○徳島大学病院保有個人情報の保護に関する規則

平成17年3月18日

医学部・歯学部附属病院長制定

第1章 趣旨

(趣旨)

第1条 この規則は,徳島大学保有個人情報の保護に関する規則(平成16年度規則第135号。以下「保護規則」という。)第12条の規定に基づき,徳島大学病院(以下「本院」という。)における個人情報(診療等の病院業務にかかわるものに限る。以下同じ。)の適切な管理について,必要な事項を定めるものとする。

第2章 定義

(定義)

第2条 この規則における用語の意義は,保護規則第2条に定めるところによる。

第3章 管理体制

(病院業務保護管理者)

第3条 保護規則第3条第2項に規定する部局等総括保護管理者(以下「病院総括保護管理者」という。)の下に,病院業務保護管理者(以下「保護管理者」という。)を置き,病院長が指名する者をもって充てる。

2 保護管理者は,本院における診療等の病院業務にかかわる保有個人情報(以下「保有個人情報」という。)の管理に関する事務を行い,保有個人情報の適切な管理とその徹底に努めるものとする。

(病院業務保護担当者)

第4条 本院に,病院業務保護担当者(以下「保護担当者」という。)を置き,診療科長(徳島大学病院の院内組織に関する内規第3条に規定する診療科長をいう。),中央診療施設等の部長,室,センター及びユニットの長,薬剤部長,看護部長,診療支援部長及び事務部長をもって充てる。

2 保護担当者は,保護管理者を補佐し,保有個人情報の適切な管理に努めるものとする。

第4章 職員等の責務

(職員等の職務)

第5条 職員等(本院に所属する者(有期雇用職員を含む。)のほか,保有個人情報を取り扱うことのある大学院生,学生,受託実習生,研修生,本院の許可を得て診療等を行う者,派遣労働者として本院において業務に従事する者及び業務委託その他の契約により本院の業務に関与する者等を含む。以下同じ。)は,独立行政法人等の保有する個人情報の保護に関する法律(平成15年法律第59号。以下「保護法」という。)の趣旨に則り,関連する法令及び規程等の定め並びに総括保護管理者,病院総括保護管理者,保護管理者及び保護担当者の指示に従い,保有個人情報を取り扱わなければならない。

第5章 教育研修

(教育研修)

第6条 病院総括保護管理者は,職員等に対し,保有個人情報の適切な管理のために必要な研修等を行い,徳島大学総括保護管理者(保護規則第3条第1項に規定するものをいう。以下「総括保護管理者」という。)の実施する教育研修への参加の機会を付与する等の必要な措置を講ずる。

第6章 保有個人情報の取扱い

(アクセス制限)

第7条 病院総括保護管理者は,保有個人情報の秘匿性等その内容に応じて,保有個人情報にアクセスする権限を有する者をその利用目的を達成するために必要最小限の職員等に制限する。

2 アクセス権限を有しない職員等は,保有個人情報にアクセスしてはならない。

3 職員等は,アクセス権限を有する場合であっても,業務上の目的以外の目的で保有個人情報にアクセスしてはならない。

4 病院総括保護管理者は,各職種等のアクセス制限を別に定める。

(複製等の制限)

第8条 職員等は,業務上の目的で保有個人情報を取り扱う場合であっても,次に掲げる行為については,病院総括保護管理者の指示に従い行う。

(1) 保有個人情報の複製

(2) 保有個人情報の送信

(3) 保有個人情報が記録されている媒体の外部への送付又は持出し

(4) その他保有個人情報の適切な管理に支障を及ぼすおそれのある行為

(誤りの訂正等)

第9条 職員等は,保有個人情報の内容に誤り等を発見した場合には,病院総括保護管理者の指示に従い,訂正等を行う。

(媒体の管理等)

第10条 職員等は,病院総括保護管理者の指示に従い,保有個人情報が記録されている媒体を定められた場所に保管するとともに,必要があると認めるときは,耐火金庫への保管,施錠等を行う。

(廃棄等)

第11条 職員等は,保有個人情報又は保有個人情報が記録されている媒体(端末及びサーバに内蔵されているものを含む。)が不要となった場合には,病院総括保護管理者の指示に従い,復元又は判読が不可能な方法により当該情報の消去又は当該媒体の廃棄を行う。

(保有個人情報の取扱状況の記録)

第12条 病院総括保護管理者は,保有個人情報の秘匿性等その内容に応じて,台帳等を整備して,保有個人情報の利用及び保管等の取扱いの状況について記録する。

第7章 病院情報システムにおける安全の確保等

(アクセス制御)

第13条 病院総括保護管理者は,保有個人情報(病院情報システムで取り扱うものに限る。以下第16条において同じ。)の秘匿性等その内容に応じて,パスワード等(パスワード,ICカード,生体情報等をいう。以下同じ。)を使用して権限を識別する機能(以下「認証機能」という。)を設定する等のアクセス制御のために必要な措置を講ずるものとし,アクセス権限を有しない者は,保有個人情報にアクセスしてはならない。

2 病院総括保護管理者は,前項の措置を講ずる場合には,パスワード等の管理に関する定めの整備(その定期又は随時の見直しを含む。),パスワード等の読取防止等を行うために必要な措置を講ずる。

(アクセス記録)

第14条 病院総括保護管理者は,保有個人情報の秘匿性等その内容に応じて,保有個人情報へのアクセス状況を記録し,その記録(以下「アクセス記録」という。)を一定の期間保存し,及びアクセス記録を定期に又は随時に分析するために必要な措置を講ずる。

2 病院総括保護管理者は,アクセス記録の改ざん,窃取又は不正な消去の防止のために必要な措置を講ずる。

(外部からの不正アクセスの防止)

第15条 病院総括保護管理者は,保有個人情報を取り扱う情報システムへの外部からの不正アクセスを防止するため,ファイアウォール等の必要な措置を講ずる。

(コンピュータウイルスによる漏えい等の防止)

第16条 病院総括保護管理者は,コンピュータウイルスによる保有個人情報の漏えい,滅失又はき損の防止のため,フロッピィディスクの使用を極力制限する等コンピュータウイルスの感染防止等に必要な措置を講ずる。

(暗号化)

第17条 病院総括保護管理者は,保有個人情報の秘匿性等その内容に応じて,その暗号化のために必要な措置を講ずる。

(入力情報の照合等)

第18条 職員等は,病院情報システムで取り扱う保有個人情報の重要度に応じて,入力原票と入力内容との照合,処理前後の当該保有個人情報の内容の確認,既存の保有個人情報との照合等を行う。

(バックアップ)

第19条 病院総括保護管理者は,保有個人情報の重要度に応じて,バックアップを作成し,その媒体は耐火金庫等に分散保管する等の必要な措置を講ずる。

(情報システム設計書等の管理)

第20条 病院総括保護管理者は,保有個人情報に係る情報システムの設計書,構成図等の文書について外部に知られることがないよう,その保管,複製,廃棄等について必要な措置を講ずる。

(端末の限定)

第21条 病院総括保護管理者は,保有個人情報の秘匿性等その内容に応じて,その処理を行う端末を限定するために必要な措置を講ずる。

(端末の盗難防止等)

第22条 病院総括保護管理者は,端末の盗難又は紛失の防止のため,端末の固定,執務室の施錠等の必要な措置を徹底する。

2 職員等は,病院総括保護管理者が必要があると認めるときを除き,端末を外部へ持ち出し,又は外部から持ち込んではならない。

(第三者の閲覧防止)

第23条 職員等は,端末の使用に当たっては,保有個人情報が第三者に閲覧されることがないよう,使用状況に応じて病院情報システムからログオフを行うことを徹底する等の必要な措置を講ずる。

第8章 情報システム室等の安全管理

(入退室の管理)

第24条 病院総括保護管理者は,保有個人情報を取り扱う基幹的なサーバ等の機器を設置する室等(以下「情報システム室等」という。)に入室する権限を有する者を定めるとともに,用件の確認,入退室の記録,部外者についての識別化,部外者が入室する場合の職員の立会い等の措置を講ずる。また,保有個人情報を記録する媒体を保管するための施設を設けている場合においても,同様の措置を講ずる。

2 病院総括保護管理者は,情報システム室等の出入口の特定化による入退室の管理の容易化,所在表示の制限等の措置を講ずる。

3 病院総括保護管理者は,情報システム室等及び保管施設の入退室の管理について,入室に係る認証機能を設定し,及びパスワード等の管理に関する定めの整備(その定期又は随時の見直しを含む。),パスワード等の読取防止等を行うために必要な措置を講ずる。

(情報システム室等の管理)

第25条 病院総括保護管理者は,外部からの不正な侵入に備え,情報システム室等に施錠装置,警報装置,監視設備の設置等の措置を講ずる。

2 病院総括保護管理者は,災害等に備え,情報システム室等に,耐震,防火,防煙,防水等の必要な措置を講ずるとともに,サーバ等の機器の予備電源の確保,配線の損傷防止等の措置を講ずる。

第9章 保有個人情報の提供及び業務の委託等

(保有個人情報の提供)

第26条 病院総括保護管理者は,保護法第9条第2項第3号及び第4号の規定に基づき行政機関及び独立行政法人等以外の者に保有個人情報を提供する場合には,原則として,提供先における利用目的,利用する業務の根拠法令,利用する記録範囲及び記録項目,利用形態等について書面を取り交わす。

2 病院総括保護管理者は,保護法第9条第2項第3号及び第4号の規定に基づき行政機関及び独立行政法人等以外の者に保有個人情報を提供する場合には,安全確保の措置を要求するとともに,提供前又は随時に実地の調査等を行い措置状況を確認し,その結果を記録するとともに,改善要求等の措置を講ずる。

3 病院総括保護管理者は,保護法第9条第2項第3号の規定に基づき行政機関又は独立行政法人等に保有個人情報を提供する場合において,前2項に規定する措置を講ずる。

(業務の委託等)

第27条 保有個人情報の取扱いに係る業務を外部に委託する場合には,個人情報の適切な管理を行う能力を有しない者を選定することがないよう,必要な措置を講ずる。また,契約書に,次に掲げる事項を明記するとともに,委託先における責任者等の管理体制,個人情報の管理の状況についての検査に関する事項等の必要な事項について書面で確認する。

(1) 個人情報に関する秘密保持等の義務

(2) 再委託の制限又は条件に関する事項

(3) 個人情報の複製等の制限に関する事項

(4) 個人情報の漏えい等の事案の発生時における対応に関する事項

(5) 委託終了時における個人情報の消去及び媒体の返却に関する事項

(6) 違反した場合における契約解除の措置その他必要な事項

(7) 従業者に対する個人情報に関する教育研修の実施

2 保有個人情報の取扱いに係る業務を派遣労働者によって行わせる場合には,労働者派遣契約書に秘密保持義務等個人情報の取扱いに関する事項を明記する。

第10章 安全確保上の問題への対応

(事案の報告及び再発防止措置)

第28条 職員は,個人情報の漏えい等保有個人情報の安全確保の上で問題となる事実を認識したときは,直ちに保護管理者に報告するものとする。

2 前項の報告を受けた保護管理者は,速やかに保有個人情報の安全確保に必要な措置を講じるとともに,被害の拡大の防止又は復旧等のために必要な措置を講じるものとする。

3 保護管理者は,保有個人情報の安全確保の上で問題となる事実が発生した経緯,被害状況等を調査し,速やかに病院総括保護管理者に報告するものとする。ただし,重大と認める事案にあっては直ちにその概要を報告しなければならない。

4 病院総括保護管理者は,前項の報告を受けた場合は必要と認める事案について速やかにその内容,経緯,被害状況,再発防止措置等を総括保護管理者に報告するものとする。ただし,重大と認める事案にあっては直ちにその概要を報告しなければならない。

5 病院総括保護管理者は,事案の発生した原因を分析し,再発防止のために必要な措置を講ずる。

(公表等)

第29条 病院総括保護管理者は事案の内容,影響等に応じて,事実関係及び再発防止策の公表,当該事案に係る本人への対応等の措置を総括保護管理者と協議の上,講ずる。

第11章 点検の実施等

(点検)

第30条 病院総括保護管理者は,自ら管理責任を有する保有個人情報の記録媒体,処理経路,保管方法等について,定期に又は随時に点検を行い,必要があると認めるときは,その結果を総括保護管理者に報告する。

(評価及び見直し)

第31条 病院総括保護管理者は,保有個人情報の適切な管理のための措置については,点検又は保護規則第25条に定める監査の結果等を踏まえ,実効性等の観点から評価し,必要があると認めるときは,その見直し等の措置を講じ,総括保護管理者に報告する。

第12章 開示,訂正及び利用停止請求への対応

(開示請求等への対応)

第32条 保護法第12条,第27条及び第36条の規定に基づき本人(未成年者又は成年被後見人の法定代理人を含む。)が国立大学法人徳島大学(以下「本学」という。)に対して行う保有個人情報の開示請求,訂正請求又は利用停止請求(以下「開示請求等」という。)への対応(本学の開示請求等の手続きの説明及び案内に限る。(以下「案内等」という。))は,地域医療連携センターを窓口として行う。

2 前項にかかわらず,診療情報の提供等に係る事務手続きは,徳島大学病院における診療情報の提供に関する取扱要領に定めるところによる。

3 開示請求等の案内等に当たっては,開示請求等をしようとする者がそれぞれ容易かつ的確に開示請求等をすることができるよう,保有個人情報の特定に資する情報の提供その他開示請求等をしようとする者の利便を考慮した適切な措置を講ずるものとする。

第13章 苦情への対応

(苦情への対応)

第33条 病院総括保護管理者は,個人情報の取扱いに関する苦情について,迅速かつ適切に対応できるよう体制整備を行う。

第14章 個人情報保護委員会

(個人情報保護委員会)

第34条 本院に,保有個人情報の保護に関する事項を審議するため,個人情報保護委員会(以下「委員会」という。)を置く。

2 委員会について必要な事項は,別に定める。

第15章 雑則

(雑則)

第35条 この規則に定めるもののほか,本院における個人情報の適切な管理について,必要な事項は別に定める。

附 則

この規則は,平成17年4月1日から施行する。

附 則(平成21年2月27日改正)

この規則は,平成21年3月1日から施行する。

附 則(平成22年3月18日改正)

この規則は,平成22年4月1日から施行する。

附 則(平成24年3月23日改正)

この規則は,平成24年4月1日から施行する。

附 則(平成29年3月31日改正)

この規則は,平成29年4月1日から施行する。

徳島大学病院保有個人情報の保護に関する規則

平成17年3月18日 医学部・歯学部附属病院長制定

(平成29年4月1日施行)

体系情報
大  学/第8編
沿革情報
平成17年3月18日 医学部・歯学部附属病院長制定
平成21年2月27日 種別なし
平成22年3月18日 種別なし
平成24年3月23日 種別なし
平成29年3月31日 種別なし