山形県寒河江市デイサービス・在宅療養・在宅療養支援・在宅介護・リハビリテーション・自立支援

個人情報保護方針

個人情報保護方針

目   次

第1条 目的 4頁
第2条 適用範囲
第3条 用語の定義
第4条 個人情報保護方針
第5条 個人情報保護管理者 5頁
第6条 個人情報取扱責任者
第7条 苦情対応担当者
第8条 緊急時の対応
第9条 担当者の責務
第10条 誓約書の提出
第11条 個人情報の特定 6頁
第12条 法令及びその他の規範の特定及び遵守
第13条 内部規程の確立等
第14条 取得の原則
第15条 取得方法の制限
第16条 特定な機微な個人情報の取得の禁止
第17条 情報主体から直接取得する場合の措置 7頁
第18条 情報主体から間接取得する場合の措置
第19条 利用および提供の原則
第20条 目的の範囲外の利用及び提供の場合の措置
第21条 個人情報の正確性確保 8頁
第22条 個人情報の授受
第23条 個人情報の破棄
第24条 情報資産の持出の管理
第25条 個人情報利用の安全性の確保
第26条 個人情報の秘密保持に関する従業者の責務
第27条 個人情報の委託管理
第28条 開示の手続き 9頁
第29条 自己情報に関する権利 10頁
第30条 自己情報の利用または提供の拒否権
第31条 苦情及び相談への対応
第32条 代表取締役による見直し
第33条 文書管理 11頁
第34条 就業規則の適用
第35条 改廃及び所管等


(目的)
第1条 本マニュアルは、〔株式会社多田〕が取り扱う個人情報の適切な保護のための基本事項を定め、当社がその活動の実態に応じた個人情報保護とその評価、改善を行っていくことを目的とする。役職員(業務委託先の従業員を含む)は、その職務内容に応じて個人情報保護を遵守しなければならない。

(適用範囲)
第2条 本マニュアルは、本社業務・WEBサービス(担当部署)または、株式会社多田における介護サービスの提供に関するすべての業務及びこの業務に従事する者に適用する。
2. 本マニュアルは、コンピュータ・システムにより処理されているか否か、および書面に記録されているか否かを問わず、本社業務・WEBサービス(担当部署)または、株式会社多田において取り扱うすべての個人情報を適用範囲とする。ただし、株式会社多田の役職員の個人情報の取扱いについては別に定める。

(用語の定義)
第3条 本マニュアルに用いる主な用語の定義を、以下に示す。
(1)個人情報:個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述、または個人別に付された番号、記号その他符号、画像もしくは音声により当該個人を識別できるもの(当該情報では識別できないが、外の情報と容易に照合でき、それにより当該個人を識別できるものを含む)
(2)情報主体:一定の情報によって識別される、または識別され得る個人
(3)代表取締役:〔株式会社多田〕を代表し、個人情報保護のための関連するマニュアル等の改廃・決定に関する責任と権限をもつ者
(4)個人情報保護管理者:代表取締役によって任命されたもので、本マニュアルの実施および運営等に関する責任と権限をもつ者
(5)個人情報取扱責任者:個人情報保護管理者によって指名された者であって、個人情報を取り扱う部門における本マニュアルの実施および運用等に関する責任と権限をもつ者
(6)担当者:個別業務における個人情報の管理に関する責任と権限をもつ者
(7)受領者:個人情報の提供を受ける法人、その他の団体または個人をいう
(8)情報主体の同意:情報主体が取得、利用又は提供に関する情報を与えられた上で、自己に関する個人情報の取得、利用または提供について承諾する意思表示を行うこと。ただし、成年後見制度による後見人がいる場合は、その後見人の同意をいう
(9)取得目的:個人情報の利用および提供の範囲を定め、情報主体の同意の対象となるもの
(10)利用:株式会社多田内で個人情報を処理すること
(11)提供:株式会社多田外の者に株式会社多田が保有する個人情報を渡し、利用可能にすること
(12)委託:株式会社多田外の者に情報処理等を委託するために自らが保有する個人情報を預けること

(個人情報保護方針)
第4条 代表取締役は、次の事項を含む個人情報保護方針を定め、文書化し、周知し、実行し、維持する。
(1)適切な個人情報の取得、利用及び提供に努めること
(2)個人情報の漏洩、紛失、破壊、改ざん及び不正アクセスなどの予防処置又は是正処置を講ずること
(3)個人情報に関する法令を遵守すること

(個人情報保護管理者等)
第5条 代表取締役は、個人情報保護管理者を含む個人情報保護のために必要な組織を定め、役職員へ周知させる。
2. 代表取締役は、代表取締役 多田丈弘を個人情報保護管理者に任命する。
3. 個人情報保護管理者は、本マニュアルに定められた事項を理解し、遵守するとともに、次の事項を実施する責任と権限をもつ。
(1)個人情報を取り扱う者に対する指導を統括すること
(2)本マニュアルを管理すること
(3)個人情報保護のための合理的な安全管理措置を講ずること
(4)苦情及び相談対応を統括すること
(5)その他個人情報保護のために効果的な事項を実施すること
4. 個人情報保護管理者は、前項の責務を果たすため、各部門の個人情報取扱責任者、者及び苦情対応担当者を指名し、それぞれの責任者又は担当者としての責務を行わせる。

(個人情報取扱責任者)
第6条 個人情報保護管理者は、個人情報を取り扱う部門の管理職をその部門の個人情報取扱責任者に指名する。
 2. 個人情報取扱責任者は、担当部門における次の事項を実施する責任と権限をもつ。
(1)本マニュアルを周知し、日常の安全対策の実施状況を管理すること
(2)部門の担当者及び個別業務の委託先の従事者並びに派遣会社社員に対する指導を実施すること

(苦情対応担当者)
第7条 苦情対応担当者は、株式会社多田外からの個人情報に関する苦情及び相談等を受け付けて対応するとともに、苦情及び相談等の内容を分析し再発防止等を検討・立案し、個人情報保護管理者へ報告するなど本マニュアルの運営に反映させる責任を負う。
(緊急時の対応)
第8条 個人情報保護に緊急事態が発生した場合、個人情報取扱責任者又は個人情報保護管理者へ報告し、指示を受ける。
2. 個人情報保護管理者は、株式会社多田に与える影響の大きさによって代表取締役に報告し、かつ、適切に対応する。
 3. 対外的な影響の大きい事故を発生させた場合、遅滞なく、関係官庁へ報告する。

(担当者の責務)
第9条 株式会社多田の役職員は、本マニュアルを遵守し、特定の業務で取り扱う個人情報の管理に関して責務を負う。
2. 株式会社多田の職員は、「個人情報保護に関する誓約書」を提出しなければならない。

(誓約書の提出)
第10条 職員は、山形県個人情報保護条例の定めに従い、入社時に「個人情報の関する誓約書」を、退社時に「退職後の機密保持に関する誓約書」を提出する。
2. 個別業務の委託先の従事者及び派遣会社社員(以下「個別業務の従事者」という)は、業務開始に先立ち、「個人情報に関する誓約書」を提出する。

(個人情報の特定)
第11条 個人情報保護管理者は、担当部署及び株式会社多田が保有するすべての個人情報を特定するための手順を確立し、維持する。
2. 担当者は、個人情報を含む情報を情報主体から取得する場合、あらかじめ次の事項を明確にする。
(1)個人情報の内容、取得方法
(2)個人情報の取得者又は作成者、取扱責任者、利用者(アクセス権限の範囲)
(3)個人情報の取得及び利用目的
(4)個人情報の保管方法及び保管場所(媒体(紙、電子記憶媒体)、施錠可能な保管場所、鍵の管理者等)情報システム内で保管する場合は、識別情報(ID、パスワード等)

(法令及びその他の規範の特定及び遵守)
第12条 個人情報保護管理者は、担当部署及び株式会社多田が取り扱う個人情報に関する法令及びその他の規範(所属団体の定める指針等を含む)を特定し、維持する。
2. 個人情報に関する法令及びその他の規範(所属団体の定める指針等を含む)を遵守する。
3. 法令及びその他の規範(所属団体の定める指針等を含む)が改訂などされた場合及び業務の拡大などにより新たに必要とされる場合は、個人情報保護管理者が情報収集を行い、最新の状態に維持するように努める。

(内部規程の確立等)
第13条 個人情報保護管理者は、本マニュアルを確立し、維持し、適宜更新する。

(取得の原則)
第14条 個人情報の取得は、取得目的を明確に定め、その目的の達成に必要な限度において行う
2. 新しい目的及び方法で個人情報を取得するときは、担当者は個人情報取扱責任者に届出る。
3. 前項の届け出を受けた個人情報取扱責任者は、個人情報保護管理者と協議し、承諾を得る。
4. 新しい目的での個人情報の取得は、個人情報保護管理者の承諾を得て、個人情報保護管理者が必要な措置を講じた後でなければならない。

(取得方法の制限)
第15条 個人情報の取得は、適法かつ公正な手段によって行う。

(特定の機微な個人情報の取得の禁止)
第16条 次の事項を含む個人情報を取得し、利用又は提供してはならない。ただし、当該情報の取得、利用または提供についての情報主体の明確な同意がある場合、法令に特段の規定がある場合または司法手続上必要不可欠である場合においては、この限りではない。
(1)思想、信条および宗教に関する事項。
(2)人種、民族、門地、本籍地(所在地都道府県に関する情報を除く)、犯罪歴その他社会的差別の原因となる事項。
(3)勤労者の団結権、団体交渉及びその他の政治的権利の行使に関する事項。
(4)集団示威行為への参加、請願権行使、及びその他の政治的権利の行使に関する事項。
(5)サービス提供上必要としない保健医療及び性生活に関する事項。

(情報主体から直接取得する場合の措置)
第17条 情報主体から直接個人情報を取得する場合、担当者は、情報主体に対して、少なくとも、次の事項を記載した書面を交付し、当該情報の取得、利用、または提供に関する同意を得なければならない。ただし、情報主体が次の事項の通知を受けていることが明白である場合、この限りではない。
(1)株式会社多田の個人情報に関する管理者またはその代理人の氏名または職名、所属および連絡先
(2)個人情報の取得および利用の目的
(3)個人情報を第三者に提供することが予定される場合には、その目的、当該情報の受領者及び個人情報の取扱いに関する契約の有無
(4)個人情報の委託を行うことが予定している場合には、その旨
(5)個人情報の提供に関する情報主体の任意性および当該情報を提供しなかった場合に生じる結果
(6)個人情報の開示を求める権利および開示の結果、当該情報が誤っている場合に訂正または削除を要求する権利の存在ならびに当該権利を行使するための具体的方法
(7)個人情報を第三者と共同で使用する場合は、その旨
(8)その他法令が定める事項

(情報主体から間接取得する場合の措置)
第18条 情報主体以外から間接的に個人情報を取得する場合、担当者は、第16条第1号から5号に示す事項を記載した書面を交付し、当該情報の取得、利用、または提供に関する同意を得なければならない。ただし、情報主体からの個人情報の取得時に、あらかじめ事業者への情報提供を予定している旨、情報主体の同意を得ている提供者から取得する場合、この限りではない。
2. 情報主体以外から間接的に個人情報を取得する場合、担当者又は個人情報取扱責任者は、次の事項を確認又は実施する。
(1)個人情報の提供者が適法かつ公正な手段によって当該個人情報を取得し、第三者へ提供するために必要な情報主体の同意若しくは必要な措置を講じていることを確認すること。
(2)個人情報の提供者より当該個人情報が適法かつ公正な手段により取得されたことを記した書面の交付を受けること。

(利用および提供の原則)
第19条 個人情報の利用は、原則として収集目的の範囲内で、具体的な業務に応じ権限を与えられた者のみが、業務の遂行上必要な限りにおいて行うことができる。なお、次の各号のいずれかに該当する場合は、この限りではない。
(1)法令の規定による場合
(2)情報主体または公衆の生命、健康、財産等の重大な利益を保護するために必要な場合
2. 個人情報保護管理者の承諾を得ないで、個人情報の目的外利用、第三者への提供・預託、通常の利用場所からの持ち出し、外部への送信等の個人情報の漏えい行為をしてはならない。
3. 役職員は、業務上知り得た個人情報の内容をみだりに第三者に知らせ、又は不当な目的に使用してはならない。その業務に係る職を退いた後も、同様とする。

(目的の範囲外の利用及び提供の場合の措置)
第20条 取得目的の範囲を超えて個人情報の利用及び提供を行う場合は、少なくとも第16条第1号から5号に示す事項を記載した書面を交付し、事前に情報主体の同意を得なければならない。

(個人情報の正確性確保)
第21条 個人情報は取得目的に応じ必要な範囲内において、正確かつ最新の状態で管理するものとし、次の事項を実施する。
(1)重要個人情報及び取扱責任者が指定した個人情報は、所定の保管庫に収納し、施錠する。
(2)前項の保管庫には、個人情報が保管されている旨を表示しない。
(3)個人情報(手書きメモ類を含む)は、机上に放置せず、所定の綴りに収納する。
(4)記録媒体には、情報内容が類推できるような表示を避ける。

(個人情報の授受)
第22条 担当者は、個人情報を他の業務上、連携が必要な事業者及び委託先等との間で受け渡しを行う場合、第3者へ漏えいすることのないように、次に示す安全な方法で行う。
(1)適切な封筒に入れ、受取者を記名したうえで、封緘する。
(2)緊急時等やむをえずファクシミリにより受け渡しする場合、受取者を記名し、当該受取者から受信を確認する。
(3)電話による受け渡しは、原則として行わない。ただし、緊急時等やむをえず受け渡しする場合、受信者を確認し、記録する。

(個人情報の廃棄)
第23条 個人情報の廃棄は、焼却、破砕、完全消去など再利用できない状態に処分する。
(情報資産の持出の管理)
第24条 役職員及び個別業務の従事者は、あらゆる情報資産(情報機器、ソフトウエア、記録媒体、メール等)を事前の許可なく外に持ち出してはならない。
2. 前項に係らず、研究・発表その他の目的のために持ち出す場合、担当者は、取扱責任者及び個人情報保護管理者の許可を得る。

(個人情報利用の安全性の確保)
第25条 個人情報の紛失、破壊、改ざん、漏えい又は個人情報への不当なアクセス等の危険に対して、技術面および組織面において合理的な安全対策を講ずるものとする。

(個人情報の秘密保持に関する従業者の責務)
第26条 個人情報の取得、利用又は提供に従事する者は、法令の規定、本マニュアルに従い、個人情報の秘密の保持に十分な注意を払い、かつ、その業務を行うものとする。

(個人情報の委託管理)
第27条 情報システム開発、保守業務(以下「委託業務」という)のため個人情報を外部に委託する場合、十分な個人情報の保護水準を提供する者(以下「委託先」という)を選定する。 2. 契約等により、次の事項を規定し、担保する。
(1)個人情報保護管理者の指示の遵守及び個人情報に関する秘密保持
(2)再委託に関する事前承認及び秘密の保持
(3)事故時の責任分担
(4)契約終了時の個人情報の返却及び消去等
3. 委託管理部門は、前2項の契約書等の書面及び記録を個人情報の保管期間にわたり保管する。

   (開示の手続)
第28条 情報主体から自己の情報について開示を求められた場合、次の手順により内容及び情報主体(以下本条では「本人」という)確認をする。
(1)取扱責任者は、本人又は代理人から開示の求めがあった場合「個人情報開示等請求書」に開示を求める内容を記入し、提出を求め、これにより内容及び本人確認を行う。
(2)代理人による申請の場合、代理を委任したことを証明する書面の提出を求め、本人の代理人であることを確認する。この場合、次のいずれかに該当するときは、本人に委任の意思を確認するとともに、代理人の適正性、開示の範囲等について本人の意思を踏まえて対応する。
    a)本人による具体的意思を確認できない包括的な委任に基づくとき
    b)本人が代理人に委任した日から3ヶ月を超えているとき
2. 取扱責任者は、開示の求めを受け付けた場合、原則として1ヶ月以内に開示の範囲を決定し、個人情報保護管理者の承認を得た後、本人又は代理人に開示する。対応に1ヶ月を超える場合は、その旨及び対応可能な期間を本人又は代理人に通知する。
3. 開示及びその範囲は、個人情報保護管理者及び取扱責任者は、関連法令に準拠し、かつ具体的に慎重に判断し決定する。
 4. 開示することで、法第25条第1項各号のいずれかに該当する場合、及び次に示す事例に該当する場合は、その全部又は一部を開示しないことができる。
    a)利用者の状況等について、家族や患者・利用者の関係者が担当者に情報提供を行っている場合に、これらの者の同意を得ずに利用者自身に当該情報を提供することにより、利用者と家族や利用者の関係者との人間関係が悪化するなど、これらの者の利益を害するおそれがある場合
5. 開示を求められた個人情報の全部又は一部を開示しない旨決定した場合、取扱責任者は、遅滞なく、「個人情報開示等通知書」にその理由を記入し、個人情報保護管理者の承認を得た後、本人又は代理人へ交付し、本人に対してその理由を説明する。
6. 開示は、原則として、開示を決定した範囲の個人情報を記載した情報媒体の写しを提供する方法により行う。ただし、申出者から他の提供方法によることを求められた場合、可能なときはこれに従う。
7. 開示の結果、誤った情報があり、訂正又は削除(以下「訂正等」という)を求められた場合、取扱責任者は、原則として1ヶ月以内に必要な調査を行い、その求めが適正であると認められるときは、個人情報保護管理者の承認を得た後、訂正等を行う。この場合、取扱責任者は、本人又は代理人にその旨を通知する。
この対応に1ヶ月を超える場合は、「個人情報開示等通知書」にその旨及び対応可能な期間を記入し、本人又は代理人に通知し、本人に対してその理由を説明するよう努める。
8. 次のいずれかに該当する場合、開示しない。
(1)訂正又は削除等に多額の費用を要する場合など当該措置を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるとき
(2)訂正等の求めがあった場合であっても、
a)利用目的から見て訂正等が必要でない場合、
b)誤りである指摘が正しくない場合、
c)訂正等の対象が事実でなく評価に関する情報である場合
(3)訂正等の求めがあった場合であっても、手続違反等の指摘が正しくない場合
 9. 取扱責任者は、前項の措置又は決定を行ったとき、又は行わない旨を決定したときは、遅滞なく、「個人情報開示等通知書」にその理由を記入し、個人情報保護管理者の承認を得た後、本人又は代理人に対し通知し、本人に対してその理由を説明するよう努める。
 10.開示に係る費用として、本人又は代理人に対し、1件につき10頁(A4サイズ換算)まで1、000円、10頁を越えるごとに1,000円を加算した手数料の納入を求める。ただし、第6項但書の場合、提供に要する実費を請求する。

(自己情報に関する権利)
第29条 情報主体から自己の情報について開示を求められた場合、内容及び本人確認をし、情報主体本人からのものであることが確認できたときに限り、原則として1ヶ月以内にこれに応ずる。
 2. 開示の結果、誤った情報があり、訂正または削除を求められた場合は、原則として1ヶ月以内にこれに応ずるとともに、訂正または削除を行った場合は、可能な範囲内で当該個人情報の受領者に対して通知を行う。
3. 前2項の対応に1ヶ月を超える場合は、その旨を情報主体に通知するとともに、対応可能な期間を通知する。

(自己情報の利用または提供の拒否権)
第30条 当社が保有している個人情報について、情報主体から自己の情報についての利用または第三者への提供を拒否された場合は、これに応ずる。ただし、公共の利益の保護または事務所もしくは個人情報の開示の対象となる第三者の法令に基づく権限の行使または義務の履行のために必要な場合、および社員情報の適正な管理運営のために必要な場合については、この限りではない。

(苦情及び相談への対応)
第31条 情報主体からの苦情及び相談等(以下「苦情等」という)について、迅速、誠実かつ確実に解決を図り、かつ適正な手順で対応する。苦情対応担当者は、株式会社多田外からの個人情報に関する苦情及び相談等(以下「苦情等」という)を受け付けたとき、次の事項を確認し、「苦情受付書」に記録し、個人情報保護管理者及び代表取締役へ報告する。
(1)苦情等の内容、性質、及び問題の発生場所又はプロセス(相談、計画、生活援助、看護、調理、購買などのプロセス)
(2)申出者の希望
(3)第三者委員への報告の要否
(4)申出者と当該個人情報取扱責任者との話し合いへの第三者委員の助言、立会の要否
 2. 苦情対応担当者は、当該個人情報取扱責任者と協力して、苦情等の内容の分析及び原因調査を行い、次のいずれかの方法による再発防止等の解決策を立案し、個人情報保護管理者の承認を得る。
(1)苦情等の原因を除去又は是正する。
(2)申出者の特別の承認を得る。
(3)本来の意図された利用ができないようにする。
3. 苦情対応担当者は、解決策について、申出者へ説明又は話し合いをし、その同意を得る。
4. 当該個人情報取扱責任者は、苦情の対象となった個人情報の不備な利用ができないように、識別、隔離等適切な処置をとる。

(代表取締役による見直し)
第32条 代表取締役は、適切な個人情報保護を維持するために、毎年1回(原則として3月)、個人情報保護方針等の見直しを行う。

(文書管理)
第33条 個人情報保護に関する文書・記録は、付表1「帳票一覧表」に掲げる文書を管理する。ただし、各個々のサービス提供に係る文書・記録の管理は、別に定めるところによる。 2. 文書は、発行前に、その適切性を確認し、承認する。確認及び承認の権限(代行する権限を含む)は、「帳票一覧表」による。文書の変更の場合も同じ。ただし、他部署と関係のある場合は、発行前に、関係部署と協議する。
3. 文書(記録を除く)及び帳票を変更するときは、改正年月日、可能の場合版数及び改正の理由(来歴)又は改正個所を記載する。
4. 個人情報保護マニュアルは、少なくとも3年に1回、その適切性を見直し、必要に応じて更新、又は再承認する。
5. 帳票の制定、改廃は、個人情報保護マニュアル等の制定、改廃による。
6. 文書等は、種類・年度ごとに区分してファイルし、保管する。
7. 文書等の保管、保管期間及び配付先は、「帳票一覧表」による。ただし、発行部の控及びコピー配布先でのコピーの保管期間は、特に指定しない限り当年度中とする。
8. 保管期間を過ぎた文書等は、管理の対象外とし、廃棄する。ただし、旧版を保管する場合は、表紙に『旧版』を表示し、保管場所を識別する。

(就業規則の適用)
第34条 本マニュアルに基づいて作成された規則に故意に違反したもの、あるいは自らの職務を適正に遂行していれば違反を知り得たすべての役職員は、就業規則に基づき解雇を含む懲戒の対象となる。

(改廃及び所管等)
第35条 本マニュアルの改廃は、個人情報保護管理者が立案し、審議を経て代表取締役が決定する。
 以上


↑ PAGE TOP