個人情報保護規程
個人情報の保護に関する基本方針
1.基本方針
(社)宮城県臨床検査技師会は、「個人情報の保護に関する法律」およびその他の規範を遵守し、会員の個人情報を適切かつ万全の体制で取扱います。
2.具体的な取り組み
本会は、会員の個人情報を適切に取扱うために、次の事項を実施します。
- 個人情報保護法およびガイドラインをはじめ、関連する法律を遵守します。
- 個人情報を適法かつ適正な方法で取得します。また、法令等に定める場合を除き、個人情報の利用目的を通知又は公表し、利用目的の範囲内において利用します。
- 個人情報の適正な保管のために安全管理措置を講じ、漏洩・滅失・破損等の防止に努めます。
- 個人情報を適切に取扱っていることを定期的に確認し、問題が認められた場合には、これを改善します。
- 本会は、個人情報の取り扱いに苦情があった時は適切かつ速やかに対応します。
- 本会は、個人情報を保護するために適切な管理体制を講じるとともに、役職員の個人情報保護に関する意識啓発に努めます。
社団法人宮城県臨床検査技師会 個人情報管理規程
第1章 総 則
(目 的)
第1条 この規程は、個人情報の保護に関する法律(平成15年法律第57号、以下「法」という)第20条の規定に基づき、社団法人宮城県臨床検査技師会(以下「会」という)の取り扱う個人情報の安全管理のために必要かつ適切な措置について定め、その取り扱う個人データの漏えい、滅失又はき損を防止し、安全管理のために必要かつ適切な措置を図ることを目的とする。
(定 義)
第2条 この規程において「個人情報」とは、法第2条に規定する個人情報をいう。学術研究などにおいて死者に関する情報が同時に遺族等の生存する個人に関する情報でもある場合には、当該生存する個人に関する情報とし「個人情報」に含まれる。
2. この規程において、「保有個人情報」とは、法第2条の保有個人情報のうち、この会が保有しているものをいう。
3. この規程において「情報システム」とは、ハードウエア、ソフトウエア、ネットワーク及び記録媒体で構成されるものであって、これら全体で業務処理を行うものをいう。
4. この規程において「従業者」とは、この会の役員及び職員、派遣、パートを含め会務に従事する者をいう。さらに、各種委員会委員など、この会が保有する個人情報を使用する者、各都道府県技師会を含むこともある。
(個人情報管理組織)
第3条 会長は、この会における総括個人情報保護管理者として、保有個人情報の管理に係わる規程類の整備、保有個人情報の管理に関する指導監督、教育研修の実施、その他のこの会における保有個人情報の管理に関する事務を総括するものとする。
2. 会長は前項に規定する事務を渉外担当副会長に行わせることができる。
3. 渉外担当副会長は、この会における副総括個人情報保護管理者として、この会における保有個人情報の管理に関する事務に関して会長を補佐する。
4. 渉外担当副会長は、事務管理責任者である事務局長に渉外担当副会長が処理することとされた事務部門の管理に関する事務を行わせることができる。
5. 事務管理責任者は、個人情報保護管理者として、事務部における保有個人情報を適切に管理するものとする。
6. 事務管理責任者は、事務部の事務職員のうちから個人情報保護窓口担当者を指名する。
7. 個人情報保護担当者は、事務管理責任者を補佐し、事務部における保有個人情報を管理する事務を担当する。
(個人情報保護委員会)
第4条 会長は、保有個人情報の管理に係る重要事項の決定、連絡・調整等を行うため、必要があると認めるときは、理事及び事務管理責任者を構成員とする委員会を設け、随時に開催することができる。
(従業者の責務)
第5条 この会が保有する個人情報の取扱いに従事する役員及び事務職員は、法の主旨に則り、関連する法規及び規程等の定めに従い保有個人情報を取り扱わなければならない。
第2章 個人情報の取扱い及び対応
(閲覧の制限)
第6条 会長は、保有個人情報を閲覧する権限を有する者をその利用目的を達成するために必要最小限に限定し、権限を付与する。
2. 閲覧する権限を有しない従事者は、保有個人情報にアクセスしてはならない。
3. 従業者は、閲覧する権限を有する場合であっても、業務上の目的以外の目的で保有個人情報にアクセスしてはならない。
(複製の制限)
第7条 この会の従事者は、保有個人情報の複製、送信、外部への送付又は持ち出し等の業務を行うときは、渉外担当副会長の指示に従い、必要最小限の範囲においてこれらを行うものとする。
2. この会の従事者は、前項の規定に基づき、複製、送信、外部への送付又は持ち出し等を行った場合には、漏えい等が行われないよう取扱いに注意するものとする。
(訂正・修正等)
第8条 この会の従事者は、保有個人情報の内容に誤り等を発見した場合には、事務管理責任者の指示に従い、訂正等を行うものとする。
(個人情報記録媒体の管理)
第9条 事務職員は、事務管理責任者の指示に従い、保有個人情報が記録されている媒体を定められた場所に保管するとともに、必要に応じ、耐火金庫等への保管、施錠等を行うものとする。
(個人情報取扱い記録の管理)
第10条 事務管理責任者は、必要に応じて保有個人情報の秘匿性等その内容に応じた台帳等を整備して、当該保有個人情報の利用及び保管等の取扱いの状況について記録するものとする。
(廃棄等)
第11条 事務職員は、保有個人情報又は保有個人情報が記録されている媒体(端末及びサーバに内蔵されているものを含む)が不要となった場合には、渉外担当副会長の指示に従い、当該保有個人情報の復元又は判読が不可能な方法による当該情報の消去又は当該媒体の廃棄を行うものとする。
第3章 会員名簿作成における個人情報の取扱いおよび対応
(会員名簿)
第12条 会員名簿を作成する際には以下の手続きを行う。
1) 会員名簿作成の目的を会員に周知する。
2) 会員各自から名簿に掲載することの了解を署名にて得ること
2. 会員から了解を得た署名は5年間、会として保管する。
3. 会員名簿の配布範囲は、正会員ならびに名誉会員のみに配布する。(但し監督官庁への届出を除く)
第4章 学術研究における個人情報の取扱い及び対応
(指針の遵守)
第13条 学術担当副会長(並びに渉外担当副会長)は、論文、学会抄録等、この会が発行する書籍等における個人情報保護管理に関するしくみを構築し、「学術研究に係る指針(4指針)」を遵守することを、従業者、会員等に対して周知を図る。
2. 学術担当副会長(並びに渉外担当副会長)は、上記指針に準拠し、目的外の利用、第三者への提供が行われないための措置を講じなければならない。
(匿名化の厳守)
第14条 学術担当副会長(並びに渉外担当副会長)は、論文、学会抄録等、この会が発行する書籍等において、発行前に個人情報保護の観点から、適切な匿名化が実施されていることを確実にするための措置を講じなければならない。
(訂正・修正・削除の権限)
第15条 学術担当副会長(並びに渉外担当副会長)は、論文、学会抄録等、この会が発行する書籍等において、個人情報保護の観点から、適切ではない表現・表記が認められた場合、著者に対して訂正・修正・削除等の指示を行う。
2. 学術担当副会長(並びに渉外担当副会長)は、論文、学会抄録等、この会が発行する書籍等において、個人情報保護の観点から、適切ではない表現・表記が認められ、早急に訂正・修正・削除等の対応が必要な場合は、著者から承諾を得ることなく対処することができる。
(悪質な違反者への対応)
第16条 学術担当副会長(並びに渉外担当副会長)は、論文、学会抄録等、この会が発行する書籍等において、個人情報保護の観点から、度重なるあるいは悪質な適切ではない表現・表記を行った著者等を理事会に報告し、訓告、投稿停止、除名処分等の判断を求める。
2. 処分の決定した著者等に対し、会長名の書面により本人に決定事項を通知し実行する。
第5章 情報処理システムの安全管理
(アクセス制御)
第17条 事務管理責任者は、保有個人情報(情報システムで取り扱うものに限る)の秘匿性等その内容に応じて、パスワード等(パスワード、ICカード、生体情報等をいい、以下同じ)を使用して権限を識別する機能(以下「認証機能」という)を設定する等のアクセス制御のために必要な措置を講ずるものとする。
2. 事務管理責任者は、前条の措置を講ずる場合には、パスワード等の管理に関する定めの整備(その定期又は随時の見直しを含む)、パスワード等の読取防止等を行うために必要な措置を講ずるものとする。
3. 事務職員は、自己の利用する保有個人情報に関して認証機能が設定されている場合、その認証機能の適切な運用を行うものとする。
(アクセスログの管理)
第18条 事務管理責任者は、保有個人情報の秘匿性等その内容に応じて、当該保有個人情報へのアクセス状況を記録し、その記録(以下「アクセス記録」という)を一定の期間保存し、及びアクセス記録を定期に又は随時に分析するために必要な措置を講ずるものとする。
2. 事務管理責任者は、アクセス記録の改ざん、窃取又は不正な消去の防止のために必要な措置を講ずるものとする。
(不正アクセス防止対策)
第19条 事務管理責任者は、保有個人情報を取り扱う情報システムへの外部からの不正アクセスを防止するため、ファイアウォールの設定によるネットワーク経路制御等の必要な措置を講ずるものとする。
2. 事務管理責任者は、保有個人情報の秘匿性等その内容に応じて、その暗号化のために必要な措置を講ずるものとする。
3. 事務職員は、情報システムで取り扱う保有個人情報の重要度に応じて、入力原票と入力内容との照合、処理前後の当該保有個人情報の内容の確認、既存の保有個人情報との照合等を行うものとする。
4. 事務管理責任者は、端末の盗難又は紛失の防止のため、端末の固定、執務室の施錠等の必要な措置を講ずるものとする。
5. 事務職員は、端末を外部へ持ち出し、又は外部から持ち込んではならない。ただし、事務管理責任者の指示に従い、業務の必要最小限の範囲において行うときはこの限りではない。
6. 事務職員は、前項の規定に基づき端末を外部へ持ち出したときは、紛失による漏えい等が行われないよう取扱いに注意するものとする。
(不正プログラム対策)
第20条 事務管理責任者は、コンピュータウイルスによる保有個人情報の漏えい、滅失又はき損の防止のため、コンピュータウイルスの感染防止等に必要な措置を講ずるものとする。
(バックアップ等の危機管理)
第21条 事務管理責任者は、保有個人情報の重要度に応じて、バックアップを作成し、分散保管するために必要な措置を講ずるものとする。
(情報処理室の管理)
第22条 事務管理責任者は、保有個人情報を取り扱う基幹的なサーバ等の機器を設置する部屋(以下「情報処理機器室」という)に入室する権限を有する者を定めるとともに、用件の確認、入退室の記録、部外者の識別、部外者が入室する場合の事務職員の立会い等の措置を講ずるものとする。
2. 事務管理責任者は、外部からの不正な侵入に備え、情報処理機器室への施錠装置、警報装置、監視設備等の設置等の措置を講ずるものとする。
3. 事務管理責任者は、災害等に備え、情報処理機器室に、耐震、防火、防煙、防水等の必要な措置を講ずるとともに、サーバ等の機器の予備電源の確保、配線の損傷防止等の措置を講ずるものとする。
4. 事務管理責任者は、保有個人情報を記録する電磁的記録媒体を保管するための施設を設けている場合において、必要があると認めるときは、前2条に規定する措置に準じて、所要の措置を講ずるものとする。
5. 事務管理責任者は、情報処理機器室について、専用の部屋を確保するのが困難である等の理由により執務室内にサーバ等を設置する場合において、必要があると認めるときは、第27条及び第28条に規定する措置に準じて、所要の措置を講ずるものとする。
6. 事務管理責任者は、保有個人情報に係る情報システムの設計書、仕様書、ネットワーク構成図等の文書について漏えい等が行われないよう、その保管、複製、廃棄等について必要な措置を講ずるものとする。
第6章 個人情報の提供及び委託
(個人情報の共有及び提供)
第23条 渉外担当副会長は、第三者に保有個人情報を提供する場合には、原則として、提供先における利用目的、利用する業務の根拠法令、利用する記録範囲及び記録項目、利用形態等について書面を取り交わすものとする。
2. 渉外担当副会長は、第三者に保有個人情報を提供する場合には、安全確保の措置を要求するとともに、必要があると認めるときは、提供前又は随時に実地の調査等を行い措置状況を確認し、その結果を記録するとともに、改善要求等の措置を講ずるものとする。
(業務の委託)
第24条 事務管理責任者は、保有個人情報の取扱いに係る業務を外部に委託する場合には、個人情報の適切な管理を行う能力を有しない者を選定することがないよう、必要な措置を講ずるものとする。また、契約書に、次に掲げる事項を明記するとともに、委託先における責任者等の管理体制、個人情報の管理の状況についての検査に関する事項等の必要な事項について書面で確認するものとする。
一. 個人情報に関する秘密保持等の義務
二. 再委託の制限又は条件に関する事項
三. 個人情報の複製等の制限に関する事項
四. 個人情報の漏えい等の事案の発生時における対応に関する事項
五. 委託終了時における個人情報の消去及び媒体の返却に関する事項
六. 違反した場合における契約解除の措置
七. 必要な事項
2. 保有個人情報の取扱いに係る業務を派遣労働者に行わせる場合には、労働者派遣契約書に秘密保持義務等個人情報の取扱いに関する事項を明記するものとする。
第7章 安全確保上問題発生時の対応
(報告及び是正処置)
第25条 保有個人情報の漏えい等安全確保の上で問題となる事案が発生した場合に、その事実を知った事務職員は、速やかに事務管理責任者に報告しなければならない。
2. 事務管理責任者は、被害の拡大防止又は復旧等のために必要な措置を講じなければならない。
3. 事務管理責任者は、事案の発生した経緯、被害状況等を調査し、会長及び渉外担当副会長に報告しなければならない。ただし、特に重大と認める事案が発生した場合には、直ちに会長及び渉外担当副会長に当該事案の内容等について報告しなければならない。
4. 事務管理責任者は、事案の内容等に応じ、会長の指示に基づき当該事案の内容、経緯、被害状況等を所轄官庁に速やかに報告しなければならない。
5. 事務管理責任者は、事案の発生した原因を分析し、再発防止のために必要な措置を講じなければならない。
(公表等)
第26条 渉外担当副会長は、事務管理責任者より報告された事案の内容、影響等に応じて、事実関係及び再発防止策の公表、当該事案に係る本人への対応等の措置を講じなければならない。
第8章 雑 則
(教育研修)
第27条 会長は、保有個人情報の取扱いに従事する役員及び事務職員に対し、保有個人情報の取扱いについて理解を深め、個人情報の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行うものとする。
2. 会長は、保有個人情報を取り扱う情報システムの管理に関する事務に従事する役員及び事務職員に対し、保有個人情報の適切な管理のために、情報システムの管理、運用及びセキュリティ対策に関して必要な教育研修を行うものとする。
3. 会長は、役員及び事務職員に対し、保有個人情報の適切な管理のために、教育研修への参加の機会を付与する等の必要な措置を講ずるものとする。
(監査の実施)
第28条 会長は、保有個人情報の適切な管理について必要があると認めるときは、渉外担当副会長又は事務管理責任者に対し保有個人情報の管理の状況について報告を求め、又は監査を行うことができる。
2. 事務管理責任者は、必要に応じ自ら管理責任を有する保有個人情報の記録媒体、処理経路、保管方法等について点検を行い、必要があると認めるときは、その結果を会長及び渉外担当副会長に報告するものとする。
(評価及び見直し)
第29条 渉外担当副会長及び事務管理責任者は、保有個人情報の適切な管理のため、前条の点検の結果等を踏まえ、実効性等の観点から保有個人情報の記録媒体、処理経路、保管方法等を評価し、必要があると認めるときは、事務職員への教育研修の実施及び業務改善等を行うものとする。
2. 各都道府県技師会の保有個人情報管理については、その各都道府県技師会長が、それぞれこの規程に準じてこの会会長及び渉外担当副会長と協議して制定するものとする。
(細則の作成)
第30条 この会の保有個人情報の管理に関し、この規程に定めるもののほか、保有個人情報の管理に関する必要事項は、渉外担当副会長が起案し、理事会承認により定める。
2. 渉外担当副会長は、必要に応じ個人情報の特性及び利用・管理の実態に応じて、保有個人情報の適切な管理に関する定めを作成し、理事会承認により実施するものとする。
(附 則)
1.この規程は、平成17年8月19日から施行する。
2.平成18年9月29日 改定
3.平成19年2月2日 改定 同日施行