個人情報の取り扱いについて

公益社団法人地域医療振興会 公立久米島病院個人情報の取扱いに関する規程

第1章 総則

 (目的)

第1条 この規程は、地域医療振興病院 公立久米島病院(以下、病院という。)が保有する個人情報の取扱いに関して遵守すべき義務等を含め、個人情報の適正な取扱いに関し必要な事項を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。また、個人情報の漏えい等の事案が発生した場合の措置を明らかにし、二次被害の防止、類似事案の発生回避に努めることを目的とする。

 

 (用語の定義)

第2条 この規則において,次の各号に掲げる用語の意義は,それぞれ当該各号に定めるところによる。

 一 個人情報 生存する個人に関する情報であって,次のいずれかに該当するものをいう。

  イ 当該情報に含まれる氏名,生年月日その他の記述等(文書,図画若しくは電磁的記録(電磁的方式(電子的方式,磁気的方式その他人の知覚によっては認識することができない方式をいう。次項ロにおいて同じ。)で作られる記録をいう。以下同じ。)に記載され,若しくは記録され,又は音声,動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ,それにより特定の個人を識別することができることとなるものを含む。)

  ロ 個人識別符号が含まれるもの

 二 個人識別符号 次のいずれかに該当する文字,番号,記号その他の符号のうち,個人情報の保護に関する法律施行令(平成15年政令第507号。以下「政令」という。)第1条で定めるものをいう。

  イ 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字,番号,記号その他の符号であって,当該特定の個人を識別することができるもの

  ロ 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ,又は個人に発行されるカードその他の書類に記載され,若しくは電磁的方式により記録された文字,番号,記号その他の符号であって,その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ,又は記載され,若しくは記録されることにより,特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの

 三 要配慮個人情報 本人の人種,信条,社会的身分,病歴,犯罪の経歴,犯罪により害を被った事実その他本人に対する不当な差別,偏見その他の不利益が生じないようにその取り扱いに特に配慮を要するものとして政令第2条で定める記述等が含まれる個人情報をいう。

 四 本人 個人情報によって識別される特定の個人をいう。

 五 仮名加工情報 次に掲げる個人情報の区分に応じて当該イからロに定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。

  イ 第1号イに該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

  ロ 第1号ロに該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

 六 匿名加工情報 次に掲げる個人情報の区分に応じて当該イからロに定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって,当該個人情報を復元することができないようにしたものをいう。

  イ 第1号イに該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

  ロ 第1号ロに該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

 七 個人関連情報 生存する個人に関する情報であって,個人情報,仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。

 八 個人情報データベース等 個人情報を含む情報の集合物であって,次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。

  イ 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの。

  ロ イに掲げるもののほか,特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの

 九 個人データ 個人情報データベース等を構成する個人情報をいう。

 十 保有個人データ 個人情報取扱事業者が,開示,内容の訂正,追加又は削除,利用の停止,消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって,その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のものをいう。

 十一 学術研究機関等 大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者をいう。

 十二 保有個人情報 病院の職員(派遣労働者を含む。)が職務上作成し,又は取得した個人情報であって,職員が組織的に利用するものとして,病院が保有しているものをいう。ただし,独立行政法人等の保有する情報の公開に関する法律(平成13年法律第140号。以下「独立行政法人等情報公開法」という。)第2条第2項に規定する法人文書(以下「法人文書」という。)に記録されているものに限る。

 十三 個人情報ファイル 保有個人情報を含む情報の集合物であって,次に掲げるものをいう。

  イ 一定の事務の目的を達成するために特定の保有個人情報を電子計算機を用いて検索することができるように体系的に構成したもの

  ロ イに掲げるもののほか,一定の事務の目的を達成するために氏名,生年月日,その他の記述等により特定の保有個人情報を容易に検索することができるように体系的に構成したもの

 

 (責任体制)

第3条 病院における個人情報の適正な取扱いを推進し、漏えい等の問題に対処するために個人情報保護責任者を置く。

 2 個人情報保護責任者は、管理者兼病院長が当たり、病院の個人情報保護に関する責任者として個人情報保護活動の業務を行う。

 3 個人情報保護管理者は、事務部長が当たり、この規程の目的を達成するために部門ごとに個人情報保護監督者を置くことができる。

 4 個人情報保護管理者は、職員の中から個人情報保護に関して十分理解を持つものを個人情報保護担当者として選任し、当該職員に、職員が個人情報保護に関する理念の理解を深めること並びに各施設の規程及びその規程に基づく規則の遵守することに関して権限を与えることができる。

 5 個人情報保護管理者は、個人情報保護の推進を図るため、個人情報保護推進委員会を設置することができる。

 6 個人情報保護管理者は、個人情報の取扱いに関する苦情の窓口を設けなければならない。

 7 個人情報保護管理者は、第18条第2項の検討のため、個人情報開示検討会を設けなければならない。

 

 (委員会)

第4条 病院における個人情報の取扱いに係る重要事項の決定,連絡・調整等を行うため,個人情報保護推進委員会を置く。

 2 個人情報保護推進委員会は,次の各号に掲げる委員で構成する。

   一 個人情報保護責任者

   二 個人情報保護管理者

   三 各部門の個人情報保護監督者

   四 個人情報保護担当者

 3 個人情報保護推進委員会に委員長を置き,個人情報保護責任者をもって充てる。

 4 個人情報保護推進委員会は,病院における個人情報の適切な取扱いに係る基本方針,安全管理措置及び義務等の重要事項について審議及び検討する。

 5 個人情報保護推進委員会のもとに,法的な問題に対して専門的な立場からの調査検討を行うため専門部会を置くことができる。専門部会の運営について必要な事項は,別に定める。

 6 個人情報保護推進委員会の運営について必要な事項は,別に定める「個人情報保護推進委員会要領」による。

 

第2章 個人情報の取得

 (利用目的の特定)

第5条 病院は,個人情報を取り扱うに当たっては,その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。

 2 個人情報利用目的は以下の項目に準ずるものとする。

   一 患者様に提供する医療サービス等

   二 医療保険事務(保険請求等)

   三 他の医療機関・介護保険サービス事業者等との連携等

   四 委託による検査業務等

   五 家族等への病状説明等

   六 医学生・看護学生等の実習等

   七 院内症例研究等

   八 医師賠償責任保険に関する保険会社等への相談及び届出

   九 法人内部監査及び各外部による監査・指導等

3 病院は,利用目的を変更する場合には,変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。

 

 (利用目的による制限)

第6条 病院は,あらかじめ本人の同意を得ないで,前条の規定により特定された利用目的の達成に必要な範囲を超えて,個人情報を取り扱ってはならない。

 2 前項の規定は,次に掲げる場合については,適用しない。

   一 法令に基づく場合

   二 人の生命,身体又は財産の保護のために必要がある場合であって,本人の同意を得ることが困難であるとき。

   三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって,本人の同意を得ることが困難であるとき。

   四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって,本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

   五 当該個人情報を学術研究の用に供する目的(以下この章において「学術研究目的」という。)で取り扱う必要があるとき(当該個人情報を取り扱う目的の一部が学術研究目的である場合を含み,個人の権利利益を不当に侵害するおそれがある場合を除く。)。

   六 学術研究機関等に個人データを提供する場合であって,当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み,個人の権利利益を不当に侵害するおそれがある場合を除く。)。

 

 (適正な取得)

第7条 第41条 病院は,偽りその他不正の手段により個人情報を取得してはならない。

 2 病院は,次に掲げる場合を除くほか,あらかじめ本人の同意を得ないで,要配慮個人情報を取得してはならない。

   一 法令に基づく場合

   二 人の生命,身体又は財産の保護のために必要がある場合であって,本人の同意を得ることが困難であるとき。

   三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって,本人の同意を得ることが困難であるとき。

   四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって,本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

   五 当該要配慮個人情報を学術研究目的で取り扱う必要があるとき(当該要配慮個人情報を取り扱う目的の一部が学術研究目的である場合を含み,個人の権利利益を不当に侵害するおそれがある場合を除く。)。

   六 学術研究機関等から当該要配慮個人情報を取得する場合であって,当該要配慮個人情報を学術研究目的で取得する必要があるとき(当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み,個人の権利利益を不当に侵害するおそれがある場合を除く。)(病院と当該学術研究機関等が共同して学術研究を行う場合に限る。)。

   七 当該要配慮個人情報が,本人,国の機関,地方公共団体,学術研究機関等,法第57条第1項各号に掲げる者その他個人情報保護推進委員会規則で定める者により公開されている場合

   八 その他前各号に掲げる場合に準ずるものとして政令で定める場合

 

 (不適正な利用の禁止)

第8条 病院は,違法又は不当な行為を助長し,又は誘発するおそれがある方法により個人情報を利用してはならない。

 

 (取得に際しての利用目的の通知等)

第9条 病院は,個人情報を取得した場合は,あらかじめその利用目的を公表している場合を除き,速やかに,その利用目的を,本人に通知し,又は公表しなければならない。

 2 病院は,前項の規定にかかわらず,本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は,あらかじめ,本人に対し,その利用目的を明示しなければならない。ただし,人の生命,身体又は財産の保護のために緊急に必要がある場合は,この限りでない。

 3 病院は,利用目的を変更した場合は,変更された利用目的について,本人に通知し,又は公表しなければならない。

 4 前3項の規定は,次に掲げる場合については,適用しない。

   一 利用目的を本人に通知し,又は公表することにより本人又は第三者の生命,身体,財産その他の権利利益を害するおそれがある場合

   二 利用目的を本人に通知し,又は公表することにより病院の権利又は正当な利益を害するおそれがある場合

   三 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって,利用目的を本人に通知し,又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。

   四 取得の状況からみて利用目的が明らかであると認められる場合

 

第3章 個人データの利用・管理

 (個人情報の内容の正確性の確保等)

第10条 病院は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。

 

 (安全管理措置)

第11条 病院は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために、物理的安全管理措置・技術的安全管理措置を含めた必要かつ適切な措置を講じなければならない。

 

 (個人データの取扱状況の記録)

第12条 個人情報保護管理者は,個人データの秘匿性等その内容に応じて,台帳等を整理して,当該個人データの利用及び保管等の取扱いの状況について記録する。

 

 (事案の報告及び再発防止措置)

第13条 個人データの漏えい等安全確保の上で問題となる事案又は問題となる事案の発生のおそれを認識した場合に,その事案等を認識した職員は,直ちに当該個人データを管理する各部門の個人情報保護監督者に報告する。

 2 個人情報保護監督者は,被害の拡大防止又は復旧等のために必要な措置を速やかに講ずる。ただし,外部からの不正アクセスや不正プログラムの感染が疑われる当該端末等のLANケーブルを抜くなど,被害拡大防止のため直ちに行い得る措置については,直ちに行う(職員に行わせることを含む)。

 3 個人情報保護管理者は,事案の発生した経緯,被害状況等を調査し,個人情報保護責任者に報告する。ただし,特に重大と認める事案が発生した場合には,直ちに個人情報保護責任者に当該事案の内容等について報告する。

 4 個人情報保護管理者は,前項の規定に基づく報告を受けた場合には,事案の内容等に応じて,当該事案の内容,経緯,被害状況等を個人情報保護責任者に速やかに報告する。

 5 個人情報保護管理者は,速やかに事案の発生した原因を分析し,再発防止のために必要な措置を講ずるとともに,個人情報保護責任者へ当該再発防止措置を報告する。

6 個人情報保護責任者は,前項の規定に基づく報告を受けた場合には,同種の業務を実施している部門等に再発防止措置を共有する。

 

 7 個人情報保護責任者は,その取り扱う個人データの漏えい,滅失,毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護推進委員会規則で定めるものが生じたときは,個人情報保護推進委員会規則で定めるところにより,当該事態が生じた旨を個人情報保護推進委員会に報告しなければならない。

 8 前項に規定する場合(同項ただし書の規定による通知をした場合を除く。)には,病院は,本人に対し,個人情報保護推進委員会規則で定めるところにより,当該事態が生じた旨を通知しなければならない。ただし,本人への通知が困難な場合であって,本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは,この限りでない。

 

 (公表等)

第14条 個人情報保護責任者は,事案の内容,影響等に応じて,事実関係及び再発防止策の公表,当該事案に係る個人データの本人への対応等の措置を講ずる。

 

 (職員の監督)

第15条 病院は、その職員に個人データを取り扱わせるに当たっては当該個人データの安全管理が図られるよう、当該職員に対する必要かつ適切な監督を行わなければならない。

 

 (委託先の監督)

第16条  病院は、個人データの取扱いの全部又は一部を委託する場合は、委託された者においてこの規程又はこの規程に基づく規則に準じて当該個人データの安全管理が図られるよう、当該委託された者に対する必要かつ適切な監督を行わなければならない。委託された者において、この規程又はこの規程に基づく規則と同等の規則が定められている場合においては当該規則によることができる。

 

 (業務の委託等)

第17条 病院は,個人データの取扱いに係る業務を外部に委託する場合には,個人データの適切な管理を行う能力を有しない者を選定することがないよう,必要な措置を講ずる。この場合において,契約書に,次の各号に掲げる事項を明記するとともに,委託先における責任者及び業務従事者の管理並びに実施体制及び個人データの管理の状況についての検査に関する事項等の必要な事項について書面で確認する。

   一 個人データに関する秘密保持及び利用目的以外の目的のための利用の禁止等の義務

   二 再委託(再委託先が委託先の子会社(会社法(平成17年法律第86号)第2条第1項第3号に規定する子会社をいう。)である場合も含む。本号及び第3項において同じ。)の制限又は事前承認等再委託に係る条件に関する事項

   三 個人データの複製等の制限に関する事項

   四 個人データの安全管理措置に関する事項

   五 個人データの漏えい等の事案の発生時における対応に関する事項

   六 委託終了時における個人データの消去及び媒体の返却に関する事項

   七 法令及び契約に違反した場合における契約解除,損害賠償責任その他必要な事項

   八 契約内容の遵守状況についての定期的報告に関する事項及び委託先における委託された個人情報の取扱状況を把握するための監査等に関する事項(再委託先の監査等に関する事項を含む。)

 2 病院は,個人データの取扱いに係る業務を外部に委託する場合には,取扱いを委託する個人データの範囲は,委託する業務内容に照らして必要最小限でなければならない。

 3 病院は,個人データの取扱いに係る業務を外部に委託する場合には,委託する業務に係る個人データの秘匿性等その内容やその量等に応じて,委託先における管理体制及び実施体制や個人データの管理の状況について,少なくとも年1回以上,原則として実地検査により確認する。

4 病院は,委託先において個人データの取扱いに係る業務が再委託される場合には,委託先に第1項の措置を講じさせるとともに,再委託される業務に係る個人データの秘匿性等その内容に応じて,委託先を通じて又は委託元自らが前項の措置を実施する。個人データの取扱いに係る業務について再委託先が再々委託を行う場合以降も同様とする。

5 病院は,個人データの取扱いに係る業務を派遣労働者によって行わせる場合には,労働者派遣契約書に秘密保持義務等個人データの取扱いに関する事項を明記する。

 

 (第三者提供の制限) 

第18条 病院は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

   一 法令に基づく場合

   二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき

   三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

   四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

   五 当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)。

2 病院は、第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護推進委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護推進委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。ただし,第三者に提供される個人データが要配慮個人情報に違反して取得されたものである場合は,この限りでない。

   一 第三者への提供を利用目的とすること。

   二 第三者に提供される個人データの項目

   三 第三者への提供方法

   四 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。

   五 本人の求めを受け付ける方法

3  病院は、前項第2号、第3号又は第5号に掲げる事項を変更する場合は、変更する内容について、個人情報保護推進委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護推進委員会に届け出なければならない。

4  次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。

   一  病院が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合

   二  合併その他の事由による事業の承継に伴って個人データが提供される場合

   三  特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。

5  病院は、前項第3号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

 

 (外国にある第三者への提供の制限)

第19条  病院は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護推進委員会規則で定めるものを除く。以下この条において同じ。)にある第三者(個人データの取扱いについて病院が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護推進委員会規則で定める基準に適合する体制を整備している者を除く。以下この条において同じ。)に個人データを提供する場合には、前条第1項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。

2 病院は,前項の規定により本人の同意を得ようとする場合には,個人情報保護推進委員会規則で定めるところにより,あらかじめ,当該外国における個人情報の保護に関する制度,当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。

3 病院は,個人データを外国にある第三者(第一項に規定する体制を整備している者に限る。)に提供した場合には,個人情報保護推進委員会規則で定めるところにより,当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに,本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。

 

 (第三者提供に係る記録の作成等)

第20条  病院は、個人データを第三者(個人情報の保護に関する法律第2条第5項各号に掲げる者を除く。以下この条及び次条において同じ。)に提供したときは、個人情報保護推進委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護推進委員会規則で定める事項に関する記録を作成しなければならない。ただし、当該個人データの提供が第18条第1項各号又は第4項各号のいずれか(前条の規定による個人データの提供にあっては、第18条第1項各号のいずれか)に該当する場合は、この限りでない。

2  病院は、前項の記録を、当該記録を作成した日から個人情報保護推進委員会規則で定める期間保存しなければならない。

 

 (第三者提供を受ける際の確認等)

第21条  病院は、第三者から個人データの提供を受けるに際しては、個人情報保護推進委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第18条第1項各号又は第4項各号のいずれかに該当する場合は、この限りでない。

   一  当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名

   二  当該第三者による当該個人データの取得の経緯

 2  前項の第三者は、病院が同項の規定による確認を行う場合において、病院に対して、当該確認に係る事項を偽ってはならない。

 3  病院は、第1項の規定による確認を行ったときは、個人情報保護推進委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護推進委員会規則で定める事項に関する記録を作成しなければならない。

 4  病院は、前項の記録を、当該記録を作成した日から個人情報保護推進委員会規則で定める期間保存しなければならない。

 

 (個人関連情報の第三者提供の制限等)

第22条 病院は,第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下同じ。)を個人データとして取得することが想定されるときは,第18条第1項各号に掲げる場合を除くほか,次に掲げる事項について,あらかじめ個人情報保護推進委員会規則で定めるところにより確認することをしないで,当該個人関連情報を当該第三者に提供してはならない。

   一 当該第三者が病院から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。

   二 外国にある第三者への提供にあっては,前号の本人の同意を得ようとする場合において,個人情報保護推進委員会規則で定めるところにより,あらかじめ,当該外国における個人情報の保護に関する制度,当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること。

 

第4章 各運営施設及び本部の保有する個人データの取扱い

 (利用目的等の公表等)

第23条 個人情報保護管理者は、次に掲げる事項について文書等とし、第31条第2項の窓口に備え置き、本人が容易に知り得る状態に置かなければならない。

 一 保有個人データの利用目的(次に掲げる場合を除く。)

  ア 利用目的を公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

  イ 利用目的を公表することにより施設の権利又は正当な利益を害するおそれがある場合

  ウ 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。

   二 本人が識別される保有個人データの利用目的の通知を求める手続

   三 本人が識別される保有個人データの開示を求める手続

   四 本人が識別される保有個人データの訂正、追加又は削除(以下「訂正等」という。)を求める手続

   五 本人が識別される保有個人データの停止又は消去(以下「利用停止等」という。)を求める  手続

   六 本人が識別される保有個人データの第三者への提供の停止を求める手続

   七 第2号及び第3号の手続の手数料の額

   八 第31条に規定する窓口

2 個人情報保護管理者は、第三者に提供される個人データがあるときは、次に掲げる事項について文書等とし、第31条第2項の窓口に備え置き、本人が容易に知り得る状態に置かなければならない。

  一 第三者への提供を利用目的とすること。

  二 第三者に提供される保有個人データの項目

  三 第三者への提供の手段又は方法

  四 本人の求めに応じて当該本人が識別される保有個人データの第三者への提供を停止すること。

  五 本人に、第1号の利用目的の中で同意しがたいものがある場合には、その事項について、あらかじめ本人の明確な同意を得るよう求めることができること。

  六 本人が、前号の同意を得るよう求めることの意思表示を行わない場合は、第1号の利用目的について本人の同意が得られたものとすること。

  七 第5号の同意を得るよう求めることの留保及び撤回は、本人の申出により、いつでも可能であること。

  3 第1項及び第2項に掲げる事項については、随時の説明により、配慮するものとする。

  4 個人情報保護管理者は、利用目的等の公表等について、法令に定めがある場合には、当該法令の規定に従わなければならない。

 

 (利用目的の通知) 

第24条 個人情報保護管理者は、本人から当該本人が識別される保有個人データの利用目的の通知を求められたときは、次に該当する場合を除き、本人に対し、遅滞なく、これを通知しなければならない。

  一 当該本人が識別される保有個人データの利用目的が明らかな場合

  二 利用目的を本人に通知することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

  三 利用目的を本人に通知することにより施設の権利又は正当な利益を害するおそれがある場合

  四 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知することにより当該事務の遂行に支障を及ぼすおそれがあるとき。

 

 (開示)

第25条  本人は、個人情報保護管理者に対し、当該本人が識別される保有個人データの開示を請求することができる。

 2 個人情報保護管理者は、前項の規定による請求を受けたときは、次に掲げる場合を除き、本人に対し、遅滞なく、当該個人情報を開示しなければならない。

  一 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

  二 病院の業務の適正な実施に著しい支障を及ぼすおそれがある場合

  三 他の法令に違反することとなる場合

 3 第2項の各号に該当する可能性がある場合には、個人情報開示に関する検討会等、協議の場を設け、個人情報保護管理者の承認を受けなければならない。この場合、保有個人データの取得者、関係者の意見を聴かなければならない。

 4 開示の求めは代理人により行うことができる。

 5 個人情報保護管理者は、本人から開示の求めがあった場合、参考となる情報を提供するなど本人の利便を考慮した支援を行うものとする。

 6 保有個人データを開示する方法は、書面の交付による方法(開示の求めを行った者が同意した方法があるときは、当該方法)とする。

 

 (訂正等)

第26条 本人は、個人情報保護管理者に対し、当該本人が識別される保有個人データの内容が事実でないときは、当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という。)を請求することができる。

2 個人情報保護管理者は、前項の規定による請求を受けた場合には、その内容の訂正等に関して個人情報の保護に関する法律及び個人情報の保護に関する法律施行令以外の他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。

 

 (利用停止等)

第27条 本人は、個人情報保護管理者に対し、当該本人が識別される保有個人データが第6条の規定に違反して取り扱われているとき又は第7条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を請求することができる。

2 個人情報保護管理者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

 

 (第三者への提供の停止)

第28条 本人は、個人情報保護管理者に対し、当該本人が識別される保有個人データが第18条第1項又は第19条の規定に違反して第三者に提供されているときは、当該保有個人データの第三者への提供の停止を請求することができる。

2 個人情報保護管理者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

 

第5章 各運営施設及び本部の苦情処理対応

 (苦情への対応)

第30条 個人情報保護管理者は、個人情報の取扱いその他これに関する事項の苦情の適切かつ迅速な処理に努めなければならない。

2 個人情報保護管理者は、第24条の利用目的を通知しない旨の決定、第25条第2項の個人情報の全部又は一部を開示しない旨の決定、第26条の個人情報の全部又は一部について訂正等をしない旨の決定、第27条の個人情報の全部又は一部をについて利用停止等をしない旨の決定又は第28条の個人情報の全部又は一部をについて第三者への提供を停止しない旨の決定を行ったときは、その理由を文書で説明するとともに、求めがあった場合には、口頭でも説明するように努めるものとする。

3 個人情報保護管理者は、前項の決定に対し、本人から苦情があり、苦情に相当の理由があると認められるときは、個人情報保護推進委員会に諮って決定の適否について検討するものとする。

 

第6章 各運営施設及び本部の個人情報保護対応窓口

 (利用目的の通知等の手続及び窓口)

第31条 個人情報保護管理者は、次に掲げる事項の手続(第6号に掲げる事項を除く。)を別に定めるとともに、その窓口を設けなければならない。

  一 利用目的の通知

  二 個人情報の開示

  三 個人情報の内容の訂正等

  四 個人情報の利用停止等

  五 個人情報の第三者への提供の停止

  六 個人情報の取扱いに関する苦情

2 前項の窓口は、運営各施設にあっては個人情報保護管理者が指定し、事務局にあっては総務課とする。

 

第7章 手数料

 (手数料)

第32条 個人情報保護管理者は、第24条に規定する利用目的の通知及び第25条第1項に規定する個人情報の開示の実施に関し、実費を勘案して手数料の額を定めなければならない。

2 前項の手数料は、診療録等コピー代10円/枚、データ等CD-Rコピー代330円/枚とする。

 

第8章 個人情報漏えい事故等への対応

 (漏洩等事故時の連絡体制)

第33条 職員は、個人情報の漏えい等の事故が発生した場合若しくは発生が高いと判断した場合又はこの規程及びこの規程に基づく規則に違反している事実が生じた場合若しくは生じていることが高いと認められる場合、直ちに個人情報保護管理者又は個人情報管理者が指定する者に報告しなければならない。

2 個人情報保護管理者又は個人情報管理者が指定する者は、前項の報告を受けたときは、直ちに必要な措置を講じるとともに個人情報保護統括者に報告しなければならない。

3 個人情報保護管理者又は個人情報管理者が指定する者は、漏えい等の問題が発生した場合には個人情報保護統括者と協議し、二次被害の防止、類似被害の発生回避の観点から、個人情報の保護に配慮しつつ、可能な限り事実関係を公表するとともに、都道府県の所管課等に報告しなければならない。

 

第9章 匿名加工個人情報

 (匿名化措置)

第34条 病院は,業務委託又は個人データを提供する場合には,漏えい等による被害発生のリスクを低減する観点から,提供先の利用目的,委託する業務の内容,個人データの秘匿性等その内容などを考慮し,必要に応じ,氏名を番号に置き換える等の匿名化措置を講ずる。

 

 (匿名加工情報の作成等)

第35条  病院は、匿名加工情報(匿名加工情報データベース等を構成するものに限る。以下同じ。)を作成するときは、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護推進委員会規則で定める基準に従い、当該個人情報を加工しなければならない。

2  病院は、匿名加工情報を作成したときは、その作成に用いた個人情報から削除した記述等及び個人識別符号並びに前項の規定により行った加工の方法に関する情報の漏えいを防止するために必要なものとして個人情報保護推進委員会規則で定める基準に従い、これらの情報の安全管理のための措置を講じなければならない。

3  病院は、匿名加工情報を作成したときは、個人情報保護推進委員会規則で定めるところにより、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければならない。

4  病院は、匿名加工情報を作成して当該匿名加工情報を第三者に提供するときは、個人情報保護推進委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。

5  病院は、匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならない。

6  病院は、匿名加工情報を作成したときは、当該匿名加工情報の安全管理のために必要かつ適切な措置、当該匿名加工情報の作成その他の取扱いに関する苦情の処理その他の当該匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。

 

 (匿名加工情報の提供)

第36条  病院は、匿名加工情報(自ら個人情報を加工して作成したものを除く。以下この節において同じ。)を第三者に提供するときは、個人情報保護推進委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。

 

 (識別行為の禁止)

第37条  病院は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは第35条第1項、行政機関の保有する個人情報の保護に関する法律(平成15年法律第58号)第44条の10第1項(同条第2項において準用する場合を含む。)若しくは独立行政法人等の保有する個人情報の保護に関する法律第44条の10第1項(同条第2項において準用する場合を含む。)の規定により行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合してはならない。

 

 (安全管理措置等)

第38条  病院は、匿名加工情報の安全管理のために必要かつ適切な措置、匿名加工情報の取扱いに関する苦情の処理その他の匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。

 

第10章 その他

 (職員の義務)

第39条 職員は、病院の事業に従事するにあたり、法令等を遵守するとともに、この規程その他の個人情報に関連する内部規程を遵守しなければならない。

2 職員は、施設に勤務する期間及び施設を離職した後の期間においても、勤務期間中に知りえた個人情報の秘密を漏らし、又は不当な目的に使用してはならない。

 

 (雇用契約)

第40条 個人情報保護管理者は、職員との間で雇用契約を結ぶ際には、前条の義務を課さなければならない。

 

 (違反に対する措置)

第41条 職員がこの規程に違反した場合には、職員就業規則に定める処分を行う。

2 離職した職員が第39条の規定に違反した場合には、病院に与えた損害に応じ必要な措置をとるものとする。

3 第11条の委託された者において個人データの安全管理が行われず、病院に損害を与えた場合には、委託契約等に基づき必要な措置をとるものとする。

 

 (備付け)

第42条 この規程及びこの規程に基づく規則は、第31条に規定する窓口等に備え付け、求めに応じて閲覧に供するなどその周知に努めるものとする。

 

 (職員の研修、人的安全管理措置)

第43条  個人情報保護管理者は、年に1回は、個人データの取扱いについての理解を深め,個人情報の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行わなければならない。

2 個人情報保護責任者は,個人データを取り扱う情報システムの管理に関する事務に従事する職員に対し,個人データの適切な管理のために,情報システムの管理,運用及びセキュリティ対策に関して必要な教育研修を行う。

3 個人情報保護責任者は,個人情報保護管理者,保護管理者及び保護担当者に対し,部門毎の現場における個人データの適切な管理のための教育研修を行う。

4 個人情報保護管理者は,職員に対し,個人データの適切な管理のために,個人情報保護責任者の実施する教育研修への参加の機会を付与する等の必要な措置を講ずる。

 

 (点検)

第44条 個人情報保護監督者は,部門における個人データの記録媒体,処理経路,保管方法等について,定期に,及び必要に応じ随時に点検を行い,その結果を個人情報保護管理者に報告する。

 

 (監査)

第45条  個人情報保護管理者は、年に1回は、この規程の遵守状況について監査を実施しなければならない。

2 情報システム責任者は,個人情報の取得及び個人データの適切な管理を検証するため,病院における個人情報の取得及び個人データの管理の状況について,定期に,及び必要に応じ随時に監査を行い,その結果を個人情報保護責任者に報告する。

 

 (評価及び見直し)

第46条 個人情報保護管理者は,点検又は監査の結果等を踏まえ,実効性等の観点から個人データの適切な管理のための措置について評価し,必要があると認めるときは,その見直し等の措置を講じ,個人情報保護責任者に報告する。

 

 (規程の見直し)

第47条 病院は、必要に応じて、この規程の見直しを行わなければならない。

 

 (運営各施設における特例)

第48条 病院運営各施設の情報保護管理者はこの規程を基にして、「個人情報の保護に関する法律」(平成15年法律第57号)をはじめとする関係法令の範囲内において、また「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」を基準として、施設を利用する者の個人情報の取扱いに関して別に規程を作ることができる。

 

 (その他)

第49条  この規程に定めるもののほか、必要な細目は、管理者兼病院長が定める。

 

 

附 則

この規程は、平成28年2月1日から施行する。
一部改正  令和元年10月1日から施行する。
改定    令和4年11月3日から施行する。
  1. ホーム
  2. 当院について
  3. ガイドライン等
  4. 個人情報の取り扱いについて