済 生 会 二 日 市 病 院 個人情報保護規定集 社 会 福 祉 法 人 恩賜 財団 済生会二日市病院 目 次 済生会二日市病院 個人情報保護方針................... 1page 個人情報のお取り扱いについて...................... 2page 済生会二日市病院 個人情報保護規定................... 7page 個人情報保護計画書...........................17page 1.個人情報保護のための責任者、管理者、担当者の責任・権限と業務 ..18page (1)個人情報管理体制......................18page (2)個人情報保護のための責任者、管理者、担当者の業務......19page 2.研修計画.............................21page (1)年間計画..........................21page (2)個別研修コース.......................21page 3.個人情報の特定と危機対策.....................23page (1)個人情報を記録したシステム、媒体(重要資産)の識別.....23page (2)危機の調査・分析に基づく対応策の策定、実施、評価、改善...24page (3)個人情報の取り扱い例....................24page 4.法令・規範等の一覧........................41page 5.個人情報保護監査計画.......................41page (1)監査時期..........................41page (2)監査担当者.........................41page (3)監査対象..........................41page (4)監査方法..........................42page (5)監査報告書.........................43page 6.個人情報保護委員会........................44page (1)個人情報保護委員会メンバー表................45page (2)個人情報保護委員会規定...................46page 済生会二日市病院 個人情報保護方針 当院は、当院が保有する、患者さんや関係者の個人情報について、個人情報保護に関す る法令およびその他の規範を遵守し、かつ自主的なルールおよび体制を確立し、以下の個 人情報保護方針を定め、これを実行し維持することに努めます。 1. 患者さんから個人情報を収集させていただくにあたり、適法かつ公正な手段によっ て行います。また、収集目的、当院の問合せ窓口等の必要事項を明示したうえで、必 要な範囲の個人情報を収集させていただきます。 2. 個人情報の利用は、収集目的の範囲内で、業務の権限を与えられた職員のみが必要 な限りにおいて行います。 3. 原則として、個人情報を第三者に開示、提供および預託をすることはありません。 ただし、診療、医療費請求、行政機関等からの要請、医学研究等公共的要請により個 人情報を第三者に提供する時は、法令上必要な措置を講じます。 また、個人情報を共同利用や、業務委託のために第三者に預託する場合は、当該第 三者について調査を行い、守秘契約等によって業務委託先に個人情報保護を義務付け、 その他法令上必要な措置を講じます。 4. 個人情報の紛失、破壊、改ざん、および漏えい等を防止するため、不正アクセス対 策、ウイルス対策等の情報セキュリティ対策を行います。 5. この方針を当院の職員、その他関係者に周知徹底させて実行し、改善・維持してま いります。 6. 当院は、患者さんがご自身の個人情報の開示、訂正、利用停止等の権利を有してい ることを確認し、患者様からのこれらの要求に対して異議なく応じます。 また、このための受付窓口を設置し、公表します。 平成23年4月1日 〒818-8516 福岡県筑紫野市湯町三丁目13番1号 恩 賜 社会福祉法人 院長 間野 正衛 - 1 - 財 団 済生会二日市病院 個人情報のお取り扱いについて 平成23年4月1日 〒818-8516 福岡県筑紫野市湯町三丁目13番1号 社会福祉法人 恩 賜 財 団 済生会二日市病院(個人情報取扱事業者) 院長 間野 正衛 当院は、患者さんからの診療の申し込みおよび診療行為を通して患者様の個人情報を保 有しております。この書面はこのたびの診療申し込みに伴い入手する患者さんの個人情報 の保護とお取り扱いにつきまして、個人情報保護法の規定に従い説明するものです。 1.個人情報に対する当院の基本的姿勢 当院は、個人情報保護法の趣旨を尊重し、患者さんの個人情報を厳重に管理し、これ を担保するために「個人情報保護方針」「個人情報保護規定」「個人情報保護計画」を 定め実行してまいります。 2.当院が保有する患者さんの個人情報 (1)初診の受け付け時に入手する個人情報 No 1 書類名 診察申込書 2 健康保険被保険者証 3 診療情報提供書・紹介状 内容等 住所、氏名、生年月日、年齢、症状、既往歴等 識別記号・番号、保険者番号、保険者、有効期限、氏名、生年月 日、資格取得年月日、交付年月日、世帯主氏名、住所 氏名、住所、電話番号、生年月日、年齢、性別、職業、傷病名、紹介 目的、既往歴及び家族歴、症状経過及び検査結果、診療経過、現 在の処方等 (2)入院時に入手する個人情報 No 書類名 1 入院患者名簿 2 入院診療計画書 3 事前情報収集書・紹介状 内容等 氏名、生年月日、性別、入院年月日、本籍地、住所、電話番号、紹 介者氏名、保証人又は身元引受人住所・氏名、連絡先等 氏名、年齢、入院年月日、入院期間(見込み)、傷病名、症状、検査 内容、治療計画、看護計画、リハビリ計画等 氏名、年齢、性別、入院年月日、傷病名、連絡先、入院までの経過、 既往疾患、身体計測結果、血液型、生活パターン、家族構成、食事状 況、排泄状況、睡眠状況、清潔習慣、コミュニケション状況、活動、 嗜好等 (3)診療中に入手する個人情報 No 1 2 3 4 書類名 内容等 氏名、性別、年齢、生年月日、ID番号、診療内容、症状等 診療録 検査記録(検査依頼票、検査 氏名、性別、年齢、生年月日、ID番号、検査内容、検査結果等 結果票、検査所見等) 看護記録 氏名、性別、年齢、生年月日、ID番号、看護内容、患者の状況等 氏名、性別、年齢、生年月日、ID番号、リハビリテーション計画、リハ リハビリテーション記録 ビリテーション内容、患者の状況等 - 2 - 5 6 7 相談記録 同意書(輸血療法同意書等) 各種指示箋 処 方 箋 8 (院内処方箋、院外処方箋) 9 請求情報 10 画像データ 氏名、性別、年齢、生年月日、ID番号、相談内容、相談結果等 氏名、性別、年齢、生年月日、ID番号、同意事項等 食事・栄養指示、リハビリテーションの指示等 氏名、性別、年齢、生年月日、ID番号、処方内容等 請求内容、請求金額、支払い状況等 X線フィルム、CTフィルム等の画像データ (4)退院時に入手する個人情報 No 1 退院サマリ 書類名 2 看護サマリー 内容等 氏名、生年月日、診断、経過、退院時処方等 氏名、生年月日、診断名、既往歴、看護経過、現症、家族関係、血 液型、処方・処置等 ①診療録は法律で5年間の保存が義務付けられております。 ②診療録等は診療情報管理課で安全に保管されます。 3.患者さんの個人情報の開示・利用・提供 (1)診療等の目的のための開示・利用・提供 診療の申し込み、診療行為等を通して蓄積された個人情報は、診療等のため必要に 応じて以下のために利用されます。 No 1 2 3 4 5 6 7 利用目的 院内において診療方法、看 護方法、リハビリテーション方 法、介護方法を検討し、適切 な判断をし、これらの計画を 立てるため 第三者の評価・意見を求める ため 画像診断、病理診断を他に 依頼するため 患者さんが他の介護サービ ス、訪問看護サービス等を利 用される場合の情報提供 検査を行うため 診療に必要な薬剤を提供す るため 名札を作成するため 提供先 利用する個人情報 診療・看護・リハビリテーショ ン・介護の関係者 診療録、看護記録、、検査記録、リハビリ テーション記録、介護記録、処方箋、指 示箋、X線・CT等のフィルム類、写真等 のうち必要なもの 他の医療機関等(医師) 同上 他の医療機関等(医師) X線・CT等のフィルム類、写真等 検体 他の事業者 看護記録、介護記録、リハビリテーション 記録等 検査委託先 検査箋、検体 薬局 処方箋 医療事故を防止するために 病室、ベット等に氏名を表示 診療科、ご氏名 します。 (2)診療目的以外での開示・利用・提供 患者さんの個人情報は、患者さんの診療等以外に医療費請求、医学研究、教育、行 政機関からの要請に応じる等のため必要に応じて以下のように利用(提供)されます。 No 1 2 3 利用目的 医療費請求のため 提供先 審査支払機関、保険者等 他の医療機関等で診療を受 けている患者さんの診療のた 他の医療機関等への提供 め 新薬の治験のため 製薬会社 - 3 - 利用する個人情報 レセプト情報(氏名、被保険者番号、請求 内容、請求内訳、請求金額等) 患者さんが現に受診している他の医療機 関等から要請があった場合、診療録等を 開示することがあります。 個別に事前同意を取得します。 他の医療機関、研究機関等 当院の研究者学会、出版機 個別に事前同意を取得します。 関 4 医学研究、学術研究のため の提供、共同利用 5 厚生労働省、都道府県、市 区町村、審査支払機関、健 康保険組合等、児童相談 関係行政機関等の要請によ 関係行政機関等からの法令に基づく要 所、裁判所、配偶者暴力相 る照会・届出・調査・検査・実 請、当院が必要な届出等のために、診療 談支援センター、警察、医療 施指導のため 録等を開示することがあります。 監視員、薬事監視員、保護 観察所長、社会保険診療報 酬支払基金等 6 外部監査を受けるため 外部評価機関から監査の必要性から要 財団法人日本医療機能評価 請があった場合、診療録等を開示するこ 機構、会計監査法人等 とがあります。 7 事件捜査、裁判等のため 警察、裁判所、弁護士会等 情報が限定され、かつ当院が合理性を認 めた場合、照会してきた機関に診療録等 を開示することがあります。 院内委員会、都道府県、市 ご氏名、事故内容等 区町村等 院内委員会、都道府県、市 9 医薬品副作用報告のため ご氏名、事故内容等 区町村等 保険会社からの照会に応じる 生命保険会社、損害保険会 10 個別に事前同意を取得します。 ため 社 11 再検査を勧めるため 郵便番号、住所、ご氏名、検査名 医学研究等の公共的目的と 12 した事業を遂行するために寄 郵便番号、住所、ご氏名 付を求めるため 8 事故報告のため 13 ご家族等へ通知するため 患者さんの配偶者・両親・子 症状、経過、見通し等の医療情報、支払 供、保証人および患者様が 情報を開示することがあります。 特に指定された方 14 入院患者名簿作成のため この入院患者名簿は窓口の 受け付け担当者に提供され ます。特に患者さんからのお 申し出がない限り、問い合わ 氏名、病室名 せ者から患者さんの氏名を告 げられたときは、入院の有 無、病室だけを開示します。 15 実習生の教育のため 当院が受け入れた診療、看 実習目的に応じて診療録、検査記録、看 護、リハビリテーション、介護 護記録、リハビリテーション記録、相談記 の実習生 録、介護記録を開示することがあります。 ①上記のうち3及び4の利用(提供)については、あらかじめ患者さん本人に承諾を求 めます。この場合、患者さんは拒絶することができます。 ②上記のうち3及び4の利用(提供)にあたっては、ご住所・ご氏名の匿名化、顔写真 のマスキングを行い、できる限り個人が特定できないように配慮いたします。 ③上記のうち11から15の利用は患者さんのお申し出がありました場合は利用を停止します。 ④上記のうち承諾が必要な事項のうち、患者さんが未成年者、意思決定能力・判断能力 を有しないと当院が判断した場合は法定代理人に対して承諾を求めます。 ⑤当院は、届け出のあったご家族を除き、患者さん以外には患者様の病名、症状、診療 予定等を開示いたしません。保証人様については請求状況、支払い状況を開示いたし ます。ただし、患者さんの正しい氏名の告知があった場合、入院の有無と病室は開示 いたします。 - 4 - 4.患者さんの権利 患者さんは以下の権利を有します。 (1)当院の医師等が作成した物理的な診療録等(用紙)は当院の所有ですが、そこに 記述されている情報は患者さんのものです。 (2)患者さんは、患者様の個人情報の開示・利用・提供について制限を求めることが できます。 (3)患者さんは、当院が保有している患者様の個人情報について訂正・追加・削除、 消去、利用停止、第三者への提供の停止を求めることができます。当院が負って いる法的義務履行のために応じられない場合もありますので、下記6.お問い合 わせ先までご連絡ください。 5.診療録等の開示 患者さんは、患者さんご本人の診療録等への記載内容の開示等を求めることができま す。診療録等の開示のお申し出があった場合、ただちに担当医師と開示の可否について 協議しその結果を通知します。当院が有する患者さんの個人情報は極めて専門的かつ高 度なプライバシー情報のため、合意した日時にご来院いただき担当医師等が説明いたし ます。当院の規定に基づく手数料をお支払いいただくことによりコピーも入手できます。 本人であることを証明できる資料(運転免許証、保険証等)をお持ちください。 6.お問い合わせ先 開示請求、苦情・訂正・利用停止等の申し出は以下にお願いします。 個人情報管理責任者 院長 間野 正衛 苦情・相談窓口/診療情報管理課 事務局/企画調査課 TEL 092-923-1551 FAX 092-924-5210 E-MAIL [email protected] 7.当院の義務 当院が有する個人情報は極めて高度なプラバシー情報のため、当院は以下の義務を負 います。 (1)患者さんの事前の承諾なしに、患者様の個人情報を本規定及び法令に定める以外 に利用、開示、提供しません。 (2)患者さんの診療終了後も個人情報を厳重に管理します。 (3)当院の従業者に対して個人情報保護のための教育を定期的に行います。 (4)患者さんの個人情報を保護するために「セキュリティ管理計画」を立案しセキュ リティ対策を講じます。 (5)患者さんの個人情報処理を外部に委託するときは、必要な契約を締結し、適切な 管理・監督を行います。 - 5 - (6)患者さんの個人情報を廃棄するときは、溶解・焼却等の方法により安全かつ完全 に削除・消去いたします。 8.外部委託 当院は患者さんの診療等のために一部の業務を外部専門会社に委託しておりますが、 それぞれの会社と守秘契約を締結しています。(別紙参照) ◆当院の「個人情報保護方針」は、http://www.saiseikai-futsukaichi.org をご参照ください。 ◆本文面と同様の書面は、受け付け窓口で入手できます。 - 6 - 済生会二日市病院 個人情報保護規定 第1章 総 則 (目 的) 第1条 この規定は、当院個人情報保護方針に基づく当院が取り扱う当院職員以外の個人情報 の適切な保護のための基本規定であり、本規定に基づき「個人情報保護計画」を策定し、 実施、評価、改善を行っていくとともに、当病院職員はこの規定に従って個人情報を保 護していかなければならない。当院職員の個人情報の取り扱いについては別に定める。 (本規定の対象) 第2条 この規定は、当院において、その全部又は一部がコンピュータ等の自動的手段により 処理されている個人情報及び手作業により処理されている個人情報であって、組織的に 保有するファイリングシステムの全部又は一部をなすものを対象とする。 (定 義) 第3条 この規定おいて、次の各号に掲げる用語の意義は、当該各号に定めるところによる。 (1) 個人情報 生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の 記述等により特定の個人を識別することができるもの(他の情報と容易に照合する ことができ、それにより特定の個人を識別することができることとなるものを含む。 )をいう。 (2) 情報主体 一定の情報によって識別される、又は識別され得る個人をいう。 (3) 病 院 長 病院長は、当院における個人情報保護全般について、統括的責任と権限を有する。 (4) 個人情報保護委員会 個人情報保護計画の策定、実施、評価、改善等の個人情報保護のための具体的な業 務を実施する。委員長は、病院長の任命による。 (5) 個人情報保護委員 各部門において個人情報保護計画等に基づく個人情報保護のための業務を実施する。 病院長によって選任され、原則として各部署の長が就任する (6) 個人情報保護担当者 個人情報のコンピュータへの入力・出力、台帳・診察申込書等の個人情報を記載し た帳票・帳表を保管・管理等する担当者をいう。個人情報保護委員の推薦により、 病院長が任命する。 (7) 担 当 者 医師、看護師等日常業務上、個人情報を取り扱う担当者をいう。 - 7 - (8) 個人情報保護監査責任者 病院長から選任され、個人情報保護委員会から独立した公平かつ客観的な立場にあ り、監査の実施及び報告を行う権限を有する者をいう。 (9) 個人情報保護計画 個人情報を保護するための方針、組織、計画、実施、監査及び見直しを含むマネジ メントシステムをいう。 (10) 預 託 当病院以外の者にデータ処理等の委託のために当病院が保有する個人情報を預ける ことをいう。 (11) 当院職員 医師、看護師、療法士、事務職員、その他職員、実習生、パートタイマー、派遣労 働者、顧問、委託契約に基づき当病院内で当病院の業務施設の業務を行う者をいう。 第2章 個人情報の収集 (収集の原則) 第4条 1.個人情報の収集は、収集目的を明確に定め、その目的の達成に必要な限度におい て行わなければならない。 2.新しい目的で個人情報を収集するときは、担当者は個人情報保護委員に届け出な ければならない。 3.前項の届け出を受けた個人情報保護委員は、直ちに個人情報保護委員長と協議し て、病院長の承諾を得なければならない。 4.新しい目的での個人情報の収集は、病院長の承諾を得て、病院長が必要な措置を 講じた後でなければならない。 (収集方法の制限) 第5条 1.個人情報の収集は、適法、かつ公正な手段によって行わなければならない。 2.新しい方法又は間接的に個人情報を収集するときは、担当者は個人情報保護委員 に届け出なければならない。 3.前項の届け出を受けた個人情報保護委員は、直ちに個人情報保護委員長と協議し て、病院長の承諾を得なければならない。 4.新しい方法又は間接的な個人情報の収集は、病院長の承諾を得て、病院長が必要 な措置を講じた後でなければならない。 (特定の機微な個人情報の収集の禁止) 第6条 次に示す内容を含む個人情報の収集、利用又は提供を行ってはならない。 (1) 思想、信条及び宗教に関する事項。 (2) 人種、民族、門地、犯罪歴、その他社会的差別の原因となる事項。 (3) 勤労者の団結権、団体交渉及びその他団体行動の行為に関する事項。 (4) 集団示威行為への参加、請願権の行使及びその他の政治的権利の行使に関する事項。 - 8 - (情報主体から対面で個人情報を直接収集する場合の措置) 第7条 情報主体から対面で直接に個人情報を収集する場合、担当者は情報主体に対して、次 に示す事項を記載した書面を交付しなければならない。 (1) 個人情報に関する問い合せ部署名及び連絡先。 (2) 収集目的。 (3) 個人情報を第三者に提供することが予定される場合には、その目的、当該情報の受 領者及び個人情報の取り扱いに関する契約の有無。 (4) 個人情報をデータ処理等のために第三者に預託することが予定される場合には、そ の旨。 (5) 個人情報の開示を求める権利及び開示の結果、当該情報が誤っている場合に訂正、 追加、削除を要求する権利の存在並びに情報主体が当該権利を行使するための具体 的な方法。 (6) 個人情報の収集後における利用を拒絶する権利の存在及び情報主体からの当該個人 情報の消去、利用停止等の具体的な方法。 (7) 情報主体が個人情報を与えることの任意性。 (8) 情報主体が当該情報を与えなかった場合及び情報主体が当該個人情報の消去・利用 停止措置をとった場合に情報主体に生じる結果。 (9) 個人情報を第三者と共同で使用する場合は、その旨。 (10) 廃棄する場合の基準と廃棄方法。 (11) その他個人情報保護法が定める事項。 (インターネットホームページへの掲載、院内へ掲示) 第8条 病院長は、当院個人情報保護方針及び第7条各号に掲げる事項を当院インターネット ホームページに掲載するとともに院内に掲示しなければならない。 (間接的に個人情報を収集する場合の措置) 第9条 情報主体以外から間接的に個人情報を収集する場合、病院長は、以下の措置を講じな ければならない。 (1) 当院インターネットホームページに第7条各号に掲げる事項を掲示すること。 (2) 個人情報の提供者が適法かつ公正な手段によって当該個人情報を収集し、第三者へ 提供するために必要な情報主体の同意若しくは必要な措置を講じていることを確認 すること。 (3) 個人情報の提供者より当該個人情報が適法かつ公正な手段により収集されたことを 記した書面の交付を受けること。 第3章 個人情報の利用 (利用範囲の制限) 第10条 1.個人情報の利用は、原則として収集目的の範囲内で、具体的な業務に応じ権限を - 9 - 与えられた者のみが、業務の遂行上必要な限りにおいて行うものとする。 2.病院長の承諾を得ないで、個人情報の目的外利用、第三者への提供・預託、通常 の利用場所からの持ち出し、外部への送信等の個人情報の漏えい行為 をしてはな らない。 3.当院職員は、業務上知り得た個人情報の内容をみだりに第三者に知らせ、又は不 当な目的に使用してはならない。その業務に係る職を退いた後も同様とする。 (目的内の利用の場合の措置) 第11条 収集目的の範囲内で行う当院の個人情報の利用は、次の(1)から(5)までに掲げるい ずれかの場合にのみこれを行うことができる。 (1) 情報主体が同意を与えた場合若しくは同等の措置を講じた場合。 (2) 情報主体が当事者である契約の準備又は履行のために必要な場合。 (3) 当院が従うべき法的義務の履行のために必要な場合。 (4) 情報主体の生命、健康、財産等の重大な利益を保護するために必要な場合。 (5) 監督行政機関、警察、裁判所等の公的機関からの法令に基づく権限の行使による開 示請求等があった場合。 (目的外の利用の場合の措置) 第12条 収集目的の範囲を超えて個人情報の利用を行う場合又は前条(1)号から(5)号までに 掲げるいずれの場合にも当たらない個人情報の利用を行う場合においては、病院長は第 7条各号に掲げる事項を書面により通知し、あらかじめ情報主体の同意を得るか、又は その旨を事前に当院インターネットホームページ、院内に掲示して情報主体に拒絶の機 会を与えなければならない。 (個人情報の入出力、保管等) 第13条 個人情報のコンピュータへの入力・出力、台帳・申込書等の個人情報を記載した帳票 ・帳表の保管・管理等は、個人情報保護担当者が行わなければならない。 第4章 個人情報の適正管理 (個人情報の正確性の確保) 第14条 1.病院長は、個人情報を利用目的に応じ必要な範囲内において、正確かつ最新の状 態で管理しなければならない。 2.定期的に情報主体に通知等をしている場合、担当者は、通知の中に次の事項を記 した届け出様式等を入れて通知しなければならない。 (1) 個人情報の開示を求める権利及び開示の結果、当該情報が誤っている場合に訂正、 追加、削除を要求する権利の存在並びに情報主体が当該権利を行使するための具体 的な方法。 (2) 個人情報の収集後における利用を拒絶する権利の存在及び情報主体からの当該個人 情報の消去、利用停止等の具体的な方法。 - 10 - (個人情報の安全性の確保) 第15条 病院長は、個人情報への不当なアクセス又は個人情報の紛失、破壊、改ざん、漏えい 等の危険に対して、「セキュリティ管理規定」を策定し、実施、普及、評価、改善をし なければならない。 (個人情報の委託処理等に関する措置) 第16条 1.情報処理や作業を新規に第三者に委託するために、個人情報を第三者に預託する 場合においては、担当者は事前に個人情報保護委員に届け出なければならない。 2.個人情報保護委員は、以下の各号の措置を講じ病院長の承諾を得てから基本契約 を締結しなければならない。基本契約締結後に個別契約を締結し、当該個人情報の 預託は、個別契約締結後にしなければならない。 (1) 個人情報の預託先について預託先責任者との面接、預託先の情報処理施設の現場視 察を実施し、個人情報保護及びセキュリティ管理の水準が当院と同等以上であるこ とを確認すること。 (2) 個人情報の預託先について直近2年間の決算書類を入手し、特に累積欠損、負債額 に注目して財務的な安全性を確認すること。 (3) 次の事項を入れた基本契約書案を作成すること。 ①守秘義務の存在、取り扱うことのできる者の範囲に関する事項。 ②預託先における個人情報の秘密保持方法、管理方法ついての事項。 ③預託先の個人情報の取扱担当者に対する個人情報保護のための教育・訓練に関す る事項。 ④契約終了時の個人情報の返却及び消去に関する事項。 ⑤個人情報が漏えい、その他事故の場合の措置、責任分担についての事項。 ⑥再委託に関する事項。 ⑦当院からの監査の受け入れについての事項。 3.個別契約に基づき個人情報を預託先に提供するときは、担当者は前項(3)号 の事項を記した書面を預託先に交付して、注意を促さなければならない。 4.委託中、担当者は、預託先が当病院との契約を遵守しているかどうかを確し、 万一、契約に抵触する事項を発見したときは、その旨を個人情報保認護委員 に通知しなければならない。 5.前項の通知を受けた個人情報保護委員は、直ちに病院長と協議して個人情報 の預託先に対して必要な措置を講じなければならない。 6.個人情報保護委員は、年に一度以上、個人情報の預託先責任者との面接、預 託先の情報処理施設の現場視察を実施し、監査しなければならない。 7.病院長は、本条に基づき作成された基本契約、個別契約、監査報告書、通知 書等の文書(電磁的記録を含む)を当該個人情報の預託先との個別契約終了 後7年間保存しなければならない。 - 11 - (個人情報の第三者への提供、開示・公表) 第17条 1.個人情報の第三者への提供(開示・公表)を禁止する。ただし、業務上あるいは 公共上の要請により担当者が第三者への提供の必要性を認めた場合、個人情報保護 委員に届け出るものとする。 2.前項の通知を受けた個人情報保護委員は、直ちに病院長と協議して、病院長の承 諾を得なければならない。 3.第三者への提供は、病院長の承諾を得て、病院長が必要な措置を講じた後でなけ ればならない。 (個人情報の共同利用) 第18条 1.個人情報を第三者との間で共同利用する場合、担当者は個人情報保護委員に届け 出なければならない。 2.前項の通知を受けた個人情報保護委員は、直ちに病院長と協議して、病院長の承 諾を得なければならない。 3.個人情報の共同利用は、病院長の承諾を得て、病院長が必要な措置を講じた後で なければならない。 第5章 自己情報に関する情報主体からの諸請求に対する対応 (自己情報に関する権利) 第19条 1.当院が保有している個人情報について、情報主体から自己の情報について開示を 求められた場合、病院長は、遅滞なく当該情報主体に対して当院が保有している当 該情報主体の個人情報(当該個人情報が存在しない場合はその旨)を、当該情報主 体の希望する方法で開示できるように必要な措置を講じなければならない。 2.開示した結果、誤った情報があった場合で、訂正、追加又は削除を求められたと きは、病院長は、遅滞なく訂正等を行い、訂正等の後、遅滞なく情報主体に対して 通知をしなければならない。 (自己情報の利用又は提供の拒否権) 第20条 当院が保有している個人情報について、情報主体から自己情報についての利用又は第 三者への提供を拒まれた場合、これに応じなければならない。ただし、監督行政機関、 警察、裁判所等の公的機関からの法令に基づく権限の行使による開示請求等又は当院の 法令に定められている義務の履行のために必要な場合については、この限りでない。 第6章 管理組織・体制 (個人情報保護委員会) 第21条 1.病院長は、当院の保有する個人情報の管理体制を構築し、保護対策を推進管理す るため、病院長直属の個人情報保護委員会を設置する。 2.病院長は、個人情報保護委員長を選任し、「情報セキュリティ管理委員長」を兼 務することとする。 - 12 - 3.病院長は、各部門に1名以上の個人情報保護委員を選任し、自己に代わり必要な 個人情報保護についての業務を行わせ、これを管理・監督しなければならない。原 則として各部署の長をあてる。 4.病院長は部門に所属する者のなかから、個人情報保護委員の推薦により、必要な 人数の個人情報保護担当者を選任しなければならない。 (個人情報保護監査責任者) 第22条 1.個人情報保護監査責任者は、個人情報保護委員会から独立した公平かつ客観的な 立場にあり、監査の実施及び報告を行う権限を有し、病院長が選任する。ただし、 病院外の第三者に監査業務を委託することを妨げない。 2.個人情報保護監査責任者は、年1回、個人情報保護計画に従い、監査を実施し、 監査結果を病院長に報告しなければならない。 (個人情報保護苦情・相談窓口の設置) 第23条 病院長は、個人情報及び個人情報保護計画に関しての苦情・相談を受け付けて対応す る窓口を常設し、この連絡先を情報主体に告知しなければならない。 第7章 個人情報保護委員会の構成と責務 (構 成) 第24条 1.病院長の任命により委員長をおく。 2.個人情報保護委員長は定期、および随時に委員会を招集する。委員会は少なくと も半年に一度開催する。 3.個人情報保護委員は、原則として各部署の長が任命され、各部署内において個人 情報保護対策を推進する責任を有する者とし、委員として委員会に参加する。 4.個人情報保護担当者は、保護対策の実施にあたり個人情報保護委員を補佐する者 とし、委員として委員会に参加する。 5.委員長は、情報システムや法律の専門家等の外部の者や情報システム担当部署の 職員を非常勤委員として参加させ、意見を述べさせることができる。 6.事務局は、企画調査課が行う。 (個人情報の特定とリスク調査) 第25条 1.個人情報保護委員会は、当院が保有するすべての個人情報を特定し、危機を調査 ・分析するための手順・方法を確立し、維持しなければならない。 2.個人情報保護委員会は、各部門ごとに前項の手順に従って各部門における個人情 報を特定して、特定した個人情報に関する危機(個人情報への不正アクセス、個人 情報の紛失、破壊、改ざん及び漏えいなど)を調査・分析の上、適切な保護措置を 講じない場合の影響を認識し、必要な対策を策定し、維持しなければならない。 (法令及びその他の規範) 第26条 個人情報保護委員会は、個人情報に関する法令及びその他の規範を特定し、参照でき る手順を確立し、維持しなければならない。 - 13 - (個人情報保護計画の策定) 第27条 1.個人情報保護委員会は、個人情報を保護するために必要な個人情報保護計画を年 1回立案して文書化し、かつ実施、評価、改善をしなければならない。 2.個人情報保護計画には次の事項を入れなければならない。 (1) 個人情報の特定と危機対策 ①個人情報を記録したシステム、媒体の特定 ②個人情報に対する危機の識別 ③危機の調査・分析に基づく対応策の策定、実施、評価、改善 (2) 個人情報保護のための責任者、管理者、担当者の業務と業務方法 ①個人情報保護委員会 ②個人情報保護委員 ③個人情報保護担当者 ④個人情報保護苦情及び相談窓口 ⑤担当者 ⑥個人情報保護監査責任者 (3) 研修実施計画 ①個人情報保護委員、個人情報保護担当者、苦情及び相談窓口、個人情報保護 監査責任者に対する研修実施計画(研修項目、時間割、講師、日程、予算) ②一般従業者に対する研修実施計画(研修項目、時間割、講師、日程、予算) (4) 委託先に対する監査計画及び必要な場合の研修計画 ①監査体制、日程、監査方法、監査報告様式 ②委託先研修実施計画(研修項目、時間割、講師、日程、予算) (本規定等の見直し) 第28条 個人情報保護委員会は、監査報告書及びその他の経営環境等に照らして、適切な個人 情報の保護を維持するために、少なくとも年1回本規定及び本規定に基づく個人情報保 護計画を見直し、病院長の承認を得なければならない。 (文書の管理) 第29条 個人情報保護委員会は、この規定に基づき作成される文書(電磁的記録を含む)を管 理しなければならない。 (研修実施) 第30条 1.個人情報保護委員会は、当院従業者その他個人情報の預託先等の関係者に対して、 個人情報保護計画に基づき次のような研修を行い、評価しなければならない。 (1)個人情報保護法の内容 (2)個人情報保護方針、本規定の内容 (3)個人情報保護計画の内容と役割分担 (4)セキュリティ教育 - 14 - 2.個人情報保護委員会は、個人情報保護委員に対して下記のような研修を行い、評 価しなければならない。 (1)個人情報保護法の内容 (2)個人情報保護方針、本規定の内容と個人情報保護委員の役割 (3)個人情報保護計画の内容と個人情報保護委員の役割 (4)セキュリティ管理教育 (5)個人情報の預託先の調査と監査 (6)個人情報の漏えい事故等が発生した場合の対応 3.個人情報保護委員会は、第1項、前項の研修を効果的に行い、個人情報の重要性 を自覚させる手順・方法を確立し維持しなければならない。 第8章 監査 (監査計画) 第31条 1.個人情報保護監査責任者は、年1回個人情報保護のための監査計画を立案し、病 院長の承認を得なければならない。 2.監査計画には次の事項を入れなければならない。 (1)監査体制 (2)日 程 (3)監査方法 (4)監査報告様式 (監査の実施) 第32条 1.個人情報保護監査責任者は、本規定及び個人情報保護計画が、日本工業規格「個 人情報保護に関するコンプライアンス・プログラムの要求事項」(JIS Q15001)の 要求事項と合致していること及びその運用状況を監査しなければならない。 2.個人情報保護監査責任者は、監査を指揮し、監査報告書を作成し病院長に報告し なければならない。 3.個人情報保護委員会は、監査報告書を管理し、保管しなければならない。 第9章 廃 棄 (個人情報の廃棄) 第33条 1.個人情報を廃棄する場合は、シュレッダーにかけて読み取り不能にした上で信頼 できる廃棄物処理業者に廃棄を委託する。 2.個人情報を記録したコンピュータ、記憶媒体を廃棄するときは、特別のソフトウ ェアを使用して個人情報を完全に消去するか記憶媒体を物理的に破壊してから廃棄 する。 - 15 - 第10章 罰 則 3.個人情報を記録したコンピュータを他に転用するときは、特別のソフトウェアを 使用して個人情報を完全に消去してから転用する。 4.個人情報の廃棄作業は個人情報保護担当者が行う。 5.廃棄の基準について、情報主体に告知しなければならない。 (罰 則) 第34条 1.当病院は、本規定に違反した職員に対して就業規則に基づき懲戒を行わなければ ならない。 - 16 - 個人情報保護計画書 (平成17年4月1日策定) - 17 - 1.個人情報保護のための責任者、管理者、担当者の責任・権限と業務 (1)個人情報管理体制 ①組 織 個人情報保護管理責任者〔院 長〕 個人情報保護監査責任者〔副院長〕 個人情報保護委員長〔副院長〕 個人情報保護委員 個人情報保護委員会 苦情・相談窓口 副院長・看護部長・事務部長・医局長・ 〔診療情報管理課長〕 副看護部長・医療安全管理室長・外来看 事務局 護課長・手術室看護課長・透析室看護課 〔企画調査課係長〕 長・病棟看護課長〔3名〕・薬剤部長・ 放射線部技師長・検査部技師長・リハビ リ部主任・栄養部科長・総務課長・経理 課長・健康管理課長・地域医療連携室課 長・医事課長・施設課長 担当者 個人情報利用者 ②規定体系(セキュリティ・個人情報保護関係) 情報セキュリティ基本方針 個人情報保護方針 就業規定(懲罰規定) 個人情報保護規定 情報セキュリティ基本規定 ガイダンス 様式・チェックリスト ※すべての文書は、作成者、承認者、発行日、改訂履歴を記す。 - 18 - (2)個人情報保護のための責任者、管理者、担当者の業務 職 名 施 設 長 個人情報保護委員会 (委員長) 業 務 ①基本事項 a個人情報保護委員会の設置、委員長、委員、担当者の選任と指揮・監督 ②協議と承諾 a新しい目的で個人情報を収集・利用するときの協議と通知若しくは同意、 公表手続きの決定 b新しい方法又は間接的に個人情報を収集するときの協議と通知若しくは同 意 、公表手続きの決定 c個人情報を共同利用するときの協議と通知若しくは同意、公表手続きの決 定 d個人情報の第三者への提供、目的外使用をするときの協議と通知若しくは 同意、公表手続きの決定 ③公表用文書の作成とインターネット・施設内への掲示 a個人情報保護方針、情報主体の権利、訂正等の手続き等インターネットホ ームページ・施設内への掲示内容の決定と各種の必要な文書の作成 ④セキュリティ管理規定の策定 a個人情報への不当なアクセス等を防止するための「セキュリティ管理規定」 の策定 ⑤公的機関からの開示請求 a公的機関から個人情報の開示請求等があった場合の協議と承諾 ⑥外部委託 a個人情報を第三者に預託する場合の預託先、契約内容等についての協議と 通知若しくは同意、公表手続きの決定 b個人情報を第三者に預託する場合の預託先の調査の実施 c基本契約書案等の作成と個人情報保護委員との協議 d個人情報の預託に伴う通知若しくは同意取得・公表 e預託先に契約違反行為があった場合の協議と必要な措置の決定 f預託先に対する監査の実施 g外部委託した場合の契約書、監査報告書等の文書の保管 ⑦情報主体からの開示請求に対する対応 a情報主体から開示、訂正・追加・削除、消去、使用停止等の請求があった 場合の対応 ⑧苦情対応窓口 a個人情報に関する苦情対応窓口の設置と管理 bその他個人情報の保護に必要な業務 ①基本事項 a当院が保有するすべての個人情報を特定するための手順・方法の確立と指 揮・監督 b危機調査・分析、対応方針策定の手順・方法の確立と指揮・監督 c個人情報に関する法令及びその他の規範の特定と公表、維持 d個人情報を保護するための個人情報保護計画の策定 e個人情報保護方針及び個人情報保護規定並びに個人情報保護計画に規定さ れた諸事項の実施についての指揮・監督、違反行為の是正 f監査報告書及び経営環境等の変化をもとにした、年1回の個人情報保護計 画等の評価、改善 g個人情報保護規定、個人情報保護計画等に基づいて作成される文書の管理 h当施設職員、個人情報の預託先等に対する効果的な研修方法、啓蒙方法の - 19 - 個人情報保護委員会 (各部署の長) 個人情報保護担当者 担 当 者 開発と実施の指揮・監督、評価・改善 i法令、個人情報保護の規定・計画等に抵触する恐れがある時は、その旨、 必要な措置を個人情報保護委員に書面で通知し、改善結果を確認する ②セキュリティ管理計画の策定 a個人情報への不当なアクセス等を防止するための「セキュリティ管理計画」 の実施、普及、評価、改善 ①協議 a新しい目的で個人情報を収集・利用するときの施設長との協議 b新しい方法又は間接的に個人情報を収集するときの施設長との協議 c個人情報を共同利用するときの施設長との協議 d個人情報の第三者への提供、目的外使用をするときの施設長との協議 eその他についての施設長との協議 ②情報主体からの開示請求等に対する対応 a管理する個人情報について情報主体から開示、訂正・追加・削除、消去、 使用停止等の請求があった場合の施設長への報告 b個人情報保護に関する苦情・相談、事故等の対応と施設長への報告 cその他個人情報の保護に必要な業務についての施設長への協力 ③個人情報を第三者に提供する場合、共同利用する場合の証明書の入手の指揮 ・監督 ④施設長の指揮を受けて個人情報を預託する場合の預託先の調査、基本契約案 ・個別契約案の作成、契約締結手続、預託先に対する必要な説明、個別契約 中・個別契約終了時における契約義務の履行確 ①基本事項 a個人情報の登録 b申込書等の保管 c個人情報管理者の指示に基づく個人情報の出力 d出力結果の保管 e個人情報の訂正、追加、削除 f個人情報の利用停止、消去 ②その他 a情報主体から自己の情報について開示、訂正・追加・削除、消去、使用停 止等の請求があった場合の必要事項の抽出 b個人情報保護に関する苦情・相談、事故等についての担当者への依頼 c苦情・相談窓口との連携による情報主体への必要な通知とその旨の記録 d個人情報、個人情報を記録したコンピュータ等の廃棄 e個人情報を第三者に提供する場合の情報主体からの同意取得・公表手続き の実施 f個人情報の共同利用をする場合の情報主体からの同意取得・公表手続きの 実施 g目的外利用をする場合の情報主体からの同意取得・公表手続きの実施 ①個人情報の収集 a個人情報の収集にあたっての情報主体への通知、同意取得 b間接的に個人情報を収集する場合の必要な調査と提供者からの証明書入手 及び証明書を入手できないときの必要な確認 ②個人情報の利用 a個人情報の正確性の確認 b個人情報の目的外利用、間接的な収集、共同利用、第三者への提供等をす る場合の個人情報保護委員への通知 c情報主体、公的機関等から個人情報の開示請求等があった場合の個人情報 - 20 - 個人情報苦情・ 相談窓口 個人情報保護監査 責任者 保護委員への通知及び回答の作成と説明 d相談・苦情の連絡があった場合の個人情報保護委員への通知及び回答の作 成と説明 e各種文書の個人情報保護委員への提出 a情報主体より苦情・相談等の連絡があった場合の受け付けと個人情報保護 委員への通知 b個人情報保護担当者、担当者から回答がないときの督促 c個人情報保護委員、担当者、個人情報保護担当者との連携による情報主体 への回答 d「苦情及び相談の内容」及び「回答書」の保管と施設長への報告 a監査計画の立案 b監査の実施と監査報告書の作成、提出 c監査報告書写しの保管 2.研修計画 (1)年間計画 ①定期コースは以下の2コースを実施する。 ②新任の当施設職員(役員、医師、看護師、療法士、介護士、事務職員、その他職員、実 習生、ボランティア、パートタイマー、派遣労働者、顧問、委託契約に基づき当施設内 で当施設の業務を行う者をいう)に対しては、随時、基礎コースと同等の内容を非集合 教育により教育する。 ③監査責任者に対しては、適宜、外部の研修を受講させる。 (2)個別研修コース 1.基礎コース ①研修名 ・セキュリティ管理・個人情報保護基礎講座 ②実施時期 ・毎年4月中にセキュリティ管理教育と併せて実施する。全従業者が1回は受講しなけ ればならないので、複数回実施する。 ③参加者 ・従業者のうち未受講者 ④会 場 ・当施設会議室 ⑤テキスト ・個人情報保護法における事業者の義務(内部制作テキスト) ・情報セキュリティガイダンス ・個人情報保護指針、個人情報保護規定 ⑥研修目的 ・当施設におけるセキュリティ対策、個人情報保護法の概要、個人情報保護策について。 - 21 - 説明できるようになる。 ・個人情報保護に反する行為、セキュリティを侵害する行為について判断できる。 ・重要資産、個人情報について正しい取り扱いができるようになる。 ・個人情報保護法に違反する行為、セキュリティを侵害する行為が発生した場合の初期 対応ができる。 ⑦研修プログラム テーマ 講師 時間 施設長 13:00から13:30 個人情報保護委員長 13:30から15:00 個人情報保護委員 15:15から17:00 医療倫理と個人情報保護、セキュリティ対策 1.セキュリティ事故、個人情報をめぐる事件例 と影響・教訓 2.セキュリティ一般教育 3.個人情報保護一般教育 ①個人情報保護法のポイント ②当施設の個人情報保護施策のポイント ③就業規則と罰則 4.各部門におけるセキュリティ及び個人情報取 り扱い教育(グループ討議) ①重要資産、個人情報と事故があった場合の 影響(討議) ②まとめ・重要資産、個人情報の取り扱い方 ⑧予算 ・内部の会議室、内部の講師のため、費用は計上しない。 ⑨研修後 ・研修実施日、内容、参加者、受講結果(テスト、アンケート等)の記録を5年間保管。 2.個人情報管理者就任時コース ①研修名 ・個人情報保護委員のためのセキュリティ管理・個人情報保護講座 ②実施時期 ・初めて個人情報保護委員に就任するとき。 ③参加者 ・個人情報保護委員(基礎コースを受講していること) ④方法 ・個人情報保護委員長が個別に説明する。 ⑤テキスト ・個人情報保護法における事業者の義務(内部制作テキスト) - 22 - ・個人情報保護指針、個人情報保護規定、個人情報保護計画書 ⑥研修目的 ・個人情報保護委員就任時に再度セキュリティ確保、個人情報保護の重要性を認識して もらい、部下を指導できるようになることを目的とする。 ・個人情報保護法の法律趣旨、概要、事業者の義務を一般従業者に説明できる。 ・個人情報保護委員の役割を理解して、遂行できる。 ・当施設の方針、規定、計画について一般従業者に説明できる。 ・当施設の方針、規定、計画に定められた実務を遂行できる。 ⑦研修プログラム テーマ 個人情報保護委員の役割 講師 時間 個人情報保護委員長 13:00から15:00 ⑧予 算 ・内部の会議室、内部の講師のため、費用は計上しない。 ⑨研修後 ・研修実施日、内容、参加者、受講結果(テスト、アンケート等)の記録を5年間保管。 3.個人情報の特定と危機対策 個人情報のセキュリティ対策を策定するためには、保有する個人情報資産の洗い出しを行い、 各情報資産のリスクを分析した上で取り扱いや管理の方法を策定する必要がある。 以下のプロセスで策定するものとする。 1.セキュリティ対策範囲の確定 2.情報資産台帳の策定 3.情報資産のリスク分析 4.取り扱い、管理方法等の策定 (1)個人情報を記録したシステム、媒体(重要資産)の識別 1.セキュリティ対策範囲の確定 個人情報の洗い出しを行うには、情報資産の収集方法や収集する項目、院内での情報の 流れや保管状況を明らかにする。 別表1 個人情報収集状況(例)参照 別表2 個人情報の流れと保管状況(例)参照 また、以下のセキュリティ対策範囲を策定し、情報資産やリスクのチェックを行う。 別表3 セキュリティ対策範囲の策定(例)参照 ①物理的な境界 ・建物の平面図等をもとにゾーン分けを行い、リスクのチェックを行う。 - 23 - ②ネットワーク上の境界 ・ネットワーク図を作成し、外部ネットワークとの接続点やサーバの設定等を確認する。 ③業務上の境界 ・業務フロー図を作成し、書類の流れ、管理担当部門・者を明確化する。 2.情報資産台帳の策定 上記①をもとに、情報資産台帳を作成する。 別表4 個人情報資産台帳(例)参照 (2)危機の調査・分析に基づく対応策の策定、実施、評価、改善 3.情報資産のリスク分析 ①資産価値 ・情報資産台帳に記載された情報資産ごとに、資産価値を求める。資産価値は、情報の 安全性を確保するための3大要件(機密性、完全性、可用性)ごとに評価基準を用い て評価レベルを算出する。 別表5 情報の資産価値(例)参照 ②脅 威 ・当院における、情報資産に対する脅威の識別を行い、評価レベルを算出する。 別表6 脅威(例)参照 ③ぜい弱性 ・ぜい弱性とは、脅威の発生を誘引する情報資産固有の弱点やセキュリティホールのこ とを指す。情報資産およびその関連する脅威がかかえるぜい弱性について識別を行い、 評価レベルを算出する。 別表7 ぜい弱性(例)参照 ④リスクレベル ・情報資産、脅威、ぜい弱性について算出した評価レベルを用いて、リスクレベルを求 める。リスクレベルは以下の計算式によって算出す リスクレベル=資産価値レベル×脅威レベル×ぜい弱性レベル 算出された各情報資産のリスクレベルのうち、受容可能なリスクレベルの基準値を決 定し、その基準値以上のリスクレベルにあるものについてはセキュリティ対策を講じ る。また、あくまでもこの基準値は目安であり、基準値に達していなくても必要があ れば対策を講じるべきである。 別表8 リスクレベル(例)参照 別表9 リスク評価一覧表 (3)個人情報の取り扱い例 4.取り扱い、管理方法等の策定 - 24 - ・前項にて算出したリスクレベルを参考にして、個人情報の取り扱い方法や職員のとる べき対応を決定する。 別表10 個人情報の利用方法と対応(例)参照 別表11 個人情報の取り扱い(例)参照 別表12 情報の管理方法(例)参照 - 25 - 別表/1 個人情報収集状況(例) (1)初診受付時に入手する個人情報 No 1 書類名 診察申込書 2 健康保険被保険者証 3 診療情報提供書、紹介状 内容等 住所、氏名、生年月日、年齢、症状、既往歴等 識別記号・番号、保険者番号、保険者、有効期限、氏名、生年月日、 資格取得年月日、交付年月日、世帯主氏名、住所 患者の氏名、住所、電話番号、生年月日、年齢、性別、職業、傷病 名、紹介目的、既往歴及び家族歴、症状経過及び検査結果、診療経 過、現在の処方等 (2)入院時に入手する個人情報 No 書類名 1 入院患者名簿 2 入院診療計画書 3 事前情報収集書、紹介状 内容等 氏名、生年月日、性別、入院日、本籍地、住所、電話番号、紹介者氏 名、保証人または身元引受人住所・氏名、連絡先等 氏名、年齢、入院日、入院期間(見込み)、傷病名、症状、検査内 容、治療計画、看護計画、リハビリ計画等 氏名、年齢、性別、入院日、、傷病名、連絡先、入院までの経過、既 往疾患、身体測定結果、血液型、生活パターン、家族構成、食事状 況、排泄状況、睡眠状況、清潔習慣、コミュニケーション状況、活 動、嗜好等 (3)診療中に入手する個人情報 No 1 書類名 診療録 内容等 氏名、性別、年齢、生年月日、ID番号、診療内容、症状等 2 検査記録(検査依頼票、検 氏名、性別、年齢、生年月日、ID番号、検査内容、検査結果、検査所 査結果票、検査所見) 見等 3 看護記録 氏名、性別、年齢、生年月日、ID番号、看護内容、患者の状況等 4 リハビリテーション記録 氏名、性別、年齢、生年月日、ID番号、リハビリテーション計画、リ ハビリテーション内容、患者の状況等 5 相談記録 氏名、性別、年齢、生年月日、ID番号、相談内容、相談結果等 6 介護記録 氏名、性別、年齢、生年月日、ID番号、ケアプラン、サービス提供計 画、介護状況、要介護者の状況、事故報告等 同 意 書 氏名、性別、年齢、生年月日、ID番号、同意事項等 (輸血療法同意書等) 8 各種指示箋 食事、栄養、リハビリテーション指示等 処方箋(院内処方箋、院外 9 氏名、性別、年齢、生年月日、ID番号、処方内容等 処方箋) 氏名、性別、年齢、生年月日、ID番号、被保険者識別記号・番号、請 10 請求情報 求内容、請求金額、支払状況等 7 11 画像データ X線フィルム、CTフィルム等の画像データ (4)退院時に入手する個人情報 No 1 書類名 退院サマリー 2 看護サマリー 内容等 氏名、生年月日、診断、経過、退院時処方等 氏名、生年月日、診断名、既往歴、看護経過、現症、家族関係、血液 型、処方・処置等 - 26 - 別表/2 個人情報の流れと保管状況(例) (1)初診受付時に入手する個人情報 No 書類名 1 診察申込書 2 健康保険被保険者証 3 診療情報提供書、紹介状 内容等 レセプトシステムに入力後に外来診療録にとじられ、事務室に保管さ れる。診療終了後は病歴管理室に保管。 レセプトシステムに入力後に外来診療録にとじられ、事務室に保管さ れる。診療終了後は病歴管理室に保管。 外来診療録にとじられ、事務室に保管される。診療終了後は病歴管理 室に保管。 (2)入院時に入手する個人情報 No 書類名 1 入院患者名簿 2 3 入院診療計画書 事前情報収集書、紹介状 内容等 受付等に置かれる入院患者名簿が作成され、入院診療録にとじられ る。 入院診療録にとじられる。 看護記録にとじられる。 (3)診療中に入手する個人情報 No 書類名 内容等 入院診療録はナースステーションに保管され、退院後は病歴保管室に 1 診療録 保管される。 検査記録(検査依頼票、検 検査部門で保管される。写しは入院診療録にとじられ、ナースステー 2 査結果票、検査所見) ションに保管され、退院後は病歴管理室に保管される。 入院中はナースステーションに保管され、退院後は診療録と一緒にと 3 看護記録 じられ病歴管理室に保管される。 リハビリテーション部門で保管され、終了後は診療録と一緒にとじら 4 リハビリテーション記録 れ病歴管理室に保管される。 入院診療録もしくは看護記録にとじられ、退院後は病歴管理室に保管 5 相談記録 される。 6 介護記録 介護部門で保管され、終了後は病歴管理室に保管される。 同 意 書 7 入院診療録にとじられ、退院後は病歴管理室に保管される。 (輸血療法同意書等) 指示先に保管される。写しは入院診療録にとじられ、退院後は病歴管 8 各種指示箋 理室に保管される。 処方箋(院内処方箋、院外 調剤室に保管される。写しは入院診療録にとじられ、退院後は病歴管 9 処方箋) 理室に保管される。 レセプトシステムに電子的に保管され、出力したものは支払審査機関 10 請求情報 へ提出され、写しは事務室に保管される。 11 画像データ 診療録と一緒に保管され、診療終了後は病歴管理室に保管される。 12 薬歴情報 調剤室の薬歴管理システムに電子的に保管される。 (4)退院時に入手する個人情報 No 1 2 書類名 退院サマリー 看護サマリー 内容等 入院診療録にとじられ、退院後は病歴管理室に保管される。 入院診療録にとじられ、退院後は病歴管理室に保管される。 - 27 - 別表/3 セキュリティ対策範囲の策定(例) (1)物理的な境界 No 1 2 3 4 立ち入り 施設名 だれでも立ち入れる 受付、待合室、入院病棟 特定の患者および医師等の特定の職員が立 診察室、手術室、相談室、X線等の検査室 ち入れる 職員であれば立ち入れる。外部の人は職員 事務室 が同行していること 病歴管理室、医療酸素室、電気室、厨房、調剤室、薬 特定の職員だけが立ち入れる 品庫、医療廃棄物保管庫 開口部(ドア、窓等)について、以下の事項をチェックする。 ・施錠は堅固なものか。 ・窓を壊すのに10分以上かかるか。 ・侵入検知システムの導入 (2)ネットワーク上の境界 ネットワーク図を作成し、外部ネットワークとの接続点やサーバの設定等を確認する。 (省略) 以下の点について、リスクチェックを行う。 ・無線LANのセキュリティ対策 ・サーバの設定 ・ルータやモデムなどの外部との接続点 ・各パソコンについて外部と通信できるような機器のチェック ・サーバの設置場所 (3)業務上の境界 業務フロー図を作成し、書類の流れ、管理担当部門・者を明確化する。 (省略) - 28 - 別表/4 個人情報資産台帳(例) No 業務 情報資産名 保 管 廃 棄 情報資 産分類 保管媒体 保管形態 保管場所 保管サイト 1 請 求 診察申込書 データ 紙 ホルダー キャビネット 事務室 2 請 求 健康保険被保険者証コピー データ 紙 ホルダー キャビネット 3 外 来 診療情報提供書 データ データ 紙 ホルダー キャビネット 4 請 求 請求データ データ 紙 ホルダー キャビネット 5 外 来 外来診療録 データ 紙 ホルダー キャビネット 6 外 来 外来検査記録 データ 紙 ホルダー 7 外 来 データ 紙 ホルダー 8 外 来 外来処方箋 データ 紙 データ 紙 9 外 来 外来処方箋写し データ 紙 10 介 護 データ 外来検査指示書 外来介護記録 保管期間 廃棄方法 管 理 責任者 7年間 焼 却 事 務 事務室 7年間 焼 却 事 務 事務室 10年間 焼 却 事 務 事務室 7年間 焼 却 事 務 事務室 10年間 焼 却 事 務 キャビネット 事務室 10年間 焼 却 事 務 キャビネット 検査部門 10年間 焼 却 事 務 ホルダー キャビネット 調剤室 10年間 焼 却 調 剤 ホルダー キャビネット 事務室 10年間 焼 却 事 務 紙 ホルダー キャビネット 介護部門 10年間 焼 却 介 護 11 リハビリ 外来リハビリテーション記録 データ 紙 ホルダー キャビネット リハビリ部門 10年間 焼 却 リハビリ 12 外 来 外来画像データ データ フィルム 袋 キャビネット 事務室 10年間 焼 却 事 務 13 入 院 診療情報提供書 データ 紙 ホルダー キャビネット ナースST 10年間 焼 却 医 長 14 入 院 入院患者名簿 データ 紙 キャビネット ナースST 常時更新 シュレッダー 看 護 15 入 院 入院患者名簿 データ 紙 キャビネット 受 付 常時更新 シュレッダー 事 務 16 入 院 入院診療計画書 データ 紙 ホルダー キャビネット ナースST 10年間 焼 却 医 長 17 入 院 事前情報収集書 データ 紙 ホルダー キャビネット ナースST 10年間 焼 却 医 長 18 入 院 診療録 データ 紙 ホルダー キャビネット ナースST 10年間 焼 却 医 長 19 入 院 検査記録 データ 紙 ホルダー キャビネット ナースST 10年間 焼 却 医 長 20 入 院 検査指示書 データ 紙 ホルダー キャビネット 検査部門 10年間 焼 却 検 査 21 入 院 看護記録 データ 紙 ホルダー キャビネット ナースST 10年間 焼 却 看 護 22 介 護 介護記録 データ 紙 ホルダー キャビネット 介護部門 10年間 焼 却 介 護 23 リハビリ リハビリテーション記録 データ 紙 ホルダー キャビネット リハビリ部門 10年間 焼 却 リハビリ 24 入 院 相談記録 データ 紙 ホルダー キャビネット 医療相談室 10年間 焼 却 相談室 25 入 院 相談記録写し データ 紙 ホルダー キャビネット ナースST 10年間 焼 却 内容による 26 入 院 同意書 データ 紙 ホルダー キャビネット ナースST 10年間 焼 却 医 長 27 入 院 各種指示箋 データ 紙 ホルダー キャビネット 指示先 10年間 焼 却 指示先 28 入 院 各種指示箋写し データ 紙 ホルダー キャビネット ナースST 10年間 焼 却 医 長 29 入 院 処方箋 データ 紙 ホルダー キャビネット 調剤室 10年間 焼 却 調 剤 30 入 院 処方箋写し データ 紙 ホルダー キャビネット ナースST 10年間 焼 却 医 長 31 入 院 画像データ データ 袋 ホルダー キャビネット ナースST 10年間 焼 却 医 長 32 入 院 退院サマリー データ 紙 ホルダー キャビネット 病歴管理室 10年間 焼 却 事 務 33 入 院 看護サマリー データ 紙 ホルダー キャビネット 病歴管理室 10年間 焼 却 事 務 34 検 査 検査機器 ハードウェア - - - 検査室 - 35 請 求 レセプトサーバ ハードウェア - - - 事務室 - 36 請 求 レセプトPC ハードウェア - - - 事務室 - 37 請 求 レセプトシステム ソフトウェア ディスク レセプトサーバ - 事務室 - 38 請 求 レセプトデータ - 事務室 - 39 請 求 レセプトネットワーク ネットワーク - - - 事務室 - 事 務 40 請 求 レセプトネットワークハブ ハードウェア - - - 事務室 - 事 務 41 請 求 レセプトプリンタ ハードウェア - - - 事務室 - 事 務 42 共 通 医療情報サーバ ハードウェア - - - 医 局 - 事 務 43 共 通 医療PC ハードウェア - - - 医 局 - 事 務 44 共 通 医療情報処理システム ソフトウェア ディスク 医療サーバ - 医 局 - 事 務 データ ディスク レセプトサーバ - 29 - 検 査 事 務 完全に データを 削除し、 かつ物理 的に壊す 事 務 事 務 事 務 保 管 廃 棄 情報資 産分類 保管媒体 保管形態 保管場所 保管サイト 共 通 共通 医療データ データ ディスク 医療サーバ - 医 局 - 事 務 46 共 通 医療ネットワーク ネットワーク - - - 医 局 - 事 務 47 共 通 医療ネットワークルータ ハードウェア - - - 医 局 - 事 務 48 共 通 医療ネットワークハブ ハードウェア - - - 医 局 - 事 務 49 調 剤 薬歴管理サーバ ハードウェア - - - 調剤室 - 調 剤 50 調 剤 薬歴管理PC ハードウェア - 51 調 剤 薬歴管理システム ソフトウェア ディスク 52 調 剤 薬歴データ データ 53 調 剤 薬歴ネットワーク ネットワーク 54 調 剤 薬歴ネットワークハブ 55 調 剤 薬歴プリンタ 56 事 務 過去の診療録等 No 業務 45 情報資産名 保管期間 廃棄方法 管 理 責任者 - - 調剤室 - 調 剤 薬歴サーバ - 調剤室 - 調 剤 ディスク 薬歴サーバ - 調剤室 - 調 剤 - - - 調剤室 - 調 剤 ハードウェア - - - 調剤室 - 調 剤 ハードウェア - - - 調剤室 - 調 剤 データ 紙等 ホルダー キャビネット 事務室 10年間 事 務 - 30 - 別表/5 情報の資産価値(例) (1)情報の安全性を確保するための3大要件 アクセスを許可された者だけが情報にアクセスできることを確実にすること (漏れたら困る程度) 情報および処理方法が、正確であることおよび完全であることを保護すること (壊れたら困る程度) 許可された利用者が、必要な時に、情報および関連する資産にアクセスできるこ とを確実にすること(使えなくなったら困る程度) 機 密 性 完 全 性 可 用 性 (2)資産価値の評価基準 ①機密性の資産価値レベル レベル 1 公 開 2 院 外 秘 3 秘 密 4 極 秘 基準内容 第三者に開示・提供可能。 内容が漏えいした場合でも、医療業務への影響はほとんどない。 組織内では開示・提供可能(第三者には不可)。 内容が漏えいした場合、医療業務への影響は少ない。 特定の関係者または部署のみに開示・提供可能。 内容が漏えいした場合、医療業務への影響は大きい。 所定の関係者のみに開示・提供可能。 内容が漏えいした場合、医療業務への影響は深刻かつ重大である。 ②完全性の資産価値レベル 1 2 3 レベル 不 要 要 重要 基準内容 参照程度でしか利用されていないので問題がない。 改ざんされると問題があるが、医療業務への影響はない。 完全性が維持できないと医療業務への影響は深刻かつ重大である。 ③可用性の資産価値レベル 1 レベル 低 2 中 3 高 基準内容 情報が利用できなくても医療業務に支障がない。 情報が利用できなくいと医療業務への支障はあるが、代替手段で業務ができ る。または、情報が利用できるまでの遅延が許される。 必要時に確実に情報が利用できないと医療業務への影響は深刻かつ重大であ る。 - 31 - 別表/6 脅 威(例) (1)脅威の種類 偶発的脅威 過 失 データ入力誤り 運用誤り 誤接続 その他 故 障 H/S障害 S/W障害 回線障害 その他 意図的脅威 故 意 情報の盗用、改ざん なりすまし、不法侵入 ウィルス、サイバーテロ 物理的破壊、その他 環境的脅威 災 害 地 震 火 災 水 害 その他 (2)脅威の評価基準レベル 1 2 3 レベル 低 い 中程度 高 い 基準内容 発生する可能性は低い。発生頻度は1年に1回あるかないかである。 発生する可能性は中程度である。発生頻度は半年に1回あるかないかである。 発生する可能性は高い。発生頻度は1ヶ月に1回以上である。 - 32 - 別表/7 ぜい弱性(例) (1)ぜい弱性の種類 ぜい弱性の例 ドアや窓、電源供給、災害を受けやすい立地など 駆動部分の経年劣化、バックアップ回路の不備など 仕様書の欠如、アクセス制御の不備、プログラムのバグなど 非暗号化、通信経路の保護の不備、バックアップ回線の不備など 教育プログラムの不備、部外者の管理の不徹底など スキル不足、低いモラル、誤った理解など 予算不足、情報セキュリティマネジメント意識の欠如など 環 境 ハードウェア ソフトウェア ネットワーク 組 織 個 人 マネジメント (2)ぜい弱性の識別(ぜい弱性は脅威と関連付けて整理する) ぜい弱性の分類 環 境 ハードウェア ソフトウェア … ぜい弱性の例 ドア、窓などの物理的保護の欠如 不安定な電源設備 災害を受けやすい立地条件 温湿度変化に影響を受けやすい 記憶媒体のメンテナンス不足 仕様書の不備 アクセス制御の欠如 不適切なパスワード ログ管理の欠如 バックアップコピーの欠如 … 関連する脅威の例 盗難 停電、誤作動 洪水、地震、災害 故障、誤作動 故障、情報漏えい ソフトウェア障害、誤作動 なりすまし、改ざん、情報漏えい 不正アクセス、改ざん、情報漏えい 不正アクセス 復旧不能 … (3)ぜい弱性の評価基準レベル レベル 基準内容 1 脅威が発生してもほぼ完全に防御可能。十分な対策が講じられている。 2 脅威が発生してもある程度防御可能。ある程度の対策が講じられている。 3 脅威が発生すると危険大対策がまったく講じられていない。 - 33 - 別表/8 リスクレベル(例) リスクレベル早見表 脅 威 1 資 産 価 値 2 3 ぜい弱性 1 2 3 1 2 3 1 2 3 1 1 2 3 2 4 6 3 6 9 2 2 4 6 4 8 12 6 12 18 3 3 6 9 6 12 18 9 18 27 4 4 8 12 8 16 24 12 24 36 は、リスクに対して受容できる範囲を超え、何らかの対策を講じる範囲 - 34 - 別表9 リスク評価一覧表 No 情報資産名 1 診察申込書 2 健康保険被保険者証コピー 3 診療情報提供書 データ 4 請求データ 5 外来診療録 6 外来検査記録 7 外来検査指示書 8 外来処方箋 データ 紙 9 外来処方箋写し 10 外来介護記録 資産価値 脅 威 ぜい弱性 リスクレベル 機密性 完全性 可用性 種 類 レベル 種 類 レベル 機密性 完全性 可用性 11 外来リハビリテーション記録 12 外来画像データ 13 診療情報提供書 14 入院患者名簿 15 入院患者名簿 16 入院診療計画書 17 事前情報収集書 18 診療録 19 検査記録 20 検査指示書 21 看護記録 22 介護記録 23 リハビリテーション記録 24 相談記録 25 相談記録写し 26 同意書 27 各種指示箋 28 各種指示箋写し 29 処方箋 30 処方箋写し 31 画像データ - 35 - 影響を受 る業務そ の度合い リスク対策の 内容 対策実 施日 対策後脅威 対策後ぜい弱性 対策後リスクレベル 種 類 レベル 種 類 レベル 機密性 完全性 可用性 No 情報資産名 資産価値 脅 威 ぜい弱性 リスクレベル 機密性 完全性 可用性 種 類 レベル 種 類 レベル 機密性 完全性 可用性 32 退院サマリー 33 看護サマリー 34 検査機器 35 レセプトサーバ 36 レセプトPC 37 レセプトシステム 38 レセプトデータ 39 レセプトネットワーク 40 レセプトネットワークハブ 41 レセプトプリンタ 42 医療情報サーバ 43 医療PC 44 医療情報処理システム 45 共通 医療データ 46 医療ネットワーク 47 医療ネットワークルータ 48 医療ネットワークハブ 49 薬歴管理サーバ 50 薬歴管理PC 51 薬歴管理システム 52 薬歴データ 53 薬歴ネットワーク 54 薬歴ネットワークハブ 55 薬歴プリンタ 56 過去の診療録等 - 36 - 影響を受 る業務そ の度合い リスク対策の 内容 対策実 施日 対策後脅威 対策後ぜい弱性 対策後リスクレベル 種 類 レベル 種 類 レベル 機密性 完全性 可用性 別表/10 個人情報の利用方法と対応(例) (1)診療目的のための開示・利用・提供 No 1 2 3 4 5 6 7 8 利用目的 提供先 対応例 院内において診療方法、看護方 法、リハビリテーション方法、介護方 診療、看護、リハビリテーショ 院内掲示等で患者に知らせて利用する 法を検討し、適切な判断をし、これら ン、介護の関係者 の計画を立てるため 患者が当院以外の医療機関を利用 される場合の情報提供 第三者の評価、意見を求めるため 画像診断、病理診断を他に依頼す るため 患者が他の介護サービス、訪問看 護サービス等を利用する場合の情 報提供 検査を行うため 診療に必要な薬剤を提供するため 名札を作成するため 他の医療機関等 院内掲示等で患者に知らせて利用する 他の医療機関等(医師) 院内掲示等で患者に知らせて利用する 他の医療機関等(医師) 院内掲示等で患者に知らせて利用する 他の事業者 院内掲示等で患者に知らせて利用する 検査委託先 薬局 受付 院内掲示等で患者に知らせて利用する 院内掲示等で患者に知らせて利用する 院内掲示等で患者に知らせて利用する (2)診療目的以外での開示・利用・提供 No 利用目的 1 医療費請求のため 他の医療機関で診療を受けている 2 患者の診療のため 3 新薬の治験のため 4 医学研究、学術研究のための提 供、共同利用 提供先 審査支払機関、保険者等 対応例 院内掲示等で患者に知らせて利用する 他の医療機関への提供 院内掲示等で患者に知らせて利用する 製薬会社 個別に同意を取得する 他の医療機関、研究機関 等、当院の研究者、学会、出 個別に同意を取得する 版機関 厚生労働省(大臣)、都道府 県(知事)、市区町村、審査 支払機関、健康保険組合 関係行政機関等の要請による照 等、児童相談所、裁判所、配 5 会、届出、調査、検査、実施指導の 偶者暴力支援センター、警 ため 察、医療監視員、薬事監視 員、保護観察所長、社会保 険診療報酬支払基金等 財団法人日本医療機能評価 6 外部監査を受けるため 機構、会計監査法人等 7 事件捜査、裁判等のため 警察、裁判所、弁護士会等 院内委員会、都道府県、市 8 事故報告のため 区町村等 9 医薬品副作用報告のため 院内委員会、都道府県等 生命保険会社、損害保険会 10 保険会社からの照会に応じるため 社 11 再検査を勧めるため 医学研究等の公共的目的とした事 12 業を遂行するために寄付を求めるた め 配偶者、両親、子供、保証人 13 家族等へ通知するため および患者が特に指定した 人 - 37 - 院内掲示等で患者に知らせて利用する 院内掲示等で患者に知らせて利用する 院内掲示等で患者に知らせて利用する 院内掲示等で患者に知らせて利用する 院内掲示等で患者に知らせて利用する 院内掲示等で患者に知らせて利用する 院内掲示等で患者に知らせて利用する 院内掲示等で患者に知らせて利用する 院内掲示等で患者に知らせて利用する 14 入院患者名簿作成のため 15 実習生の教育のため この入院患者名簿は窓口の 院内掲示等で患者に知らせて利用する 受付担当者に提供される 当院が受け入れた診療、看 護、介護、リハビリテーション 院内掲示等で患者に知らせて利用する の実習学生 - 38 - 別表/11 個人情報の取り扱い(例) No 1 2 3 4 5 6 7 8 9 10 11 12 13 ケ-ス すべきこと 保管媒体/印刷物へのラベル 全てにラベル表示を行う。 表示 使用者 特別の権限者 閲覧者 特別の権限者から許可されたもの 施錠できる部屋の施錠できるキャビネットに 保 管 保管する。 原則として禁止。 コ ピー やむを得ない時は管理者の承諾を得る。 診療録は原則として禁止。 FAXによる伝送 やむを得ない時は管理者の承諾のもと、細 心の注意をもって行う。 周囲に患者等の部外者がいないことを確認 電話による会話 する。 シュレッダー処理を行う。大量の場合は焼 却・溶解処理を委託する。現場に立ち会う。 廃棄処分(文書情報) または廃棄の状況をビデオ撮影してもらい、 廃棄証明書とともに受領する。 ハードディスクの物理的破壊、特別のソフト 廃棄処分(電子情報) によって上書きする。 原則として診療録等の院外への持ち出しは 研究等のための院外持ち出 禁止。やむを得ない時は管理者の承諾のも し と細心の注意をもって行う。 診療等の内容の電子メール 個人名、住所が明記されているものは原則と 送信(ファイル添付) して禁止。 院内での移転 権限者間で受け渡しをする。 二重封筒を使い、拾得者への依頼事項を内 院外への移転 側封筒に付記する。医療費請求の場合は、 事務職員が運ぶ。 物件例 診療録等 診療録等 診療録等 診療録等 診療録等 診療録等 診療録等 診療録、レセプト情報等 レセプト情報等 診療録等 診療録等 診療録等 診療録、レセプト情報等 簡易書留にする。緊急の場合は指定のバイ ク便。宅配便、バイク便を利用する場合は、 14 送 付 特定の1社に絞り、特別の契約を交わす。権 診療録等 限者が受取人に手渡して、その際に伝票と は別に受領書を受領し、注意を促す。 システムに格納されたデータ アクセス許可を個人単位で承認する。 15 レセプト情報等 へのアクセス許可 全アクセス履歴を記録する。 個人情報が記録された携帯 原則として禁止。暗号化等の事実上開示さ 16 診療録、レセプト情報等 パソコンの院外持ち出し れない策を講じる。 個人情報リストの電子メール 17 原則として禁止。暗号化する。 症例データ、レセプト情報等 での送信 18 外部発表 管理者の承諾のもとに行う。 19 患者による持ち出し 台帳および袋に記載する。 X線フィルム等 - 39 - 別表/12 個人情報の利用方法と対応(例) No 2 3 4 5 取 扱 保管媒体/印刷物へ のラベル表示 使用者 外部発表・承認 保管 コピー 特定の人 組織のトップ 特別施錠(金庫等) 原則として不可 6 FAXによる伝送 禁 止 7 電話による会話 禁 止 8 社内便 保管責任者間のみ 9 社外便 原則として不可 10 携行(院外) 管理責任者のみ 1 11 廃棄処分 (文書情報) 極 秘 部外秘 すべてに 保管責任者の立会 いによるシュレッダー システムに格納され アクセス許可を個人 12 たデータへのアクセ 単位で承認する、全 ス許可 アクセス履歴を記録 13 データの暗号化 必 要 院外秘 一 般 管理者に一任する 不要 関係者 部署統括者 施 錠 必要のある人に限定 職 員 管理者 管理者に一任する 院内に限る だれでも可 双方の立会い 院内に限る 院内電話で関係者 のみ 限定 + シール + 受領書 二重封筒で書留 院内に限って特別な 配慮不要 院内電話でのみ 制限なし ラベル付封筒 封筒不要 二重封筒、 内部ラベル シール封筒 管理責任者の許可 制限なし を得た者のみ シュレッダー/焼却/ 管理者に一任する 制限なし 溶解処理 アクセス許可を個人 単位で承認する、違 管理者に一任する 制限なし 反アクセス履歴を記 録 部外の共有領域に 不 要 格納時必要 保管責任者間のみ データの伝送(電子 組織外への伝送時 許可。暗号化、組織 メールなど) は暗号化する 外への伝送は禁止 廃棄・再利用(電子 15 廃棄・再利用前の内容消去 媒体) 14 - 40 - 制限なし 制限なし 4.法令・規範等の一覧 区 分 関係法令 内部規定 官庁関係ガイドライン等 名 称 ・個人情報 ・刑法 ・医療法 ・医療法、感染症の予防及び感染症 の患者に対する医療に関する法律、 薬事法、麻薬及び向精神薬取締法、 健康保険法、保険医療機関及び保険 医療養担当規則、母体保護法、児童 虐待の防止等に関する法律、児童福 祉法、医療観察法、精神保健福祉 法、配偶者からの暴力の防止及び被 害者の保護に関する法律、薬事法、 臨床検査技師、衛生検査技師等に関 する法律、健康保険法、統計法、社 会保険診療報酬支払基金法、医薬品 の臨床試験の実施の基準に関する省 令、指定基準、介護保険法、健康増 進法等 ・伝染病予防法、結核予防法、性病 予防法、エイズ予防法等の感染病予 防法 ・情報セキュリティ基本方針 ・個人情報保護方針 ・情報セキュリティガイダンス ・個人情報保護規定 ・個人情報保護計画 ・厚生労働省「医療機関等の個人情 報保護ガイドライン」 ・日本工業規格「個人情報保護に関 するコンプライアンス・プログラムの要 求事項」(JISQ15001) ・日本工業規格「情報技術セキュリ ティの評価基準」(JISX5070) ・日本工業規格「情報セキュリティマネ ジメントの実践のための規範」 (JISX5080) 事業者団体ガイドライン 5.個人情報保護監査計画 (1)監査時期 毎年○月 (2)監査担当者 ・個人情報保護監査責任者 (3)監査対象 ・個人情報保護委員会、事務局 - 41 - 所 在 総務省行政管理局 「法令検索システム」 http://law.egov.go.jp/cgibin/idxsea rch.cgi 当院外部サーバ http://www.○○○.or.jp/○○ ○.htm 当院内部サーバ 総務部 ・個人情報苦情・相談窓口 ・個人情報保護委員(各部門) (4)監査方法 1.個人情報保護委員会及び事務局 ①個人情報保護委員長、および委員に対してインタビュー形式で実施する。特に以 下の事項に重点をおく。 ・個人情報が特定され、適切にリスクが認識され対応方針が定義されているかど うか。 ・個人情報の本人からの申し出の内容を調査し、適切に対応しているかどうか。 ・個人情報保護計画に基づき個人情報保護のための研修が実施されているかどう か。 ②以下の個人情報の収集・利用について、適切な処理が行われ、必要な文書が適切 に保管されているかどうか文書、面接等により監査する。 ・個人情報の収集 ・新しい方法での個人情報の収集 ・新しい目的での個人情報の収集 ・個人情報の第三者からの入手 ・個人情報の目的外使用 ・個人情報の第三者への提供 ・個人情報の処理の第三者への委託 ・個人情報の共同利用 ③ホームページ及び施設内掲示には必要な情報が適切に掲載されているかどうか。 ④個人情報の取り扱い現場に出向き監査チェックリストに従って実査する。 ⑤その他個人情報保護規定、個人情報保護計画が遵守されているかどうか。 ⑥セキュリティ管理規定が遵守されているかどうか。 2.個人情報苦情・相談窓口 ①苦情・相談の内容について適切に処理されているかどうか、下記の諸点から文書、 面接等により監査する。 ・「苦情及び相談の内容」及び「回答書」が保管されているかどうか。 ・苦情・相談について適切な期間内に回答がされているかどうか。 ・適切な回答がされているかどうか。 ・個人情報管理責任者、個人情報管理者へ適切な通知がされているかどうか。 3.各部門 ①個人情報の収集時に適切な対応がされているか。 - 42 - ②個人情報の取り扱い現場に出向き監査チェックリストに従って実査する。 ③その他個人情報保護規定、個人情報保護計画が遵守されているかどうか。 (5)監査報告書 監査報告書は基礎資料としてのチェック済みチェックリストのほか、以下の諸点を簡 潔に記述します。 ・問題点 ・原 因 ・改善点 ・改善の日時 ・改善の責任者 - 43 - 個人情報保護委員会 - 44 - 済生会二日市病院 個人情報保護委員会構成 所属・役職 1 委 2 副 委 3 副 委 員 氏 名 井 英 連絡先 長 内 科 部 長 石 博 P 員 長 事 務 部 長 柿 原 富 士 夫 内 員 長 看 護 部 長 中 村 千 枝 子 P H S 4703 線 2308 H S 4766 4 副 看 護 部 長 山 本 美 子 P H S 4763 5 4 看 5 看 5 看 6 看 6 看 棟 長 棟 長 棟 長 棟 長 棟 長 末 次 富 子 P H S 4860 宮 崎 裕 子 P H S 4719 中 村 美 幸 P H S 4775 井 手 ゆ か り P H S 4885 佐 久 間 成 子 P H S 4768 10 OP室看護課長 淵 美 P H S 4767 11 透析室看護課長 西 原 美 智 子 P H S 4772 12 医療安全管理室 帆 足 い ず み P H S 4760 13 薬 長 横 尾 賢 乗 内 線 2128 14 放射線部技師長 讃 井 憲 一 内 線 2200 15 検査部技師長 角 充 内 線 2223 16 リハビリ部技師 長 山 道 裕 富 美 P S 4752 17 栄 養 部 科 長 西 村 悦 子 内 線 2010 18 主任臨床工学技 師 浦 志 崇 久 P H S 4739 19 総 務 課 長 武 藤 久 嗣 P H S 4757 20 経 理 課 長 服 部 利 恵 子 内 線 2317 21 用 度 課 長 内 田 洋 道 P H S 4742 22 健康管理課長 中 尾 佳 子 P H S 4744 23 地域医療連携室 医療福祉課長 地域医療連携室 地域連携課長 診 療 情 報 管 理 課 長 久 保 修 二 P H S 4743 金 蔵 常 一 P H S 4919 井 上 伸 一 内 線 2105 26 施 長 友 聡 P H S 4764 27 医療情報シス テ ム 管 理 室 河 野 士 郎 P H S 4890 企画調査課係長 永 田 信 彦 P H S 4755 6 7 8 9 24 25 28 苦情・相談窓口 事 務 局 階 病 護 課 階 西 病 護 課 階 東 病 護 課 階 西 病 護 課 階 東 病 護 課 剤 設 部 課 脇 直 家 原 平成23年4月1日現在 - 45 - H 済生会二日市病院 個人情報保護委員会規定 〔 総 則 〕 第 1 条 当院の保有する個人情報の管理体制を構築し、保護対策を推進管理するため、 個人情報保護委員会を設置する。 〔 組 織 〕 第 2 条 個人情報保護委員会は、次の者をもって構成する。 (1)病院長より、個人情報保護委員長を任命する。 (2)個人情報保護委員は、原則として各部署の長が任命され、各部署内において 個人情報保護対策を推進する責任を有する者とし、委員として委員会に参加 する。 〔 目 的 〕 第 3 条 個人情報保護委員会は、当院が保有するすべての個人情報を管理・維持してい くことを目的とする。 1.個人情報保護委員会は、「個人情報保護方針」「個人情報の取扱いについ て」「個人情報保護規定」「個人情報保護計画書」を作成し推進しなけれ ばならない。 2.個人情報保護委員会は、当院が保有するすべての個人情報を特定し、危機 を調査・分析するための手順・方法を確立し、維持しなければならない。 3.個人情報保護委員会は、個人情報に関する法令及びその他の規範を特定し、 参照できる手順を確立し、維持しなければならない。 ※この他の目的・管理・推進・維持等は、「個人情報保護計画」に基づき 行っていく。 〔定例会〕 第 4 条 1.個人情報保護委員長は、定期及び随時委員会を招集する。委員会は4.7.10. 1月に開催する。〔開催日は、基本的にその月の第2火曜日〕 2.委員会成立は、構成委員の過半数の出席をもって成立とする。 〔規定の改定〕 上記の規定を改定・変更する場合は、委員会を開催し内容改定等の検討を行い、 病院管理責任者に報告を行い承認を得て改定・変更を行うものとする。 〔 附 則 〕 この規定は、平成17年6月1日より施行する。 ・平成17年10月11日規定一部改訂 ・平成20年04月01日規定一部改訂 ・平成23年04月01日規定一部改訂 - 46 -
© Copyright 2024 Paperzz