○岐阜大学医学部附属病院個人情報保護規程
(平成17年4月1日制定)
改正
平成19年10月10日
平成22年4月1日
平成24年4月1日
平成30年3月1日
平成30年10月1日
令和2年3月30日規程第74号
令和4年3月22日岐大規程第63号
目次
第1章 総則(第1条-第3条)
第2章 管理体制(第4条-第6条)
第3章 教育研修(第7条)
第4章 個人情報の取扱い(第8条-第17条)
第5章 情報システムにおける安全の確保等(第18条)
第6章 安全確保上の問題への対応(第19条・第20条)
第7章 苦情処理(第21条)
第8章 雑則(第22条・第23条)
附則
第1章 総則
(趣旨)
第1条
この規程は,東海国立大学機構個人情報保護規程(令和3年度機構規程第24号。以下「個人情報保護規程」という。)第5条第4項に基づき,岐阜大学医学部附属病院(以下「本病院」という。)の保有する個人情報その他個人に関する情報の適切な保護に関し必要な事項を定めるものとする。
2
本病院が保有する個人に関する情報としての行政機関等匿名加工情報等の取扱いについては,東海国立大学機構における行政機関等匿名加工情報等の適切な管理のための措置に関する規程(令和2年度機構規程第18号)の定めるところによる。
(対象とする個人情報等)
第2条
この規程は,本病院が適切な医療の提供のために保有する個人情報について適用し,この規程の対象としない個人情報及びこの規程に定めのない事項については,個人情報保護規程及び東海国立大学機構個人情報保護規程施行細則(令和3年度機構細則第9号)並びに医学部附属病院における個人情報の取扱要項(平成30年3月1日制定)の定めるところによる。
[
東海国立大学機構個人情報保護規程施行細則(令和3年度機構細則第9号)
]
(定義)
第3条
この規程における用語の意義は,次のとおりとする。
一
「個人情報」とは,生存する個人に関する情報であって,次のいずれかに該当するものをいう。
イ
当該情報に含まれる氏名,生年月日その他の記述等(文書,図画若しくは電磁的記録(電磁的方式(電子的方式,磁気的方式その他人の知覚によっては認識することができない方式をいう。以下同じ。)で作られる記録をいう。)に記載され,若しくは記録され,又は音声,動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ,それにより特定の個人を識別することができることとなるものを含む。)
ロ
個人識別符号が含まれるもの
二
「個人識別符号」とは,次のいずれかに該当する文字,番号,記号その他の符号のうち,個人情報の保護に関する法律施行令(平成15年政令第507号)で定めるものをいう。
イ
特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字,番号,記号その他の符号であって,当該特定の個人を識別することができるもの
ロ
個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ,又は個人に発行されるカードその他の書類に記載され,若しくは電磁的方式により記録された文字,番号,記号その他の符号であって,その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ,又は記載され,若しくは記録されることにより,特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
三
「保有個人情報」とは,本病院において医療を提供する上で作成し,又は取得した個人情報であって,本病院が組織的に利用するものとして,保有しているもの(岐阜大学法人文書として管理しているものに限る。)をいう。
四
「個人情報ファイル」とは,保有個人情報を含む情報の集合物であって,次に掲げるものをいう。
イ
医療を提供するために特定の保有個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
ロ
イに掲げるもののほか,医療を提供するために氏名,生年月日,その他の記述等により特定の保有個人情報を容易に検索することができるように体系的に構成したもの
五
「本人」とは,個人情報によって識別される特定の個人をいう。
第2章 管理体制
(保護管理者)
第4条
本病院に,保護管理者を置き,病院長をもって充てる。
2
保護管理者は,保有個人情報を適切に管理する任に当たる。
(保護担当者)
第5条
本病院に,保護担当者を置き,診療録管理室長をもって充てる。
2
保護担当者は,保護管理者を補佐し,保護管理者と同等の権限を持って保有個人情報の管理に関する業務を行う。
3
保護担当者は,必要があると認めるときは,診療録管理委員会において保有個人情報の管理及び取扱いに関し連絡・調整等を行うものとする。
(監査担当者)
第6条
本病院に,監査担当者を置き,事務部長をもって充てる。
2
監査担当者は,監査員を組織し,保有個人情報の保護に係わる体制及び運用状況を定期に又は臨時に監査する。
第3章 教育研修
第7条
保護管理者は,個人情報の取扱いに従事する職員に対し,保有個人情報を適切に保護するために,総括保護管理者又は副総括保護管理者の実施する教育研修への参加の機会を付与し,又は自ら教育研修を行う等の必要な措置を講ずるものとする。
第4章 個人情報の取扱い
(職員等の責務)
第8条
職員は,個人情報の保護に関する法律(平成15年法律第57号)の趣旨に則り,個人情報保護又は守秘義務に関する他の法令等を遵守し,並びに保護管理者及び保護担当者の指示に従い,個人情報を取り扱わなければならない。
2
次に掲げる者は,その取扱いに関して知り得た個人情報の内容をみだりに他人に知らせ,又は不当な目的に利用してはならない。
一
個人情報の取扱いに従事する職にあった者
二
教育系職員の指示のもとに診療を行う学生又は行っていた学生
三
臨床又は看護学の実習を受けている学生若しくは受けていた学生
四
第13条第2項の受託業務に従事している者又は従事していた者
[
第13条第2項
]
五
その他本病院において個人情報を取り扱う者又は取り扱っていた者
(個人情報の保有の制限等)
第9条
個人情報の保有に当たっては,医療の提供に必要な場合に限り,かつ,その利用の目的をできる限り特定しなければならない。
2
あらかじめ本人の同意を得ないで,前項の規定により特定された利用の目的(以下「利用目的」という。)の達成に必要な範囲を超えて,個人情報を保有してはならない。
3
利用目的を変更する場合には,変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。
(利用目的の明示)
第10条
本人から直接書面(電子的方式,磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。)に記録された当該本人の個人情報を取得するときは,次に掲げる場合を除き,あらかじめ,本人に対し,その利用目的を明示しなければならない。
一
人の生命,身体又は財産の保護のために緊急に必要があるとき。
二
利用目的を本人に明示することにより,本人又は第三者の生命,身体,財産その他の権利利益を害するおそれがあるとき。
三
利用目的を本人に明示することにより,国の機関,独立行政法人等,地方公共団体又は地方独立行政法人が行う事務又は事業の適正な遂行に支障を及ぼすおそれがあるとき。
四
取得の状況からみて利用目的が明らかであると認められるとき。
(適正な取得)
第11条
職員は,偽りその他不正な手段により個人情報を取得してはならない。
(正確性の確保)
第12条
職員は,利用目的の達成に必要な範囲内で,保有個人情報が過去又は現在の事実と合致するよう努めなければならない。
2
職員は,利用目的の達成のために必要があると認めるときは,次に掲げる事項を含む保有個人情報の正確性を確保するための措置を講じなければならない。
一
入力時の照合,確認等の手続き
二
誤り等を発見した場合の訂正等の手続き
三
記録事項の更新
(安全確保の措置)
第13条
保護管理者は,保有個人情報の漏えい,滅失又はき損の防止その他保有個人情報の適切な管理のために必要な措置を講じなければならない。
2
前項の規定は,本病院から個人情報の取扱いの委託を受けたものが受託した業務を行う場合について準用する。
3
保護管理者は,保有個人情報の適切な管理のために必要があると認めるときは,次に掲げる事項を含む合理的な安全対策を講じなければならない。
一
利用者等の制限
二
利用方法の制限
三
保管場所及び保管方法の制限
四
複製及び持ち出しの制限
五
廃棄方法の制限
第14条及び
第15条 削除
(保有個人情報の提供を受ける者に対する措置要求)
第16条
保護管理者は,前条第2項第3号及び第4号の規定に基づき行政機関及び独立行政法人等以外の者に保有個人情報を提供する場合には,提供先における利用目的,利用する業務の根拠法令,利用する記録範囲及び記録項目,利用形態等について書面を取り交わすものとする。
2
保護管理者は,前項の保有個人情報の提供に当たっては,安全確保の措置を要求するとともに,必要があると認めるときは,提供前又は随時の実地調査等による措置状況の確認を行い,その結果を記録するとともに,改善要求等の措置を講ずるものとする。
3
保護管理者は,前条第2項第3号の規定に基づき行政機関又は独立行政法人等に保有個人情報を提供する場合において,必要があると認めるときは,前2項に規定する措置を講ずるものとする。
(学術研究の目的の利用)
第17条
職員は,第15条第2項第4号の規定に基づき,保有個人情報を学術研究の目的に利用しようとする場合には,「医療情報の研究目的利用に係る提供基準(岐阜大学医学部附属病院医療情報セキュリティ委員会)」に定める申請書を保護管理者に提出し,許可を受けなければならない。
2
保護管理者は,提出された申請書について,必要に応じ,利用目的の詳細並びに個人情報の管理及び安全確保に係る措置を調査し,利用の許諾を決定するものとする。
第5章 情報システムにおける安全の確保等
第18条
保護管理者は,個人情報ファイル(情報システムで扱うものに限る。)を故意及び偶然の区別に関係なく,漏えい,滅失又はき損等から保護するために必要な次に掲げる情報システムの安全の確保等の措置を講じなければならない。
一
情報の機密性,完全性及び利用の可用性の維持
二
情報及び情報処理施設・設備に対する脅威,それらの影響及び脆弱性並びにそれらが起こる可能性の評価
三
情報システムに影響を及ぼす可能性があるセキュリティリスクを明確にし,制御し,最小限に抑制するか又は除去する方法
四
自然災害,機器障害,悪意のある行為等,損失を発生させる直接要因への対策
五
建物の構造上の欠陥,定期点検の不備,情報セキュリティに関する規程・要員教育の不備等,脅威を発生し易くさせる要因又は脅威を増加させる要因(脆さ,弱点)への対策
第6章 安全確保上の問題への対応
(事案の報告及び再発防止措置)
第19条
職員は,保有個人情報の漏えい等安全確保の上で問題となる事案が発生した事実を知った場合には,速やかに保護管理者に報告しなければならない。
2
保護管理者は,被害の拡大防止又は復旧等のために必要な措置を速やかに講じなければならない。
3
保護管理者は,事案の発生した経緯,被害状況等を調査し,総括保護管理者に報告する。
ただし,特に重大と認める事案が発生した場合には,直ちに総括保護管理者に当該事案の内容等について報告しなければならない。
4
保護管理者は,事案の発生した原因を分析し,再発防止のために必要な措置を講じなければならない。
(公表等)
第20条
保護管理者は,事案の内容,影響等に応じて,事実関係及び再発防止策の公表,当該事案に係る本人への対応等の措置を講じなければならない。
第7章 苦情処理
第21条
個人情報の取扱いに関する苦情(以下単に「苦情」という。)の適切かつ迅速な処理を行うため,医療支援課に苦情の相談の受付等を行う窓口を置く。
2
苦情を受付けたときは,当該苦情に関する当該個人情報の取扱いの状況等を迅速に調査し,その適切な措置について保護管理者に協議するものとする。
3
苦情の処理は,必要があると認めるときは保護管理者のもとで行わなければならない。
4
苦情の処理結果は,必要があると認めるときは苦情を申し出た者に書面で通知するものとする。
第8章 雑則
(点検,評価及び見直し)
第22条
保護管理者は,保有個人情報の記録媒体,処理経路,保管方法等について,定期に及び必要に応じ随時に点検を行い,必要があると認めるときは,その結果を総括保護管理者に報告するものとする。
2
保護管理者は,監査又は点検の結果等を踏まえ,実効性の観点から保有個人情報の適切な管理のための措置について評価し,必要があると認めるときは,その是正措置を講じなければならない。
(規程の細目及び運用)
第23条
この規程の実施に必要な事項は,別に定める。
附 則
この規程は,平成17年4月1日から施行する。
附 則(平成19年10月10日)
この規程は,平成19年10月10日から施行する。
附 則(平成22年4月1日)
この規程は,平成22年4月1日から施行する。
附 則(平成24年4月1日)
この規程は,平成24年4月1日から施行する。
附 則(平成30年3月1日)
この規程は,平成30年3月1日から施行する。
附 則(平成30年10月1日)
この規程は,平成30年10月1日から施行する。
附 則(令和2年3月30日規程第74号)
この規程は,令和2年4月1日から施行する。
附 則(令和4年3月22日岐大規程第63号)
この規程は,令和4年4月1日から施行する。