個人情報の保護に関する規程
1. 目的
この規程は、「個人情報保護法」「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」「個人情報保護基本方針」に基づき、当院が入手した患者及びその他関係者の個人情報の取り扱いに関する規程である。職員はこの規程に従って、個人情報の適切な管理・運営・保護を行い、個人情報を保護していかなければならない。
2. 定義
-
(1)個人情報
生存する個人に関する情報であって、氏名・生年月日・住所その他の記述等によって特定の個人を識別することができる(他の情報と容易に照合することができ、特定の個人を識別することができるものを含む)もので匿名化されたものを除く。
-
(2)個人情報の匿名化
当該個人情報に含まれる氏名・生年月日・住所等、個人を識別する情報を取り除き、特定の個人を識別できないようにすることをいう。符号又は番号等を用いたものであっても、他の情報と照合することによって特定の個人を容易に識別できてはいけない。
-
(3)本人の同意
個人情報の目的外利用や第三者提供の場合は原則として本人の同意を得ること。当院では通常必要と考えられる個人情報の利用範囲を院内掲示し、特段明確な反対・留保の意思表示がない場合にはこれらの範囲で同意が得られているものとする。
-
(4)職員
当院の業務に従事する者で、正規職員のほか、嘱託・派遣・臨時等の職員を含む。また業務委託契約を締結する事業者に雇用され当院の業務に従事するものについても、別段の定めがない限り、当院の職員に準じて扱うものとする。
-
(5)個人情報保護管理委員会
個人情報保護の推進を図るため、規程の見直し・対策の実施・評価・改善等、個人情報保護の具体的取組について検討し実施する。
-
(6)報告連絡体制
個人データの漏えい等が発生した場合等における担当窓口を設置し、報告連絡体制の整備を行うものとする。
3. 個人情報の取得
個人情報を取得する場合は、偽りその他不正の手段により取得してはならない。また取得した個人情報については、その利用目的の達成に必要な範囲において、個人データを正確かつ最新の内容に保つように務めるものとする。
- ①本人以外の家族等から取得することが診療上止むを得ない場合はこの限りではない。
- ②十分な判断能力を有していない子供から、家族の個人情報を取得してはならない。ただし、当該子供の診療上、家族等の個人情報取得が必要な場合で、家族等から取得することが困難な場合はこの限りではない。
- ③第三者提供により個人情報を取得した時、当該情報の内容に疑義が生じた場合は本人又は情報の提供を行った者に確認をとる等、情報の正確性、最新性を確保するものとする。
4. 利用目的と範囲
個人情報は、次の目的に添った範囲内について、業務上必要な範囲に限り利用し、下記の目的以外に利用してはならない。
- (1)患者への医療の提供に必要な利用目的
- ① 当院が行う患者に提供する医療サービス
- ② 当院が行う審査支払機関への保険請求事務(レセプトの提出、支払機関又は保険者からの照会への回答)
- ③ 厚生労働省や都道府県など関係行政機関等による法令に基づく照会、届出、調査、検査、実地指導
- ④ 当院が行う患者に係る管理運営業務のうち、「会計、経理」「病棟管理」「医療事故の報告」「当該患者のサービスの向上」等
- ⑤ 他の医療機関等(病院、診療所、助産所、薬局、訪問看護ステーション、介護サービス事業者等)との連携
- ⑥ 他の医療機関等からの照会への回答
- ⑦ 診療等にあたり、外部の医師等の助言・意見を求める場合
- ⑧ 検体検査業務、入院時食事療養の提供業務の委託
- ⑨ 家族等への病状説明
- ⑩ 区民検診等のご案内
- ⑪ 診療体制の変更など患者の診療に関するご案内
- ⑫ 事業者等からの委託を受けて健康診断等を行った場合における、事業者等への結果通知
- ⑬ 医師賠償責任保険等に係る、医療に関する専門の団体、保険会社等への相談又は届出等
- (2)上記以外であって医療機関として必要な利用目的
- ① 医療機関の管理運営業務のうち、「医療サービスや業務の維持改善のための基礎資料」「当院の内部において行われる症例研究」
- ② 住所氏名の匿名化、顔写真のマスキングを行い、個人が特定できないように配慮した上での学会等への発表
- ③ 医療機関の管理運営業務のうち、外部監査機関への情報提供
- (3)利用目的の制限の例外
- ①生命、身体又は財産の保護のために必要な場合であって、本人の同意を得ることが困難であるとき。
- ②公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
上記の利用目的については院内掲示等で公表し、患者から特に申し出がない場合は上記の利用目的について同意が得られたものとして扱うことができる。ただし、患者から「同意しがたいものがある」「個人情報の利用にあたってあらかじめ個別に同意を求めてほしい」などの要望があった場合は、その要望に基づいて、個人情報を取扱うこととする。そうした申し出があった後に、当該患者から同意や留保の変更について申し出があれば、申し出に沿って変更を行う。
5. 診療記録等の個人情報の取り扱いと保管
- (1)紙媒体により保存されている診療記録等
- ①診療記録等の保管の際の注意
診療記録等の保管については、毎日の業務終了時に所定の保管場所に収納し、滅失、毀損、盗難等の防止に十分留意するものとする。
- ②診療記録等の利用時の注意
患者の診療中や事務作業中など、診療記録等を業務に利用する際には、滅失、毀損、盗難等の防止に十分留意するとともに、記録の内容が他の患者など部外者等の目に触れないよう配慮しなくてはならない。
- ③診療記録等の修正
いったん作成した診療記録等を、後日書き改める場合には、もとの記載が判別できるように二重線で抹消し、訂正箇所に日付および訂正者印を押印するものとする。この方法によらずに診療記録等を書き改めた場合には、改竄したものとみなされることがあるので、十分留意するものとする。
- ④診療記録等の院外持ち出し禁止
診療記録等は原則として院外へ持ち出してはならない。ただし職務遂行上やむを 得ず持ち出す場合には、院長の許可を得ることとし、返却後にも院長の確認を得なくてはならない。 所管する診療記録等の院外持ち出しおよび返却に関して、日時、利用者、持ち出しの目的等を記録し、5年間保存することとする。
- ⑤診療記録等の廃棄
法定保存年限または、当院所定の保存年限を経過した診療記録等を廃棄処分する場合には、裁断または溶解処理を確実に実施するものとする。 また、当院で保管中の診療記録等につき、安全かつ継続的な保管が困難な特別の事由が生じた場合には、院長はその記録類の取り扱いについて、すみやかに当院を所管する保健所と協議するものとする。
- ①診療記録等の保管の際の注意
- (2)電磁的に保存されている診療記録等
- ①コンピュータ情報のセキュリティの確保
診療記録等をコンピュータを用いて保存している部署では、コンピュータの利用実態等に応じて、情報へのアクセス制限等を適宜実施するものとする。また、通信回線等を経由しての情報漏出外部からの不正侵入等の被害を未然に防ぐよう、厳重な措置を講じるものとする。
特に、職員以外の者が立ち入る場所、またはその近くにおいてコンピュータ上の診 療記録等を利用する際には、モニターに表示された画面を通じて患者の個人情報が本人以外の外部の者の目に触れることのないよう留意しなくてはならない。 - ②データバックアップの取り扱い
コンピュータに格納された診療記録等は、機械的な故障等により情報が滅失したり 見読不能となることのないよう、各部署において適宜バックアップの措置を講じるものとする。また、バックアップファイルおよび記録媒体の取り扱い、保管は、各部署の責任者の管理のもとに厳重に取り扱うものとする。
- ③データのコピー利用の禁止
コンピュータ内の診療記録等の全部または一部を、院外での利用のために、他のコンピュータまたは記録媒体等に複写することは原則として禁止する。ただし、職務遂行上やむを得ない場合には、院長の許可、管理のもとに行うことができるものとする。その場合において、複写した情報の利用が完了したときは、速やかに当該複写情報を記録媒体等から消去するものとする。
- ④データのプリントアウト
コンピュータ等に電磁的に保存された個人情報をプリントアウトした場合には、 紙媒体の診療記録と同等に厳重な取り扱いをしなくてはならない。使用目的を終えたプリントアウト紙片は、裁断または溶解処理など、他の者が見読不可能な状態にして速やかに廃棄しなくてはならない。
- ⑤紙媒体記録に関する規定の準用
電磁的な保存がなされている診療記録等の取り扱いについては5-(1)-①ないし 5-(1)-⑤の規定の趣旨も参酌して準用するものとする。
- ①コンピュータ情報のセキュリティの確保
- (3)診療および請求事務以外での診療記録等の利用
- ①目的外利用の禁止
職員は、法律の定める利用目的の制限の例外に該当する場合を除き、あらかじめ 患者本人の同意を得ないで4-(1)で特定した利用目的の達成に必要な範囲を越えて、患者の個人情報を取り扱ってはならない。
- ②匿名化による利用
患者の診療記録等に含まれる情報を、診療および診療報酬請求事務以外の場面で利 用する場合には、その利用目的を達しうる範囲内で、可能な限り匿名化しなければならない。
- ①目的外利用の禁止
6. 安全措置
- (1)個人情報保護にかわる組織的対応について
- ①個人情報管理責任者は、個人情報保護についての統括的責任と権限を有する。
- ②個人情報管理責任者は、個人情報の管理及び安全確保の維持・向上に係る重要事項の決定、連絡・調整等を行うため、個人情報取扱責任者を構成員とする個人情報推進委員会を設け、随時に開催することができる。
- ③個人情報取扱責任者は各部署における必要な個人情報保護についての業務を代行する。個人情報管理責任者は、個人情報及び個人情報保護計画に関しての苦情・相談を受ける窓口を設け、この連絡先を患者・利用者に告知する。同窓口の担当は、個人情報取扱責任者である看護部長と医事課主任とする
─ 管理組織・体制
─ 組織図
- ①個人情報管理責任者は、当院が保有するすべての個人情報を特定し、危機を調査・分析するための手順・方法を確立し、維持する。
- ②個人情報管理責任者は、各部門・部署における個人情報を特定し、個人情報に関する危険要因(個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏えい等)を調査・分析の上、適切な保護措置を講じる。
- ③個人情報保護推進委員会を設置し、個人情報の保護の推進を図る。
- 1) 個人情報保護推進委員会は、個人情報取扱責任者を含む医局・看護部・医事課・薬局・リハビリ室、検査科・放射線科・栄養科から委員を構成し、年1回以上会議を開催し、個人情報保護に関する基本方針や本規定の当院内での遂行状況及び見直し、個人情報保護に関する教育研修の実施等を行う。
- 2) 個人情報保護推進委員会の委員長は院長が務め、個人情報管理者を兼ねる。
- ④第3者への情報提供の可否については、個人情報保護推進委員長の招集による検討委員会で討議、決定する。
─ 個人情報管理責任者の職務(個人情報の特定とリスク調査)
- (2)就業規程において、就業中はもとより離職後も含めた守秘義務を課す。
- (3)医事課、薬局、医局をはじめ、個人情報が存在する全ての部屋について、室内に職員がいない場合は必ず鍵をかけるなど、盗難等の予防策を講じる。また、パソコンやデジタルデータの保管管理に注意する。
- (4)「IDやパスワードによる認証などアクセス管理」「不正ソフトウェアの対策」「インターネットへの接続禁止」など、個人情報保管物への技術的安全管理措置を講ずる。
- (5)個人データが消失しないように留意するとともに、本人の照会に対応できるよう検索可能な状態で保存する。
- (6)不要となった個人データの廃棄、消去にあたっては、焼却・溶解・破壊など復元不可能な形にして廃棄する。
7. 職員教育
個人の権利、利益を保護するために個人情報を適切に管理すること、個人情報の保護に努めること、また適切に取り扱うことを職員及び関係者に周知徹底を図る目的で、個人情報保護に関する研修を年1回以上行うとともに、各部署に個人情報保護に関する基本方針や本規定を配布し、全職員に周知を図る。
8. 業務委託
- (1)業務委託を行う場合は、委託契約において、当院が定める安全管理措置の内容を契約に盛り込み、委託先の義務とする。
- (2)委託先が再委託を行っている場合は、再委託先の業者が個人情報を適切に取扱っていることが確認できるよう契約において配慮する。
- (3)契約に盛り込んだ安全管理措置が適切に行われていることを定期的に確認する。
9. 診療録の開示等の取扱い
診療録等の開示請求が患者本人又は代理人(死亡患者の家族及びその代理人を含む)からあった場合は、当院の診療情報の提供に関する規程に従い、開示する。
10. 第三者提供の取扱い
- (1)患者本人以外に情報を提供する場合は、あらかじめ患者本人の同意を得ることを原則とする。ただし、患者から特段の申出がない範囲については、改めて患者の同意を得ずに、情報開示を行うことができる。
- (2)院内掲示で示していない範囲について公的機関から情報開示の要求があった場合は、「身分証明書」の提示と「開示要求を求める文書」の提出を求め、情報提供の可否については、個人情報保護管理者が判断する。
11. 漏えい時の対応
病院内において、個人情報の漏えい等の事故が発生した場合、又は発生の可能性が高いと判断した場合、個人情報の取り扱いに関する規定に違反している事実が生じた場合、又は兆候が高いと判断した場合における院長への報告連絡体制の整備を行う。また、個人情報の漏えい等の問題が発生した場合、速やかに下記に報告し、二次被害の防止・類似事案の発生回避に努める。
<個人情報の漏えい等の問題・判断区分>
区分 | 対応体制 | 行政連絡 | |
---|---|---|---|
A |
1 患者さまに関わる個人情報の流出につながるもの。 2 前項以外で患者さまに関わる個人情報管理に問題が発生し、患者さまに重大なご迷惑をおかけするもの。 3 その他の重大なもの。 (1) 報道される可能性が高いもの。 (2) 当院の業務遂行に重大な支障を生ずるもの。 (3) 二次被害の防止、類似事案の発生回避に資するもの。 |
個人情報漏洩対策本部設置 | 要 |
B | Aランクに該当するもの以外で、 1 患者さまに関わる個人情報管理に問題が発生し、患者さまに何らかのご迷惑をおかけするもの。 2 前項以外の問題が発生し、長時間影響があるもの。 |
個人情報管理者を責任者として対応 | 状況に応じて個人情報管理責任者が判断 |
C | Aランク、Bランクに該当するもの以外で、影響が軽微なもの。 | 個人情報取扱責任者である看護部長と医事課主任が対応 | 不 要 |
D | Cランク相当の事象のうち、その原因等が明らかであるもの | 同 上 | 不 要 |
<個人情報漏洩問題発生時連絡体制>
12. その他
本規程の改廃は、個人情報保護推進委員会が行う。
附則
本規程は、平成17年4月1日より実施する。
本規程は、平成28年12月1日改定を行い、同日より実施する。