(1) | 個人情報保護に関する規程の整備、公表 |
・ | 医療・介護関係事業者は、保有個人データの開示手順を定めた規程その他個人情報保護に関する規程を整備し、苦情処理体制も含めて、院内や事業所内等への掲示やホームページへの掲載を行うなど、患者・利用者等に対して周知徹底を図る。 |
・ | また、個人データを取り扱う情報システムの安全管理措置に関する規定等についても同様に整備を行うこと。
|
(2) | 個人情報保護推進のための組織体制等の整備 |
・ | 従業者の責任体制の明確化を図り、具体的な取組を進めるため、医療における個人情報保護に関し十分な知識を有する管理者、監督者等を定めたり、個人情報保護の推進を図るための委員会等を設置する。 |
・ | 医療・介護関係事業所で行っている個人データの安全管理措置について定期的に自己評価を行い、見直しや改善を行うべき事項について適切な改善を行う。
|
(3) | 個人データの漏えい等の問題が発生した場合等における報告連絡体制の整備 |
・ | 1)個人データの漏えい等の事故が発生した場合、又は発生の可能性が高いと判断した場合、2)個人データの取扱いに関する規程等に違反している事実が生じた場合、又は兆候が高いと判断した場合における責任者等への報告連絡体制の整備を行う。 |
・ | 個人データの漏えい等の情報は、苦情等の一環として、外部から報告される場合も想定されることから、苦情処理体制との連携も図る。(III10.参照)
|
(4) | 雇用契約時における個人情報保護に関する規程の整備 |
・ | 雇用契約や就業規則において、就業期間中はもとより離職後も含めた守秘義務を課すなど従業者の個人情報保護に関する規程を整備し、徹底を図る。なお、特に、医師等の医療資格者や介護サービスの従業者については、刑法、関係資格法又は介護保険法に基づく指定基準により守秘義務規定等が設けられており(別表3)、その遵守を徹底する。
|
(5) | 従業者に対する教育研修の実施 |
・ | 取り扱う個人データの適切な保護が確保されるよう、従業者に対する教育研修の実施等により、個人データを実際の業務で取り扱うこととなる従業者の啓発を図り、従業者の個人情報保護意識を徹底する。
|
(6) | 物理的安全管理措置 |
・ | 個人データの盗難・紛失等を防止するため、以下のような物理的安全管理措置を行う。
− | 入退館(室)管理の実施 |
− | 盗難等に対する予防対策の実施 |
− | 機器、装置等の固定など物理的な保護 |
|
(7) | 技術的安全管理措置 |
・ | 個人データの盗難・紛失等を防止するため、個人データを取り扱う情報システムについて以下のような技術的安全管理措置を行う。
− | 個人情報データに対するアクセス管理(IDやパスワード等による認証、各職員の業務内容に応じて業務上必要な範囲にのみアクセスできるようなシステム構成の採用等) |
− | 個人情報データに対するアクセス記録の保存 |
− | 個人情報データに対するファイアウォールの設置 |
|
(8) | 個人データの保存 |
・ | 個人データを長期にわたって保存する場合には、保存媒体の劣化防止など個人データが消失しないよう適切に保存する。 |
・ | 個人データの保存に当たっては、本人からの照会等に対応する場合など必要なときに迅速に対応できるよう、インデックスの整備など検索可能な状態で保存しておく。
|
(9) | 不要となった個人データの廃棄、消去 |
・ | 不要となった個人データを廃棄する場合には、焼却や溶解など、個人データを復元不可能な形にして廃棄する。 |
・ | 個人データを取り扱った情報機器を廃棄する場合は、記憶装置内の個人データを復元不可能な形に消去して廃棄する。 |
・ | これらの廃棄業務を委託する場合には、個人データの取扱いについても委託契約において明確に定める。 |