個人情報取扱規程
個人情報取扱規程
第1条 本規程は、当クリニックが、個人情報保護法(第2条に定義する。)その他の法令等(いずれも第2条に定義する。)に基づき、当クリニックの取り扱う個人データ(第2条に定義する。)の適正な取扱いを確保するために定めるものである。
なお、個人情報保護法に基づく仮名加工情報、匿名加工情報等の取扱いについては「仮名加工情報取扱規程」、「匿名加工情報等取扱規程」において、「行政手続における特定の個人を識別するための番号の利用等に関する法律」(平成25年法律第27号)に基づく個人番号やその内容を含む個人情報に関しては、「特定個人情報等取扱規程」において、別途定めるところに従うものとする。
第2条 この規程において、次に掲げる用語の意義は、以下各号に定めるところによる以外は、個人情報保護法第2条に定める意味を有する。
第3条 当クリニックに、事務取扱責任者1人を置く。
2 事務取扱責任者には、院長又は院長が指名した者をもってこれに充てるものとする。
第4条 事務取扱責任者は、個人情報取扱業務を統括するとともに、本規程に定められた事項を理解し、遵守するとともに、事務取扱担当者にこれを理解させ、遵守させるための教育訓練、安全対策の実施並びに周知徹底等の措置を実施する責任を負う。
2 事務取扱責任者は、職務分掌及び決済権限規程の定めるところにより個人情報取扱業務を所掌する。
3 部門責任者は、当該部門における個人情報の取得及び個人データを適切に管理する任に当たり、個人データの適切な管理のために必要な措置を講じ、個人データの安全確保に努める責任を負う。
4 事務取扱責任者は、法令遵守の観点から、各部門の部門責任者に対して指導、助言する。
第5条 事務取扱責任者は、個人データが本規程に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行うものとする。
2 各部門の部門責任者は、当該各部門の事務取扱担当者に対して必要かつ適切な監督を行い、事務取扱責任者に対して必要な報告を行う。
第6条 事務取扱担当者は、当クリニックの個人データの取扱い又は委託処理等、個人データを取り扱う業務に従事する際、法令等、本規程及びその他の当クリニックの規程並びに事務取扱責任者の指示した事項に従い、個人データの保護に十分な注意を払って業務を行うものとする。
2 事務取扱担当者は、個人情報の漏洩、滅失または毀損(以下「漏洩等」という。)、法令等、本規程またはその他の当クリニックの規程に違反している事実又は兆候を把握した場合、速やかに所属部門の部門責任者又は事務取扱責任者に報告するものとする。所属部門の事務取扱担当者から、当該報告を受けた部門責任者は速やかに事務取扱責任者に報告するものとする。
第7条 事務取扱担当者は、本規程に基づく運用状況を確認するため、以下の項目につき、項目①については、「個人データ搬出記録簿」により記録するものとし、項目②については「個人データの運用状況記録票」により記録するものとする。また、項目③については、委託先から受領した証明書等により確認する。
① 個人データが記載又は記録された書類・媒体等の搬出等の状況
② 個人情報データベース等の削除・廃棄記録
③ 削除・廃棄を委託した場合、これを証明する記録等
第8条 個人データの漏洩等の事案の発生又は兆候を把握した場合の対応は、別途定める「情報漏洩事案等対応手続」に定めるところによる。
第9条 事務取扱担当者は、法、ガイドライン又は本規程に関し、本人からの苦情の申出を受けた場合には、その旨を部門責任者に報告する。報告を受けた部門責任者は、適切に対応するものとする。
第10条 事務取扱責任者は、定期的又は必要に応じて臨時に第7条に規定する個人データの運用状況の記録の確認を実施しなければならない。
2 事務取扱責任者は、前項の確認の結果及び次条の監査の結果に基づき、安全管理措置の評価、見直し及び改善に取り組むものとする。
第11条 院長又は院長から指名された者は、モニタリングシートに基づき、当クリニックの個人データの適正な取扱いその他法令及び本規則の遵守状況について検証し、その改善を事務取扱責任者及び各部の部門責任者に促す。
第12条 事務取扱責任者は、従業者に本規程を理解し遵守させるための教育訓練を企画・運営する責任を負う。
2 従業者は、事務取扱責任者が主催する本規程を遵守させるための教育を受けなければならない。研修の内容及びスケジュールは、その都度に事務取扱責任者が定める。
第13条 当クリニックは管理区域及び取扱区域を明確にし、それぞれの区域に対し、次の各号に従い以下の措置を講じる。
⑴ 管理区域
入退室管理及び管理区域へ持ち込む機器及び電子媒体等の制限を行うものとする。
⑵ 取扱区域
壁又は間仕切り等の設置、事務取扱担当者以外の者の往来が少ない場所への座席配置、後ろから覗き見される可能性が低い場所への座席配置等により、可能な限り権限を有しない者による個人データの閲覧等を防止する。
第14条 当クリニックは管理区域及び取扱区域における個人データを取扱う機器、電子媒体及び書類等の盗聴又は紛失等を防止するために、次の各号に掲げる措置を講じる。
⑴ 個人データを取扱う電子媒体又は書籍等を、施錠可能なキャビネット・書庫等に保管する。
⑵ 個人データを取り扱う情報システムが機器のみで運用されている場合は、セキュリティワイヤー等により固定する。
第15条 当クリニックは個人データが記録された電子媒体又は書籍等の搬出(個人データを、管理区域又は取扱区域の外へ移動させることをいう。)は、次に掲げる場合を除き禁止する。
① 個人データに係る外部委託先に、委託事務を実施する上で必要と認められる範囲内でデータを提供する場合
② 利用目的の範囲で個人データを利用する場合
2 前項により個人データが記録された電子媒体又は書類等の搬出を行う場合には、「個人データ搬出記録簿」に記録するとともに、以下の安全策を講じるものとする。
⑴ 個人データが記録された電子媒体を安全に持ち運ぶ方法
① 搬出データの暗号化
② 搬出データのパスワードによる保護
③ 施錠できる搬送容器の使用
④ 追跡可能な移送手段の利用
⑵ 個人データが記録された書類等を安全に持ち運ぶ方法
① 封緘、目隠しシールの貼付(各部署の事務取扱担当者から他の部署の事務取扱担当者に個人データが記載された書類等を移送する場合を含む。)
第16条 個人データの廃棄・削除段階における記録媒体等の管理は次のとおりとする。
① 事務取扱担当者は、個人データが記録された書類等を廃棄する場合、シュレッダー等による記載内容が復元不能までの裁断、自社又は、外部の焼却場での焼却・溶解等の復元不能な手段を用いるものとする。
② 事務取扱担当者は、個人データが記録された機器及び電子媒体等を廃棄する場合、専用データ削除ソフトウェアの利用又は物理的な破壊等により、復元不可能な手段を用いるものとする。
③ 事務取扱担当者は、個人情報データベース等中の個人データを削除する場合、容易に復元できない手段を用いるものとする。
④ 個人データを取り扱う情報システムにおいては、法令及び当クリニックが別途定める保存期間経過後の毎年度末に個人データを削除するよう情報システムを構築するものとする。
⑤ 個人情報が記載された書類等については、当該関連する書類等について当クリニックが別途定める保存期間経過後の毎年度末に廃棄をするものとする。
2 事務取扱担当者は、個人データ若しくは個人情報データベース等を削除した場合、又は電子媒体等を廃棄した場合には、「個人データの運用状況記録票」に記載するものとする。削除・廃棄の記録としては、個人情報データベース等の種類・名称、責任者・取扱部署、削除・廃棄状況を記録するものとし、当該個人データ自体は含めないものとする。
第17条 個人データへのアクセス制御は以下のとおりとする。
① 個人情報データベース等を取り扱うことができる情報システムを限定する。
② ユーザーIDに付与するアクセス権により、個人情報データベース等を取り扱う情報システムを使用できる事務取扱担当者に限定する。
第18条 個人データを取り扱う情報システムは、ユーザー¬ID、パスワード、磁気・ICカード等の識別方法により、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づく認証するものとする。
第19条 当クリニックは、以下の各方法その他の適切な方法により、情報システムを外部からの不正アクセス又は不正ソフトウェアから保護するものとする。なお、当クリニックにおいて個人データを取り扱う情報システムは、外部ネットワークから遮断された専用のパソコンに限る。
① 情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断する方法
② 情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入する方法
③ 導入したセキュリティ対策ソフトウェア等により、入出力データにおける不正ソフトウェアの有無を確認する方法
④ 機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする方法
⑤ ログ等の分析を定期的に行い、不正アクセス等を検知する方法
第20条 当クリニックは、情報システムの使用に伴う個人データの漏洩等を防止するために必要となる措置を講じ、適切に運用するものとする。
第21条 当クリニックは、個人情報の保有に当たっては、業務を遂行するため必要な場合に限り、かつ、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
2 当クリニックは、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。
第22条 当クリニックは、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を保有してはならない。
2 当クリニックは、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
3 前二項の規定は、次に掲げる場合については、適用しない。
① 法令に基づく場合
② 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
③ 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
④ 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
第23条 当クリニックは、個人情報を取得する場合は、あらかじめその利用目的を公表している場合を除き、同時に又は取得後速やかに、その利用目的を、本人に通知し、又は公表するものとする。
2 前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示するものとする。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りではない。
3 当クリニックは、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
4 前三項の規定は、次に掲げる場合については、適用しない。
① 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
② 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
③ 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき
④ 取得の状況からみて利用目的が明らかであると認められる場合
第24条 当クリニックは、偽りその他不正な手段により個人情報を取得してはならない。
2 当クリニックは、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
① 法令に基づく場合
② 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
③ 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
④ 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
第25条 当クリニックは、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。
第26条 当クリニックは、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
① 法令に基づく場合
② 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
③ 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
④ 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
2 次に掲げる場合において、当該個人データの提供を受ける者は、第1項の規定の適用については、第三者に該当しないものとする。
① 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
② 合併その他の事由による事業の継承に伴って個人データが提供される場合
③ 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき
第27条 当クリニックは、個人データを第三者に提供したときは、第三者提供に係る記録を書面又は電磁的記録により作成しなければならない。ただし、当該個人データの提供が第26条第1項各号に該当する場合又は同条第2項各号のいずれかに該当する場合は、この限りではない。
2 前項の記録は、次項又は第4項に該当する場合を除き、第三者に個人データの提供をした都度、速やかに作成しなければならない。
3 第1項の記録は、当該第三者に継続的に若しくは反復して個人データの提供をしたとき、又は当該第三者に継続的若しくは反復して個人データを提供することが確実であると見込まれるときの記録は、一括して作成することができる。
4 第1項の記録は、本人に対する役務の提供に関連して当該本人に係る個人データを第三者に提供した場合において、当該提供に関して作成された契約書その他の書面に記録すべき事項が記載されているときは、当該書面を持って第三者に個人データを提供したときの記録に代えることができる。
5 第26条第1項に基づく本人の同意を得て個人データを第三者に提供した場合は「個人データ提供記録簿」に以下の事項を記録するものとする。
① 本人の同意を得ている旨
② 当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)
③ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
④ 当該個人データの項目
6 前項の記載事項のうち、第1項から第4項までの方法により作成した記録(保存している場合に限る。)に記録されている事項と内容が同一であるものについては、当該事項の記録を省略することができる。
7 当クリニックは、第5項および前項の規定により作成した記録を、以下の場合に応じて、当該記録を作成した日から所定の期間保存するものとする。
| 場合 | 保存期間 |
|---|---|
| 本人を当事者とする契約書等に基づく個人データの提供の場合 | 最後に当該記録にかかる個人データの提供を行った日から起算して1年を経過する日までの間 |
| 個人データを継続的に若しくは反復して提供する場合 | 最後に当該記録にかかる個人データの提供を行った日から起算して3年を経過する日までの間 |
| 上記①及び②以外の場合 | 当該記録を作成した日から3年間 |
第28条 当クリニックは、第三者から個人データの提供を受けるに際しては、次の各号に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第26条第1項各号に該当する場合又は同条2項各号のいずれかに該当する場合は、この限りでない。
① 当該第三者の氏名又は名称及び住所、並びに法人にあってはその代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
② 当該第三者による当該個人データの取得の経緯
2 当クリニックは、第三者から個人データの提供を受ける際の確認を行う方法は、確認を行う事項の区分に応じて、それぞれ次のとおりとする。
| 場合 | 方法 |
|---|---|
| 前項第1号に該当する事項 | 個人データを提供する第三者から申告を受ける方法その他の適切な方法 |
| 前項第2号に該当する事項 | 個人データを提供する第三者から当該第三者による当該個人データの取得の経緯を示す契約書その他の書面の提示を受ける方法その他の適切な方法 |
3 前項にかかわらず、第三者から他の個人データの提供を受けるに際して前項の方法による確認(当該確認について記録の作成及び保存をしている場合における者に限る。)を行っている事項の確認を行う場合は、当該事項の内容と当該提供に係る確認事項の内容が同一であることの確認を行う方法によるものとする。
第29条 保有個人データの開示等の請求等及び苦情処理については、別に定める個人情報開示等手続規程によるものとする。
第30条 この規程の改廃は、当クリニックの院長の決定による。
第31条 この規程の実施に必要な事項は別に定める。
TOP