<個人情報保護規則> <個人情報保護方針> <システム管理規則>
システム管理規則
第1章 総則
- 第1条 目的
- この規則は、一般社団法人鶴岡地区医師会(以下「当会」という。)の事業を遂行するうえで、当会で所有する個人情報の保護を図るため、その適正な管理及び運用等に関し必要な事項を定めることを目的とする。
- 第2条 対象
-
- (1)対象者は、情報システムを扱う全ての職員である。
- (2)対象システムは、健診システム、画像観察装置、臨床検査システム、臨床検査データ参照システム、病理システム、訪問看護ステーション管理システム、在宅ケアマネジメントシステム、簡易入力システム、介護報酬請求システム、Helloシステム、事務系システム、看護介護記録情報システム、給食システムである。
- (3)対象情報は、全ての受診者、患者、利用者、会員、職員、学生(以下「利用者」という。)に関する情報である。
第2章 管理体制
- 第3条 情報システムの管理体制
-
- 3-1 情報システム管理委員会の設置
- 情報システムに関する取扱い及び管理に関し必要な事項を審議するため、医療情報システム委員会のもとに情報システム管理委員会を置く。
- 3-2 システム管理者の任命
- 情報システム管理委員会の長(以下「システム管理者」という。)は、医療情報システム委員会の長が兼務または指名し、理事会の承認を経て当会の会長(以下「会長」という。)が任命する。
- 3-3 運用責任者の任命
- システム管理者は、情報システムを円滑に運用するため、情報システムに関する運用を担当する責任者(以下「運用責任者」という)を指名し、第3章に定める任に当たらせる。
- 3-4 情報システム管理委員の任命
- 情報システム管理委員会の構成員は、システム管理者が指名し、理事会の承認を経て会長が任命する。
- 3-5 情報システム管理委員会の招集
- システム管理者は、必要に応じて情報システム管理委員会を招集し、第3?1に定めた審議を行う。
- 第4条 業務担当者
- 本規則が対象とする業務に携わる担当者は別表に定める通りとする。[業務担当一覧]
- 第5条 監査体制と監査責任者の任命
-
- (1)情報システムを円滑に運用するため、情報システムに関する監査を担当する責任者(以下「監査責任者」という。)を置く。
- (2)監査責任者は会長が任命する。
- (3)監査責任者は、年4回、情報システムの監査を実施する。
- (4)システム管理者は、監査結果の報告を受け、問題点の指摘等がある場合には、直ちに必要な措置を講じる。
- 第6条 問合せ・苦情の窓口機能の整備
-
- (1)利用者からの、情報システムについての問合せ・苦情への対応をする窓口機能を整備する。
- (2)苦情の受け付け後は、その内容を検討し、直ちに必要な措置を講じる。
- 第7条 緊急時及び災害時の対策
- システム管理者は、緊急時及び災害時の連絡、復旧体制並びに回復手順を定め、非常時においても参照できるような媒体に保存し保管する。
- 第8条 職員への周知法
-
- (1)システム管理者及び運用責任者は、情報システムの取扱いについてマニュアルを整備し、職員に周知の上、常に利用可能な状態におく。
- (2)システム管理者及び運用責任者は、情報システムの利用者に対し、定期的に情報システムの取扱い及び個人情報保護に関する研修を行う。
第3章 運用責任者及び、職員の責務
- 第9条 運用責任者の責務
-
- (1)情報システムに用いる機器及びソフトウェアを導入するに当たって、システムの機能を確認する。
- (2)情報システムの機能要件に挙げられている機能が支障なく運用される環境を整備する。
- (3)情報の安全性を確保し、常に利用可能な状態に置いておく。
- (4)機器やソフトウェアに変更があった場合においても、情報が継続的に使用できるよう維持する。
- (5)情報システムの利用者の登録を管理し、そのアクセス権限を規定し、不正な利用を防止する。
- (6)情報の漏洩、滅失等を発見した場合、直ちにシステム管理者に報告する。
- (7)情報システムを正しく利用させるため、作業手順書の整備を行い職員の教育と訓練を行う。
- 第10条 職員の責務
-
- (1)自身の認証番号やパスワードを管理し、これを他者に利用させてはならない。
- (2)情報システムの情報の参照や入力(以下「アクセス」という。)に際して、認証番号やパスワード等によって、システムに自身を認識させる。
- (3)与えられたアクセス権限を越えた操作を行わない。
- (4)参照した情報を、目的外に利用しない。
- (5)利用者のプライバシーを侵害しない。
- (6)システムの異常を発見した場合、速やかに部署責任者を通して、運用責任者に連絡し、その指示に従う。
- (7)情報の漏洩、滅失、また不正アクセス等を発見した場合、速やかに部署責任者を通して運用責任者に連絡し、その指示に従う。
- 10-1 データ抽出における匿名化
- 業務の必要上、情報システムからデータを抽出する際、その目的を含め運用責任者に届け出る。また、データ抽出に際しては、極力匿名化する。匿名化されていないデータの利用は施設内に留め、利用後速やかに廃棄する。
- 10-2 データの外部持ち出しの原則禁止
- 原則として、個人情報の外部への持ち出しを禁止する。ただし、業務の必要上外部に持ち出す場合、その目的を含め運用責任者に届け出る。また、利用後は、データを速やかに処理し、持ち出した機器を施錠された規定の場所に返却する。
第4章 一般管理における運用管理事項
- 第11条 個人情報の記録媒体の管理(保管・授受等)
-
- (1)個人情報の記録媒体は、空調等が完備された安全な部屋で保管する。
- (2)媒体の劣化を考慮し、定期的なバックアップを行う。
- (3)保管、バックアップ作業は手順に従い的確に行う。
- 第12条 個人情報を含む媒体の廃棄
- 個人情報を記した媒体の廃棄に当たっては、安全かつ確実に行い、各部署の責任者が確認し、結果を記録に残す。
- 第13条 リスクに対する予防
- システム管理者は、業務上において情報漏洩などのリスクが予想されるものに対し、運用規則の見直しを行う。
- 第14条 事故発生時の対応
-
- (1)事故が発生した場合、職員は、速やかに部署責任者を通して、事故の内容を運用責任者へ報告する。
- (2)運用責任者は、事故の内容を調査し、システム管理者へ報告する。
- (3)システム管理者は、情報システム管理委員会を招集するなど、直ちに必要な措置を講じる。
第5章 教育と訓練
- 第15条 マニュアルの整備
- システム管理者は、情報システムの取扱いについてのマニュアルを整備し、職員に周知の上、常に利用可能な状態におく。
- 第16条 システムの取り扱い及びプライバシー保護に関する研修
- システム管理者は、職員に対し、定期的に情報システムの取扱い及び個人情報保護に関する研修を行う。また、研修時のテキスト、出席者リストを残す。
第6章 業務委託の安全管理措置
- 第17条 システム改造及び保守でのデータ参照
- システム管理者は、保守会社における保守作業に関し、その作業者、作業内容につき報告を求め適切であることを確認する。必要と認めた場合は適時監査を行う。
- 第18条 保守契約における個人情報保護の徹底
- 委託先事業者が他の事業者に委託を行うか否かを明確にし、他の事業者へ委託を行う場合は委託先と同等の個人情報保護に関する対策及び契約がなされていることを条件とする。
- 附 則
- この規則は、平成17年4月1日から適用する。