採用情報

個人情報保護

個 人 情 報 保 護 規 程

 

第1章 総  則

 

(目的)

第1条 この規程は、医療法人社団高原会(以下「当法人」という)の事業遂行上取り扱う個人情報を適切に保護するために必要な基本的事項を定めたものである。

 

(適用範囲)

第2条 この規程は、当法人の役員及び職員に対して適用する。また、個人情報を取り扱う業務を外部に委託する場合の委託先及び労働者派遣法に基づく派遣労働者に対しても適用する。

 

(用語の定義)

第3条 以下の通り用語を定義する。

    ① 個人情報

      患者・施設利用者(以下、利用者という)及び役職員の個人を特定することができる情報のすべて

      具体的には、次の情報などが該当する。

      a) 利用者に係る診療録等で病状等が表示された一切の書類および記録

      b) 職員等の名簿

      c) 人事考課や職種・肩書きなどの雇用管理情報

      d) 各人の健康情報

      e) 所得材など公租公課に関する情報

      f) 各人の財産に関する情報

      g) 本人の写真など個人で判別できる映像情報

      h) 特定の個人を識別できるメールアドレス情報

      i) その他施設が所有する個人のプライバシーに関する情報

    ② 役員および職員

      当法人で規定する役員を指し、理事長、理事、監事をいう。また、職員は、当法人の業務に従事する者で、正職員のほかパート職員、嘱託職員、派遣職員を含む。

            ③ 開示

                  情報の内容を書面等で示すこと。

 

(守秘義務)

第4条 職員等は、在職中はもとより、退職後においても、施設の収集・保管する個人情報を第三者に開示し、または漏洩してはならない。

  2 役職員が法人を退職する際には、法人の機密情報に該当するデータ類のすべてを退職日までに完全に返却、または破棄し、その旨誓約すること。 
   

 

 

第2章 個人情報保護方針の策定等

 

(個人情報保護方針の策定)

第5条 当法人の理事長(以下「理事長」)は、個人情報の保護・管理に対する姿勢を示し、役員及び職員に周知させるとともに、一般に公開するために個人情報保護方針を策定しなければならない。

    方針に含む基本的事項は以下の内容とする。

   ①個人情報の収集、利用及び提供に関する事項

   ②個人情報への不正アクセス、改ざん、破壊、漏洩及び個人情報の紛失等の防止に関する事項

   ③個人情報に関する法令及びその他の規範の遵守に関する事項

   ④個人情報の保護・管理に係る措置の継続的改善に関する事項

 

 

(個人情報保護方針の周知)

第6条 理事長は、当法人の策定した「個人情報保護方針」を役員及び職員へ周知させる。

 

(個人情報保護方針の公開)

第7条 「個人情報保護方針」の一般への公開は、院内掲示並びに当法人施設ホームページで公開する。

 

(個人情報保護方針の見直し)

第8条 理事長は「個人情報保護方針」を必要に応じ適宜見直さなければならない。

 

第3章 個人情報保護管理体制

 

 (管理体制)

第9条 理事長は個人情報の保護・管理を適切に実施するために、個人情報保護責任者、総括個人情報管理者、各部署個人情報取扱責任者を設置する。

          ①個人情報保護責任者

     個人情報保護責任者は理事長が就任し、当法人の個人情報保護に関する責任者として個人情報保護活動にあたる。

          ②総括個人情報管理者

     総括個人情報管理者は事務長が就任し、個人情報保護責任者を補佐するとともに、各部署の個人情報取扱責任者を指揮する。

    ③各部署個人情報取扱責任者

     各部署における個人情報取扱責任者は各所属長が就任し、各部署で定める内規等に従い、個人情報を適切に運用する。

    ④個人情報保護委員会

     個人情報保護委員会は、理事長及び各部署所属長によって組織するものとし、必要に応じ関係者を招集するものとする。

 

 

第4章 個人情報保護の措置

 

(個人情報の収集)

第10条 個人情報の収集は、当法人が行う事業の範囲内で利用目的を明確に定め、その目的達成に必要な限度においてのみ行わなければならない。

  2 個人情報の収集は、適法かつ公正な手段で行わなければならない。

 

(個人情報の利用及び提供)

第11条 個人情報の利用及び提供は、情報を有する本人が同意を与えた利用目的の範囲内で行うものとする。ただし、生命、身体、財産の保護のために必要な場合、本人の同意を得ることが困難であるとき等法令の定めによる場合は、同意なく利用及び提供することが出来る。

   2 個人情報の利用及び第三者への提供を行う場合は、前項但し書による場合を除き、事前に本人の同意確認を確実に実施しなければならない。

 

(個人情報の適正管理)

第12条 個人情報は利用目的に応じ必要な範囲内において、正確かつ最新の内容に保つよう努めなければならない。

   2 取得した個人情報に関するリスク(個人情報への不正アクセス、改ざん、破壊、漏洩及び個人情報の紛失等)に対して、合理的な安全対策が講じられなければならない。

   3 当法人が業務を委託するために個人情報を外部へ預託する場合、個人情報保護が損なわれることのないよう、適切な措置が取られなければならない。

 

(個人情報の保存期間)

第13条 職員等の個人情報の保存期間は、在籍期間中および退職後3年間とする。採用応募者のうち不採用の者に係る個人情報については、当該採用選考期間とする。

 

(個人情報の消去)

第14条 利用目的が終了した個人情報は、その保存期間が終了し次第直ちに、完全に復元できない状態に破壊した上で廃棄する。

 

 

(個人情報の持出しの禁止)

第15条 職員等は施設の許可なく、個人情報データまたは個人情報データが保存されているハードウェア等を施設外に持ち出してはならない。



(私有デバイスの取扱い)

第16条 私有デバイスとは、職員が私有するスマートフォン、タブレット、PC等モバイル端末をいう。

   2 私有デバイスを利用する職員は事前に個人情報取扱責任者に申請を行い、承諾を得なければならない。

   3 職員は善良な管理者の注意をもって対象機器を管理することとする。
     紛失・盗難等により第三者が個人情報や機密情報を入手できないよう、顔認証、指紋認証、パスワードといった対策を講じる必要がある。   

   4 対象機器利用職員に対して、緊急かつ合理的な理由がある場合、法人は対象機器の調査、聞取り、その他必要な措置を行うことができる。   
 

 

(個人情報に関する情報主体の開示、訂正請求等に関する権利)

第17条 個人情報を有する本人から自己の情報について開示を求められた場合は、合理的な期間内に速やかに対応しなければならない。

   2 開示の結果、誤った情報があり、訂正又は削除を求められた場合は、原則として合理的な期間内に速やかに対応し、当該個人情報の受領者に対して通知を行わなければならない。

 

(教育・訓練の実施)

第18条 個人情報保護責任者は、役員及び職員に対し、教育資料に基づき継続的かつ定期的に教育・訓練を行う。

 

(苦情及び相談)

第19条 個人情報の取扱いに関する苦情等の窓口業務は、事務部門が担当し、必要に応じ総括個人情報管理者(事務長)へ連絡し、適正かつ迅速な処理に努める。

 

(情報漏洩事故発生時の措置)

第20条 情報漏洩事故が起きた際には、当事者及びその所属長は、速やかに「情報漏洩報告シート」を記載し、総括個人情報管理者(事務長)へ報告する。総括個人情報管理者は、速やかに個人情報保護委員会を開き、再発防止対策を検討する。また、個人情報漏洩の事実または漏洩の恐れを把握したときは、直ちに所轄官庁に報告しなければならない。

 

第5章 情報システムの安全確保等

 

(アクセス制御)

第21条 所属長は、保有個人情報(電子カルテ、介護ソフト等情報システムで取り扱うものに限る)の秘匿性等その内容に応じて、パスワード等を設定することとしアクセス制御のために必要な措置を講ずるものとする。

   2 所属長は、前項の措置を講ずる場合には、パスワード等の管理に関する定めを整備(その定期又は随時の見直しを含む)するとともに、パスワード等の読取防止等を行うために必要な措置を講ずるものとする。

   3 職員は、自己の利用する保有個人情報に関して認証機能が設定されている場合、その認証機能の適切な運用を行うものとする。

 

(アクセス記録)

第22条 特定個人情報へのアクセスに際しては、所属長は、アクセス状況を記録し、その記録を一定の期間保存し、定期に又は随時に分析するために必要な措置を講ずるものとする。

   2 所属長は、アクセス記録の改ざん、窃取又は不正な消去の防止のために必要な措置を講ずるものとする。

 

(管理者権限の設定)

第23条 所属長は、保有個人情報の秘匿性等その内容に応じて、情報システムの管理者権限の特権を不正に窃取された際の被害の最小化及び内部からの不正操作等の防止のため、当該特権を最小限とする等の必要な措置を講ずるものとする。

 

(外部からの不正アクセスの防止)

第24条 所属長は、保有個人情報を取り扱う情報システムへの外部からの不正アクセスを防止するため、ファイアウォールの設定によるネットワーク経路制御等の必要な措置を講ずるものとする。

 

(不正プログラムによる漏洩等の防止)

第25条 所属長は、不正プログラムによる保有個人情報の漏洩、滅失又は毀損の防止のため、ソフトウェアに関する公開された脆弱性の解消、把握された不正プログラムの感染防止等に必要な措置(導入したソフトウェアを常に最新の状態に保つことを含む)を講ずるものとする。

 

(情報システムにおける保有個人情報の処理)

第26条 職員は、保有個人情報について、一時的に加工等の処理を行うため複製等を行う場合には、その対象を必要最小限に限り、処理終了後は不要となった情報を速やかに消去するものとする。

   2 所属長は、前項の保有個人情報の秘匿性等その内容に応じて、随時、消去等の実施状況を重点的に確認するものとする。

 

(暗号化)

第27条 所属長は、保有個人情報の秘匿性等その内容に応じて、その暗号化のために必要な措置を講ずるものとする。

   2 職員は、その処理する保有個人情報について、当該保有個人情報の秘匿性等その内容に応じて、適切に暗号化(適切なパスワードの選択、パスワードの漏洩防止の措置等を含む)を行うものとする。

 

(入力情報の照合等)

第28条 職員は、情報システムで取り扱う保有個人情報の重要度に応じて、入力原票と入力内容との照合、処理前後の当該保有個人情報の内容の確認、既存の保有個人情報との照合等を行うものとする。

 

(バックアップ)

第29条 所属長は、保有個人情報の重要度に応じて、バックアップを作成し、分散保管するために必要な措置を講ずるものとする。

 

(情報システム設計書等の管理)

第30条 所属長は、保有個人情報に係る情報システムの設計書、仕様書、ネットワーク構成図等の文書について漏洩等が行われないよう、その保管、複製、廃棄等について必要な措置を講ずるものとする。

 

(端末の限定)

第31条 所属長は、保有個人情報の秘匿性等その内容に応じて、その処理を行う端末を限定するために必要な措置を講ずるものとする。

 

(端末の盗難防止等)

第32条 所属長は、端末の盗難又は紛失の防止のため、端末の固定、執務室の施錠等の必要な措置を講ずるものとする。

   2 職員は、端末を外部へ持ち出し、又は外部から持ち込んではならない。但し、所属長の指示に従い、業務の必要最小限の範囲において行うときはこの限りではない。

   3 職員は、前項の規定に基づき、端末を外部へ持ち出したときは、紛失による漏洩等が行われないよう取扱いに注意するものとする。

 

(第三者の閲覧防止)

第33条 職員は、端末の使用に当たっては、保有個人情報が第三者に閲覧されることがないよう、使用状況に応じて情報システムからログオフを行うことを徹底する等の必要な措置を講ずるものとする。

 

(記録機能を有する機器・媒体の接続制限)

第34条 所属長は、保有個人情報の秘匿性等その内容に応じて、当該保有個人情報の漏洩、滅失又は毀損の防止のため、スマートフォン、USBメモリー等の記録機能を有する機器・媒体の情報システム端末等への接続の制限(当該機器の更新への対応を含む)等の必要な措置を講ずる。

 

 

第6章 規程等の見直し等

 

社会情勢や情報主体の意識の変化、施行状況、監査の結果等を考慮し、本規程等を見直すものとする。

 

 

附  則

 

(実施日)

本規程は、令和5年 4月 1日より実施する。