4.安全管理措置、従業者の監督及び委託先の監督
    (法第20条〜第22条)

(安全管理措置)

法第二十条

 個人情報取扱事業者は、
 その取り扱う個人データの漏えい、滅失又はき損防止
 その他の個人データの安全管理のために必要かつ適切な措置
 を講じなければならない。

▲Top

(従業者の監督)

法第二十一条


 個人情報取扱事業者は、
 その従業者に個人データを取り扱わせるに当たっては、
 当該個人データの安全管理が図られるよう、
 当該従業者に対する必要かつ適切な監督
 を行わなければならない。

▲Top

(委託先の監督)

法第二十二条

 個人情報取扱事業者は、
 個人データの取扱いの全部又は一部を委託する場合は、
 その取扱いを委託された個人データの安全管理が図られるよう、
 委託を受けた者に対する必要かつ適切な監督
 を行わなければならない。

▲Top

(1)医療・介護関係事業者が講ずるべき安全管理措置

@ 安全管理措置

  医療・介護関係事業者は、
  その取り扱う個人データの漏えい、滅失又はき損の防止
  その他の個人データの安全管理のため、
  組織的、人的、物理的、及び技術的安全管理措置
  を講じなければならない。

  その際、
  本人の個人データが漏えい、滅失又はき損等をした場合に
  本人が被る権利利益の侵害の大きさを考慮し、
  事業の性質及び個人データの取扱い状況等
  に起因するリスクに応じ、
  必要かつ適切な措置
を講ずるものとする。

  なお、その際には、
  個人データを記録した媒体の性質に応じた安全管理措置
  を講ずる。

▲Top

A 従業者の監督

  医療・介護関係事業者は、
  @の安全管理措置を遵守させるよう、
  従業者に対し必要かつ適切な監督をしなければならない。

  なお、
  「従業者」とは、
  医療資格者のみならず、
  当該事業者の指揮命令を受けて業務に従事する者すべて

  を含むものであり、

  また、
  雇用関係のある者のみならず、
  理事、派遣労働者等

  も含むものである。

  医療法第15条では、
  病院等の管理者は、
  その病院等に勤務する医師等の従業者の監督義務
  が課せられている。

  (薬局や介護関係事業者についても、
   薬事法や介護保険法に基づく
   「指定居宅サービス等の事業の人員、設備及び運営
                           に関する基準」、
   「指定居宅介護支援等の事業の人員及び運営に関する基準」、
   「指定介護老人福祉施設の人員、設備及び運営に関する基準」、
   「介護老人保健施設の人員、施設及び設備並びに運営
                           に関する基準」及び
   「指定介護療養型医療施設の人員、設備及び運営
                           に関する基準」
   (以下「指定基準」という。)等に同様の規定あり。)

▲Top

(2)安全管理措置として考えられる事項

  医療・介護関係事業者は、
  その取り扱う個人データの重要性にかんがみ、
  個人データの漏えい、滅失またはき損の防止
  その他の安全管理のため、
  その規模、従業者の様態等を勘案して、
  以下に示すような取組を参考に、
  必要な措置を行うものとする。

  また、
  同一事業者が複数の施設を開設する場合、
  当該施設間の情報交換については第三者提供に該当しない
が、
  各施設ごとに安全管理措置を講ずるなど、
  個人情報の利用目的を踏まえた個人情報の安全管理を行う。

▲Top

@ 個人情報保護に関する規程の整備、公表

 ・ 医療・介護関係事業者は、
  保有個人データの開示手順を定めた規程
  その他個人情報保護に関する規程
  を整備し、
  苦情への対応を行う体制も含めて、
  院内や事業所内等への掲示やホームページへの掲載を行うなど、
  患者・利用者等に対して周知徹底を図る。

  ・また、
  個人データを取り扱う情報システムの安全管理措置
  に関する規程

  についても同様に整備を行うこと。

▲Top

A 個人情報保護推進のための組織体制等の整備

 ・ 従業者の責任体制の明確化を図り、
  具体的な取組を進めるため、
  医療における個人情報保護
  に関し十分な知識を有する管理者、監督者
等を定めたり、
  個人情報保護の推進を図るための委員会等を設置する。

 ・ 医療・介護関係事業所で行っている個人データの安全管理措置
  について定期的に自己評価を行い、
  見直しや改善を行うべき事項について
  適切な改善を行う。

▲Top

B 個人データの漏えい等の問題が発生した場合等
  における報告連絡体制の整備

 ・ 1)個人データの漏えい等の事故が
    発生
した場合、又は
    発生の可能性が高いと判断した場合、

  2)個人データの取扱いに関する規程等に違反している
    事実が生じた場合、又は
    兆候が高いと判断した場合

  における責任者等への報告連絡体制の整備を行う。

 ・ 個人データの漏えい等の情報は、
  苦情等の一環として、
  外部から報告される場合も想定されることから、
  苦情への対応を行う体制との連携も図る。(V10.参照)

▲Top

C 雇用契約時における個人情報保護に関する規程の整備

 ・ 雇用契約就業規則において、
  就業期間中はもとより離職後も含めた守秘義務を課すなど
  従業者の個人情報保護に関する規程を整備し、
  徹底を図る。

  なお、特に、
  医師等の医療資格者や介護サービスの従業者については、
  刑法、関係資格法又は介護保険法に基づく指定基準により
  守秘義務規定等が設けられており(別表4)、
  その遵守を徹底する。

▲Top

D 従業者に対する教育研修の実施

 ・ 取り扱う個人データの適切な保護が確保されるよう、
  従業者に対する教育研修の実施等により、
  個人データを実際の業務で取り扱うこととなる従業者
  の啓発を図り、
  従業者の個人情報保護意識を徹底する。

 ・ この際、
  派遣労働者についても、
  「派遣先が講ずべき措置に関する指針」
   (平成11年労働省告示第138号)において、
  「必要に応じた教育訓練に係る便宜を図るよう
   努めなければならない」
  とされていることを踏まえ、
  個人情報の取扱いに係る教育研修の実施
  に配慮する必要がある。

▲Top

E 物理的安全管理措置

 ・ 個人データの盗難・紛失等を防止するため、
  以下のような物理的安全管理措置を行う。

  −入退館(室)管理の実施
  −盗難等に対する予防対策の実施
  −機器、装置等の固定など物理的な保護

▲Top

F 技術的安全管理措置

 ・ 個人データの盗難・紛失等を防止するため、
  個人データを取り扱う情報システムについて
  以下のような技術的安全管理措置を行う。

  −個人データに対するアクセス管理
    (IDやパスワード等による認証、
    各職員の業務内容に応じて業務上必要な範囲にのみ
    アクセスできるようなシステム構成の採用等)

  −個人データに対するアクセス記録の保存

  −個人データに対するファイアウォールの設置

▲Top

G 個人データの保存

 ・ 個人データを長期にわたって保存する場合には、
  保存媒体の劣化防止など個人データが消失しないよう
  適切に保存する。

 ・ 個人データの保存に当たっては、
  本人からの照会等に対応する場合など
  必要なときに迅速に対応できるよう、
  インデックスの整備など検索可能な状態で保存しておく。

▲Top

H 不要となった個人データの廃棄、消去

 ・ 不要となった個人データを廃棄する場合には、
  焼却溶解など、
  個人データを復元不可能な形にして廃棄する。

 ・ 個人データを取り扱った情報機器を廃棄する場合は、
  記憶装置内の個人データを復元不可能な形に消去して
  廃棄する。

 ・ これらの廃棄業務を委託する場合には、
  個人データの取扱いについても
  委託契約において明確に定める

▲Top

(3)業務を委託する場合の取扱い

@ 委託先の監督

  医療・介護関係事業者は、
  検査診療報酬又は介護報酬の請求に係る事務
  個人データの取扱いの全部又は一部を委託する場合、
  法第20条に基づく安全管理措置を遵守させるよう
  受託者に対し、必要かつ適切な監督をしなければならない。

  「必要かつ適切な監督」には、
  委託契約において
  委託者である事業者が定める安全管理措置の内容を
  契約に盛り込み受託者の義務とする
ほか、
  業務が適切に行われていることを定期的に確認すること
  なども含まれる。

  また、業務が再委託された場合で、
  再委託先が不適切な取扱いを行ったことにより、
  問題が生じた場合は、
  医療・介護関係事業者や再委託した事業者が責めを負う
  こともあり得る

▲Top

A 業務を委託する場合の留意事項

  医療・介護関係事業者は、
  個人データの取扱いの全部又は一部を委託する場合、
  以下の事項に留意すべきである。

 ・ 個人情報を適切に取り扱っている事業者を
  委託先(受託者)として選定
する

 ・ 契約において、
  個人情報の適切な取扱いに関する内容を盛り込む
  (委託期間中のほか、委託終了後の個人データの取扱いも含む。)

 ・ 受託者が、
  委託を受けた業務の一部を再委託すること
  を予定している場合は、
  再委託を受ける事業者の選定において
  個人情報を適切に取り扱っている事業者が選定されるとともに、
  再委託先事業者が個人情報を適切に取り扱っていること
  が確認できるよう
  契約において配慮する

 ・ 受託者が個人情報を適切に取り扱っていること
  を定期的に確認する

 ・ 受託者における個人情報の取扱いに疑義が生じた場合
   (患者・利用者等からの申出があり、
     確認の必要があると考えられる場合を含む。)
  には、
  受託者に対し、説明を求め、
  必要に応じ改善を求める等適切な措置をとる

 *医療機関等における業者委託に関する関連通知等

  上記の留意事項のほか、
  委託する業務に応じ、関連する通知等を遵守する。

  ・ 「医療法の一部を改正する法律の一部の施行について」
                (平成5年2月15日健政発第98号)
   の「第3 業務委託に関する事項」
  ・ 「病院、診療所等の業務委託について」
                (平成5年2月15日指第14号)

▲Top

(4)医療情報システムの導入及び
   それに伴う情報の外部保存を行う場合の取扱い

  医療機関等において、
  医療情報システムを導入したり、
  診療情報の外部保存を行う場合には、
  厚生労働省が別途定める指針によることとし、

  各医療機関等において
  運営及び委託等の取扱いについて
  安全性が確保されるよう規程を定め、実施するものとする。

▲Top

(5)個人情報の漏えい等の問題が発生した場合
   における二次被害の防止等

  個人情報の漏えい等の問題が発生した場合には、
  二次被害の防止、類似事案の発生回避等の観点から、
  個人情報の保護に配慮しつつ、
  可能な限り事実関係を公表するとともに、
  都道府県の所管課等に速やかに報告する。

▲Top

(6)その他

  受付での呼び出しや、
  病室における患者の名札の掲示などについては、
  患者の取り違え防止など
  業務を適切に実施する上で必要と考えられるが、
  医療におけるプライバシー保護の重要性にかんがみ、
  患者の希望に応じて一定の配慮をすることが望ましい。

▲Top

【法の規定により遵守すべき事項等】

 ・ 医療・介護関係事業者は、
  その取り扱う個人データの漏えい、滅失又はき損の防止
  その他個人データの安全管理のために
  必要かつ適切な措置を講じなければならない。

 ・ 医療・介護関係事業者は、
  その従業者に個人データを取り扱わせるに当たっては、
  当該個人データの安全管理が図られるよう、
  当該従業者に対する必要かつ適切な監督
  を行わなければならない。

 ・ 医療・介護関係事業者は、
  個人データの取扱いの全部又は一部を委託する場合は、
  その取扱いを委託された個人データの安全管理が図られるよう、
  委託を受けた者に対する必要かつ適切な監督
  を行わなければならない。

▲Top

【その他の事項】

 ・ 医療・介護関係事業者は、
  安全管理措置に関する取組を一層推進するため、
  安全管理措置が適切であるかどうかを
  一定期間ごとに検証
するほか、
  必要に応じて
  外部機関による検証を受けることで、
  改善を図ることが望ましい。

▲Top

← 戻る             |             進む →

目次に戻る

←治験ナビ・トップページ
←健康ナビ・トップページ