個人情報管理規程

JR東京総合病院が取り扱う診療等に係る個人情報に関しては、JR東日本個人情報管理規程(平成17年3月制定)、診療等に係る個人情報の取得、保有、管理等に関するルール(平成17年3月制定)及びJR東京総合病院診療情報提供取り扱い要綱(平成11年12月制定)等に基づき取り扱ってきたところであるが、関係規程を一本化し、より適正な取得、利用、保有、管理等を行うことを目的として、JR東京総合病院個人情報管理規程を次のように定める。
なお、診療等に関わらない個人情報に関しては別に定める内規によるものとする。

第1章 総則

(目的)

第1条 JR東京総合病院個人情報管理規程(以下「本規程」という。)は、個人情報の取扱いについて定めたもので、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)のほか、関係する法令等を遵守し、JR東京総合病院(以下「当院」という。)で取り扱う個人情報の取得、保有及び利用を適正に行うとともに、個人情報を安全かつ最新の状態で管理し、適正に破棄し、個人情報を保護することを目的とする。
(注)関係する法令等の主なものは、次のとおりとする。

  法令等の名称
(1) 個人情報の保護に関する法律施行令(平成15年政令第507号)
(2) 個人情報の保護に関する基本方針(平成16年4月閣議決定)
(3) 医療・介護関係業者における個人情報の適切な取り扱いのためのガイドライン(平成16年12月厚生労働省通達)
(4) JR東日本個人情報管理規程(平成17年4月制定。以下「本社規程」という。)

(用語の定義)

第2条 本規程における用語の意義は、次の各号に定めるとおりとする。

  1. (1)個人情報
    個人に関する情報(死者の情報を含む。)であって、当該情報に含まれる氏名、性別、生年月日、住所、電話番号などにより特定の個人を特定できるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
  2. (2)個人情報データベース
    個人情報を含む情報の集合物であって、特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの、又はこれに含まれる個人情報を一定の規則に従って整理することにより、特定の個人情報を容易に検索することができるように体系的に構成したもので、目次、索引その他検索を容易にするためのものを有するものをいう。
  3. (3)個人データ
    個人情報データベースを構成する個人情報をいう。
  4. (4)保有個人データ
    当院が、開示、内容の訂正、追加又は削除、利用の停止又は消去及び第三者の提供の停止を行うことができる権限を有する個人データをいう。ただし、取得後6ヶ月以内に消去するものを除く。
  5. (5)個人情報の匿名化
    当該個人情報から、当該情報に含まれる氏名、生年月日、住所等、個人を識別する情報を取り除くことにより、特定の個人を識別できないようにすることをいう。
  6. (6)個人情報管理責任者
    東日本旅客鉄道株式会社全体の個人情報の取扱いの管理及び監督を行う最高責任者をいい、本社規程の定めるところによる。
  7. (7)総括個人情報管理者
    当院の個人情報の取扱いの管理及び監督を行う最高責任者をいう。
  8. (8)個人情報統括管理者
    当院の診療等に係る個人情報取扱いの管理及び監督を行う責任者をいう。
  9. (9)個人情報管理者
    個人情報を記載した帳票・帳票を保管・管理等する責任者をいう。
  10. (10)個人情報取扱者
    個人情報を記載した帳票・帳票を保管・管理等する者又は電子カルテ等の個人情報の入力等を行う者をいう。

第2章 組織・体制

(総括個人情報管理者)

第3条 病院に総括個人情報管理者を設置し、院長がこれにあたる。

2 総括個人情報管理者は病院の個人情報保護の基本方針(「プライバシーポリシー」という。)を策定する。

(個人情報統括管理者)

第4条 病院に個人情報統括管理者を設置し、院長が指名する。

2 個人情報統括管理者は当院の診療等に係る個人情報取扱いの管理及び監督を行う責任を負う。

3 個人情報統括管理者は本社規程及び本規程に定められた事項を理解し、遵守するものとする。また、社員等に本社規程及び本規程に定められた事項を理解し、遵守させるための関係社員等への周知並びに教育及び訓練、個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏洩等の危険に対する安全対策、定期的なチェック等の必要な措置を実施する責任を負うものとする。

(個人情報管理者)

第5条 個人情報統括管理者は、所管する個人情報毎に個人情報管理者を設置する。

(個人情報取扱者の指定)

第6条 個人情報管理者は、個人情報取扱者を指定する。

(個人情報保護部会)

第7条 当院における、診療等に係る個人情報の取得、保有、管理等の厳正な取り扱いを図るため、JR東京総合病院コンプライアンス委員会の下に個人情報保護部会を設置する。

2 個人情報保護部会の運営に関しては別に定める。

(規程の遵守)

第8条 個人情報管理者及び個人情報取扱者は本社規程及び本規程に定められた事項を理解し、遵守するものとする。

(委託)

第9条 個人情報統括管理者は、個人情報の取扱いの全部又は一部を第三者に委託することができるものとする。

(苦情等の窓口)

第10条 苦情及び開示等の窓口は、事務部医事課に設置する。

第3章 個人情報の取得

(利用目的等の通知又は公表)

第11条 病院は、個人情報の取扱いに関する基本方針、患者の個人情報の利用目的、苦情窓口及び開示等の手続きを、院内に掲示するとともに、病院ウェブページ上で公表するものとする。

(取得の原則)

第12条 個人情報の取得は、病院の事業活動の範囲内で、かつ予め特定した利用目的の達成の範囲内で、個人情報を取得するものとする。

2 個人情報取扱者が新たな目的で個人情報を取得する場合には、個人情報統括管理者に届け出なければならない。

3 届出を受けた個人情報統括管理者は、速やかに総括個人情報管理者の承認を得るものとする。

4 総括個人情報管理者の承認後に新たな目的での個人情報の取得を可能とする。

(取得情報の制限)

第13条 個人情報の取得は、適法かつ公正な手段により行わなければならない。

(個人情報を収集する方法)

第14条 患者、利用者及び関係者(以下「患者等」という。)から取得する方法は次の掲げるとおりとする。

  1. (1)本人の申告又は提供により収集する。
  2. (2)直接の問診又は面談により収集する。
  3. (3)患者の家族、知人、目撃者、救急隊員又は関係者等からの提供により収集する。
  4. (4)他の医療機関、介護施設等からの紹介状等による提供により収集する。
  5. (5)保護者等からの提供(15歳未満の患者等の個人情報については、診療に関して必要な事項以外は原則として提供を受ける。)により収集する。
  6. (6)その他の場合は、本人又は家族の同意を得た上で収集する。

(特定の個人情報の取得の禁止)

第15条 病院は、次の各号に掲げる種類の内容を含む個人情報については、本人の同意がある場合又は法令等に特段の事情がある場合を除き、これを取得、利用又は提供しないものとする。ただし、各号に掲げる種類の内容を含む個人情報が疾病と関連する場合には、この限りではない。

  1. (1)人種及び民族
  2. (2)門地及び本籍地(所在都道府県に関する時用法を除く。)
  3. (3)信教(宗教、思想及信条)及び政治的見解
  4. (4)保健医療及び性生活
  5. (5)色覚等の遺伝情報
  6. (6)労働組合の加盟
  7. (7)犯罪歴

第4章 個人情報の利用

第16条 個人情報は、各号に定める場合を除き、利用目的の範囲内で利用するものとする。

  1. (1)患者等の了解を得た場合
  2. (2)個人を識別あるいは特定できない状態に加工して利用する場合
  3. (3)法令等により提供を要求された場合

(利用目的の範囲)

第17条 利用目的は、各号に掲げるとおりとする。

  1. (1)院内での利用
    イ 患者に提供する医療サービス
    ロ 医療保険事務
    ハ 入退院等の病棟管理
    ニ 会計・経理
    ホ 医療事故等の報告
    へ 当該患者の医療サービスの向上
    ト 院内医療実習への協力
    チ 医療の質の向上を目的とした院内症例研究
    リ その他患者に係る管理運営業務
  2. (2)院外への情報提供としての利用
    イ 他の病院、診療所、助産院、薬局、訪問看護ステーション、介護サービス事業者等との連携
    ロ 他の医療機関等からの照会への回答
    ハ 患者の診療等のための、外部の医師等の意見・助言を求める場合
    ニ 検体検査業務等の業務委託
    ホ 家族等への病状説明
    へ 保険事務の委託
    ト 審査支払機関等へのレセプトの提出
    チ 審査支払機関又は保険者からの照会への回答
    リ 事業者等からの委託を受けた健康診断に係る、事業者等へのその結果通知
    ヌ 医師賠償責任保険等に係る、医療に関する専門の団体や保険会社等への相談又は届出等
    ル 都道府県が行う地域がん登録
    ヲ その他患者への医療保険事務に関する利用

(収集目的範囲外の利用)

第18条 

目的範囲の範囲を超えて個人情報を利用する場合には、患者等の同意を必要とする。この場合、患者等あてに 別紙1の「個人情報の利用目的の変更(追加)通知書」により通知するとともに、本人から 別紙2の「個人情報の利用目的の変更(追加)諾否通知書」を受けるものとする。

第5章 個人情報の適正管理

(個人情報の正確性の確保)

第19条 個人情報統括管理者は、個人情報を利用目的に応じ、必要な範囲内において、正確かつ最新の状態で管理しなければならない。

2 患者等から、個人情報の開示、当該情報の訂正、追加、削除、利用停止等の希望を受けた場合には、医事課が窓口となり、個人情報統括管理者が速やかに処理するものとする。

(個人情報の安全性の確保)

第20条 個人情報統括管理者は、個人情報への不正アクセス又は個人情報の紛失、破壊、改ざん、漏えい等の危険に対して、安全性の確保に努めなければならない。

2 個人情報の利用は院内に限るものとし、院外の持ち出しを厳禁とする。

3 総括個人情報管理者は、当院全社員ならびに、当院の業務委託先の個人情報を取り扱うすべての者に対し、 別紙12の「秘密保持に関する誓約書」を提出させなければならない

(個人情報の保管方法)

第21条 個人情報統括管理者は、個人情報毎に、その保管方法及び保管場所を特定するものとする。

2 個人情報については、個人情報取扱者があらかじめ指定された場所で使用する以外は、施錠できるキャビネット等に収納、施錠し、その鍵は個人情報管理者が厳正に管理するものとする。

3 個人情報管理者は個人情報の管理状況及び運用状況を定期又は必要に応じて点検するものとする。

(個人情報取扱台帳)

第22条 個人情報統括管理者又は個人情報管理者は、所管する全ての個人情報について、その内容及び取扱い状況を一覧できる個人情報取扱台帳(以下「台帳」という。)を作成するものとする。

2 個人情報の全部又は一部を複写又は複製した場合には、これらを新たな個人情報として取り扱い、台帳に記載するものとする。

3 個人情報管理者は台帳の記載内容に変更があった場合には、速やかに更新するものとする。

(保存期間)

第23条 個人情報統括管理者は、法令等に特段の定めがある場合を除き、個人情報毎に、利用目的を勘案し、その保存期間を定めるものとする。

2 個人情報統括管理者は、保存期間を超えた個人情報又は既に利用目的を達成した等の理由により不要になった個人情報について、速やかに廃棄又は削除するものとする。

(廃棄又は削除の方法)

第24条 個人情報統括管理者は、個人情報毎に、寸断、溶解、物理的な破壊等の適切な方法を定めるものとする。

(個人情報の委託処理等に関する措置)

第25条 業務を第三者に委託するために個人情報を第三者に預託する場合には、事前に、個人情報統括管理者は総括個人情報管理者に届け出なければならない。

2 個人情報統括管理者は以下の各号の措置を講じ、総括個人情報管理者の承諾を得てから契約を締結しなければならない。

  1. (1)個人情報の委託先については預託先責任者との面接等により、個人情報保護及びセキュリティ管理が当院の本規程の基準に合致することを確認すること。
  2. (2)次の事項を入れた確認書案作成すること。
    イ 守秘義務に関する事項
    ロ 委託先組織内における個人情報の安全管理に関する責任者
    ハ 預託先における個人情報の秘密保持方法及び管理方法に関する事項
    ニ 個人情報が漏洩、その他の事故が生じた場合の措置及び責任分担に関する事項
    ホ 個人情報の安全管理に関する報告に関する事項及び当院からの監査の受入れに関する事項

3 個人情報統括管理者は個人情報の委託先が適切に個人情報を取り扱っていることを定期的に確認しなければならせない。

4 個人情報の委託先が当院の契約に反する事項を確認した場合には、個人情報管理者は個人情報統括管理者と協議を行い、必要な措置を講じなければならない。

(個人情報の第三者への提供)

第26条 個人情報の第三者への提供は当院の利用目的の範囲内で行う。

2 前項の利用目的以外での個人情報の第三者への提供は次の各号の場合を除き、本人の同意を必要とする。この場合、本人から 別紙3の「個人情報の第三者提供についての同意書」を受けるものとする。

  1. (1)令状等により要求された場合
  2. (2)公衆衛生、児童の健全育成に特に必要な場合(疫学調査等)
  3. (3)人の生命、身体又は財産の保護に必要な場合

3 前項の各号の規定に基づき、個人情報を第三者へ提供する場合には、個人情報保護管理責任者の承認を得て、必要な措置を講じなければならない。

4 第2項の規定により同意した個人情報の第三者への提供については、変更又は取り消しの申し出を行うことができるものとする。申請方法は 別紙4の「個人情報の第三者提供についての同意の変更・取り消し申出書」による。

第6章 個人情報の開示等

(開示)

第27条 本人から、当該本人が識別される保有個人情報について、開示を求められた場合には、当該個人情報を提供するものとする。申請方法は 別紙5の「個人情報開示申請書」による。

2 開示することにより、以下のいずれかに該当すると判断された場合は、その全部又は一部を開示しないことかできるものとする。

  1. (1)本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
  2. (2)当院の業務の適正な実施に著しい支障を及ぼすおそれがある場合
  3. (3)開示することが他の法令に違反する場合

3 診療情報の一部又は全部を開示しない旨を決定した場合には、 別紙6の「個人情報開示回答書」により、通知する。

(訂正等)

第28条 本人から、当院が保有する個人情報の内容が事実でないという理由で、当該保有個人データの訂正、追加又は削除(以下「訂正等」という。)を求められた場合は、当該保有個人データの内容の訂正等を行わなければならない。なお、申請方法は別紙7の「個人情報に関する訂正・追加・削除請求書」による。

2 以下のいずれかに該当すると判断された場合には、訂正等を拒むことができるものとする。

  1. (1)利用目的からみて訂正等が必要でない場合
  2. (2)誤りがあるとの指摘が正しくない場合
  3. (3)訂正等の対象が事実ではなく、評価に関する情報である場合

3 第1項の規定に基づき求められた保有個人データの内容の全部又は一部について訂正等を行ったときは、 別紙8-1の「個人情報に関する訂正・追加・削除請求への回答書(諾)」により、本人に対してその旨を通知する。

4 第2項の規定に基づき訂正等を行わないときは、 別紙8-2の「個人情報に関する訂正・追加・削除請求への回答書(否)」により、本人に対してその旨を通知する。

(利用停止等)

第29条 本人から、保有個人データが第16条の規定に違反して利用されているという理由又は第12条から第15条までの規定に違反して取得されたものであるという理由で、当該保有個人データの利用の停止又は消去(以下「利用停止等」という。)を求められた場合であって、その求めが適正であると認められるときには、当該保有個人データの利用停止等を行わなければならない。ただし、本人の権利利益を保護するため、これに代わるべき必要な措置を講ずるときは、この限りではない。なお、申請方法は 別紙9の「個人情報に関する利用停止等請求書」による。

2 本人から、保有個人データが第26条の規定に違反して第三者に提供されている理由で、当該保有個人データの利用の停止又は消去(以下「利用停止等」という。)を求められた場合であって、その求めが適正であると認められるときには、当該保有個人データの利用停止等を行わなければならない。ただし、本人の権利利益を保護するため、これに代わるべき必要な措置を講ずるときは、この限りではない。なお、申請方法は 別紙9の「個人情報に関する利用停止等請求書」による。

3 第1項又は第2項の規定に基づき求められた保有個人データの内容の全部又は一部について利用停止等を行ったときは、 別紙10-1の「個人情報に関する利用停止等への回答書(諾)」により、本人に対してその旨を通知する。

4 第1項ただし書又は第2項ただし書の規定に基づき利用停止等を行わないときは、 別紙10-2の「個人情報に関する利用停止等への回答書(否)」により、本人に対してその旨を通知する。

(開示等の申請の受付)

第30条 第27条第1項、第28条第1項又は第29条第1項の規定による申請書の受付は、事務部医事課で行う。

2 申請書の受付に際し、その対象となる保有個人データを特定するに足りる事項の提示を求めることができる。

(手数料)

第31条 第27条第1項の規定による開示を求められたときは、当該措置の実施に関し、手数料を医事課にて徴収する。

2 手数料は下表のとおりとする。

項目 料金(税込) 単位等
閲覧 医師立会い 5,500円 30分ごと
事務立会い 1,100円 30分ごと
複写 基本料金 3,850円  
複写
料金
診療録等 33円 1枚ごと
CD又はDVD(エックス線写真・CT写真・MRI写真・核医学写真) 2,200円 1枚ごと
CD又はDVD(手術記録等) 5,500円 1枚ごと
その他 実費  
文書作成 診療録の要約書作成   33,000円~
55,000円
1診療科ごと

(2020.4改定)

(個人情報の開示等を請求できる者)

第32条 当院に対して開示等を請求できる者は、次の各号に掲げるものとする。

  1. (1)本人
  2. (2)本人が未成年者又は成年被後見人である場合は、その法定代理人
  3. (3)本人が開示等の求めをすることにつき委任した代理人

2 申請に際しては本人を確認できる書類により本人確認を行う。法定代理人の場合には、本人と法定代理人の関係を明らかにする書類を、委任した代理人については委任した事実を明らかにする書類の提供を求めるものとする。

第7章 研修

第33条 個人情報統括管理者は個人情報取扱者に対して研修を定期的又は必要に応じて実施するものとする。

第8章 漏洩事故発生時の対応

(緊急連絡体制)

第34条 個人情報の漏洩事故が発生した場合の緊急連絡は、緊急連絡体制の定めるところによる。

(漏洩事故発生時の体制)

第35条 個人情報の漏洩事故が発生した場合には、総括個人情報管理者は速やかに以下の対応を行うとともに、必要な対応を行う。

  1. (1)対策本部を設置する。
  2. (2)個人情報管理責任者に報告する。
  3. (3)漏洩事故の対象となった本人に対して事実関係を通知する。

2 対策本部の本部長は総括個人情報管理者とし、副本部長は個人情報統括管理者とする。

3 対策本部長は事故の内容を 別紙11に則して本社に報告するとともに、必要により二次被害の防止、類似事案の発生回避等の観点から東京都に報告する。

第9章 監査

(監査)

第36条 個人情報統括管理者は、所管する全ての個人情報について、本規定及び法令等に合致した運用がなされていることを年に1回以上監査を実施し、その結果を院長に報告するものとする。

2 監査の結果、不適合が判明した場合には、個人情報統括管理者は、監査を指揮し、速やかに改善を行うものとする。

第10章 規程の改廃

(規程の改廃)

第37条 この規程の改廃は、個人情報管理者の意見を聞き、個人情報保護部会の過半数の委員の賛成を受け、執行する。

附則

  1. 1この規程(第31条を除く。)は、平成21年4月1日から施行する。
  2. 2第31条の規定は、平成21年10月1日から施行する。この規定の施行日前の開示手数料については、施行日前日ではJR東京総合病院診療情報提供取り扱い要綱(平成11年12月制定)別表の定めによる。
  3. 3この規程の施行に伴い、次に掲げる規定を廃止する。
    1. (1)診療等に係る個人情報の取得、保有、管理等に関するルール(平成17年3月制定)
    2. (2)JR東京総合病院診療情報提供取り扱い要綱(平成11年12月制定)

附則

この規程は、平成23年9月12日から施行する。
この規程は、平成23年12月12日から施行する。
なお、第17条第2号の規定については平成24年7月1日から施行する。
この規程は、平成25年2月1日から施行する。
この規程は、平成26年4月1日から施行する。

【別紙】一覧

JR東京総合病院個人情報管理規程中の別紙一覧は、以下のとおりとなります。