新潟市の訪問介護、居宅介護支援、デイサービスを運営する(株)エヌ介護サービスです。 |
|
 |
 |
 |
 |
 |
 |
 |
 |
(2006.4.1 新規制定)
(2007.4.1 一部見直し(28条10項の削除及び文言整理))
(2007.4.1 一部見直し(28条10項の削除及び文言整理))
| 第1条 | 目的 | 第21条 | 個人情報の正確性確保 | |
|---|---|---|---|---|
| 第2条 | 適用範囲 | 第22条 | 個人情報の授受 | |
| 第3条 | 用語の定義 | 第23条 | 個人情報の破棄 | |
| 第4条 | 個人情報保護方針 | 第24条 | 情報資産の持出の管理 | |
| 第5条 | 個人情報保護管理者 | 第25条 | 個人情報利用の安全性の確保 | |
| 第6条 | 個人情報取扱責任者 | 第26条 | 人情報の秘密保持に関する従業者の責務 | |
| 第7条 | 苦情対応担当者 | 第27条 | 個人情報の委託管理 | |
| 第8条 | 緊急時の対応 | 第28条 | 開示の手続き | |
| 第9条 | 担当者の責務 | 第29条 | 自己情報に関する権利 | |
| 第10条 | 誓約書の提出等 | 第30条 | 自己情報の利用または提供の拒否権 | |
| 第11条 | 個人情報の特定 | 第31条 | 苦情及び相談への対応 | |
| 第12条 | 法令及びその他の規範の特定及び遵守 | 第32条 | 代表取締役による見直し | |
| 第13条 | 内部規程の確立等 | 第33条 | 文書管理 | |
| 第14条 | 取得の原則 | 第34条 | 就業規則の適用 | |
| 第15条 | 取得方法の制限 | 第35条 | 改廃及び所管等 | |
| 第16条 | 特定な機微な個人情報の取得の禁止 | |||
| 第17条 | 情報主体から直接取得する場合の措置 | |||
| 第18条 | 情報主体から間接取得する場合の措置 | |||
| 第19条 | 利用および提供の原則 | |||
| 第20条 | 目的の範囲外の利用及び提供の場合の措置 |
第1条 目的 ↑目次へ戻る
本規定は、株式会社 エヌ介護サービスの本社及び各事業所(以下、「事業所」という)が取り扱う個人情報の適切な保護のための基本事項
を定め、当社がその活動の実態に応じた個人情報保護とその評価、改善を行っていくことを目的とする。役職員(業務委託先の従業員を含む)
は、その職務内容に応じて個人情報保護を遵守しなければならない。
第2条 適用範囲 ↑目次へ戻る
本規定は、本社業務 または、事業所における介護サービスの提供に関するすべての業務及びこの業務に従事する者に適用する。
2. 本規定は、コンピュータ・システムにより処理されているか否か、および書面に記録されているか否かを問わず、本社業務 または、事業所
において取り扱うすべての個人情報を適用範囲とする。ただし、事業所の役職員の個人情報の取扱いについては別に定める。
第3条 用語の定義 ↑目次へ戻る
本規定に用いる主な用語の定義を、以下に示す。
(1) 個人情報:個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述、または個人別に付された番号、記号その他
符号、画像もしくは音声により当該個人を識別できるもの(当該情報では識別できないが、外の情報と容易に照合でき、それにより当該個人を
識別できるものを含む)
(2) 情報主体:一定の情報によって識別される、または識別され得る個人
(3) 代表取締役社長:株式会社エヌ介護サービスを代表し、個人情報保護のための関連する規定等の改廃・決定に関する責任と権限をもつ者
(4) 個人情報保護管理者:代表取締役社長によって任命されたもので、本規定の実施および運営等に関する責任と権限をもつ者
(5) 個人情報取扱責任者:個人情報保護管理者によって指名された者であって、個人情報を取り扱う部門における本規定の実施および運用
等に関する責任と権限をもつ者
(6) 担当者:個別業務における個人情報の管理に関する責任と権限をもつ者
(7) 受領者:個人情報の提供を受ける法人、その他の団体または個人をいう
(8) 情報主体の同意:情報主体が取得、利用又は提供に関する情報を与えられた上で、自己に関する個人情報の取得、利用または提供に
ついて承諾する意思表示を行うこと。ただし、成年後見制度による後見人がいる場合は、その後見人の同意をいう
(9) 取得目的:個人情報の利用および提供の範囲を定め、情報主体の同意の対象となるもの
(10) 利用:事業所内で個人情報を処理すること
(11) 提供:事業所外の者に事業所が保有する個人情報を渡し、利用可能にすること
(12) 委託:事業所外の者に情報処理等を委託するために自らが保有する個人情報を預けること
第4条 個人情報保護方針 ↑目次へ戻る
代表取締役社長は、次の事項を含む個人情報保護方針を定め、文書化し、周知し、実行し、維持する。
(1) 適切な個人情報の取得、利用及び提供に努めること
(2) 個人情報の漏洩、紛失、破壊、改ざん及び不正アクセスなどの予防処置又は是正処置を講ずること
(3) 個人情報に関する法令を遵守すること
第5条 個人情報保護管理者 ↑目次へ戻る
代表取締役社長は、個人情報保護管理者を含む個人情報保護のために必要な組織を定め、役職員へ周知させる。
2. 代表取締役社長は、各事業所長を個人情報保護管理者に任命する。
3. 個人情報保護管理者は、本規定定められた事項を理解し、遵守するとともに、次の事項を実施する責任と権限をもつ。
(1) 個人情報を取り扱う者に対する指導を統括すること
(2) 本規定を管理すること
(3) 個人情報保護のための合理的な安全管理措置を講ずること
(4) 苦情及び相談対応を統括すること
(5) その他個人情報保護のために効果的な事項を実施すること
4. 個人情報保護管理者は、前項の責務を果たすため、各部門の個人情報取扱責任者、及び苦情対応担当者を指名し、それぞれの責任者
又は担当者としての責務を行わせる。
第6条 個人情報取扱責任者 ↑目次へ戻る
個人情報保護管理者は、個人情報を取り扱う部門の管理職をその部門の個人情報取扱責任者に指名する。
2. 個人情報取扱責任者は、担当部門における次の事項を実施する責任と権限をもつ。
(1) 本規定を周知し、日常の安全対策の実施状況を管理すること
(2) 部門の担当者及び個別業務の委託先の従事者並びに派遣会社社員に対する指導を実施すること
第7条 苦情対応担当者 ↑目次へ戻る
苦情対応担当者は、事業所外からの個人情報に関する苦情及び相談等を受け付けて対応するとともに、苦情及び相談等の内容を分析し再
発防止等を検討・立案し、個人情報保護管理者へ報告するなど本規定の運営に反映させる責任を負う。
第8条 緊急時の対応 ↑目次へ戻る
個人情報保護に緊急事態が発生した場合、個人情報取扱責任者又は個人情報保護管理者へ報告し、指示を受ける。
2. 個人情報保護管理者は、事業所に与える影響の大きさによって代表取締役に報告し、かつ、適切に対応する。
3. 対外的な影響の大きい事故を発生させた場合、遅滞なく、関係官庁へ報告する。
第9条 担当者の責務 ↑目次へ戻る
事業所の役職員は、本規定を遵守し、特定の業務で取り扱う個人情報の管理に関して責務を負う。
2. 事業所の職員は、「個人情報保護に関する誓約書」を提出しなければならない。
第10条 遵守及び誓約書の提出 ↑目次へ戻る
職員は、入社時より「就業規則28条L」に定める条項を遵守しなければならない。
また、退職時には「退職後の機密保持に関する誓約書」を提出する。
2. 個別業務の委託先の従事者及び派遣会社社員(以下「個別業務の従事者」という)は、業務開始に先立ち、「個人情報に関する誓約書」を
提出する。
第11条 個人情報の特定 ↑目次へ戻る
個人情報保護管理者は、担当部署及び事業所が保有するすべての個人情報を特定するための手順を確立し、維持する。
2. 担当者は、個人情報を含む情報を情報主体から取得する場合、あらかじめ次の事項を明確にする。
(1) 個人情報の内容、取得方法
(2) 個人情報の取得者又は作成者、取扱責任者、利用者(アクセス権限の範囲)
(3) 個人情報の取得及び利用目的
(4) 個人情報の保管方法及び保管場所(媒体(紙、電子記憶媒体)、施錠可能な保管場所、鍵の管理者等)情報システム内で保管する場合
は、識別情報(ID、パスワード等)
第12条 法令及びその他の規範の特定及び遵守 ↑目次へ戻る
個人情報保護管理者は、担当部署及び事業所が取り扱う個人情報に関する法令及びその他の規範(所属団体の定める指針等を含む)を特
定し、維持する。
2. 個人情報に関する法令及びその他の規範(所属団体の定める指針等を含む)を遵守する。
3. 法令及びその他の規範(所属団体の定める指針等を含む)が改訂などされた場合及び業務の拡大などにより新たに必要とされる場合は、
個人情報保護管理者が情報収集を行い、最新の状態に維持するように努める。
第13条 内部規程の確立等 ↑目次へ戻る
個人情報保護管理者は、本規定を確立し、維持し、適宜更新する。
第14条 取得の原則 ↑目次へ戻る
個人情報の取得は、取得目的を明確に定め、その目的の達成に必要な限度において行う。
2. 新しい目的及び方法で個人情報を取得するときは、担当者は個人情報取扱責任者に届出る。
3. 前項の届け出を受けた個人情報取扱責任者は、個人情報保護管理者と協議し、承諾を得る。
4. 新しい目的での個人情報の取得は、個人情報保護管理者の承諾を得て、個人情報保護管理者が必要な措置を講じた後でなければなら
ない。
第15条 取得方法の制限 ↑目次へ戻る
個人情報の取得は、適法かつ公正な手段によって行う。
第16条 特定の機微な個人情報の取得の禁止 ↑目次へ戻る
次の事項を含む個人情報を取得し、利用又は提供してはならない。ただし、当該情報の取得、利用または提供についての情報主体の明確
な同意がある場合、法令に特段の規定がある場合または司法手続上必要不可欠である場合においては、この限りではない。
(1) 思想、信条および宗教に関する事項。
(2) 人種、民族、門地、本籍地(所在地都道府県に関する情報を除く)、犯罪歴その他社会的差別の原因となる事項。
(3) 勤労者の団結権、団体交渉及びその他の政治的権利の行使に関する事項。
(4) 集団示威行為への参加、請願権行使、及びその他の政治的権利の行使に関する事項。
(5) サービス提供上必要としない保健医療及び性生活に関する事項。
第17条 情報主体から直接取得する場合の措置 ↑目次へ戻る
情報主体から直接個人情報を取得する場合、担当者は、情報主体に対して、少なくとも、次の事項を記載した書面を交付し、当該情報の取
得、利用、または提供に関する同意を得なければならない。ただし、情報主体が次の事項の通知を受けていることが明白である場合、この限り
ではない。
(1) 事業所の個人情報に関する管理者またはその代理人の氏名または職名、所属および連絡先
(2) 個人情報の取得および利用の目的
(3) 個人情報を第三者に提供することが予定される場合には、その目的、当該情報の受領者及び個人情報の取扱いに関する契約の有無
(4) 個人情報の委託を行うことが予定している場合には、その旨
(5) 個人情報の提供に関する情報主体の任意性および当該情報を提供しなかった場合に生じる結果
(6) 個人情報の開示を求める権利および開示の結果、当該情報が誤っている場合に訂正または削除を要求する権利の存在ならびに当該
権利を行使するための具体的方法
(7) 個人情報を第三者と共同で使用する場合は、その旨
(8) その他法令が定める事項
第18条 情報主体から間接取得する場合の措置 ↑目次へ戻る
情報主体以外から間接的に個人情報を取得する場合、担当者は、第16条第1号から5号に示す事項を記載した書面を交付し、当該情報の
取得、利用、または提供に関する同意を得なければならない。ただし、情報主体からの個人情報の取得時に、あらかじめ事業者への情報提供
を予定している旨、情報主体の同意を得ている提供者から取得する場合、この限りではない。
2. 情報主体以外から間接的に個人情報を取得する場合、担当者又は個人情報取扱責任者は、次の事項を確認又は実施する。
(1) 個人情報の提供者が適法かつ公正な手段によって当該個人情報を取得し、第三者へ提供するために必要な情報主体の同意若しくは必
要な措置を講じていることを確認すること。
(2) 個人情報の提供者より当該個人情報が適法かつ公正な手段により取得されたことを記した書面の交付を受けること。
第19条 利用および提供の原則 ↑目次へ戻る
個人情報の利用は、原則として収集目的の範囲内で、具体的な業務に応じ権限を与えられた者のみが、業務の遂行上必要な限りにおいて
行うことができる。なお、次の各号のいずれかに該当する場合は、この限りではない。
(1) 法令の規定による場合
(2) 情報主体または公衆の生命、健康、財産等の重大な利益を保護するために必要な場合
2. 個人情報保護管理者の承諾を得ないで、個人情報の目的外利用、第三者への提供・預託、通常の利用場所からの持ち出し、外部への送
信等の個人情報の漏えい行為をしてはならない。
3. 役職員は、業務上知り得た個人情報の内容をみだりに第三者に知らせ、又は不当な目的に使用してはならない。その業務に係る職を退い
た後も、同様とする。
第20条 目的の範囲外の利用及び提供の場合の措置 ↑目次へ戻る
取得目的の範囲を超えて個人情報の利用及び提供を行う場合は、少なくとも第16条第1号から5号に示す事項を記載した書面を交付し、事
前に情報主体の同意を得なければならない。
第21条 個人情報の正確性確保 ↑目次へ戻る
個人情報は取得目的に応じ必要な範囲内において、正確かつ最新の状態で管理するものとし、次の事項を実施する。
(1) 重要個人情報及び取扱責任者が指定した個人情報は、所定の保管庫に収納し、施錠する。
(2) 前項の保管庫には、個人情報が保管されている旨を表示しない。
(3) 個人情報(手書きメモ類を含む)は、机上に放置せず、所定の綴りに収納する。
(4) 記録媒体には、情報内容が類推できるような表示を避ける。
第22条 個人情報の授受 ↑目次へ戻る
担当者は、個人情報を他の業務上、連携が必要な事業者及び委託先等との間で受け渡しを行う場合、第3者へ漏えいすることのないように、
次に示す安全な方法で行う。
(1) 適切な封筒に入れ、受取者を記名したうえで、封緘する。
(2) 緊急時等やむをえずファクシミリにより受け渡しする場合、受取者を記名し、当該受取者から受信を確認する。
(3) 電話による受け渡しは、原則として行わない。ただし、緊急時等やむをえず受け渡しする場合、受信者を確認し、記録する。
第23条 個人情報の廃棄 ↑目次へ戻る
個人情報の廃棄は、焼却、破砕、完全消去など再利用できない状態に処分する。
第24条 情報資産の持出の管理 ↑目次へ戻る
役職員及び個別業務の従事者は、あらゆる情報資産(情報機器、ソフトウエア、記録媒体、メール等)を事前の許可なく外に持ち出してはなら
ない。
2. 前項に係らず、研究・発表その他の目的のために持ち出す場合、担当者は、取扱責任者及び個人情報保護管理者の許可を得る。
第25条 個人情報利用の安全性の確保 ↑目次へ戻る
個人情報の紛失、破壊、改ざん、漏えい又は個人情報への不当なアクセス等の危険に対して、技術面および組織面において合理的な安全
対策を講ずるものとする。
第26条 個人情報の秘密保持に関する従業者の責務 ↑目次へ戻る
個人情報の取得、利用又は提供に従事する者は、法令の規定、本規定に従い、個人情報の秘密の保持に十分な注意を払い、かつ、その業
務を行うものとする。
第27条 個人情報の委託管理 ↑目次へ戻る
情報システム開発、保守業務(以下「委託業務」という)のため個人情報を外部に委託する場合、十分な個人情報の保護水準を提供する者
(以下「委託先」という)を選定する。
2. 契約等により、次の事項を規定し、担保する。
(1) 個人情報保護管理者の指示の遵守及び個人情報に関する秘密保持
(2) 再委託に関する事前承認及び秘密の保持
(3) 事故時の責任分担
(4) 契約終了時の個人情報の返却及び消去等
3. 委託管理部門は、前2項の契約書等の書面及び記録を個人情報の保管期間にわたり保管する。
第28条 開示の手続き ↑目次へ戻る
情報主体から自己の情報について開示を求められた場合、次の手順により内容及び情報主体(以下本条では「本人」という)確認をする。
(1) 取扱責任者は、本人又は代理人から開示の求めがあった場合「個人情報開示等請求書」に開示を求める内容を記入し、提出を求め、こ
れにより内容及び本人確認を行う。
(2) 代理人による申請の場合、代理を委任したことを証明する書面の提出を求め、本人の代理人であることを確認する。この場合、次のいず
れかに該当するときは、本人に委任の意思を確認するとともに、代理人の適正性、開示の範囲等について本人の意思を踏まえて対応する。
a) 本人による具体的意思を確認できない包括的な委任に基づくとき
b) 本人が代理人に委任した日から3ヶ月を超えているとき
2. 取扱責任者は、開示の求めを受け付けた場合、原則として1ヶ月以内に開示の範囲を決定し、個人情報保護管理者の承認を得た後、本
人又は代理人に開示する。対応に1ヶ月を超える場合は、その旨及び対応可能な期間を本人又は代理人に通知する。
3. 開示及びその範囲は、個人情報保護管理者及び取扱責任者は、関連法令に準拠し、かつ具体的に慎重に判断し決定する。
4. 開示することで、法第25条第1項各号のいずれかに該当する場合、及び次に示す事例に該当する場合は、その全部又は一部を開示しな
いことができる。
a) 利用者の状況等について、家族や患者・利用者の関係者が担当者に情報提供を行っている場合に、これらの者の同意を得ずに利用者
自身に当該情報を提供することにより、利用者と家族や利用者の関係者との人間関係が悪化するなど、これらの者の利益を害するおそれが
ある場合
5. 開示を求められた個人情報の全部又は一部を開示しない旨決定した場合、取扱責任者は、遅滞なく、「個人情報開示等通知書」にその理
由を記入し、個人情報保護管理者の承認を得た後、本人又は代理人へ交付し、本人に対してその理由を説明する。
6. 開示は、原則として、開示を決定した範囲の個人情報を記載した情報媒体の写しを提供する方法により行う。ただし、申出者から他の提供
方法によることを求められた場合、可能なときはこれに従う。
7. 開示の結果、誤った情報があり、訂正又は削除(以下「訂正等」という)を求められた場合、取扱責任者は、原則として1ヶ月以内に必要な
調査を行い、その求めが適正であると認められるときは、個人情報保護管理者の承認を得た後、訂正等を行う。この場合、取扱責任者は、本
人又は代理人にその旨を通知する。
この対応に1ヶ月を超える場合は、「個人情報開示等通知書」にその旨及び対応可能な期間を記入し、本人又は代理人に通知し、本人に対し
てその理由を説明するよう努める。
8. 次のいずれかに該当する場合、開示しない。
(1) 訂正又は削除等に多額の費用を要する場合など当該措置を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれ
に代わるべき措置をとるとき
(2) 訂正等の求めがあった場合であっても、
a) 利用目的から見て訂正等が必要でない場合、
b) 誤りである指摘が正しくない場合、
c) 訂正等の対象が事実でなく評価に関する情報である場合
(3) 訂正等の求めがあった場合であっても、手続違反等の指摘が正しくない場合
9. 取扱責任者は、前項の措置又は決定を行ったとき、又は行わない旨を決定したときは、遅滞なく、「個人情報開示等通知書」にその理由を
記入し、個人情報保護管理者の承認を得た後、本人又は代理人に対し通知し、本人に対してその理由を説明するよう努める。
第29条 自己情報に関する権利 ↑目次へ戻る
情報主体から自己の情報について開示を求められた場合、内容及び本人確認をし、情報主体本人からのものであることが確認できたときに
限り、原則として1ヶ月以内にこれに応ずる。
2. 開示の結果、誤った情報があり、訂正または削除を求められた場合は、原則として1ヶ月以内にこれに応ずるとともに、訂正または削除を
行った場合は、可能な範囲内で当該個人情報の受領者に対して通知を行う。
3. 前2項の対応に1ヶ月を超える場合は、その旨を情報主体に通知するとともに、対応可能な期間を通知する。
第30条 自己情報の利用または提供の拒否権 ↑目次へ戻る
当社が保有している個人情報について、情報主体から自己の情報についての利用または第三者への提供を拒否された場合は、これに応ず
る。ただし、公共の利益の保護または事務所もしくは個人情報の開示の対象となる第三者の法令に基づく権限の行使または義務の履行のた
めに必要な場合、および社員情報の適正な管理運営のために必要な場合については、この限りではない。
第31条 苦情及び相談への対応 ↑目次へ戻る
情報主体からの苦情及び相談等(以下「苦情等」という)について、迅速、誠実かつ確実に解決を図り、かつ適正な手順で対応する。苦情対応
担当者は、事業所外からの個人情報に関する苦情及び相談等(以下「苦情等」という)を受け付けたとき、次の事項を確認し、「苦情受付書」に
記録し、個人情報保護管理者及び代表取締役へ報告する。
(1) 苦情等の内容、性質、及び問題の発生場所又はプロセス(相談、計画、生活援助、看護、調理、購買などのプロセス)
(2) 申出者の希望
(3) 第三者委員への報告の要否
(4) 申出者と当該個人情報取扱責任者との話し合いへの第三者委員の助言、立会の要否
2. 苦情対応担当者は、当該個人情報取扱責任者と協力して、苦情等の内容の分析及び原因調査を行い、次のいずれかの方法による再発
防止等の解決策を立案し、個人情報保護管理者の承認を得る。
(1) 苦情等の原因を除去又は是正する。
(2) 申出者の特別の承認を得る。
(3) 本来の意図された利用ができないようにする。
3. 苦情対応担当者は、解決策について、申出者へ説明又は話し合いをし、その同意を得る。
4. 当該個人情報取扱責任者は、苦情の対象となった個人情報の不備な利用ができないように、識別、隔離等適切な処置をとる。
第32条 代表取締役による見直し ↑目次へ戻る
代表取締役社長は、適切な個人情報保護を維持するために、毎年1回(原則として3月)、個人情報保護方針等の見直しを行う。
第33条 文書管理 ↑目次へ戻る
個人情報保護に関する文書・記録は、付表1「帳票一覧表」に掲げる文書を管理する。ただし、各個々のサービス提供に係る文書・記録の管
理は、別に定めるところによる。
2. 文書は、発行前に、その適切性を確認し、承認する。確認及び承認の権限(代行する権限を含む)は、「帳票一覧表」による。文書の変更
の場合も同じ。ただし、他部署と関係のある場合は、発行前に、関係部署と協議する。
3. 文書(記録を除く)及び帳票を変更するときは、改正年月日、可能の場合版数及び改正の理由(来歴)又は改正個所を記載する。
4. 個人情報保護マニュアルは、少なくとも3年に1回、その適切性を見直し、必要に応じて更新、又は再承認する。
5. 帳票の制定、改廃は、個人情報保護マニュアル等の制定、改廃による。
6. 文書等は、種類・年度ごとに区分してファイルし、保管する。
7. 文書等の保管、保管期間及び配付先は、「帳票一覧表」による。ただし、発行部の控及びコピー配布先でのコピーの保管期間は、特に指
定しない限り当年度中とする。
8. 保管期間を過ぎた文書等は、管理の対象外とし、廃棄する。ただし、旧版を保管する場合は、表紙に『旧版』を表示し、保管場所を識別する。
第34条 就業規則の適用 ↑目次へ戻る
本規定に基づいて作成された規則に故意に違反したもの、あるいは自らの職務を適正に遂行していれば違反を知り得たすべての役職員は、
就業規則に基づき解雇を含む懲戒の対象となる。
第35条 改廃及び所管等 ↑目次へ戻る
本規定の改廃は、個人情報保護管理者が立案し、審議を経て代表取締役社長が決定する。
以上
本規定は、株式会社 エヌ介護サービスの本社及び各事業所(以下、「事業所」という)が取り扱う個人情報の適切な保護のための基本事項
を定め、当社がその活動の実態に応じた個人情報保護とその評価、改善を行っていくことを目的とする。役職員(業務委託先の従業員を含む)
は、その職務内容に応じて個人情報保護を遵守しなければならない。
第2条 適用範囲 ↑目次へ戻る
本規定は、本社業務 または、事業所における介護サービスの提供に関するすべての業務及びこの業務に従事する者に適用する。
2. 本規定は、コンピュータ・システムにより処理されているか否か、および書面に記録されているか否かを問わず、本社業務 または、事業所
において取り扱うすべての個人情報を適用範囲とする。ただし、事業所の役職員の個人情報の取扱いについては別に定める。
第3条 用語の定義 ↑目次へ戻る
本規定に用いる主な用語の定義を、以下に示す。
(1) 個人情報:個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述、または個人別に付された番号、記号その他
符号、画像もしくは音声により当該個人を識別できるもの(当該情報では識別できないが、外の情報と容易に照合でき、それにより当該個人を
識別できるものを含む)
(2) 情報主体:一定の情報によって識別される、または識別され得る個人
(3) 代表取締役社長:株式会社エヌ介護サービスを代表し、個人情報保護のための関連する規定等の改廃・決定に関する責任と権限をもつ者
(4) 個人情報保護管理者:代表取締役社長によって任命されたもので、本規定の実施および運営等に関する責任と権限をもつ者
(5) 個人情報取扱責任者:個人情報保護管理者によって指名された者であって、個人情報を取り扱う部門における本規定の実施および運用
等に関する責任と権限をもつ者
(6) 担当者:個別業務における個人情報の管理に関する責任と権限をもつ者
(7) 受領者:個人情報の提供を受ける法人、その他の団体または個人をいう
(8) 情報主体の同意:情報主体が取得、利用又は提供に関する情報を与えられた上で、自己に関する個人情報の取得、利用または提供に
ついて承諾する意思表示を行うこと。ただし、成年後見制度による後見人がいる場合は、その後見人の同意をいう
(9) 取得目的:個人情報の利用および提供の範囲を定め、情報主体の同意の対象となるもの
(10) 利用:事業所内で個人情報を処理すること
(11) 提供:事業所外の者に事業所が保有する個人情報を渡し、利用可能にすること
(12) 委託:事業所外の者に情報処理等を委託するために自らが保有する個人情報を預けること
第4条 個人情報保護方針 ↑目次へ戻る
代表取締役社長は、次の事項を含む個人情報保護方針を定め、文書化し、周知し、実行し、維持する。
(1) 適切な個人情報の取得、利用及び提供に努めること
(2) 個人情報の漏洩、紛失、破壊、改ざん及び不正アクセスなどの予防処置又は是正処置を講ずること
(3) 個人情報に関する法令を遵守すること
第5条 個人情報保護管理者 ↑目次へ戻る
代表取締役社長は、個人情報保護管理者を含む個人情報保護のために必要な組織を定め、役職員へ周知させる。
2. 代表取締役社長は、各事業所長を個人情報保護管理者に任命する。
3. 個人情報保護管理者は、本規定定められた事項を理解し、遵守するとともに、次の事項を実施する責任と権限をもつ。
(1) 個人情報を取り扱う者に対する指導を統括すること
(2) 本規定を管理すること
(3) 個人情報保護のための合理的な安全管理措置を講ずること
(4) 苦情及び相談対応を統括すること
(5) その他個人情報保護のために効果的な事項を実施すること
4. 個人情報保護管理者は、前項の責務を果たすため、各部門の個人情報取扱責任者、及び苦情対応担当者を指名し、それぞれの責任者
又は担当者としての責務を行わせる。
第6条 個人情報取扱責任者 ↑目次へ戻る
個人情報保護管理者は、個人情報を取り扱う部門の管理職をその部門の個人情報取扱責任者に指名する。
2. 個人情報取扱責任者は、担当部門における次の事項を実施する責任と権限をもつ。
(1) 本規定を周知し、日常の安全対策の実施状況を管理すること
(2) 部門の担当者及び個別業務の委託先の従事者並びに派遣会社社員に対する指導を実施すること
第7条 苦情対応担当者 ↑目次へ戻る
苦情対応担当者は、事業所外からの個人情報に関する苦情及び相談等を受け付けて対応するとともに、苦情及び相談等の内容を分析し再
発防止等を検討・立案し、個人情報保護管理者へ報告するなど本規定の運営に反映させる責任を負う。
第8条 緊急時の対応 ↑目次へ戻る
個人情報保護に緊急事態が発生した場合、個人情報取扱責任者又は個人情報保護管理者へ報告し、指示を受ける。
2. 個人情報保護管理者は、事業所に与える影響の大きさによって代表取締役に報告し、かつ、適切に対応する。
3. 対外的な影響の大きい事故を発生させた場合、遅滞なく、関係官庁へ報告する。
第9条 担当者の責務 ↑目次へ戻る
事業所の役職員は、本規定を遵守し、特定の業務で取り扱う個人情報の管理に関して責務を負う。
2. 事業所の職員は、「個人情報保護に関する誓約書」を提出しなければならない。
第10条 遵守及び誓約書の提出 ↑目次へ戻る
職員は、入社時より「就業規則28条L」に定める条項を遵守しなければならない。
また、退職時には「退職後の機密保持に関する誓約書」を提出する。
2. 個別業務の委託先の従事者及び派遣会社社員(以下「個別業務の従事者」という)は、業務開始に先立ち、「個人情報に関する誓約書」を
提出する。
第11条 個人情報の特定 ↑目次へ戻る
個人情報保護管理者は、担当部署及び事業所が保有するすべての個人情報を特定するための手順を確立し、維持する。
2. 担当者は、個人情報を含む情報を情報主体から取得する場合、あらかじめ次の事項を明確にする。
(1) 個人情報の内容、取得方法
(2) 個人情報の取得者又は作成者、取扱責任者、利用者(アクセス権限の範囲)
(3) 個人情報の取得及び利用目的
(4) 個人情報の保管方法及び保管場所(媒体(紙、電子記憶媒体)、施錠可能な保管場所、鍵の管理者等)情報システム内で保管する場合
は、識別情報(ID、パスワード等)
第12条 法令及びその他の規範の特定及び遵守 ↑目次へ戻る
個人情報保護管理者は、担当部署及び事業所が取り扱う個人情報に関する法令及びその他の規範(所属団体の定める指針等を含む)を特
定し、維持する。
2. 個人情報に関する法令及びその他の規範(所属団体の定める指針等を含む)を遵守する。
3. 法令及びその他の規範(所属団体の定める指針等を含む)が改訂などされた場合及び業務の拡大などにより新たに必要とされる場合は、
個人情報保護管理者が情報収集を行い、最新の状態に維持するように努める。
第13条 内部規程の確立等 ↑目次へ戻る
個人情報保護管理者は、本規定を確立し、維持し、適宜更新する。
第14条 取得の原則 ↑目次へ戻る
個人情報の取得は、取得目的を明確に定め、その目的の達成に必要な限度において行う。
2. 新しい目的及び方法で個人情報を取得するときは、担当者は個人情報取扱責任者に届出る。
3. 前項の届け出を受けた個人情報取扱責任者は、個人情報保護管理者と協議し、承諾を得る。
4. 新しい目的での個人情報の取得は、個人情報保護管理者の承諾を得て、個人情報保護管理者が必要な措置を講じた後でなければなら
ない。
第15条 取得方法の制限 ↑目次へ戻る
個人情報の取得は、適法かつ公正な手段によって行う。
第16条 特定の機微な個人情報の取得の禁止 ↑目次へ戻る
次の事項を含む個人情報を取得し、利用又は提供してはならない。ただし、当該情報の取得、利用または提供についての情報主体の明確
な同意がある場合、法令に特段の規定がある場合または司法手続上必要不可欠である場合においては、この限りではない。
(1) 思想、信条および宗教に関する事項。
(2) 人種、民族、門地、本籍地(所在地都道府県に関する情報を除く)、犯罪歴その他社会的差別の原因となる事項。
(3) 勤労者の団結権、団体交渉及びその他の政治的権利の行使に関する事項。
(4) 集団示威行為への参加、請願権行使、及びその他の政治的権利の行使に関する事項。
(5) サービス提供上必要としない保健医療及び性生活に関する事項。
第17条 情報主体から直接取得する場合の措置 ↑目次へ戻る
情報主体から直接個人情報を取得する場合、担当者は、情報主体に対して、少なくとも、次の事項を記載した書面を交付し、当該情報の取
得、利用、または提供に関する同意を得なければならない。ただし、情報主体が次の事項の通知を受けていることが明白である場合、この限り
ではない。
(1) 事業所の個人情報に関する管理者またはその代理人の氏名または職名、所属および連絡先
(2) 個人情報の取得および利用の目的
(3) 個人情報を第三者に提供することが予定される場合には、その目的、当該情報の受領者及び個人情報の取扱いに関する契約の有無
(4) 個人情報の委託を行うことが予定している場合には、その旨
(5) 個人情報の提供に関する情報主体の任意性および当該情報を提供しなかった場合に生じる結果
(6) 個人情報の開示を求める権利および開示の結果、当該情報が誤っている場合に訂正または削除を要求する権利の存在ならびに当該
権利を行使するための具体的方法
(7) 個人情報を第三者と共同で使用する場合は、その旨
(8) その他法令が定める事項
第18条 情報主体から間接取得する場合の措置 ↑目次へ戻る
情報主体以外から間接的に個人情報を取得する場合、担当者は、第16条第1号から5号に示す事項を記載した書面を交付し、当該情報の
取得、利用、または提供に関する同意を得なければならない。ただし、情報主体からの個人情報の取得時に、あらかじめ事業者への情報提供
を予定している旨、情報主体の同意を得ている提供者から取得する場合、この限りではない。
2. 情報主体以外から間接的に個人情報を取得する場合、担当者又は個人情報取扱責任者は、次の事項を確認又は実施する。
(1) 個人情報の提供者が適法かつ公正な手段によって当該個人情報を取得し、第三者へ提供するために必要な情報主体の同意若しくは必
要な措置を講じていることを確認すること。
(2) 個人情報の提供者より当該個人情報が適法かつ公正な手段により取得されたことを記した書面の交付を受けること。
第19条 利用および提供の原則 ↑目次へ戻る
個人情報の利用は、原則として収集目的の範囲内で、具体的な業務に応じ権限を与えられた者のみが、業務の遂行上必要な限りにおいて
行うことができる。なお、次の各号のいずれかに該当する場合は、この限りではない。
(1) 法令の規定による場合
(2) 情報主体または公衆の生命、健康、財産等の重大な利益を保護するために必要な場合
2. 個人情報保護管理者の承諾を得ないで、個人情報の目的外利用、第三者への提供・預託、通常の利用場所からの持ち出し、外部への送
信等の個人情報の漏えい行為をしてはならない。
3. 役職員は、業務上知り得た個人情報の内容をみだりに第三者に知らせ、又は不当な目的に使用してはならない。その業務に係る職を退い
た後も、同様とする。
第20条 目的の範囲外の利用及び提供の場合の措置 ↑目次へ戻る
取得目的の範囲を超えて個人情報の利用及び提供を行う場合は、少なくとも第16条第1号から5号に示す事項を記載した書面を交付し、事
前に情報主体の同意を得なければならない。
第21条 個人情報の正確性確保 ↑目次へ戻る
個人情報は取得目的に応じ必要な範囲内において、正確かつ最新の状態で管理するものとし、次の事項を実施する。
(1) 重要個人情報及び取扱責任者が指定した個人情報は、所定の保管庫に収納し、施錠する。
(2) 前項の保管庫には、個人情報が保管されている旨を表示しない。
(3) 個人情報(手書きメモ類を含む)は、机上に放置せず、所定の綴りに収納する。
(4) 記録媒体には、情報内容が類推できるような表示を避ける。
第22条 個人情報の授受 ↑目次へ戻る
担当者は、個人情報を他の業務上、連携が必要な事業者及び委託先等との間で受け渡しを行う場合、第3者へ漏えいすることのないように、
次に示す安全な方法で行う。
(1) 適切な封筒に入れ、受取者を記名したうえで、封緘する。
(2) 緊急時等やむをえずファクシミリにより受け渡しする場合、受取者を記名し、当該受取者から受信を確認する。
(3) 電話による受け渡しは、原則として行わない。ただし、緊急時等やむをえず受け渡しする場合、受信者を確認し、記録する。
第23条 個人情報の廃棄 ↑目次へ戻る
個人情報の廃棄は、焼却、破砕、完全消去など再利用できない状態に処分する。
第24条 情報資産の持出の管理 ↑目次へ戻る
役職員及び個別業務の従事者は、あらゆる情報資産(情報機器、ソフトウエア、記録媒体、メール等)を事前の許可なく外に持ち出してはなら
ない。
2. 前項に係らず、研究・発表その他の目的のために持ち出す場合、担当者は、取扱責任者及び個人情報保護管理者の許可を得る。
第25条 個人情報利用の安全性の確保 ↑目次へ戻る
個人情報の紛失、破壊、改ざん、漏えい又は個人情報への不当なアクセス等の危険に対して、技術面および組織面において合理的な安全
対策を講ずるものとする。
第26条 個人情報の秘密保持に関する従業者の責務 ↑目次へ戻る
個人情報の取得、利用又は提供に従事する者は、法令の規定、本規定に従い、個人情報の秘密の保持に十分な注意を払い、かつ、その業
務を行うものとする。
第27条 個人情報の委託管理 ↑目次へ戻る
情報システム開発、保守業務(以下「委託業務」という)のため個人情報を外部に委託する場合、十分な個人情報の保護水準を提供する者
(以下「委託先」という)を選定する。
2. 契約等により、次の事項を規定し、担保する。
(1) 個人情報保護管理者の指示の遵守及び個人情報に関する秘密保持
(2) 再委託に関する事前承認及び秘密の保持
(3) 事故時の責任分担
(4) 契約終了時の個人情報の返却及び消去等
3. 委託管理部門は、前2項の契約書等の書面及び記録を個人情報の保管期間にわたり保管する。
第28条 開示の手続き ↑目次へ戻る
情報主体から自己の情報について開示を求められた場合、次の手順により内容及び情報主体(以下本条では「本人」という)確認をする。
(1) 取扱責任者は、本人又は代理人から開示の求めがあった場合「個人情報開示等請求書」に開示を求める内容を記入し、提出を求め、こ
れにより内容及び本人確認を行う。
(2) 代理人による申請の場合、代理を委任したことを証明する書面の提出を求め、本人の代理人であることを確認する。この場合、次のいず
れかに該当するときは、本人に委任の意思を確認するとともに、代理人の適正性、開示の範囲等について本人の意思を踏まえて対応する。
a) 本人による具体的意思を確認できない包括的な委任に基づくとき
b) 本人が代理人に委任した日から3ヶ月を超えているとき
2. 取扱責任者は、開示の求めを受け付けた場合、原則として1ヶ月以内に開示の範囲を決定し、個人情報保護管理者の承認を得た後、本
人又は代理人に開示する。対応に1ヶ月を超える場合は、その旨及び対応可能な期間を本人又は代理人に通知する。
3. 開示及びその範囲は、個人情報保護管理者及び取扱責任者は、関連法令に準拠し、かつ具体的に慎重に判断し決定する。
4. 開示することで、法第25条第1項各号のいずれかに該当する場合、及び次に示す事例に該当する場合は、その全部又は一部を開示しな
いことができる。
a) 利用者の状況等について、家族や患者・利用者の関係者が担当者に情報提供を行っている場合に、これらの者の同意を得ずに利用者
自身に当該情報を提供することにより、利用者と家族や利用者の関係者との人間関係が悪化するなど、これらの者の利益を害するおそれが
ある場合
5. 開示を求められた個人情報の全部又は一部を開示しない旨決定した場合、取扱責任者は、遅滞なく、「個人情報開示等通知書」にその理
由を記入し、個人情報保護管理者の承認を得た後、本人又は代理人へ交付し、本人に対してその理由を説明する。
6. 開示は、原則として、開示を決定した範囲の個人情報を記載した情報媒体の写しを提供する方法により行う。ただし、申出者から他の提供
方法によることを求められた場合、可能なときはこれに従う。
7. 開示の結果、誤った情報があり、訂正又は削除(以下「訂正等」という)を求められた場合、取扱責任者は、原則として1ヶ月以内に必要な
調査を行い、その求めが適正であると認められるときは、個人情報保護管理者の承認を得た後、訂正等を行う。この場合、取扱責任者は、本
人又は代理人にその旨を通知する。
この対応に1ヶ月を超える場合は、「個人情報開示等通知書」にその旨及び対応可能な期間を記入し、本人又は代理人に通知し、本人に対し
てその理由を説明するよう努める。
8. 次のいずれかに該当する場合、開示しない。
(1) 訂正又は削除等に多額の費用を要する場合など当該措置を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれ
に代わるべき措置をとるとき
(2) 訂正等の求めがあった場合であっても、
a) 利用目的から見て訂正等が必要でない場合、
b) 誤りである指摘が正しくない場合、
c) 訂正等の対象が事実でなく評価に関する情報である場合
(3) 訂正等の求めがあった場合であっても、手続違反等の指摘が正しくない場合
9. 取扱責任者は、前項の措置又は決定を行ったとき、又は行わない旨を決定したときは、遅滞なく、「個人情報開示等通知書」にその理由を
記入し、個人情報保護管理者の承認を得た後、本人又は代理人に対し通知し、本人に対してその理由を説明するよう努める。
第29条 自己情報に関する権利 ↑目次へ戻る
情報主体から自己の情報について開示を求められた場合、内容及び本人確認をし、情報主体本人からのものであることが確認できたときに
限り、原則として1ヶ月以内にこれに応ずる。
2. 開示の結果、誤った情報があり、訂正または削除を求められた場合は、原則として1ヶ月以内にこれに応ずるとともに、訂正または削除を
行った場合は、可能な範囲内で当該個人情報の受領者に対して通知を行う。
3. 前2項の対応に1ヶ月を超える場合は、その旨を情報主体に通知するとともに、対応可能な期間を通知する。
第30条 自己情報の利用または提供の拒否権 ↑目次へ戻る
当社が保有している個人情報について、情報主体から自己の情報についての利用または第三者への提供を拒否された場合は、これに応ず
る。ただし、公共の利益の保護または事務所もしくは個人情報の開示の対象となる第三者の法令に基づく権限の行使または義務の履行のた
めに必要な場合、および社員情報の適正な管理運営のために必要な場合については、この限りではない。
第31条 苦情及び相談への対応 ↑目次へ戻る
情報主体からの苦情及び相談等(以下「苦情等」という)について、迅速、誠実かつ確実に解決を図り、かつ適正な手順で対応する。苦情対応
担当者は、事業所外からの個人情報に関する苦情及び相談等(以下「苦情等」という)を受け付けたとき、次の事項を確認し、「苦情受付書」に
記録し、個人情報保護管理者及び代表取締役へ報告する。
(1) 苦情等の内容、性質、及び問題の発生場所又はプロセス(相談、計画、生活援助、看護、調理、購買などのプロセス)
(2) 申出者の希望
(3) 第三者委員への報告の要否
(4) 申出者と当該個人情報取扱責任者との話し合いへの第三者委員の助言、立会の要否
2. 苦情対応担当者は、当該個人情報取扱責任者と協力して、苦情等の内容の分析及び原因調査を行い、次のいずれかの方法による再発
防止等の解決策を立案し、個人情報保護管理者の承認を得る。
(1) 苦情等の原因を除去又は是正する。
(2) 申出者の特別の承認を得る。
(3) 本来の意図された利用ができないようにする。
3. 苦情対応担当者は、解決策について、申出者へ説明又は話し合いをし、その同意を得る。
4. 当該個人情報取扱責任者は、苦情の対象となった個人情報の不備な利用ができないように、識別、隔離等適切な処置をとる。
第32条 代表取締役による見直し ↑目次へ戻る
代表取締役社長は、適切な個人情報保護を維持するために、毎年1回(原則として3月)、個人情報保護方針等の見直しを行う。
第33条 文書管理 ↑目次へ戻る
個人情報保護に関する文書・記録は、付表1「帳票一覧表」に掲げる文書を管理する。ただし、各個々のサービス提供に係る文書・記録の管
理は、別に定めるところによる。
2. 文書は、発行前に、その適切性を確認し、承認する。確認及び承認の権限(代行する権限を含む)は、「帳票一覧表」による。文書の変更
の場合も同じ。ただし、他部署と関係のある場合は、発行前に、関係部署と協議する。
3. 文書(記録を除く)及び帳票を変更するときは、改正年月日、可能の場合版数及び改正の理由(来歴)又は改正個所を記載する。
4. 個人情報保護マニュアルは、少なくとも3年に1回、その適切性を見直し、必要に応じて更新、又は再承認する。
5. 帳票の制定、改廃は、個人情報保護マニュアル等の制定、改廃による。
6. 文書等は、種類・年度ごとに区分してファイルし、保管する。
7. 文書等の保管、保管期間及び配付先は、「帳票一覧表」による。ただし、発行部の控及びコピー配布先でのコピーの保管期間は、特に指
定しない限り当年度中とする。
8. 保管期間を過ぎた文書等は、管理の対象外とし、廃棄する。ただし、旧版を保管する場合は、表紙に『旧版』を表示し、保管場所を識別する。
第34条 就業規則の適用 ↑目次へ戻る
本規定に基づいて作成された規則に故意に違反したもの、あるいは自らの職務を適正に遂行していれば違反を知り得たすべての役職員は、
就業規則に基づき解雇を含む懲戒の対象となる。
第35条 改廃及び所管等 ↑目次へ戻る
本規定の改廃は、個人情報保護管理者が立案し、審議を経て代表取締役社長が決定する。
以上
© 2017 株式会社 エヌ介護サービス