個人情報保護規程

第1章：総則

目的

第1条

この規程は、社会福祉法人釧路丹頂協会(以下、「法人」という。)が提供する福祉サービス事業等の利用者及びその家族の個人情報の保護のため法人職員等が接することができる個人情報の取扱いに関する取組み並びに基本ルールを規定し、法人が保有する情報の紛失、漏えい、改ざんを防ぎ、個人情報の取扱いに関する法人としての責任を果たすことを目的とする。

用語の定義

第2条

この規程における用語の定義は、次の各号に定めるところによる。

• 個人情報　法人と関わりを持つ個人に関する情報で、氏名、生年月日、住所、自宅の電話番号等の記述により、特定の個人を識別できるものをいう。また、他の情報と照合することによって特定の個人が容易に識別できるものも含まれる。
• 個人情報データベース等　特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した個人情報を含む情報の集合物、又はコンピュータを用いていない場合であっても、紙媒体で処理した個人情報を一定の規則に従って整理又は分類し、特定の個人情報を容易に検索することができる状態に置いているものをいう。
• 個人データ　個人情報データベース等を構成する個人情報をいう。
• 保有個人データ　法人が開示、訂正、追加、削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの、又は違法若しくは不当な行為を助長し、又は誘発するおそれがあるもの以外をいう。
• 本人等　法人が保有する個人情報で識別される特定個人をいう。
• 職員等　法人の理事、監事、評議員並びに法人職員、準職員、臨時職員、パート的臨時職員、有期契約職員、嘱託医及び苦情調整委員等をいう。

法人の責務

第3条

法人は、個人情報保護に関する法令を遵守するとともに、実施するあらゆる事業を通じて個人情報の保護に努めるものとする。

第2章：個人情報の利用目的の特定等

利用目的の特定

第4条

・法人は、個人情報を取扱うにあたっては、その利用の目的(以下、「利用目的」という。)を出来る限り特定するものとする。

・法人は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲で行うものとする。

・法人は、利用目的を変更した場合は、変更した利用目的について、本人に通知し、又は公表するものとする。

利用目的外の利用の制限

第5条

・法人は、あらかじめ本人の同意を得ることなく、前条の規定により特定された利用目的の達成に必要な範囲を超えて個人情報を取扱はないものとする。

・前条又は前項の規定にかかわらず、次の各号の何れかに該当する場合には、あらかじめ本人の同意を得ることなく、前条によって規定された利用目的の範囲を超える必要かつ合理的な範囲において、個人情報を取扱うことができるものとする。

• 法令に基づくとき。
• 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
• 公衆衛生の向上のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
• 国の機関若しくは地方公共団体、又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

・法人は、前項の規定に該当して利用目的の範囲を超えて個人情報を取扱う場合には、その取扱う範囲を真に必要な範囲に限定するものとする。

第3章：個人情報の取得の制限等

取得の制限

第6条

・法人は、個人情報を取得するときは利用目的を明示するとともに、適法かつ適正なる方法で行うものとする。

・法人は、思想、信条及び宗教に関する個人情報並びに社会的差別の原因となる個人情報については取得しないものとする。

・法人は、原則として本人から個人情報を取得するものとする。ただし、次の各号のいずれかに該当する場合は、この限りではない。

• 本人の同意があるとき。
• 法令等の規定に基づくとき。
• 個人の生命、身体又は財産の安全を守るため緊急かつやむを得ないと認められるとき。
• 所在不明、判断能力が不十分等の事由により、本人から取得することができないとき。
• 相談、援助、指導、代理、代行等を含む事業において、本人から取得したのではその目的を達成し得ないと認められるとき。

・法人は、前項第4号または第5号の規定に該当して、本人以外の者から個人情報を取得したときは、その旨及び当該個人情報に係る利用目的を本人に通知するよう努めるものとする。

取得に際しての利用目的の通知等

第7条

・法人は、個人情報を取得した場合はあらかじめその利用目的を公表している場合を除き、その利用目的を本人に通知又は公表するものとする。

・法人は、前項の規定にかかわらず本人との間で契約を確認することにともなって契約書その他の書面に記載された当該本人の個人情報を取得する場合、若しくは、その他本人から直接書類に記載された当該本人の情報を取得する場合は、あらかじめ、本人に対しその利用目的を明示するものとする。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合には、この限りでない。

・第1項及び第2項の規定は、次における場合については適用しない。

• 利用目的を本人に通知し、又は公表することにより本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合。
• 国の機関若しくは地方公共団体、又はその他の委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。

第4章：個人データの適正管理

個人情報の保管

第8条

・法人で保管する情報は、印字による台帳又は電子ファイル等により管理するものとする。

・法人で保管する個人情報は、施錠管理、アクセス権の制限等必要かつ合理的な安全管理対策を行う。

・職員等は、個人情報保護管理者又は個人情報保護管理者が指名した代行権者の承認を得ないで個人情報を法人外に持ち出し、或いは第三者に提示又は提供してはならない。

個人データの適正管理

第9条

・法人は、利用目的の達成に必要な範囲内で常に個人データを正確かつ細心の状態に保つものとする。

・法人は、個人データの漏えい、滅失、き損の防止その他の個人データの安全管理のために必要かつ適切な措置を講ずるものとする。

・法人は、個人データの安全管理のために個人データを取扱う職員等に対する必要かつ適切な監督を行うものとする。

・法人は、利用目的に関し保有する必要がなくなった個人データを確実、かつ速やかに破棄又は削除するものとする。

・法人は、個人情報の取扱いの全部又は一部を法人以外の者に委託するときは、原則として委託契約において個人データの安全管理について受託者が講ずべき措置を明らかにし、受託者に対する必要かつ適切な監督を行うものとする。

第5章：個人データの第三者提供

個人データの第三者提供

第10条

・法人は、次の各号のいずれかに該当する場合を除き、あらかじめ本人の同意を得ることなく個人データを第三者に提供しないものとする。

• 法令等の規定に基づくとき。
• 人の生命、身体又は財産の保護のために必要ある場合であって、本人の同意を得ることが困難であるとき。
• 公衆衛生の向上のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
• 国の機関若しくは地方公共団体、又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

・次に掲げる場合において、当該個人データの提供を受ける者は、前項の規定の適用については第三者に該当しないものとする。

• 法人が利用目的の達成に必要な範囲内において、個人データの取扱いの全部又は一部を委託する場合。
• 合併その他の事由により事業の継承にともなって個人データが提供される場合。
• 個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称についてあらかじめ本人に通知し、又は本人が容易に知り得る状態に置いている場合。

・法人は、前項第3号に規定する利用者の利用目的又は個人データ管理について、責任を有する者の氏名若しくは名称を変更する場合は、変更する内容についてあらかじめ本人に通知し、又は本人が容易に知り得る状態に置くものとする。

第6章：保有個人データの開示、訂正、追加、削除、利用停止

保有個人データの開示等

第11条

・法人は、本人から当該本人に係わる保有個人データについて、書面又は口頭により、その開示(当該本人が識別される個人情報を保有していないときにその旨を知らせることを含む。以下同じ。)の申出があったときは、身分証明書等により本人であることを確認の上、開示をするものとする。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。

• 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合。
• 法人の事業の適正な実施に著しい支障を及ぼすおそれがある場合。
• 他の法令に違反することとなる場合。

・開示は、書面により行うものとする。ただし、開示の申出をした者の同意があるときは、書面以外の方法により開示をすることができる。

・保有個人データを開示しない旨を決定したときは、遅滞なくその旨を通知するものとする。

保有個人データの訂正、追加、削除、利用停止等

第12条

・法人は、保有個人データの開示を受けた者から書面又は口頭により開示に係わる個人データの訂正、追加、削除又は利用停止の申出があったときは、利用目的の達成に必要な範囲内において遅滞なく調査を行い、その結果に基づいて訂正等を行うものとする。

・法人は、前項に基づいた措置を行ったとき、又は措置を行わない旨の決定をしたときは、本人に対して遅滞なくその旨(訂正又は追加した場合には、その内容を含む。)に理由を付して通知するものとする。

個人情報の廃棄

第13条

・保存期限を経過した個人情報は、速やかに廃棄するものとする。

・個人情報の廃棄にあたっては、印字された個人情報はシュレッター処理を行い、コンピュータ等を廃棄する場合、周辺の電子記録媒体を含めその内部に保存されている電子データを完全に消去するなどして外部に個人情報が漏えいしないよう細心の注意を払わなければならない。

第7章：組織及び体制

個人情報保護管理者

第14条

・法人は、個人情報の適正管理のため個人情報保護管理者を定め、法人における個人情報の適正管理に必要な措置を行わせるものとする。

・個人情報保護管理者は、施設長とする。

・個人情報保護管理者は、本規定の定めに基づき、適正管理対策の実施、役職員等に対する教育・訓練等を行うものとする。

・個人情報保護管理者は、適正管理に必要な措置について定期的に評価を行い、見直し又は改善を行うものとする。

・個人情報保護管理者は、個人情報の適正な管理に必要な措置の一部を各事業を分掌する職員等に委任することができる。

苦情対応

第15条

・法人は、個人情報の取扱いに関する苦情(以下、「苦情」という。)があったときは、適切かつ迅速な対応に努めるものとする。

・苦情対応の責任者は、施設長とする。

・苦情対応の責任者は、苦情対応の業務を職員等に委任することができる。その場合は、あらかじめ職員等を指定し、その業務の内容を明確にしておくものとする。

教育

第16条

・個人情報保護管理者は、職員等に対して個人情報管理についての研修・指導に努めるものとする。また、ボランティア、実習生等に対しても個人情報の保護、管理の必要性についての意識喚起を図り、適切な取扱いを行うよう指導・監督する。

職員等の義務

第17条

・法人の職員等又は職員等であった者は、業務上知り得た個人情報の内容をみだりに他人に知らせ、又は不当な目的に使用してはならない。

・本規程に違反する事実又は違反するおそれがあることを発見した職員等は、その旨を個人情報保護管理者に報告するものとする。

・個人情報保護管理者は、前項による報告の内容を調査し、違反の事実が判明した場合には遅滞なく施設長に報告するとともに、関係事業部門に適切な措置を採るよう指示するものとする。

罰則

第18条

・個人情報保護規程に故意に違反し、又は重大な過失を犯した職員等は、就業規則に基づく懲戒の対象とする。(派遣職員の場合は、派遣会社に通告する。)

・法人が経済的損害を受けた場合、当該役職員等に対し、損害賠償の請求を行う場合がある。

附則

本規程は、平成23年12月1日から施行する。