものとする。

第6章 その他

(罰則)

第32条 本規程に違反した職員に対しては、就業規則に基づき懲戒を行うことがある。

(規程の改廃)

第33条 この規程の改廃は、個人情報保護管理委員会過半数の賛成で議決する。

附則 本規程は2022年4月1日より実施する。