個人情報取り扱い規程
(目 的)
第1条 この規程は、社会福祉法人ナザレ園(以下「法人」という。)が、個人情報保護法及び厚生労働省ガイドラインに基づく個人情報取扱事業者の義務を適正に遵守・履行するにあたって、法人の職員(常勤、非常勤、パート、契約、派遣、アルバイト等も含む、以下同じ。)が利用者の個人情報を取り扱う行為に関して必要な事項を定めるものとする。
(個人情報の管理者)
第2条 前項の目的を達成するため、個人情報に係る事項を法人の個人情報統括責任者、施設の個人情報管理責任者、各部署の個人情報管理者が担当する。
(個人情報の利用目的と取り扱い)
第3条 法人が取得し、利用する利用者の個人情報の利用目的は、以下のとおりである。
1 法人内部での利用に係る利用目的
(1)法人が介護サービスの利用者等に提供する介護サービス
(2)介護保険事務
(3)介護サービスの利用者に係る事業所等の管理運営業務のうち、入退所等の管理、会計、経理、事故等の報告、利用者の介護サービスの向上、介護サービスや業務の維持・改善のための基礎資料、職員の資質向上のための研修の基礎資料
2 介護保険法及び老人福祉法等において施設の業務の遂行に係る利用目的
(1)要介護認定等
(2)高齢者虐待等
(3)措置に関わる事項等
3 他の事業所等への情報提供を伴う利用目的
(1)法人が利用者等に提供する介護サービスのうち、他の居宅サービス事業者や居宅支援事業者等との連携(サービス担当者会議等)、照会への回答、その他の業務委託、家族等への心身の状況説明等
(2)介護保険事務のうち、審査支払い機関へのレセプトの提出、審査支払機関又は保険者からの照会への回答等
(3)損害賠償保険などに係る保険会社等への相談又は届出等
4 新たに個人情報を取得する場合であっても、前項の利用目的のために取得することができる。ただし、個人情報の取得にあたっては利用者の同意(様式第1号)を得ることとする。
5 各部署における業務遂行にあたって、新たな利用目的のために新たな個人情報を取得する必要が生じた場合には、各部署の当該業務の担当者又は個人情報管理者は、新しい利用目的や利用方法等を法人の個人情報統括責任者、施設の個人情報管理責任者に申し出、その承認を受けなければならない。ただし、個人情報の取得にあたっては利用者の同意を得なければならない。
6 法人の個人情報統括責任者、施設の個人情報管理責任者が前項の承認及び新しい利用目的の通知又は公表の適否の判断について、各部署の当該業務の担当者又は個人情報管理者及び法人又は施設の管理責任者と協議して行うこととする。
7 各部署における業務遂行にあたって、既に存在する利用目的と利用の実態が一致しない場合その他業務遂行にあたって、既に存在する利用目的を変更する必要が生じた場合は、各部署の当該業務の担当者又は個人情報管理者は、変更を必要とする理由及び変更後の利用目的等を法人の個人情報統括責任者、施設の個人情報管理責任者に申し出、その承認を受けなければならない。ただし、利用目的の変更にあたっては利用者の同意を得ることとする。
(個人情報の利用)
第4条 個人情報を目的外利用してはならない。
2 各部署における業務遂行にあたって、取得した個人情報を目的外利用する必要が生じた場合は、当該業務の担当者又は個人情報管理者は、目的外利用の必要性等を法人の個人情報統括責任者、施設の個人情報管理者に申し出、承認を受けなければならない。ただし、利用にあたっては利用者の同意を得ることとする。
(個人情報の利用)
第4条 個人情報を目的外利用してはならない。
2 各部署における業務遂行にあたって、取得した個人情報を目的外利用する必要が生じた場合は、当該業務の担当者又は個人情報管理者は、目的外利用の必要性等を法人の個人情報統括責任者、施設の個人情報管理者に申し出、承認を受けなければならない。ただし、利用にあたっては利用者の同意を得ることとする。
(個人データの第三者提供)
第5条 個人データは、法令及び法人の個人情報保護規程の第9条に定める場合の他は、第三者に提供してはならない。
2 各部署における業務遂行にあたって、個人データの第三者提供の必要性が生じた場合は、当該業務の担当者又は個人情報管理者は、第三者提供の必要性と利用者の同意を得る方法等について個人情報管理責任者に申し出、承認を受けなければならない。
3 各部署における業務遂行にあたって、個人データを別の法人、事業者等と共同利用する必要が生じた場合は、当該業務の担当者又は個人情報管理者は、共同利用の相手方及びその必要性等を個人情報管理責任者に申し出なければならない。ただし、共同利用にあたっては利用者の同意を得ることとする。
4 共同利用を行うかどうかについては、必要に応じて個人情報管理責任者及び法人又は施設の管理責任者と協議し決定する。
5 施設の異なる別部門間での個人データの交換をする場合、職員の研修で利用する場合、経営分析を行うための情報の交換をする場合には、個人が特定されないよう匿名化するように努める。
(個人データの安全管理)
第6条 個人情報の漏えいを防止するため、職員は個人データの記録された書類、ノートパソコン、フロッピーディスク、MOディスク、CD-ROM、USBメモリなどを法人及び施設外に持ち出してはならない。
2 前項の場合に、職員において法人及び施設外に持ち出さざるを得ない理由がある場合には、当該職員の所属する部署の個人情報管理者及び個人情報管理責任者に理由を申し出て、その承認を受けなければならない。ただし、利用者の同意を得ることとする。
3 職員が業務上の必要から、個人データの記録された媒体のコピーを作成する場合は、当該職員の所属する部署の個人情報管理者に理由を申し出て、その承認を受けなければならない。ただし、利用者の同意を得ることとする。
4 個人情報管理者が前項を承認した場合は、承認した旨を記録しておかなければならない。
5 職員が業務上個人データが記録された書面等をファクシミリで送信する場合は、宛先を確認した上で、異なる宛先の送信されることのないように十分注意しなければならない。
6 個人データを記録している媒体を保管若しくは保存する部屋又は保管庫などの開閉は、文書等管理規程に基づき開閉する権限を与えられた者以外の者は行ってはならない。ただし、当該権限を与えられた者のうちの責任者(文書管理者)の承認を受けた場合はこの限りでない。
7 前項の承認をした場合は、当該権限を与えられた者のうちの責任者(文書管理者)は、承認したこと及び承認を与えた職員の氏名等を記録し、個人情報管理責任者に報告しなければならない。
8 個人データの登録及び入力作業を行う職員について、その範囲と業務内容を具体的に定めるものとする。
9 個人データの保管、保存、廃棄又は消去に関する作業についても、前項の規定を準用する。
10 保管(保存)期間の終了した個人データは、廃棄される前であっても利用してはならない。
11 その他、個人データの管理等については、文書等管理規程を遵守しなければならない。
(保有個人データの開示申請等)
第7条 保有個人データの利用目的通知申請、開示申請、訂正等申請及び利用停止等申請に関する対応については、開示申請等に関する規程を遵守しなければならない。
(教育研修)
第8条 職員は、法人の定める個人情報の関する以下の研修を必ず受講しなければならない。
(1)採用時研修
(2)採用後の少なくとも年1回開催される継続研修
(法令の遵守)
第9条 職員は、個人情報保護法を遵守し、法人の有する利用者等の個人情報について退職後も開示しないことを誓約する旨の別表(個人情報保護に関する誓約書)を理事長に提出しなければならない。
(委 任)
第10条 この規程に定めるもののほか必要な事項は、理事長が別に定める。
