（目的）
第１条　この規程は、藍野花園病院（以下、「当院」という。）内における個人情報の取扱いに関する体制・基本原則を策定し、｢個人情報の保護に関する法律｣（以下「法」という。）の「個人情報取扱事業者」（法第16条第2項）としての社会的責任を果たし、病院内に保有する情報の漏えいを防ぐことを目的とする。

（本規程の対象）
第２条　この規程は、当院が保有する個人情報を対象とする。

（用語の定義）
第３条　個人情報とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

(1)　当該情報に含まれる氏名、生年月日その他の記述等（文書、図画若しくは電磁的記録（電磁的方式（電磁的方式、磁気的方式その他人の知覚によって認識できない方式をいう。次項第2号において同じ。）で作られる記録をいう。）に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項（個人識別符号を除く。）をいう。）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）

(2)　個人識別符号が含まれるもの。

２　個人情報データベース等とは、個人情報を含む情報の集合物であって、次に掲げるもの（利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。）をいう。

(1)　特定の個人情報を電子計算機を用いて検索できるように体系的に構成したもの。

(2)　前号に掲げるもののほか、特定の個人情報を容易に検索できるように体系的に構成したものとして政令で定めるもの。

３　個人データとは、個人情報データベース等を構成する個人情報をいう。

４　保有個人データとは、当院が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その在否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のものをいう。

５　個人識別符号とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。

(1)　特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの。

(2)　個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記載された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの。

６　機密情報とは外部に公開することを禁止されている情報、及びサービスに関する固有の情報を指す。

７　匿名加工情報とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。

(1)　第3条第1項第1号に該当する個人情報当該個人情報に含まれる記述等の一部を削除すること（当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に書き換えることを含む。）。

(2)　第3条第1項第2号に該当する個人情報　当該個人情報に含まれる個人識別符号の全部を削除すること（当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。）。

８　本人とは、個人情報によって識別される特定の個人をいう。

９　職員とは、医師、看護師、技師などの医療従事者、事務職員、その他の職員、または委託契約に基づき当院施設内で当院に従事するものをいう。

１０　仮名加工情報とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。

(1)　第3条第1項第1号に該当する個人情報　当該個人情報に含まれる記述等の一部を削除すること（当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に書き換えることを含む。）。

(2)　第3条第1項第2号に該当する個人情報　当該個人情報に含まれる個人識別符号の全部を削除すること（当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。）。

（対象となる情報）
第４条　この規程の対象となる情報は、当院内で保管するすべての情報を指し、電子データ、印字データの別を問わない。

（個人情報保護責任者）
第５条　当院における個人情報保護責任者は、院長とする。

２　院長は、個人情報保護委員会（以下、「委員会」という。）を主宰し、病院内における個人情報保護に関する取組の推進に関する責任を負う。

３　院長は、上記責任を果たす上で必要な事項に関する決定権を有する。

（個人情報保護委員会）
第６条　当院における個人情報保護の推進を図るための体制として委員会を設置する。

２　委員会は、個人情報保護に関する取組の計画立案、調査を行う。

３　委員会は委員会規程で定められた委員で構成し、その委員長は院長とする。委員長は必要があると認めるときは、委員以外の者を会議に出席させ、その意見を求めることができる。

４　委員会の事務は、当院医事課が行う。

（個人情報保護委員）
第７条　委員会の委員を個人情報保護委員（以下、「委員」という。）とする。

２　委員は、厚生労働省ガイドラインに則り、所属部門における個人情報保護に関する取組を推進する責務を負う。

（個人情報保護に関する取組）
第８条　委員会は、当院内における個人情報保護に関し、取扱規則の策定、検討及び職員のセキュリティ対策の実践等、必要な取組を行うものとする。

（情報の取扱）
第９条　職員は、入職時にこの規程及びその他個人情報保護に関する規則を遵守する旨の誓約書を提出すると同時に、これらを遵守しなければならない。退職後においても、同様の遵守義務を負うものである。

２　取引先、委託先等は、当院に対して個人情報保護に関する契約もしくは誓約書を提出し、取引及び委託期間中はもとより、期間終了後においても情報管理に関し規則を遵守しなければならない。

３　実習生、研修生等は、実習、研修開始時にこの規程及びその他個人情報保護に関する規則を遵守する旨の誓約書を提出と同時に、これらを遵守しなければならない。研修、実習終了後においても、同様の遵守義務を負うものである。

（教育）
第１０条　委員会は、定期的に職員を対象とした個人情報保護に関する教育を行う。

（調査）
第１１条　委員会は、当院内における個人情報保護の適切性について、適宜調査を行う。

２　調査を行った場合、委員会は調査結果を院長に報告し、速やかに改善措置を検討、実施する。

（個人情報の収集）
第１３条　収集する個人情報の利用目的を明文化し、公表する。

２　個人情報の収集は利用目的の達成に必要な限度において行う。

３　収集済みの個人情報の利用目的の変更を要する場合は、予め委員会の検討を得たうえで、変更後の利用目的を公表する。

４　前項にかかわらず、本人から個人情報を直接取得する場合、書面上の明記等により本人に対し、変更後の利用目的を公表する。

（個人情報を収集する目的）
第１４条　患者、利用者、関係者から個人情報を取得する目的は、患者、利用者、関係者に対する医療、介護の提供、医療保険事務、入退院等の病棟管理等、および健康診断や病院運営に必要な事項等、通常業務において必要な目的を達成するためである。

２　職員についての個人情報収集の目的は雇用管理のためである。

３　個人情報の利用目的はホームページ、ポスターの掲示、リーフレットの配布をして公表する。

（個人情報を収集する方法）
第１５条　当院が個人情報を収集する手段としては次項に掲げる方法とする。

(1)　本人の申告または提供

(2)　直接の問診

(3)　患者の家族、知人、目撃者、救急隊員、関係者からの提供

(4)　他の医療機関、介護施設等から紹介状等による提供

(5)　１５歳未満の方の個人情報については、診療に関して必要な事項以外は原則として保護者等から提供をうける。

(6)　その他の場合（意識不明、認知症等で判断できない時）は、本人、もしくは家族の同意を得て収集する。

（特定の個人情報の収集の禁止）
第１６条　当院は、次の各号に掲げる種類の内容を含む要配慮個人情報については、本人の同意がある場合または法令等に特段事情がある場合を除き、これを収集、利用または提供しないものとする。ただし、各号に掲げる種類の内容を含む個人情報が疾病と関連する場合には、この限りでない。

２　本人による受診の申し出の行為をもって、当該医療機関が各号に掲げる特定の個人情報を収集することについては本人の同意があったものとする。

(1)　人種および民族

(2)　門地、本籍地（所在都道府県に関する情報は除く）

(3)　信教（宗教、思想および信条）および政治的見解に関する事項

(4)　犯罪歴、その他社会的差別の原因となる事項

（利用範囲の制限）
第１７条　個人情報の利用は、原則として収集目的の範囲内で、具体的な業務に応じ制限を与えられた者が、業務の遂行上必要な限りにおいて行う。

２　患者、利用者の同意を得ている通常の業務を除き、委員会の承諾を得ないで、個人情報の目的外利用、第三者への提供・預託、通常の利用場所から持ち出したり第三者へ提供することを禁止する。

３　当院職員、派遣職員、委託外注職員及び関係者は、業務上知り得た個人情報の内容をみだりに第三者に知らせ、または不当な目的に使用してはならない。その業務に係る職を退いた後も同様とする。

４　データ入力等、個人情報の取扱いを外部業者に委託する場合は、委託先の個人情報取扱が適切かどうか確認した上、業務委託契約に、委託業務遂行以外の目的での利用禁止、業務終了後の情報の返還または破棄、違反時の損害賠償等の文言を明記するものとする。長時間継続して業務を委託する場合には、委託先の個人情報取扱状況について随時確認を行うものとする。

５　学会、研修会等へ発表する個人情報は原則匿名とする。

６　違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。

（個人情報の範囲）
第１８条　個人情報の利用は、各号に定める場合を除き、通常業務においての必要な利用目的の範囲で行うものとする。

(1)　患者、利用者、関係者の了解を得た場合

(2)　個人を識別あるいは特定できない状態に加工して利用する場合

（収集目的範囲外の利用）
第１９条　目的範囲を超えて個人情報の利用を行う場合には、患者、使用者、関係者本人の同意を必要とする。

（個人情報の正確性の確保）
第２０条　個人情報は、利用目的に応じ必要な範囲内において、正確かつ最新の状態で管理しなければならない。　

２　患者、利用者、関係者から、個人情報の開示、当該情報の訂正、追加、削除、利用停止等の希望を受けた場合は、医療福祉相談室が窓口となり、すみやかに処理しなければならない。

（個人情報の安全性の確保）
第２１条　個人情報への不当なアクセスまたは個人情報の紛失、破壊、改ざん、漏えい等の危険に対して、職員への個人情報取扱いに関する教育の実施、普及、評価、改善をしなければならない。

（個人情報の保管）
第２２条　当院内で保管する個人情報は、施錠管理、アクセス権の制限等、合理的な安全管理対策を行う。

２　職員は自ら所属する所属長または所属長が指名する代行権限者の承認なく、個人情報を院外に持ち出したり、漏らしてはならない。

（個人情報の破棄）
第２３条　保管期間を経過した個人情報、または当初の目的を達成して不要となった個人情報は速やかに破棄するものとする。

２　個人情報の破棄にあたっては、外部に漏えいしないよう、印字データについてはシュレッダー処理、電子データについては修復不可能な状態でデータ消去を行なわなければならない。

（個人情報の苦情、相談窓口の設置）
第２４条　本人からの情報開示、訂正、利用停止等の請求等、外部からの照会の受付窓口を医療福祉相談室とする。

（個人情報の第三者への提供）
第２５条　個人情報の第三者への提供は、当院の利用目的の範囲内で行う。

２　例外として、以下の場合には第三者に提供することがある。

(1)　法令に基づく場合。

(2)　人の生命、身体または財産の保護に必要な場合であって、本人の同意を得ることが困難であるとき。

(3)　公衆衛生の向上または児童の健全育成の推進のために特に必要な場合であって、本人の同意を得ることが困難であるとき。

(4)　国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

３　第三者への提供は、原則として院長の承認を得て、必要な措置を講じた後でなければならない。

（同意による第三者提供）
第２６条　個人データを本人の同意に基づいて第三者提供する必要が生じた場合当院委員会に対し、その理由を明確にして許可を得なければならない。

２　委員会は、事前に申請を受けた場合、当該個人データの本人の書面での同意を得た上で、提供を許可することができる。

（同意がとれない場合の第三者提供）
第２７条　個人データを、法第27条第2項に基づき、オプトアウトの方法により第三者提供する必要が生じた場合は、委員会に理由を明確にして許可申請をしなければならない。

２　委員会は、前項の申請を受けた場合は、理由の適否を検討し、適当であると判断した場合、以下の項目をあらかじめ本人に通知するか、または本人に容易に知りうる状態に置いた上で提供を許可することができる。

(1)　当院の名称及び住所並びに代表者の氏名

(2)　第三者への提供を利用目的とすること

(3)　第三者に提供される個人データの項目

(4)　第三者に提供される個人データの取得の方法

(5)　第三者への提供の方法

(6)　本人の求めに応じて本人が識別される個人データの第三者への提供を停止すること

(7)　本人の求めを受ける方法

(8)　その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項

３　本人が容易に知りうる状態に置く方法は、以下の方法による。

(1)　当院ホームページへの継続的な掲載

(2)　当院の受付窓口への掲示

(3)　当院の苦情窓口に対する問い合わせ

（外国にある第三者への提供の制限）
第２８条　当院は、外国（個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。）にある第三者（個人データの取扱いについてこの節の規定により当院が講ずべきこととされている措置に相当する措置（第3項おいて「相当措置」という。）を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この項及び次項並びに同項において同じ。）に個人データを提供する場合には、第25条第2項各号掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。

２　当院は、前項の規定により本人の同意を得ようとする場合には、個人情報保護委員会規則に定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。

３　当院は、個人データを外国にある第三者（第1項に規定する体制を整備している者に限る。）に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。

（自己情報に関する権利）
第２９条　当院が保有している個人情報について、患者、利用者から説明、開示を求められた場合、診療の現場における診療内容に関する事項は、主治医は遅滞なく当院が保有している患者、利用者の診療に関する個人情報を電磁的記録の提供など、本人が請求した方法によって開示しなくてはならない。

２　開示をした結果、誤った情報があった場合で、訂正、追加または削除を求められたときは、主治医及び個人情報保護委員会は、遅滞なくその請求が妥当であるかを判断し、妥当であると判断した場合には訂正等を行い、患者、利用者に対してその内容を通知しなければならない。訂正しない場合は、遅滞なく患者、利用者に対してその理由を通知しなければならない。

３　死者の情報は、患者、利用者本人の生前の意思、名誉等を十分に尊重しつつ、「診療情報開示規程」において定められている規程により、遺族に対して診療情報の記録の提供を行う。

４　本人は、当院に対し、当該本人が識別される保有個人データを当院が利用する必要がなくなった場合、当該本人が識別される保有個人データに係る法第26条第1項本文に規定する事態が生じた場合その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合には、当該保有個人データの利用停止等又は第三者への提供の停止を請求することができる。

５　当院は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、本人の権利利益の侵害を防止するために必要な限度で、遅滞なく、当該保有個人データの利用停止等又は第三者への提供の停止を行わなければならない。ただし、当該保有個人データの利用停止等又は第三者への提供停止に多額の費用を要する場合はその他の利用停止等又は第三者への提供を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わる措置をとるときには、この限りでない。

６　当院が第三者に個人情報を提供している場合に、その個人情報をどこに提出したか、という記録について、本人によって開示請求することができる。

（自己情報の利用または提供の拒否権）
第３０条　当院が保有している個人情報について、患者、利用者から自己情報について利用または第三者への提供を拒まれた場合、これに応じなければならない。ただし、裁判所及び令状に基づく権限の行使による開示請求等または当院が法令に定められている義務を履行するために必要な場合については、この限りではない。

（漏えい事故発生時の対応）
第３１条　個人情報の漏えい事故が発生した場合は、院長は緊急に委員会を召集し対応を協議し、次の各号に掲げる事項について必要な措置を講ずるものとする。

(1)　事実関係の調査及び原因の究明

(2)　影響範囲の特定

(3)　再発防止策の検討及び実施

(4)　影響を受ける可能性のある本人への通知等

(5)　事実関係及び再発防止策等の公表

（漏えい等の報告等）
第３２条　当院は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。

２　前項に規定する場合には、当院は、本人に対し、個人情報保護委員会規則に定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するために必要なこれに代わるべき措置をとるときには、この限りではない。

（匿名加工情報の取扱い）
第３３条　当院は、匿名加工情報を作成するときは、法第43条第1項に従い、個人情報を加工するものとする。

２　当院は、匿名加工情報を作成したときは、匿名加工情報の作成に用いた個人情報から削除した記述等及び個人識別符号並びに前項の規定により行った加工の方法に関する情報（その情報を用いて当該個人情報を復元することができるものに限る。）の漏えいを防止するための、安全管理のための措置を講じる。

３　当院は、匿名加工情報を作成したときは、遅滞なく、インターネットの利用その他の適切な方法により、当該匿名加工情報に含まれる個人に関する情報の項目を公表する。

４　当院は、匿名加工情報を第三者に提供するときは、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示する。

５　当院は、匿名加工情報を取り扱うにあたっては、匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、匿名加工情報を他の情報と照合しない。

６　当院は、匿名加工情報の安全管理のために必要かつ適切な措置、匿名加工情報の作成その他の取扱いに関する苦情その他の匿名加工情報の適切な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するように努めるものとする。

（仮名加工情報の取扱い）
第３４条　当院は仮名加工情報を作成するときは、法第41条第1項に従い、個人情報を加工するものとする。

２　当院は、仮名加工情報を作成したとき、または仮名加工情報及び当該仮名加工情報に係る削除情報等を取得したときは、削除情報等の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、削除情報等の安全管理のための措置を講じる。

３　当院は、法令に基づく場合のほか、仮名加工情報（個人情報に該当するものを除く。）を第三者に提供しない。

４　当院は、仮名加工情報を取り扱うにあたっては、仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、仮名加工情報を他の情報と照合しない。

５　当院は、仮名加工情報である個人データ及び削除情報を利用する必要がなくなったときは、当該個人データ及び削除情報等を遅滞なく消去するように努める。

６　当院は、仮名加工情報の安全管理のために必要かつ適切な措置、仮名加工情報の作成その他の取扱いに関する苦情の処理その他の仮名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するように努めるものとする。

（本規程への違反）
第３５条　この規程への違反が明らかになった場合は、就業規則の定めに従い、違反を行なった職員に対する処分を行うものとする。

（細則）
第３６条　院長は、必要に応じて個人情報保護に関する細則を制定するものとする。

（改定）
第３７条　この規程の改訂は、委員会の発議によるものとする。

附　則
この規程は、平成１７年　４月　１日から施行する。

附　則
この規程は、令和　５年　４月　１日から改定施行する。