(個人情報保護方針)
第1条 代表社員は、次の事項を含む個人情報保護方針を定め、文書化し、周知し、実行し、維
持する。
(1)適切な個人情報の取得、利用及び提供に努めること
(2)個人情報の漏洩、紛失、破壊、改ざん及び不正アクセスなどの予防処置又は是正処置を
講ずること
(3)個人情報に関する法令を遵守すること
(個人情報保護管理者等)
第2条 代表社員は、個人情報保護管理者を含む個人情報保護のために必要な組織を定め、全職
員へ周知させる。
2. 代表社員は、管理者を個人情報保護管理者に任命する。
3. 個人情報保護管理者は、本マニュアルに定められた事項を理解し、遵守するとともに、
次の事項を実施する責任と権限をもつ。
(1)個人情報を取り扱う者に対する指導を統括すること
(2)本マニュアルを管理すること
(3)個人情報保護のための合理的な安全管理措置を講ずること
(4)苦情及び相談対応を統括すること
(5)その他個人情報保護のために効果的な事項を実施すること
4. 個人情報保護管理者は、前項の責務を果たすため、各部門の個人情報取扱責任者、者及
び苦情対応担当者を指名し、それぞれの責任者又は担当者としての責務を行わせる。(個人情報取扱責任者)
第3条 個人情報保護管理者は、個人情報を取り扱う部門の管理職をその部門の個人情報取扱責
任者に指名する。
2.個人情報取扱責任者は、担当部門における次の事項を実施する責任と権限をもつ。
(1)本マニュアルを周知し、日常の安全対策の実施状況を管理すること
(2)担当者及び業務委託の従事者並びに派遣会社社員に対する指導を実施すること
(苦情対応担当者)
第4条 苦情対応担当者は、事業所外からの個人情報に関する苦情及び相談等を受け付けて対応
するとともに、苦情及び相談等の内容を分析し再発防止等を検討・立案し、個人情報保護管理者
へ報告するなど本マニュアルの運営に反映させる責任を負う。
(緊急時の対応)
第5条 個人情報保護に緊急事態が発生した場合、個人情報取扱責任者又は個人情報保護管理者
へ報告し、指示を受ける。
2. 個人情報保護管理者は、事業所に与える影響の大きさによって代表社員に報告し、かつ
、適切に対応する。
3.対外的な影響の大きい事故を発生させた場合、遅滞なく、関係官庁へ報告する。
(担当者の責務)
第6条 事業所の役職員は、本マニュアルを遵守し、特定の業務で取り扱う個人情報の管理に関
して責務を負う。
2. 事業所の職員は、「個人情報保護に関する誓約書」を提出しなければならない。
(誓約書の提出)
第7条 職員は、個人情報保護条例の定めに従い、入社時に「個人情報の関する誓約書」を、
退社時に「退職後の機密保持に関する誓約書」を提出する。
2.個別業務の委託先の従事者及び派遣会社社員(以下「個別業務の従事者」という)は、
業務開始に先立ち、「個人情報に関する誓約書」を提出する。(個人情報の特定)
第8条 個人情報保護管理者は、担当部署及び事業所が保有するすべての個人情報を特定するた
めの手順を確立し、維持する。
2.担当者は、個人情報を含む情報を情報主体から取得する場合、あらかじめ次の事項を明
確にする。
(1)個人情報の内容、取得方法
(2)個人情報の取得者又は作成者、取扱責任者、利用者(アクセス権限の範囲)
(3)個人情報の取得及び利用目的
(4)個人情報の保管方法及び保管場所(媒体(紙、電子記憶媒体)、施錠可能な保管場所、鍵
の管理者等)情報システム内で保管する場合は、識別情報(ID、パスワード等)
(法令及びその他の規範の特定及び遵守)
第9条 個人情報保護管理者は、担当部署及び事業所が取り扱う個人情報に関する法令及びその他の規範
(所属団体の定める指針等を含む)を特定し、維持する。
2. 個人情報に関する法令及びその他の規範(所属団体の定める指針等を含む)を遵守する。
3. 法令及びその他の規範(所属団体の定める指針等を含む)が改訂などされた場合及び業
務の拡大などにより新たに必要とされる場合は、個人情報保護管理者が情報収集を行い
、最新の状態に維持するように努める。
(内部規程の確立等)
第10条 個人情報保護管理者は、本マニュアルを確立し、維持し、適宜更新する。
(取得の原則)
第11条 個人情報の取得は、取得目的を明確に定め、その目的の達成に必要な限度において行う
2.新しい目的及び方法で個人情報を取得するときは、担当者は個人情報取扱責任者に届出る。
3. 前項の届け出を受けた個人情報取扱責任者は、個人情報保護管理者と協議し、承諾を得る。
4. 新しい目的での個人情報の取得は、個人情報保護管理者の承諾を得て、個人情報保護管
理者が必要な措置を講じた後でなければならない。
(取得方法の制限)
第12条 個人情報の取得は、適法かつ公正な手段によって行う。
(特定の機微な個人情報の取得の禁止)
第13条 次の事項を含む個人情報を取得し、利用又は提供してはならない。
ただし、当該情報の取得、利用または提供についての情報主体の明確な同意がある場
合、法令に特段の規定がある場合または司法手続上必要不可欠である場合においては
、この限りではない。
(1)思想、信条および宗教に関する事項。
(2)人種、民族、門地、本籍地(所在地都道府県に関する情報を除く)、犯罪歴その他社会
的差別の原因となる事項。
(3)勤労者の団結権、団体交渉及びその他の政治的権利の行使に関する事項。
(4)集団示威行為への参加、請願権行使、及びその他の政治的権利の行使に関する事項。
(5)サービス提供上必要としない保健医療及び性生活に関する事項。
(情報主体から直接取得する場合の措置)
第14条 情報主体から直接個人情報を取得する場合、担当者は、情報主体に対して、少なくとも
、次の事項を記載した書面を交付し、当該情報の取得、利用、または提供に関する同意
を得なければならない。ただし、情報主体が次の事項の通知を受けていることが明白
である場合、この限りではない。
(1)事業所の個人情報に関する管理者またはその代理人の氏名または職名、所属および連絡先
(2)個人情報の取得および利用の目的
(3)個人情報を第三者に提供することが予定される場合には、その目的、当該情報の受領者及び
個人情報の取扱いに関する契約の有無
(4)個人情報の委託を行うことが予定している場合には、その旨
(5)個人情報の提供に関する情報主体の任意性および当該情報を提供しなかった場合に生じる結果
(6)個人情報の開示を求める権利および開示の結果、当該情報が誤っている場合に訂正また
は削除を要求する権利の存在ならびに当該権利を行使するための具体的方法
(7)個人情報を第三者と共同で使用する場合は、その旨
(8)その他法令が定める事項
(情報主体から間接取得する場合の措置)
第15条 情報主体以外から間接的に個人情報を取得する場合、担当者は、第16条第1号から
5号に示す事項を記載した書面を交付し、当該情報の取得、利用、また
は提供に関する同意を得なければならない
ただし、情報主体からの個人情報の取得時に、あらかじめ事業者への情報提供を予定
している旨、情報主体の同意を得ている提供者から取得する場合、この限りではない。
2. 情報主体以外から間接的に個人情報を取得する場合、担当者又は個人情報取扱責任者は、
次の事項を確認又は実施する。
(1)個人情報の提供者が適法かつ公正な手段によって当該個人情報を取得し、第三者へ提する
ために必要な情報主体の同意若しくは必要な措置を講じていることを確認すること。
(2)個人情報の提供者より当該個人情報が適法かつ公正な手段により取得されたことを記し
た書面の交付を受けること。
(利用および提供の原則)
第16条 個人情報の利用は、原則として収集目的の範囲内で、具体的な業務に応じ権限を与えら
れた者のみが、業務の遂行上必要な限りにおいて行うことができる。
なお、次の各号のいずれかに該当する場合は、この限りではない。
(1)法令の規定による場合
(2)情報主体または公衆の生命、健康、財産等の重大な利益を保護するために必要な場合
2. 個人情報保護管理者の承諾を得ないで、個人情報の目的外利用、第三者への提供・預託、
通常の利用場所からの持ち出し、外部への送信等の個人情報の漏えい行為をしてはならない。
3. 役職員は、業務上知り得た個人情報の内容をみだりに第三者に知らせ、又は不当な目的
に使用してはならない。その業務に係る職を退いた後も、同様とする。
(目的の範囲外の利用及び提供の場合の措置)
第17条 取得目的の範囲を超えて個人情報の利用及び提供を行う場合は、少なくとも第16条第
1号から5号に示す事項を記載した書面を交付し、事前に情報主体の同意を得なければならない。
(個人情報の正確性確保)
第18条 個人情報は取得目的に応じ必要な範囲内において、正確かつ最新の状態で管理するもの
とし、次の事項を実施する。
(1)重要個人情報及び取扱責任者が指定した個人情報は、所定の保管庫に収納し、施錠する。
(2)前項の保管庫には、個人情報が保管されている旨を表示しない。
(3)個人情報(手書きメモ類を含む)は、机上に放置せず、所定の綴りに収納する。
(4)記録媒体には、情報内容が類推できるような表示を避ける。
(個人情報の授受)
第19条 担当者は、個人情報を他の業務上、連携が必要な事業者及び委託先等との間で受け渡し
を行う場合、第3者へ漏えいすることのないように、次に示す安全な方法で行う。
(1)適切な封筒に入れ、受取者を記名したうえで、封緘する。
(2)緊急時等やむをえずファクシミリにより受け渡しする場合、受取者を記名し、当該受
取者から受信を確認する。
(3)電話による受け渡しは、原則として行わない。ただし、緊急時等やむをえず受け渡し
する 場合、受信者を確認し、記録する。
(個人情報の廃棄)
第20条 個人情報の廃棄は、焼却、破砕、完全消去など再利用できない状態に処分する。
(情報資産の持出の管理)
第21条 役職員及び個別業務の従事者は、あらゆる情報資産(情報機器、ソフトウエア、
記録媒体、メール等)を事前の許可なく外に持ち出してはならない。
2.前項に係らず、研究・発表その他の目的のために持ち出す場合、担当者は、取扱責任者
及び個人情報保護管理者の許可を得る。
(個人情報利用の安全性の確保)
第22条 個人情報の紛失、破壊、改ざん、漏えい又は個人情報への不当なアクセス等の危険に対
して、技術面および組織面において合理的な安全対策を講ずるものとする。
(個人情報の秘密保持に関する従業者の責務)
第23条 個人情報の取得、利用又は提供に従事する者は、法令の規定、本マニュアルに従い、個
人情報の秘密の保持に十分な注意を払い、かつ、その業務を行うものとする。
(個人情報の委託管理)
第24条 情報システム開発、保守業務(以下「委託業務」という)のため個人情報を外部に委託
する場合、十分な個人情報の保護水準を提供する者(以下「委託先」という)を選定
する。
2. 契約等により、次の事項を規定し、担保する。
(1)個人情報保護管理者の指示の遵守及び個人情報に関する秘密保持
(2)再委託に関する事前承認及び秘密の保持
(3)事故時の責任分担
(4)契約終了時の個人情報の返却及び消去等
3.委託管理部門は、前2項の契約書等の書面及び記録を個人情報の保管期間にわたり保管する。
(開示の手続)
第25条 情報主体から自己の情報について開示を求められた場合、次の手順により内容及び情報
主体(以下本条では「本人」という)確認をする。
(1)取扱責任者は、本人又は代理人から開示の求めがあった場合「個人情報開示等請求書」
に開示を求める内容を記入し、提出を求め、これにより内容及び本人確認を行う。
(2)代理人による申請の場合、代理を委任したことを証明する書面の提出を求め、本人の代理
人であることを確認する。この場合、次のいずれかに該当するときは、本人に委任の
意思を確認するとともに、代理人の適正性、開示の範囲等について本人の意思を踏ま
えて対応する
a)本人による具体的意思を確認できない包括的な委任に基づくとき
b)本人が代理人に委任した日から3ヶ月を超えているとき
2.取扱責任者は、開示の求めを受け付けた場合、原則として1ヶ月以内に開示の範囲を決
定し、個人情報保護管理者の承認を得た後、本人又は代理人に開示する。対応に1ヶ月を超え
る場合は、その旨及び対応可能な期間を本人又は代理人に通知する。
3. 開示及びその範囲は、個人情報保護管理者及び取扱責任者は、関連法令に準拠し、かつ
具体的に慎重に判断し決定する。
4.開示することで、法第25条第1項各号のいずれかに該当する場合、及び次に示す事例
に該当する場合は、その全部又は一部を開示しないことができる。
a)利用者の状況等について、家族や患者・利用者の関係者が担当者に情報提供を行っ
ている場合に、これらの者の同意を得ずに利用者自身に当該情報を提供することにより、
利用者と家族や利用者の関係者との人間関係が悪化するなど、これらの者の利益を害する
おそれがある場合
5.開示を求められた個人情報の全部又は一部を開示しない旨決定した場合、取扱責任者は、
遅滞なく、「個人情報開示等通知書」にその理由を記入し、個人情報保護管理者の承認を
得た後、本人又は代理人へ交付し、本人に対してその理由を説明する。
6.開示は、原則として、開示を決定した範囲の個人情報を記載した情報媒体の写しを提供
する方法により行う。ただし、申出者から他の提供方法によることを求められた場合、
可能なときはこれに従う。
7. 開示の結果、誤った情報があり、訂正又は削除(以下「訂正等」という)を求められた
場合、取扱責任者は、原則として1ヶ月以内に必要な調査を行い、その求めが適正であると認
められるときは、個人情報保護管理者の承認を得た後、訂正等を行う。この場合、取扱
責任者は、本人又は代理人にその旨を通知する。
この対応に1ヶ月を超える場合は、「個人情報開示等通知書」にその旨及び対応可能な
期間を記入し、本人又は代理人に通知し、本人に対してその理由を説明するよう努める。
8. 次のいずれかに該当する場合、開示しない。
(1)訂正又は削除等に多額の費用を要する場合など当該措置を行うことが困難な場合であ
って、本人の権利利益を保護するため必要なこれに代わるべき措置をとるとき
(2)訂正等の求めがあった場合であっても、
a)利用目的から見て訂正等が必要でない場合、
b)誤りである指摘が正しくない場合、
c)訂正等の対象が事実でなく評価に関する情報である場合
(3)訂正等の求めがあった場合であっても、手続違反等の指摘が正しくない場合
9.取扱責任者は、前項の措置又は決定を行ったとき、又は行わない旨を決定したときは、
遅滞なく、「個人情報開示等通知書」にその理由を記入し、個人情報保護管理者の承認を
得た後、本人又は代理人に対し通知し、本人に対してその理由を説明するよう努める。
10.開示に係る費用として、本人又は代理人に対し、1件につき10頁(A4サイズ換算)
まで1、000円、10頁を越えるごとに1,000円を加算した手数料の納入を求め
る。ただし、第6項但書の場合、提供に要する実費を請求する。(自己情報に関する権利)
第26条 情報主体から自己の情報について開示を求められた場合、内容及び本人確認をし、情報
主体本人からのものであることが確認できたときに限り、原則として1ヶ月以内にこれに応ずる。
2.開示の結果、誤った情報があり、訂正または削除を求められた場合は、原則として1ヶ
月以内にこれに応ずるとともに、訂正または削除を行った場合は、可能な範囲内で当該
個人情報の受領者に対して通知を行う。
3. 前2項の対応に1ヶ月を超える場合は、その旨を情報主体に通知するとともに、対応可
能な期間を通知する。
(自己情報の利用または提供の拒否権)
第27条 当社が保有している個人情報について、情報主体から自己の情報についての利用または
第三者への提供を拒否された場合は、これに応ずる。
ただし、公共の利益の保護または事務所もしくは個人情報の開示の対象となる第三者の
法令に基づく権限の行使または義務の履行のために必要な場合、および社員情報の適正な管
理運営のために必要な場合については、この限りではない。
(苦情及び相談への対応)
第28条 情報主体からの苦情及び相談等(以下「苦情等」という)について、迅速、誠実かつ確
実に解決を図り、かつ適正な手順で対応する。苦情対応担当者は、事業所外からの個人
情報に関する苦情及び相談等(以下「苦情等」という)を受け付けたとき、次の事項
を確認し、「苦情受付書」に記録し、個人情報保護管理者及び代表社員へ報告する。
(1)苦情等の内容、性質、及び問題の発生場所又はプロセス(相談、計画、生活援助、看護、
調理、購買などのプロセス)
(2)申出者の希望
(3)第三者委員への報告の要否
(4)申出者と当該個人情報取扱責任者との話し合いへの第三者委員の助言、立会の要否
2. 苦情対応担当者は、当該個人情報取扱責任者と協力して、苦情等の内容の分析及び原因
調査を行い、次のいずれかの方法による再発防止等の解決策を立案し、個人情報保護管理
者の承認を得る。
(1)苦情等の原因を除去又は是正する。
(2)申出者の特別の承認を得る。
(3)本来の意図された利用ができないようにする。
3.苦情対応担当者は、解決策について、申出者へ説明又は話し合いをし、その同意を得る。
4.当該個人情報取扱責任者は、苦情の対象となった個人情報の不備な利用ができないよう
に、識別、隔離等適切な処置をとる。
(代表社員による見直し)
第29条 代表社員は、適切な個人情報保護を維持するために、毎年1回(原則として3月)、
個人情報保護方針等の見直しを行う。
(文書管理)
第30条 個人情報保護に関する文書・記録は、付表1「帳票一覧表」に掲げる文書を管理する。
ただし、各個々のサービス提供に係る文書・記録の管理は、別に定めるところによる。
2.文書は、発行前に、その適切性を確認し、承認する。確認及び承認の権限(代行する権
限を含む)は、「帳票一覧表」による。文書の変更の場合も同じ。ただし、他部署と関係の
ある場合は、発行前に、関係部署と協議する。
3.文書(記録を除く)及び帳票を変更するときは、改正年月日、可能の場合版数及び改正
の理由(来歴)又は改正個所を記載する。
4.個人情報保護マニュアルは、少なくとも3年に1回、その適切性を見直し、
必要に応じて更新、又は再承認する。
5.帳票の制定、改廃は、個人情報保護マニュアル等の制定、改廃による。
6.文書等は、種類・年度ごとに区分してファイルし、保管する。
7.文書等の保管、保管期間及び配付先は、「帳票一覧表」による。ただし、発行部の控及
びコピー配布先でのコピーの保管期間は、特に指定しない限り当年度中とする。
8.保管期間を過ぎた文書等は、管理の対象外とし、廃棄する。ただし、旧版を保管する場
合は、表紙に『旧版』を表示し、保管場所を識別する。
(就業規則の適用)
第31条 本マニュアルに基づいて作成された規則に故意に違反したもの、あるいは自らの職務
を適正に遂行していれば違反を知り得たすべての役職員は、就業規則に基づき解雇を含む懲戒の対象となる。
(改廃及び所管等)
第32条 本マニュアルの改廃は、個人情報保護管理者が立案し、審議を経て代表社員が決定する。
以上