第1章 総則

(目的)
第1条 本規程は、社会福祉法人夢工房(以下「当法人」という)内の個人情報の取扱いに関する体制・基本ルールを策定し、当法人が保有する情報の紛失、漏えい、改ざん等を防ぎ、情報管理に関する当法人としての社会的責任を果たすことを目的とする。
(用語の定義)

第2条 本規程で使用する用語は以下の通りとする。

  1. 個人情報
    個人に関する情報で、当該情報に含まれる氏名、生年月日、住所、自宅の電話番号等により、特定の個人を識別できるものをいう。他の情報と容易に照合でき、それにより特定の個人が識別できるものを含む。
  2. 本人
    個人情報によって識別される特定の個人をいう。
  3. 役職員等
    当法人の役員及び評議員並びに職員(常勤職員、非常勤職員、定年再雇用職員、派遣労働者等、雇用形態を問わず法人の業務に従事する一切の労働者)、並びに嘱託医及び苦情解決第三者委員をいう。
(対象となる情報)
第3条 本規程の対象となる情報は、法人で保管するすべての個人情報であり、電子データ、印字データの別を問わない。
(適用範囲)

第4条 本規程は、第2条(3)に規定する役職員等に適用する。

  1. ボランティア、実習生等、当法人に所属しない者に対しても本規程の趣旨を踏まえた適切な取扱いを求めるものとする。
  2. 個人情報を取り扱う業務を外部に委託する場合、必要かつ適切な監督をし、この規程に従って個人情報の適切な保護を図るものとする。

第2章 個人情報管理体制

(統括個人情報管理責任者、個人情報管理責任者及び個人情報管理者)

第5条 法人における統括個人情報管理責任者は専務理事とし、法人における個人情報のための措置に関する業務を統括する。

  1. 施設又は法人本部における個人情報管理責任者は、それぞれ施設長又は事務局長とし、施設又は法人本部における個人情報管理のための取組の推進に関する責任を負う。
  2. 統括個人情報管理者及び個人情報管理責任者は、上記責任を果たす上で必要な事項に関する決定権を有する。
  3. 副施設長級及び主任級の職員を個人情報管理者とする。
  4. 個人情報管理者は、施設における個人情報管理に関する取組を推進する責務を負う。

第3章 個人情報の取扱い、安全管理措置、開示請求等への対応

(個人情報管理に対する基本方針)

第6条 法人は、個人情報保護に関する当法人としての基本方針を定め、これを公表する。

  1. 基本方針の公表は本規程の公表をもってかえることが出来る。
(職員の個人情報の取扱い)

第7条 職員は、採用時に本規程及びその他個人情報管理に関する規則を遵守する旨及び、退職時においても、在職中に得た個人情報を漏えいしない旨の誓約書を提出し、これらを遵守する。

  1. 役員、評議員、嘱託医及び苦情解決第三者委員に対しては、誓約書の提出は適用しない。
(個人情報の利用目的)

第8条 当法人は、個人情報(健康情報・医療情報などの機微情報を含む)を利用する目的は以下の通りとする。

  1. 園児の教育・保育活動の企画立案・実施・検証研究、健康・安全の管理・向上
  2. 園児募集及び入園選考
  3. 介護保険における介護認定の申請及び更新、変更
  4. 利用者に関わる介護計画(ケアプラン)の立案及び円滑にサービスが提供されるために実施するサービス担当者会議での情報提供
  5. 医療機関、薬局、福祉事業者、介護支援専門員、介護サービス事業者、審査支払機関、自治体(保険者)、その他社会福祉団体等との連絡調整
  6. 利用者が、医療サービスの利用を希望している場合および主治医等の意見を求める必要のある場合
  7. 利用者の利用する介護事業所内のカンファレンス
  8. 行政の開催する評価会議、サービス担当者会議での情報提供
  9. 介護保険施設等において行われる介護支援専門員実務研修、学生等の実習における協力
  10. 施設の各種サービスの案内・提供、契約の維持管理
  11. 施設の業務に関する情報提供・運営管理サービスの充実
  12. 行政が実施する監査、サービス評価(第三者評価)などでの情報閲覧
  13. その他上記の業務に関連、付随する業務
(個人情報の取得)

第9条 取得する個人情報の利用目的を明文化し、施設内に掲示したうえでホームページ等適切な方法により外部に公表する。

  1. 個人情報の取得は利用目的の達成に必要な限度において行う。
  2. 取得済みの個人情報の利用目的を変更しようとする場合は、変更前の利用目的と相当な関連性を有すると合理的に認められる範囲を超えた変更を行ってはならない。また、個人情報の利用目的を変更する場合は、予め個人情報保護管理者の承認を得た上で、変更後の利用目的を公表する。
  3. 第1項の規定にかかわらず、契約書等の書面やホームページへの入力等、本人から個人情報を直接取得する場合は、書面やウェブサイト上に明記する等の手法により本人に対して利用目的を明示するものとする。
(個人情報の保管)

第10条 当法人は、収集した個人情報を正確、最新なものにするよう常に適切な処置を講じ、個人情報への不正アクセス、個人情報の紛失・破壊・改竄・漏洩等を防止するため、厳重な安全管理対応を下記の通り行う。

  1. 組織的対応(組織体制・規程の整備及び定期的な見直し、個人情報管理責任者の設置)
  2. 人的対応(雇用契約時の守秘義務誓約、職員に対する教育の実施)
  3. 物理的対応(PC及び紙データ等持出禁止、個人情報を含む帳簿等の施錠保管)
  4. 技術的対応(ウイルス対策及び資産管理ソフトウェアの導入、ID・パスワードによる識別と認証、重要個人情報へのアクセス制限、アクセス記録管理、外部情報端末・USB・メディアの使用制限等)
  1. 個人情報管理責任者が、職員に個人情報を取り扱わせる場合は、その安全管理が図られるよう教育を行うとともに、必要な監督を行う。
  2. 個人情報を取引先・委託先等、外部に開示・提供する場合は、事前に個人情報管理責任者の承認を得た上で、当該取引先・委託先等との間で契約を締結してこれを行うものとする。
(個人情報の利用)
第11条 個人情報の利用は、予め開示した利用目的の範囲内で行い、その範囲を超えて利用を行ってはならない。ただし、法令の定めに基づく場合を除く。
(個人情報の廃棄)

第12条 保管期限を経過した個人情報、又は当初の目的を達成して不要となった個人情報は速やかに廃棄するものとする。

  1. 個人情報の廃棄にあたっては、外部漏えいしないよう、印字データについてはシュレッダー処理、電子データについてはデータ消去を行わなければならない。なお、廃棄を外部業者に委託する場合は、外部業者が確実に廃棄したことを確認するものとする。
(第三者提供)
第13条 業務の遂行にあたり、個人情報を第三者(個人情報の保護に関する法律第23条4号各号に定める者を除く)に提供する必要がある場合は、法令の定めに基づく場合(個人情報の保護に関する法律第23条1項に定める場合を含む。)を除き、本人の同意を得るとともに予め個人情報管理責任者に報告し、その指示に従って必要な対応を行う。
(本人からの照会対応等)

第14条 個人情報に関する本人からの問い合わせ、情報開示・訂正・利用停止等の請求等、苦情及び照会の受付は、各事業所の個人情報管理者が担当する。

  1. 本人から個人情報の開示を求められたときは、法令の規定によって特別の手続が定められている場合を除き、本人に対し、遅滞なく開示するものとする。
  2. 但し、開示することによって下記のいずれかに該当する場合は、その全部又は一部を開示する必要はないが、そのときは、本人に遅滞なくその旨を通知するとともに、理由を説明するものとする。
  1. 本人若しくは第三者の生命、身体、財産その他の権利利益を害する恐れがある場合
  2. 法人の業務の適正な実施に著しい支障を及ぼすおそれがある場合
  3. 法令に違反することとなる場合
(教育)
第15条 個人情報管理責任者は、定期的に管下の職員を対象とした個人情報管理に関する教育を行う。また、ボランティア、実習生等に対しても個人情報管理の必要性についての意識喚起を図り、適切な取扱いを行うよう指導・監督する。
(漏洩事案等への対応)

第16条 法人は、次の事項が発生した場合は本条に基づき適切に対応する。

  1. 個人情報の紛失・破壊・改竄・漏洩が判明したとき
  2. 個人情報の目的外利用が判明したとき
  3. 法令等に対する違反が判明したとき
  4. その他、個人情報の漏洩等に関する事項に該当するおそれがあると判断したとき
  1. 上記の事項に該当する事項を発見したものは、速やかに個人情報管理責任者に報告する。
  2. 個人情報管理責任者は、報告内容を確認した上で、速やかに統括個人情報管理責任者、理事長及び関係者に報告する。
  3. 統括個人情報管理責任者及び個人情報管理責任者は、理事長の命を受け、連携して速やかに以下の対応を行う。
  1. 状況の把握及び原因の究明
  2. 被害を最小限にするための措置
  3. 本人及び関係者への連絡・謝罪
  4. 再発防止策の検討・実施
(監査)

第17条 監事は、当法人内における個人情報管理の適切性について、適宜監査を行う。

  1. 監査を行った場合、監事は監査結果を個人情報管理責任者及び個人情報管理者に伝達する。
  2. 個人情報管理責任者及び個人情報管理者は、監査結果に基づき、速やかに改善措置を実施し、結果を理事長及び統括個人情報管理責任者に報告する。

第4章 雑則

(本規程への違反)
第18条 本規程に違反する行為を行った職員は、法人の就業規則の定めにより、懲戒の対象となる場合がある。
(改廃)
第19条 本規程の改廃は理事会で決定する。
(施行)
本規程は平成30年1月1日から施行し、旧個人情報管理規程(平成25年12月23日施行)は平成29年12月31日をもって廃止する。