規程502　個人情報保護管理規程

 

 

（目的）

第１条　この規程は、「個人情報の保護に関する法律」（平成１５年５月３０日、法律第５７号、以下「法」という）および「健康保険組合等における個人情報の適切な取扱いのためのガイドラインについて」（保発第１２２７００１号、以下「ガイドライン」という）「健康保険組合における個人情報保護の徹底について」（保保発第１２２５００１号）ならびに「健康保険組合における診療報酬明細書および調剤報酬明細書の紙以外の媒体による保存について」（保保発第０３０７００２号）に基づき、個人情報保護の重要性に鑑み、ＩＨＩグループ健康保険組合（以下「組合」という）における被保険者およびその被扶養者（以下「被保険者等」という）等組合が保有する個人情報について適正な取扱いを図るとともに、個人情報の漏えい・滅失またはき損・改ざん・誤記録等（以下「漏えい等」という）を防止し、個人情報およびデータ等の保護徹底を図ることを目的とする。

 

（定義）

第２条　この規程による「個人情報」とは、法第２条第１項に定める特定の個人を識別することができるものをいい、組合の事業運営にあたって、医療機関、事業主および被保険者等自身から取得する情報であって、紙に記載されたものであるか電子計算機・光学式情報処理装置等（以下「電子計算機等」という）のシステムにより処理されているものかは問わない。

　　なお、個人情報の内容は次のとおりであるが、詳細は「個人情報対応マニュアル」に定める。

（１）被保険者記録および被扶養者記録（資格取得・喪失年月日、標準報酬・賞与額・住所等）

（２）給付記録（現金給付受給内容、口座番号等）

（３）診療報酬明細書および調剤報酬明細書（以下「レセプト」という）およびレセプトを基に作成される文書（医療費通知等）

（４）保健事業として行なう各種健康診断等の記録

（５）直営医療機関診療記録（カルテ、検査記録、処方せん等）

（６）その他これらに準ずる文書、記録

２．死者に関する情報は、法の対象外であるが、ガイドラインに基づき、死者に関する情報が、同時に、遺族等の生存する個人に関する情報でもある場合には、当該生存する個人に関する情報となる。

３．「データ等」とは、個人情報ではないが外部に漏れることを適当としないデータまたは事故等が発生した場合、その復元が著しく困難となるおそれのある情報等で次の各号に掲げるものであって、紙に記載されたものであるか電子計算機等のシステムにより処理されているものかは問わない。

（１）組合の財産、財務に関するデータ

（２）入力帳票および出力帳票(以下｢入出力帳票｣という)

（３）システム設計書、プログラム説明書、コードブック、電子計算機等の利用または操作説明書等（以下「仕様書等」という）

（４）その他これらに準ずるデータ

 

（適用範囲）

第３条　この規程は、組合の業務に従事するすべての者（以下「役職員」という）および組合会議員に適用する。

 

（管理組織）

第４条　この規程の個人情報管理責任者（以下「管理責任者」という）は常務理事とし、個人情報取扱責任者（以下「取扱責任者」という）は、組合の事務所については各グループ長、病院は院長とする。（別紙１「個人情報保護推進組織図」参照）

２．前項に定めるもののほか、管理組織について必要な事項は、理事会において別に定める。

 

（管理責任者の責務）

第５条　管理責任者は、個人情報およびデータ等の保護徹底が図られるよう、組合の役職員に対する教育訓練、各種安全対策の実施、個人情報およびデータ等に関する開示請求や苦情処理、外部委託業者の監督等を適切に行ない、個人情報およびデータ等の保護に関して必要な事項の全般を管理する。

２．管理責任者は、各部門での日常業務に関わる個人情報およびデータ等の保護徹底については、取扱責任者に指示してこれにあたらせる。

３．管理責任者は、電子計算機等の全般を管理する。

４．管理責任者は、電子計算機等に事故が発生した場合は速やかに状況について調査し、復旧のための措置を講ずる。

 

（取扱責任者の責務）

第６条　取扱責任者は、個人情報保護の徹底が図られるよう、組合の役職員に対する教育訓練、各種安全対策の実施、個人情報に関する開示請求や苦情処理、外部委託業者の監督等を適切に行ない、理事長など役員とともに、その責任を負うものとする。また、個人情報保護に関して必要な事項の全般を管理しなければならない。

２．取扱責任者は、日常業務に関わる電子計算機等の運用については、管轄部門の役職員に指示してこれにあたらせることができる。

３．取扱責任者は、第７条第１項第３号の定めによる報告を役職員から受けた場合は、直ちに管理責任者に報告し、その指示に従うこと。

 

（役職員の責務）

第７条　役職員は、次の各号に掲げる責務を負うものとする。

（１）管理責任者および取扱責任者の指示に従い、被保険者等の個人情報およびデータ等の保護に努めること。

（２）役職員は自身の電子計算機等のパスワード等を管理し、これを他者に利用させないこと。

（３）電子計算機等の異常、被保険者等の個人情報への不正なアクセス、故意または過失による虚偽入力・書換・消去を発見した場合は、直ちに取扱責任者に報告しその指示に従うこと。

（個人情報の利用目的の特定と公表等）

第８条　個人情報を取扱うにあたって、その利用目的をできる限り特定し、被保険者等本人にわかりやすい形で通知し、またはホームページ、組合・事業所掲示板への掲示、広報誌等で公表しなければならない。また、新たに個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を被保険者等本人に通知し、または前記手段等を用いて公表しなければならない。（別紙２「個人情報の利用目的」参照）

 

 

（個人情報の取扱および第三者提供の制限）

第９条　被保険者等の個人情報は、別紙２に定める利用目的以外に利用してはならない。また、利用目的以外に利用する場合は、被保険者等の同意を得なければならない。

２．法第２３条に規定する第三者提供の除外事項等を除き、あらかじめ被保険者等本人の同意を得ないで、個人情報を提供してはならない。

 

（データ等の取扱および第三者提供の制限）

第１０条　データ等は、組合の事業目的以外に使用してはならない。

２．データ等は、下記の場合を除いて第三者に提出または閲覧させてはならない。

（１）法令の規定に基づく場合

（２）データ等をその本来の使用目的の範囲内で行政機関に提供する場合

（３）本人（法人を含む）またはその家族等で、データ等の提供を受けるにつき、正当な理由を有するものからの照会に対し、管理責任者が承認した場合

（４）その他管理責任者が特に必要と認めて承認した場合

 

（個人情報およびデータ等の適正な取得および正確性の確保）

第１１条　偽りその他の不正な手段により個人情報およびデータ等を取得してはならない。また、個人情報は利用目的・データ等は事業目的の達成に必要な範囲内において、個人データおよびデータ等を正確かつ最新の内容に保つよう努めなければならない。

 

（守秘義務）

第１２条　役職員および組合会議員は、取扱責任者の許可を得ずに、組合内外のいかなる者にも個人情報およびデータ等を口外し、開示し、または漏えいしてはならない。その職務を退いた後においても同様とし、管理責任者は個人情報およびデータ等に関する誓約書の提出を求めることができる。

 

（守秘義務違反があった場合の措置）

第１３条　この規程に反した場合は、就業規則の定めるところにより必要な措置をとることおよび損害賠償を求めることができる。

 

（個人情報およびデータ等の作成）

第１４条　個人情報およびデータ等が記載された文書を作成する場合は、次の各号に掲げる事項に留意し、個人情報保護のために万全を期さなければならない。

（１）管理責任者もしくは取扱責任者から指示された作成部数および複製部数の厳守

（２）原稿、作成資料等の管理および廃棄

２．電子計算機等に保存された個人情報（レセプトを除く）およびデータ等を紙に復元する場合（以下「コピー」という）は、取扱責任者の承認を得て次の各号に掲げる事項に留意して復元しなければならない。

（１）個人情報およびデータ等のコピー数は、取扱責任者が指示した数以上行なってはならない。

（２）原則として、紙へ復元した個人情報およびデータ等のコピーは原本として使用してはならない。

 

（個人情報およびデータ等の記録媒体の保護管理）

第１５条　個人情報およびデータ等の記録媒体は、取扱責任者の指定する場所に保管し、文書保存規程の定めにより保存しなければならない。

２．レセプト記録媒体の管理については、次の各号に掲げる事項による。

（１）レセプトは、３ヵ月間は紙媒体により保存し、３ヵ月間を超えたレセプトは磁気媒体により保存する。

（２）レセプトを磁気媒体に保存する場合は、レセプト原本の復元機能を有している機器およびソフトウェアを使用して保存しなければならない。

（３）取扱責任者は、レセプトを磁気媒体に保存するにあたり、保存されたレセプトの原本性、見読性および耐久性を確保することとし、レセプト（紙媒体）に記載されている事項が全て正確に記録されていることを確認しなければならない。

（４）レセプト(紙媒体)を廃棄するまでの間は、磁気媒体に保存されたレセプトを原本として使用してはならない。

 

（死者に関する情報の管理）

第１６条　組合が死者に関する情報を保存している場合には、組合は漏えい等の防止のため、個人情報と同等の安全管理措置を講じる。

 

（磁気媒体に保存されたレセプトの紙への復元）

第１７条　磁気媒体に保存されたレセプトを原本として保存し、その記録を紙に復元する場合には、取扱管理責任者の承認を得なければならない。

２．前項の規定による復元は、1枚に限り行なうこととし、復元後のレセプト（紙媒体）を原本とする。

３．紙へ復元した原本に修正が加えられた場合には、修正が加えられた記録を新たな原本記録として保存する。

４．紙へ復元した原本の処理状況および履歴の管理についてはレセプト復元管理簿に記録を記載し、その取扱いについて明確にしておくものとする。

５．前項のレセプト復元管理簿の様式は、別紙３のとおりとする。

 

 

(仕様書等の指定および保管)

第１８条　取扱責任者は、仕様書等のうち外部に漏えいしてはならないものを指定する。

２．前項により指定された仕様書等は、みだりに複製してはならない。

３．仕様書等は、所定の場所に格納して保管しなければならない。

４．仕様書等を複製または外部に持ち出す場合には、取扱責任者の許可を得なければならない。

 

（個人情報およびデータ等の廃棄および消去）

第１９条　個人情報およびデータ等が記載された紙または磁気媒体を廃棄する場合においては、取扱責任者の指示に従い、次の各号に掲げる方法により再生不能かつ判読不可能な状態にしなければならない。

（１）シュレッダー処理

（２）焼却または溶解処理

（３）個人情報およびデータ等が記載された紙を取扱う廃棄物処理業者に委託する

２．個人情報およびデータ等が保存されている電子計算機等の廃棄または転売・譲渡等（リースの場合は返却）を行なう場合は、管理責任者の指示に従い、ハードディスク内のデータを復元不可能な状態にしなければならない。

 

（教育訓練）

第２０条　管理責任者は、役職員の採用にあたり、個人情報およびデータ等保護の重要性等について理解し遵守の徹底が図られるよう必要な研修を行なうほか、この規程の目的および趣旨を役職員および組合会議員に周知徹底させるために、個人情報およびデータ等の保護に関して必要な研修等を行なうものとする。

 

（外部委託）

第２１条　管理責任者は、個人情報およびデータ等に関する業務を外部の業者に委託する場合には、個人情報およびデータ等の保護に関する十分な管理能力を有する業者を選定しなければならない。

２．外部の業者と業務委託契約を締結する場合は、次の各号に掲げる事項を契約書上に明記しなければならない。

（１）「健康保険組合における個人情報保護の徹底について」（保保発第１２２５００１号）を遵守し、個人情報の保護に万全を期すこと。また、契約期間終了後においても同様であること。

（２）被保険者等の個人情報を、組合の委託目的以外に利用しないこと｡

（３）被保険者等の個人情報の漏えい等が生じた場合には、契約を解除すること。

（４）被保険者等の個人情報の漏えい等により損害が生じた場合には、損害賠償の責を負うこと。

（５）組合の個人情報取扱責任者は、随時、委託契約に関する調査を行ない、説明を求め、報告を徴することができること。

（６）管理責任者から問題が指摘された場合には、速やかに必要な措置を行なうこと。

（７）組合との直接の契約関係を伴わない再委託を行なわないこと。

３．必要と認める場合にはマスタ−ファイル等、入出力帳票等の授受手続、搬送方法および保管方法、その他データの滅失等を防止するため必要な事項について覚書を締結するものとする。

（委託先の監督）

第２２条　組合の被保険者等の個人情報に関する業務を委託した場合には、委託業務に用いる個人情報の安全管理が図られるよう、委託先に対し、必要かつ適切な監督を行なわなければならない。

 

（保有個人データの開示）

第２３条　組合が保有する診療報酬明細書、調剤報酬明細書、および訪問看護療養費明細書（老人医療に係るものを除く。以下「レセプト」という。）の開示にあたっては、「診療報酬明細書等の被保険者等への開示について」（保発第０３３１００９号）に基づき取扱い、レセプト開示に係る具体的取扱いについては、組合の「診療報酬明細書等の開示に係る取扱要領」に基づき処理を行なう。

２．組合のレセプト以外の保有個人データの開示にあたっては、組合の「保有個人データ（診療報酬明細書等を除く）の開示・訂正・利用停止等の取扱要領」に基づき処理を行なう。

 

（保有個人データの訂正および利用停止等）

第２４条　被保険者等本人から、個人データの内容が事実でないという理由によってデータの内容の訂正、追加または削除（以下「訂正等」という）を求められた場合、もしくは個人データが、特定した利用目的の達成に必要な範囲を超えて取扱われる、また、偽りその他不正の手段により取得されるなどの理由によって、データの利用の停止または消去（以下「利用停止等」という）を求められた場合、組合の「保有個人データ（診療報酬明細書等を除く）の開示・訂正・利用停止等の取扱要領」に基づき処理を行なう。

 

（個人情報相談窓口の設置）

第２５条　個人情報の取扱いに関する相談や苦情の適切な処理を行なうため、組合に個人情報相談窓口を設置する。

 

（監査）

第２６条　監事は、個人情報保護の徹底に係る監査を実施することができる。

２．前項の監査により、監事から問題点の指摘等があった場合には、管理責任者は速やかに必要な措置を講じなければならない｡

 

（関連規程）

第２７条　この規程に定める事項について、別に定める規程がある場合は、その規程の定めるところによる。

２．この規程に定めるものの他、開示等に係る手続等および苦情処理に関し必要な事項等は、理事会において定める。

 

 

 

（別紙２）　　　　　　　　　　　　　　　　　　　　　　　　　　平成２１年４月１日現在