株式会社阿吽
個人情報保護に関する規程
【目的】
この規程は、「個人情報の保護に関する法律」第6条第3項及び8条の規程に基づき、当施設において取り扱う個人情報の取り扱い及び管理に関する事項を定め、適正に利用することを目的とする。
【個人情報の定義】
「個人情報」とは、生存する個人に関する情報であって、当該事項に含まれる氏名、生年月日、その他の記述等により個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)をいう。 「個人に関する情報」は、氏名、性別、生年月日等個人を識別する情報に限られず、個人の身体、財産、職種、肩書き等の属性に関して、事実、判断、評価を表すすべての情報であり、評価情報、公刊者等によって公にされている情報や、映像、音声による情報も含まれ、暗号化されているか否かを問わない。 当施設が保有する個人情報すべてを対象とするものであり、カルテ等の形態に整理されていない場合でも個人情報に該当する。
【個人情報の例】
支援経過記録、情報提供書、処方箋、コンピュータ内個人情報データベース、職員に関する情報等
【遺族への個人情報の取り扱い】
本来、「個人情報」とは生存する個人に関する情報であるが、利用者が死亡した際に、遺族からの介護経過、情報や関係の諸記録について照会が行われた場合、利用者本人の生前の意思、名誉等を十分に尊重しつつ対応するものとする。
【管理組織】
個人情報保護の推進を図るために委員会を設置し、情報管理委員会をこれに充てる。又、個人情報保護に関する管理者を置き、管理者は施設長をもってこれに充てる。施設長は必要な場合、管理者を別に指名することができる。
【管理者の責務】
個人情報の漏洩、滅失又は毀損の防止その他の安全管理のために必要かつ適切な措置を講じなければならない。 個人情報を利用する職員を管理し、その使用、取扱い制限を規定し、不正な利用を防止しなければならない。 個人情報を適正に取り扱わせるために、利用する職員に対して教育研修を行う。 全職員に対して契約書を取り交わし、業務期間のみならず、退職後も業務上知り得た個人情報については漏洩等を行わない旨、守秘義務を徹底させなければならない。また新入職員や委託業者等に関しても雇用前に説明し、契約書を取り交わすものとする。
【利用する職員の責務】
個人情報の取扱いにあたり、個人情報保護又は守秘義務に関する他の法令等の規程を遵守しなければならない。正当な理由なくして、その業務上知り得た個人情報を漏らしてはならない。
自身の認証番号、パスワードを管理し、これを他者に利用させないこと。 自身に与えられた利用、取扱いに関する権限を超えた操作は行わないこと。 参照した情報を目的外に利用しないこと。
【個人情報の利用範囲】
利用者に適切な福祉サービスを提供する目的のために、通常必要と考えられる個人情報の利用範囲を施設内掲示により明らかにしておき、利用契約時に書面による同意を得たうえで、利用者側からの特段明確な反対、留保の意思表示がない場合には、これらの範囲内での個人情報については利用を行うものとする。 通常必要と考えられる個人情報の利用目的 利用者に提供する介護サービス 保険事務 利用者に係る施設の管理運営業務 利用開始・終了の管理 会計、経理 事故等の報告 当該利用者の介護サービスの向上 他の事業者等への情報提供を伴う利用目的 利用者に福祉サービスを提供する他の福祉サービス事業者や相談支援事業所等との連携(サービス担当者会議等)、照会への回答
利用者へのサービス提供にあたり、外部の医師等への意見、助言を求める場合 検体検査業務の委託、その他の業務委託 家族等への心身の状況説明 保険事務 審査支払機関へのレセプトの提出 審査支払機関又は保険者からの照会への回答 損害賠償保険などに係る保険会社等への報告又は届出等 上記以外の利用目的 提供する福祉サービスや業務の維持、改善のための基礎資料 当施設において行われる介護、医療専門職の学生の実習への協力 施設内、外で行われる事例研究 施設が発行する広報誌及び施設内での掲示 ホームページ、SNS等の掲載の協力【個人情報の匿名化】
「個人情報の匿名化」とは、当該個人情報から、当該情報に含まれる氏名、生年月日、住所等、個人を識別する情報を取り除くことで、特定の個人を識別できないようにすることをいう。顔写真については、一般的には目の部分にマスキングすることで特定の個人を識別できないと考える。必要な場合には、その人と関わりのない符号又は番号を付すなどの対応を行うこと。 特定の利用者の症例や事例を学会、研修会で発表したり、学会誌で報告したりする場合に、氏名等を消去することで匿名化と考えられる。症例や事例により、十分な匿名化が困難な場合は、本人の同意を得なければならない。【本人の同意】
通常必要と考えられる個人情報の利用範囲を施設内掲示により明らかにしておき、利用契約時に書面による同意を得たうえで、利用者側からの特段明確な反対、留保の意思表示がない場合には、これらの範囲内での利用を行うものとする。 本人の意思を明確に確認できない場合の状態については、利用者の理解力、判断力などに応じて、可能な限り利用者本人に通知し、同意を得るよう努める。 利用契約時における書面による同意とは別に、以降に本人の意思確認が都度必要と考えられる場合については、あらかじめ本人にその内容を通知すること。
【本人及び家族への情報の開示】
施設あるいは本人及び家族からの申し出により、利用者の介護や心身状況の説明、又は介護記録等の開示を行う場合については、あらかじめ説明若しくは開示を行う家族等の対象を確認し、当該サービスを開始する際に取り交わした利用約款に基づき対応を行うものとする。
【個人情報の利用目的による制限の例外】
次に掲げる場合については、本人の同意を得る必要はないものとする。 法令に基づき施設が実地指導、検査等を受ける場合 施設内で発生する事故等について、報告が義務付けられている内容のものについて情報提供を行う場合
人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
【適正な取得】
偽りその他不正の手段により個人情報を取得してはならない。
【正確性の確保】
利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない。
【入退管理】
個人情報を取り扱う部屋については、空室にする場合は必ず施錠を行い、鍵の所有者を特定する。またこれらの部屋については、職員以外の出入りは出来る限り避けること。関係者以外の入室の際には、担当者に了解を得たうえで入室していただくこと。
【文書管理】
個人情報を含む書類は、鍵のかかる場所に保管すること。 各部署で保管をしている個人情報は、各部署の責任者が管理を行い、個人情報の種類、保管場所、対策(保管方法等)を明文化しておかなければならない。 各部署における責任者は、自ら管理責任を有する個人情報を定期又は随時点検を行い、必要と認める場合には、その見直し等の措置を講じなければならない。
【文書の廃棄方法】
破棄されたデータが他者に流出することのないように留意しなければならない。 個人情報が含まれている書類を破棄する場合、専門の業者に依頼する。または施設で破棄しようとする場合は、匿名化するなど取扱いに十分留意した上で、施設が破棄を行う。【パソコン等の情報処理システムの取扱い】
別に定める情報処理システム運用に関する規程を遵守すること。
【委託先の監督】
業務を委託する業者に対しては、守秘義務を遵守し、機密保持条項を含めた個人情報保護に関する、書面による契約を取り交わす。 委託業者の職員教育に関しては、施設からの申し出に対し、各々の業者における職員教育、新人教育に関して必要に応じて報告していただくものとする。
【リスク管理】
不正アクセスへの対応 インターネットに接続できるコンピュータは、施設内のネットワークに繋がるコンピュータと別にするか、もしくは制限を行い対応する。 個人のパスワードを取得し、他者に漏らさないこと。 ウィルスチェックを自動化しておく。 個人情報の漏洩等、リスクが発生した場合、速やかに管理者に報告する。報告を受けた管理者は、速やかに情報管理委員会を招集しなければならない。
【職員教育】
全職員を対象に年に2回、個人情報保護に関する適切な職員教育が行わなければならない。 新入職員への教育は、採用時オリエンテーション時に行うものとする。 職員への教育は、管理者を責任者とする。
【内部規定の違反に関する罰則】
規定違反に関する罰則については、情報管理委員会にて審議のうえ決定する。 正当な理由なくして、職員が知り得た情報、機密事項を漏洩若しくは開示し、施設に損害を与えた場合には、職員が在職中、退職後に関わらず、施設は訴追し、損害賠償請求を行うことができる。
【苦情及び相談窓口】
個人情報に関する苦情及び相談窓口を、事務所において以下の通りとする。・管理者
【その他】
本規程の定めのない事項については、その都度検討し、必要に応じて見直しを行うものとする。
【附則】
この規程は、平成31年1月1日から施行する。