- 個人情報の収集、利用及び提供について
- 個人情報の収集は、目的を明確にし、事前にご本人の同意を得てから行います。
- 個人情報の利用・提供を行う場合は、事前に明確にした目的の範囲でのみ行います。
- 安全対策
- 個人情報への不正アクセス、個人情報の改ざん、破壊、紛失及び漏洩などを防止する為の安全対策を実施し、万一の問題発生時には速やかな是正対策を講じます。
- 介護情報の提供・開示、訂正、停止
- 個人情報についてご本人様からの開示の要求があった場合は、別に定める内部規定に沿って速やかに対応致します。
内容の訂正、あるいは利用停止を要求された場合の取扱いについても、同様と致します。
- 法令及びその他の規範の遵守について
- 当法人は、個人情報に関して運用される法令及びその他の規範、ガイドラインを遵守致します
- 継続的改善、職員教育
- 個人情報保護体制を適切に維持していく為に、内部規定の見直しと必要時の改善を行い、職員の教育・研修を徹底致します。
1.目的
2.本規定の遵守対象
1.組織体制
- (1)当社代表取締役は、個人情報保護の重要性について、すべての従業者に周知する。
- (2)社内における個人情報の取扱いに関しては、事業部門ごとに権限と責任を明確にする。
- (3)当社代表取締役は、社内の個人情報を適切に管理するため、統括責任と権限を付与する情報保護管理者を指名する。
- (4)情報保護管理者は、上記の業務を行うために必要な者を、各事業部門ごとに情報保護担当者として指名することができる。
- (5)情報保護管理者は、本規定に基づき当社の定めるコンプライアンス・ルールに所要の規定を盛り込み、従業者が遵守するよう必要な対応を行うものとする。
- (6)情報保護管理者は、本規定の内容を従業者が理解し実践するために必要な教育・研修活動を行うものとする。
- (7)情報保護管理者は、年1回、個人情報保護計画の監査を行い、この結果を役員会に報告するとともに、本規定上で必要な改善措置を講じるものとする。
2.具体規定
- (1)個人情報の取得と利用目的の特定
- @社内の部門ごとに、取り扱っているすべての個人情報を洗い出し、利用方法、保管方法等をまとめるものとする。
- A個別に利用目的を特定し、当社の事業にとり必要なものかどうかの検討も併せて行う。
- B不必要な個人情報については廃棄する。
- C管理すべき個人情報について、利用目的等を付した一覧表を作成し、事務所内への掲示パンフレットへの記載、ホームページ上への掲出等により公表する。
- (2)個人データの安全管理措置
- @人的安全管理措置の規定項目
- ア.雇用契約時及び委託契約時における情報保護関連契約の締結、及び違反時の措置
- イ.従業者に対する教育・訓練の具体的内容(目的・時期・対象・内容・方法・効果の確認方法、等)
- ウ.人事異動、離職時の守秘義務規定
- エ.事故・違反等発生時の対応方法 、等
- A組織的安全管理措置の規定項目
- ア.安全管理措置を講じるための組織体制表
- イ.個人情報の収集項目、利用目的、保管場所、保管方法、アクセス制限を有する者、利用期限、その他個人情報の適正な取扱いに必要な情報を記した、個人情報取扱台帳等の整備規定
- ウ.データの最新状態の維持方法
- エ.委託先の監督(契約書様式、監督方法の規定)
- 委託者及び受託者の責任の明確化
- 保有個人データの安全管理に関する事項
- 保有個人データの漏えい防止、盗用禁止に関する事項
- 委託契約範囲外の加工、利用の禁止
- 委託契約範囲外の複写、複製の禁止
- 委託契約期間
- 委託契約終了後の保有個人データの返還・消去・廃棄に関する事項
- 再委託に関する事項
- B物理的安全管理措置の規定項目(不正アクセス、紛失、改ざん、破壊、漏洩への対応)
- ア.入退館(室)管理の実施
- イ.盗難等の防止方法
- 離席時の、個人データを記した書類、媒体、携帯可能なコンピューター等の机上等への放置の禁止
- 離席時のパスワード付スクリーンセイバー等の起動
- 個人データを含む媒体の施錠保管
- 氏名、住所、メールアドレス等を記載した個人データとそれ以外のデータの分離保管
- 保有個人データを取り扱う情報システムの操作マニュアルの机上等への放置の禁止
- ウ.機器・装置等の物理的な保護方法
- 個人データを取り扱う機器・装置等の、安全管理上の脅威(例えば、盗難、破壊、破損)や環境上の脅威(例えば、漏水、火災、停電)からの物理的な保護
- 個人データを取り扱う情報システムについての不正ソフトウェア対策
- 個人データの移送、送信時の対策
- 個人データを取り扱う情報システムの監視
- ウイルス対策ソフトウェアの導入
- オペレーティングシステム(OS)、アプリケーション等に対するセキュリティ対策用修正ソフトウェア(いわゆる、セキュリティパッチ)の適用
- 不正ソフトウェア対策の有効性・安全性の確認(例えば、パターンファイルや修正ソフトウェアの更新の確認)
- エ.個人データへのアクセス制御、アクセス権限の管理(最小化を含む)
- 作業担当者の識別、権限付与方法
- 個人データベースを処理できる作業担当者の、業務上の必要性に基づく限定
- IDとパスワードによる認証等による作業担当者の識別
- 作業担当者に付与する権限の限定
- 個人データの消去・廃棄を行う作業担当者に付与した権限の記録
- C個人データの廃棄・消去規定
- ア.作業責任者の明確化
- 個人データを消去する際の作業責任者の明確化
- 個人データを保管している機器、記録している媒体を廃棄する際の作業責任者の明確化
- イ.手続の明確化と手続に従った実施方法
- 消去・廃棄する際の手続きの明確化
- 定められた手続による消去・廃棄の実施方法
- 権限を与えられていない者が立ち入れない室での消去・廃棄作業の実施方法
- 個人データが消去できる端末の、業務上の必要性に基づく限定
- 個人データが記録された媒体や機器をリース会社に返却する前の、個人データの完全消去(例えば、意味のない個人データを媒体に1回または複数回上書きする。)
- 個人データが記録された媒体の物理的な破壊方法(例えば、シュレッダー、メディアシュレッダー等で破壊する。)
- D個人情報収集の基本的な考え方
- 個人情報の収集は、適法かつ公正な手段によって行わなければならない。
- 所定の方法以外の方法で個人情報を収集する場合は、本人の同意を得なければならない。
- 第三者から個人情報を収集する場合は、本人の同意を得なければならない。
- E個人情報収集の基本的な考え方
- 個人情報の利用は、所定の利用目的に沿って行わなければならない。
- あらかじめ本人の同意を得ないで、公表または本人に通知した利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。
- 当初の利用目的を変更する場合は、情報保護管理者の関与の下で、利用目的を明確に規定・公表した上で行わなければならない。
- 必要により、第三者に個人情報を提供する場合は本人の同意を得なければならない。
- 社外の事例研究発表会等において、特定の入居者の介護事例を公表する場合は、個人の匿名化を図るとともに、これが十分にできない場合は本人の同意を得なければならない。
- F請求手続規定
- 個人情報の収集は、適法かつ公正な手段によって行わなければならない。
- 本人からの開示請求等に対応するため、以下の内容を含む手続規定を作成し、あらかじめ公表しなければならない。
- -請求方法(公表、開示、訂正、追加、削除、利用停止、消去、第三者提供の禁止等)
- -手数料の額
- -開示等の方法及び公表項目の特定
- -請求に応じない場合の対応方法
- G苦情・相談規定
- 本人からの苦情・相談に対応するため、以下の内容を含む体制を整備し、あらかじめ公表しなければならない。
- -苦情・相談の受付窓口、担当及び受付時間
- -社内の処理体制(組織)
- -対応結果の通知手続
3.計画書の作成と実施【P(計画)-D(実施)-C(評価)-A(改善)】
- @情報保護管理者は、本規定に基づき年度ごとに求められる活動内容の詳細を計画書にまとめ役員会の承認を得るものとする。
- 計画の実行段階においては、職務部門ごとに個人情報の適切な取扱いを定期的に評価し、その結果を情報保護管理者に報告する。
- 情報保護管理者は、当該報告を受け、個人情報監査報告書として当社代表取締役に報告する。また、必要に応じて計画書や活動内容等の見直しを行う。
- 必要な改善措置を行った場合、情報保護管理者は記録書を作成し、適切に保管する。
- @労働者等の個人情報を収集する場合には、雇用に直接関連する範囲において、特段の理由がない限り本人からの収集することを原則とする。
- A職員を採用するために収集した履歴書による個人情報については、本人が採用に至らなかった場合には、直ちに破棄するものとする。
- B個人情報の処理を通じて雇用上の不法又は不当な差別は行わない。
- C労働者等から個人情報の開示を求められた場合、業務の適正な運営に支障を生ずるおそれがある場合を除き、これに応じるものとする。