二千年以上前に医師の職業倫理について書かれた宣誓文「ヒポクラテスの誓い」の一文には「医に関するか否かに関わらず、他人の生活についての秘密を遵守する」との記載があります。当院としてもその倫理観を大切にし、以下に個人情報保護の方針に関する基本方針と指針を示します。

|  患者個人情報保護に関する指針

第1条　目的

この指針は、個人情報の保護に関する法律（平成15年法律第57号）に則り、よしかわ訪問クリニック（以下「当院」という）が取得、保有、利用する患者の個人情報の適正な処理に関し必要な事項を定める。これにより、当院で医療に従事する職員が個人の診療情報の処理に配慮した上で、患者に対して十分な医療を提供出来るように、個人情報の保護について一層の促進を図ることを目的とする。

第2条　用語の定義

• 「個人情報」
  生存する個人の情報であって、当該情報に含まれる氏名・年齢・生年月日・その他の記述等により、特定の個人を識別できるもの（他の情報と容易に照合することができ、それによって特定の個人を識別することができるもの）。本指針では個人情報とは主に患者の診療情報を示す。

• 「診療情報」
  医療提供の必要性の判断や実施に際し必要となる患者の健康状態やそれらに対する評価および医療の経過など、診療等を通じ得た個人情報のことである。医師法24条2項及びその関連法規の定めにより当院が保有する医療記録に記載されたものをさす。

• 「職員」
  当院の医業に従事する者で、正規職員のほか、嘱託職員、派遣職員、臨時職員、研究員、大学院生、専攻生、研修医、学生を含む。

• 「開示」
  患者本人または代理人が、当院の保有する該当患者の個人情報を自ら確認することを請求した場合に、当院がその情報を示すこと。

第3条　利用目的の特定、通知および公表

• 個人情報の利用は、患者に提供する医療に直接関連する範囲内において、適法かつ公正に行われるものとする。

• 利用目的については、当院ホームページに公表する。

第4条　適正な取得

• 職員等が個人情報を収集する場合、患者本人から直接収集することを原則とする。但し、次に掲げる場合にあってはこの限りではない。

（1）収集目的、収集先、収集項目等を事前に本人の同意を得て行う場合。

（2）法令の定めによる場合。

（3）患者または第三者の生命、身体または財産の保護のために特に必要がある場合であって、患者本人から情報を収集することが困難である場合。

（4）業務の性質上、患者本人から直接収集したのでは業務の適正な実施に支障が生じ、その目的を達成することが困難であると認められる場合。

（5）(1)から(4)までに掲げる場合のほか、患者本人以外の者から収集することに相当の理由があると認められる場合。

• 職員等が、診療の際に教育・研究目的で写真撮影、ビデオ撮影を行う場合には、対象患者に対し、利用目的、収集される情報内容等を事前に説明するとともに、患者の診療情報の保護に関する権利を侵害しないよう十分に配慮すること。

• 職員等が、診療の際に医師待機室等への中継目的とした常時撮影等のモニタリングを行う場合は、患者の利益、安全の確保、または業務上必要とされる診療情報の収集に限り認められるものとする。

• 職員等が、次に掲げる個人情報を収集してはならない。但し、法令に定めがあるほか、業務の 適正な実施のため等の特段の事情がある場合に限り、課された法を遵守し、患者に対して収集目的を説明し、本人の同意に基づき収集することは認められるものとする。

（1）人種・民族・社会的身分・門地・本籍・出生地、その他社会的差別の原因となるおそれがある事項。

（2）思想・信条および信仰。

（3）その他患者本人に関するセンシティブな情報。

第5条　利用目的による制限（目的外利用など）

個人情報の利益および提供は、収集目的の範囲内において行うものとする。但し、次に掲げる場合にあってはこの限りではない。

（1）事前に患者本人に説明し、同意を得て行う場合。

（2）法令に定めがある場合。

（3）患者または第三者の生命、身体または財産の保護のために特に必要がある場合であって、患者本人の同意を得ることが困難である場合。

（4）公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、患者本人の同意を得ることが困難であるとき。

（5）国の機関若しくは地方公共団体又はその委託を受けた者が、法令の定める義務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

第6条　データ内容の正確性の確保

• 職員等は、保管する個人情報について、個人情報の収集目的に応じ、必要な範囲内において正確且つ最新の状態であるよう点検・更新すること。

• 職員等は、保有する必要がなくなった個人情報については、速やかに破棄または削除すること。

第7条　安全管理措置

個人情報への不正アクセスまたは情報の紛失、破壊、漏洩、盗難の防止、その他の個人情報の適正な運用管理のために必要な体制や措置を講じるものとする。

• 個人情報保護管理責任者の選任とその役割

（1）院長は、本指針の内容を理解し実践できる能力を有する者を選任し、個人情報保業務管理者とする。

（2）管理者は、本指針の内容を理解し実践するとともに、個人情報の保護の在り方およびその実現に必要な手段ならびに実現に不可欠な人員の構成に関する決定権限および責任を有するものとする。

（3）院長または管理者は、個人情報処理に従事する者の範囲およびその権限を明確にしたうえで、その業務を選任させるものとする。

（4）院長および管理者は、各部署に配属されているリスクマネージャーとの連携を図り、個人情報保護の安全管理を行うものとする。

• 個人情報管理委員会の設置

（1）個人情報管理に関連する諸事項については、院長直轄の「個人情報管理委員会」で対応を協議するものとする。

（2）「個人情報管理委員会」の組織および運営等については、別に定めるところによる。

• 教育研修の実施
  院長及び管理者は、職員等に対して本指針の理解および遵守を周知徹底するとともに、特に個人情報の処理に従事する者に対しては、その責務の重要性を認識させ、具体的な個人情報の保護措置を習熟させるために必要な教育および研修を行うものとする。

• 個人情報の廃棄

（1）個人情報を廃棄する場合は、復元できない状態にして廃棄しなければならない。この場合、適切な廃棄物処理業者に廃棄を委託することができる。

（2）個人情報を記録したコンピュータを廃棄するときは、特別のソフトウェア等を使用して個人情報を消去するものとする。FD・DVD・CD・MO・USB等の記憶媒体の廃棄が必要な場合には、物理的に破壊するものとする。

（3）個人情報を記録したコンピュータを他に転用するときは、特別のソフトウェア等を使用して個人情報を消去してから転用するものとする。

• 人的安全管理措置

（1）職員等の債務

・職員は、法の趣旨に則り、関連する法令および規程等の定めに従い、個人情報の保護および処理に努める。

・職員等は業務上知り得た患者の個人情報の内容をみだりに第三者に知らせ、または不当な目的に使用してはならない。その業務に係る職を退いた後も同様とする。

・職員等は、個人情報保護の観点から、その処理のあり方について定期的に評価、点検をする。

（2）個人情報の取り扱い制限

職員等は、当院が保有している患者個人情報にアクセスする場合、その利用目的を達成するために必要な最小限のアクセスに限定すること。

当院に設置されているオーダリング端末等の使用権限をもつ職員等は、個人情報の漏洩防止等に十分配慮し、業務上の必要を欠く場合には、患者個人情報にアクセスしてはならない。

職員等は、業務上の目的で当院が保有する個人情報を取り扱う場合であっても、次に掲げる行為については、個人情報保護管理者の指示に従う。

✓保有する個人情報の複製

✓保有する個人情報の送信

✓保有する個人情報が記録されている媒体の外部への持出し、または送付

✓その他保有する個人情報の適切な管理に支障をきたすと思われる行為

• 物理的安全管理措置
  管理者および職員等は、外部からの不正な侵入に備え防犯対策を講じるとともに、防犯・防火管理者または施設管理に従事する者とともに、施設の施錠装置、監視装置等の防犯・防火対策に努める。

（1）機器・設備点検

管理者は、当院で保有する個人情報の記録媒体、端末機器、LAN回線等の設置状況や設定、および個人情報の保管方法等の点検を定期的または随時行うものとし、不具合がある場合は院長に報告するとともに適切な措置を講ずるものとする。

（2）情報機器等の持ち出し

職員等は、管理者が必要と認める場合を除き、当院が保有する個人情報が保管されている端末機器等を外部へ持ち出してはならない。職員等が個人情報を保存した端末機器等を外部へ持ち出すことを許可された場合は、その本人が自己責任に基づきセキュリティー対策に万全な措置を講ずること。

• 技術的安全管理措置

（1）データアクセス権限の管理

管理者またはそれに準ずる者は、各職種等の個人情報のアクセスに関して権限を行使し、その制限を行うことができる。個人情報の処理は、原則として収集目的の範囲内において、具体的な業務に応じ権限を与えられた者のみが業務の遂行上必要な限りにおいて行うものとする。

（2）セキュリティー対策

管理者および情報センターの責任者またはそれに準ずる者は、デジタル化された個人情報の漏洩対策を講ずるとともに、物理的安全管理措置を含めた最大限のセキュリティー強化に努めるものとする。

• 委託先の監督
  職員等は、患者の個人情報の処理を第三者へ委託する場合には、個人情報の保護について十分な措置を講じているものを選定する。その際、委託契約等において委託目的範囲内において個人情報を処理することなど必要な制限を付し、その処理が適切に行われるよう十分配慮すること。

（1）職員等は、保有する個人情報を第三者へ委託する場合には、原則として提供先における利用目的、利用する業務の根拠法令、利用する記録範囲および記録項目、利用形態等について提供先と書面を取り交わすものとする。

（2）職員等は、保有する個人情報を第三者へ委託する場合には、安全確保の措置を具体的に要求するとともに、上記で取り交わされた書面を勘案し、必要であれば改善要求等の措置を講ずる。

第8条　個人データの第三者提供、提供の停止

職員等は、個人情報を第三者に提供する場合には、提供先に対して利用目的の範囲内において処理することなど必要な制限を付し、その処理が適正に行われるよう十分配慮すること。

第9条　個人データの開示、訂正、利用停止

• 個人情報の開示

（1）職員等は当院が保有する個人情報について、患者または代理人より自己の個人情報の開示の請求があった場合には、合理的な期間内にこれに応じなければならない。（請求者に関する個人情報が存在しないときは、その旨を知らせる事を含む）。但し、法令に定めがある場合、および本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合、または当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合には、その全部または一部の開示に応じないことができる。

（2）患者個人情報の開示に要する費用については、申立人へ請求できるものとする。

• 個人情報の訂正等

（1）職員等は、患者から個人情報について事実に誤りがあることを理由として、訂正削除等（以下「訂正等」という）の請求があった場合において、その内容が正当と認められる場合は合理的な期間内にこれに応じるものとする

（2）職員等は、個人情報を訂正等する場合、申立人に対し、加えた修正内容を可能な範囲で通知するものとする。但し、申立人が通知不要である旨同意した場合にはこの限りではない。

• 個人情報の利用停止等
  職員等は、申立人から、自己に関する個人情報について本指針に反して処理されていることを理由として、利用又は提供の停止、削除等の請求があった場合において、その内容が正当と認められる場合は合理的な期間内にこれに応じるものとする。但し、利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りではない。

第10条　個人情報の漏洩などの場合の対応

• 管理者および職員等は、当院で保有する個人情報の漏洩等の安全確保上の問題が発生した場合は、その情報を収集・分析し、速やかに必要な措置を講ずること。

• 管理者は、個人情報の漏洩、不正アクセス等が発生した場合は被害の拡大防止に努め、発生した事案の分析に努め再発防止の措置を講ずる。

• 職員等は、個人情報の漏洩、不正アクセス等が発生したと懸念される場合、または発生した場合は、速やかに管理者に報告するとともに、発生原因の究明に努め、管理者の指示のもと必要な再発防止措置を講ずる。

苦情対応

当院は、患者からの個人情報の処理または開示に関わる苦情および相談について、これらを受付けるための窓口を明確にし、適切かつ迅速に対応するものとする。