第1条【目的】
- 本規定は、社会保険労務士法人ブレインズ(以下「会社」とする)における個人情報の取扱に関する体制・基本ルールを策定し、個人情報保護に関する会社としての責務を果たし、会社内に保有する情報漏えいを防止ことを目的とする。
第2条【本規定の対象】
- 本規定は、会社が保有する個人情報を対象とする。
第3条【用語の定義】
- 本規定にて使用する用語は以下の通りとする。
- (1) 個人情報:生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により 特定の個人を識別することができるものをいう。他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む
- (2) 個人情報データベース:特定の個人情報を一定の規則に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても 容易に検索可能な状態においているものをいう。紙媒体、電子媒体の如何を問わない
- (3) 保有個人データ:個人データのうち、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有するものをいう。但し、その存否が明らかになることによって、公益その他の利益が害されるものは除く
第4条【対象となる個人情報】
- 本規定の対象となる情報は、会社内で保管するすべての個人情報を指し、電子データ、印字データの別を問わない。
第5条【個人情報保護責任者】
- 会社における個人情報保護責任者は、代表社員とする。
- 代表社員は、診療情報管理・個人情報保護委員会(以下「委員会」とする)を主宰し、会社内における個人情報保護に関する取組の推進に関する責任を負う。
- 代表社員は、上記の責任を果たす上で必要な事項に関する決定権を有する。
第6条【個人情報保護委員会】
- 会社における個人情報保護に関する代表社員の諮問機関として個人情報保護委員会を設置することができる。
- 個人情報保護委員会は、個人情報保護に関する取組の計画立案、調査を行う。
第7条【個人情報保護委員】
- 委員会の委員を個人情報保護委員(以下「委員」とする)とする。
- 委員は、厚生労働省ガイドラインの則り、個人情報保護に関する取組を推進する責務を負う。
- 委員は代表社員で構成するものとする。
第8条【個人情報苦情・相談窓口の設置】
- 本人からの情報開示・訂正・利用停止等の請求等、外部からの照会の受付窓口を代表社員(澤田裕一)とする。
第9条【個人情報保護に関する取組】
- 会社は、業務における個人情報保護に関し、取扱規則の策定・検討及び従業員のセキュリティ対策の実践等、必要な取組を行うよう努める。
第10条【情報の取扱】
- 従業員は、入職時に個人情報保護に関する誓約書を提出すると同時に、これらを遵守しなければならない。退職後においても、同様の遵守義務を負うものである。
- 取引先・委託先等は、会社に対して個人情報保護に関する会社所定の契約もしくは誓約書を提出し、取引及び委託期間中はもとより、期間終了後においても情報管理に関し規則を遵守しなければならない。
- すべての従業員は、個人情報保護に関する規則を遵守する旨の誓約書を提出と同時に、これらを遵守しなければならない。
第11条【教育】
- 会社は、定期的に従業員を対象とした個人情報保護に関する教育を行うことができる
第12条【調査】
- 会社は、会社内における個人情報保護の適切性について、適宜調査を行うように努める。
- 調査を行った場合、会社は調査結果を代表社員に報告し、速やかに改善措置を検討・実施する。
第13条 【個人情報取扱基本方針】
- 代表社員は、個人情報保護に関する会社として基本方針を定めこれを公表する。
第14条【個人情報の収集】
- 収集する個人情報の利用目的を明文化し、公表する。
- 個人情報の収集は利用目的の達成に必要な限度において行う。
- 収集済みの個人情報の利用目的の変更に要する場合は、代表社員に申出し、変更後の利用目的を公表する。
- 前項の規定にかかわらず、本人から個人情報を直接取得する場合、書面上の明記等により本人 に対し、変更後の利用目的を公表する。
第15条(個人情報を収集する目的)
- クライアント・関係者から個人情報を取得する目的は、通常業務において必要な目的を達成するためである。
第16条【個人情報を収集する方法】
- 本人の申告又は提供
- クライアントからの提供
- 18歳未満の方の個人情報については扶養者等から提供をうける。
第17条 (特定の個人情報の収集の禁止)
1.会社は、次の各号に掲げる種類の内容を含む個人情報については、本人の同意がある場合又は法令等に特段の事情が
ある場合を除き、これに収集、利用又は提供しないものとする。
- 門地、本籍地(所在都道府県に関する情報を除く)
- 信教(宗教、思想及び信条)及び政治的見解に関する事項
- 犯罪歴、その他社会的差別の原因となる事項
第18条(利用範囲の制限)
- 個人情報の利用は、原則として収集目的の範囲内で、具体的な業務に応じ権限を与えられた者が、業務の遂行上必要な限りにおいて行う。
- クライアントの同意を得ている通常の業務を除き、委員会の承諾を得ないで、個人情報の目的外利用、第三者への提供・預託、通常の利用場所から持ち出し、第三者への提供することを禁止する。
- 会社従業員、派遣従業員、委託外注従業員および関係者は、業務上知り得た個人情報の内容をみだり に第三者に知らせ、又は不当な目的に使用してはならない。その業務に係る職を退いた後も同様とする。
- データ入力等、個人情報の取扱いを外部業者に委託する場合、委託先の個人情報取扱か適切かどうか確認した上、業務委託契約に、委託業務遂行以外の目的での利用禁止、業務終了後の情報の返還又は破棄・違反時の損害賠償等の文言を明記するものとする。長時間継続して業 務を委託する場合には、委託先の個人情報取扱状況について随時確認を行うものとする。
第19条 【個人情報の範囲】
- 個人情報の利用は、通常業務においての必要な利用目的の範囲で行うものとする。
第20条【収集目的範囲外の利用】
- 目的範囲の範囲を超えて個人情報の利用を行う場合には、クライアント・関係者本人の同意を必要とする。
第21条【個人情報の正確性の確保】
- 個人情報は、利用目的に応じ必要な範囲内において、正確かつ最新の状態で管理しなければならない。
- 患者・クライアント・関係者から、個人情報の開示、当該情報の訂正、追加、削除、利用停止等の希望を受けた場合は、すみやかに処理しなければならない。
第22条【個人情報の安全性の確保】
- 個人情報への不当なアクセス又は個人情報の紛失、破壊、改ざん、漏えい等の危険に対して、従業員への個人情報取扱いに関する教育の実施、普及、評価、改善をしなければならない。
第23条【個人情報の保管】
- 会社内で保管する個人情報は、施錠管理、アクセス権の制限等、合理的な安全管理対策を行う。
- 従業員は自ら所属する所属長または所属長が指名する代行権限者の承認なく、個人情報を社外に 持ち出し、漏らしてはならない。
第24条【個人情報の破棄】
- 保管期限を経過した個人情報、又は当初の目的を達成して不要となった個人情報は速やかに破棄するものとする。
- 個人情報の廃棄にあたっては、外部に漏えいしないよう、印字データについてはシュレッダー処理、電子データには修復不可能な状態で、データ消去を行わなければならない。なお、 廃棄をする場合は、外部業者が確実に廃棄したことを確認するものとする。
第25条【個人情報苦情・相談窓口の設置】
- 本人からの情報開示・訂正・利用停止等の請求等、外部からの照会の受付窓口を代表社員(澤田裕一)とする。
- 第三者への提供は、原則として代表社員の承認を得て、必要な措置を講じた上でなければならない。
第26条【個人情報の第三者への提供】
- 個人情報の第三者への提供は、会社の利用目的の範囲内で行う。但し、例外として、以下の場合には第三者に提供することがある。
- 法令に基づく場合
- 人の生命、身体又は財産の保護に必要な場合
- 公衆衛生の向上又は児童の健全育成の推進のために特に必要な場合
- 第三者への提供は、原則として代表社員の承認を得て、必要な措置を講じた後でなければならない
第27条【自己情報に関する権利】
- 会社が保有している個人情報について、クライアントから説明、開示を求められた場合、遅滞なく会社が保有してい
- るクライアントの診療に関する個人情報を希望する方法で説明し開示しなくてはならない。
- 開示をした結果、誤った情報があった場合で訂正、追加又は削除を求められたときは、会社は、遅滞なくその請求が
- 妥当であるかを判断し、妥当であると判断した場合には訂正等を行い、クライアントに対してその内容を通知しなければ
- ならない。訂正しない場合は、遅滞なくクライアントに対してその理由を通知しなければならない。
第28条 【自己情報の利用又は提供の拒否権】
- 会社が保有している個人情報について、クライアントから自己情報についての利用又は第三者への 提供を拒まれた場合、これに応じなければならない。但し、裁判所および令状に基づく権限の行使による開示請求等又は会社が法令に定められている義務を履行するために必要な場合については、この限りではない。
第29条【緊急連絡体制】
- 個人情報の漏えい事故が発生した場合は、緊急連絡は、情報漏えい緊急連絡体制の定めるところによる。
第30条【本規定への違反】
- 本規定への違反が明らかになった場合は、就業規則の定めに従い、違反を行った従業員に対する処分を行うものとする。
第31条【細則】
- 代表社員は、必要に応じて個人情報保護に関する細則を制定するものとする。
第32条【改定)】
- 本規定の改訂は、代表社員の発議によるものとする。
第33条【施行】
- 本規定は令和2年4月1日から施行する。
改定:令和4年9月1日
~個人情報保護方針~
- 会社は、「人権尊重」という理念の下、個人情報を適正に取扱うため、個人情報の保護に関する法律(以下「法」といいます。)その他、個人情報保護に関連する各種ガイドラインに定められたルールを遵守します。個人情報とは、生存する個人に関する情報で、特定の個人を識別できるもので、さらに、厚生労働省ガイドライン(以下「ガイドライン」といいます。)では、死者に関する情報が遺族等の生存する個人の情報でもある場合には当該生存する個人に関する情報となると規定しており、以下も同様とします。
- 会社は、個人情報取得の際、適正な手段で取得し、利用目的を法令により例外として扱われるべき場合を除き、あらかじめご本人に通知または公表します。
- 会社は、利用目的の達成に必要な範囲内で個人データを正確・最新の内容に保つよう努め、また安全管理のために必要・適切な措置を講じ従業者および委託先を適正に監督します。個人データとは、個人情報データベース等(法第2条第2項)を構成する個人情報と規定します。
- 会社は、法令により例外として扱われるべき場合を除き、クライアントの皆様へのサービス提供のため通常必要な範囲の利用目的について、ご本人の同意を得ることなく個人データを第三者に提供しません。
- 会社は、保有個人データにつき、法令に基づきご本人からの開示、訂正、利用停止等に応じます。
- 会社は、取扱う個人情報について、適正な内部監査を実施するなどして、本保護方針の継続的な改善に努めます。