会員
サイト

開業をお考えの先生へ

HOME > 情報セキュリティ・個人情報保護方針

情報セキュリティ・
個人情報保護方針

西宮市医師会・情報セキュリティ基本方針

令和2年4月1日制定

一般社団法人西宮市医師会(以下「本会」)は、市民の健康を増進する事業活動を正常かつ円滑に行う上で、市民の医療データや運営上重要な情報を多く保有しており、情報資産を人的脅威や災害、事故など様々な脅威から防御することは、継続的かつ安全・安定的な医療サービスを確保するため必要不可欠と考えている。
このため西宮市医師会情報セキュリティ基本方針及び管理基準を定め、セキュリティ対策の確実な履行に努めます。

  1. 情報資産の保護
    本会は、情報セキュリティ管理責任者を設置し、情報資産を確実に保護するために、組織的、技術的に適切な対策を講じます
  2. 法令等の遵守
    本会は、情報セキュリティに関する法令、ガイドライン等を遵守します
  3. 教育、研修の実施
    本会は、会員、役員及び職員に必要な教育、研修を実施します
  4. 継続的な改善
    本方針については、社会的変化、技術的変化及び法令等の変更を踏まえ、情報セキュリティ責任者会議を設置し管理体制の評価と見直しを定期的に実施し、継続的な改善を図ります

一般社団法人西宮市医師会
会長 伊賀 俊行

西宮市医師会・個人情報保護方針

一般社団法人西宮市医師会(以下「本会」という。)は、個人情報を保護することが西宮市医師会定款第5条に定める事業活動の基本であるとともに、本会の社会的責任、責務であると考え、以下の個人情報保護方針を制定し、確実な履行に努めます。

  1. 個人情報の収集・利用及び提供について
    (1)収集の原則
    個人情報の収集は、目的を明確にし、事前に本人の同意を確認できる適切な方法で行います。
    (2)利用・提供の原則
    個人情報の利用、提供は、法令の定めに基づき事前に明確にした目的の範囲内でのみ行います。
  2. 開示、訂正請求等への対応
    本会は、個人情報について本人からの開示の要求があった場合は、合理的な期間、妥当な範囲内で対応致します。
    また、個人情報に誤り、変更があって、本人から訂正等の要求があった場合は、合理的な期間、必要な範囲内で対応致します。
  3. 個人情報の適正管理について
    本会は、収集した個人情報について、適切な安全対策を実施し、不正アクセス、改ざん、破壊、漏洩、紛失などを防止するために合理的な措置を講じます。
  4. 法令及びその他の規範の遵守について
    本会は、個人情報保護責任者を設置し、個人情報に関して適用される法令及びその他の規範を遵守します。
  5. 個人情報保護・管理の継続的改善
    本会は、監査責任者を設置して、定期的に監査を実施し、個人情報の保護・管理の見直し、改善に努めます。

西宮市医師会・個人情報保護規程

第1章 総則

【目的】
第1条
この規程は、西宮市医師会(以下「本会」という。)の事業遂行上取り扱う個人情報を適切に保護するために必要な基本的事項を定める。

【適用範囲】
第2条
この規程は、本会の役員及び職員に対して適用する。また、個人情報を取り扱う業務を外部に委託する場合の委託先及び労働者派遣法に基づく派遣労働者に対しても適用する。

【用語の定義】
第3条
この規程でいう用語を次のとおり定義する。
(1)個人情報
会員等の個人を特定することができる情報のすべてをいう。
(2)役員
本会定款第21条で規定する会長、副会長、理事、監事をいう。
(3)職員
本会の業務に従事する者で、正職員のほか、嘱託職員、臨時職員(アルバイト等を含む)をいう。
(4)開示
会員等の本人または別に定める関係者に対して、これらの者が本会の保有する本人に関する情報を自ら確認するために、本人等からの請求に応じて、情報の内容を書面等で示すこと。
(5)情報主体
一定の情報により特定される個人のこと。

第2章 個人情報保護方針の策定等

【個人情報保護方針の策定】
第4条
1. 会長は、個人情報の保護・管理に対する姿勢を示し、役員及び職員に周知させるとともに、一般に公開するために個人情報保護方針を策定しなければならない。
2. 前項の個人情報方針に含む基本事項は以下の内容とする。
(1)個人情報の収集、利用及び提供に関する事項
(2)開示、訂正請求等に関する事項
(3)個人情報への不正アクセス、改ざん、破壊、漏洩及び個人情報の紛失等の防止に関する事項
(4)個人情報に関する法令及びその他の規範を遵守する事項
(5)個人情報の保護・管理に係る措置の継続的改善に関する事項

【個人情報保護方針の周知】
第5条
会長は、本会の策定した個人情報保護方針を役員及び職員へ周知し、理解させなければならない。

【個人情報保護方針の公開】
第6条
個人情報保護方針は、西宮市医師会報、西宮市医師会ホームページ等により一般に公開する。

【個人情報保護方針の見直し】
第7条
会長は個人情報保護方針を必要に応じ適宜見直さなければならない。

第3章 個人情報保護管理体制

【管理体制】
第8条
会長は個人情報の保護・管理を適切に実施するために、個人情報保護管理体制を定め、役割、責任及び権限を明確にしなければならない。

第4章 個人情報保護の措置

【個人情報の収集】
第9条
個人情報の収集は、本会が行う事業の範囲内で利用目的を明確に定め、その目的達成に必要な限度においてのみ行わなければならない。また、適法かつ公正な手段で行わなければならない。

【個人情報の利用及び提供】
第10条
1. 個人情報の利用及び提供は、情報主体が同意を与えた利用目的の範囲内で行うものとする。ただし、生命、身体、財産の保護のために必要な場合、情報主体の同意を得ることが困難であるとき等法令の定めによる場合は、情報主体の同意なく利用及び提供することが出来る。
2. 個人情報の目的範囲外の利用及び提供を行う場合は、前項但書による場合を除き、事前に情報主体の同意確認を確実に実施しなければならない。

【個人情報の適正管理】
第11条
1. 個人情報は利用目的に応じ必要な範囲内において、正確かつ最新の内容に保つよう努めなければならない。(正確性の確保)
2. 取得した個人情報に関するリスク(個人情報への不正アクセス、改ざん、破壊、漏洩及び個人情報の紛失等)に対して、合理的な安全対策が講じられなければならない。(安全性の確保)
3. 本会が業務を委託するために個人情報を外部へ預託する場合、個人情報保護が損なわれることのないよう、適切な措置がとられなければならない。(委託先管理)

【個人情報に関する情報主体の開示、訂正請求等に関する権利】
第12条
1. 情報主体から自己の情報について開示を求められた場合は、合理的な期間内に速やかに対応しなければならない。
2. 開示の結果、誤った情報があり、訂正又は削除を求められた場合は、原則として合理的な期間内に速やかに対応し、訂正又は削除を行った場合は可能な範囲内で当該個人情報の受領者に対して通知を行わなければならない。

【教育・訓練の実施】
第13条
個人情報保護管理責任者は、役員及び職員に教育資料に基づき継続的かつ定期的に教育・訓練を行わなければならない。

【苦情及び相談】
第14条
本会は、個人情報の取扱に関する苦情及び相談窓口を設置し、苦情等の適正かつ迅速な処理に努めなければならない。

【内部監査】
第15条
本会に監査体制を整備して個人情報保護の運用について監査し、法令等の遵守を最良の状態に維持するよう努めなければならない。

第5章 規程の改廃等

【規程の改廃】
第16条
社会情勢や情報主体の意識の変化、施行状況、監査の結果等を考慮し、この規程を改廃しようとするときは、理事会の議を経なければならない。

【各部署の細則等への委任】
第17条
本会内の各部署における個人情報の取扱については、それぞれの取扱細則等で定める。

附則

この規程は、平成17年4月1日より施行する。
平成25年4月23日一部改訂し、平成25年4月1日から適用する。

西宮市医師会・特定個人情報基本方針・取扱規程

特定個人情報の適正な取扱いに関する基本方針

一般社団法人 西宮市医師会(以下、本会という。)は、特定個人情報等の適正な取扱いの確保について組織として取り組むため本基本方針を定めます。

1 事業者の名称
一般社団法人 西宮市医師会

2 関係法令・ガイドライン等の遵守
本会は、「行政手続における特定の個人を識別するための番号の利用等に関する法律」、「個人情報の保護に関する法律」及び「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」を遵守して、特定個人情報の適正な取扱いを行います。

3 安全管理措置に関する事項
本会は、特定個人情報の安全管理措置に関して、別途「特定個人情報取扱規程」を定めています。

ご質問等の窓口
本会における特定個人情報の取り扱いに関するご質問やご苦情に関しては下記の窓口にご連絡ください。

【事業所名】  一般社団法人 西宮市医師会
【窓口部署】 西宮市医師会事務局
【連 絡 先】 電話番号 0798-26-0662

特定個人情報取扱規程

第1章 総則

(目的)
第1条
この規程は、西宮市医師会(以下、「本会」という。)の事業遂行上取扱う特定個人情報等のな取扱いを確保するため、保護に係る安全管理措置について定めるものである。個人番号及び特定個人情報等に関しては、本会の他の内部規程等に優先して適用される。

(用語の定義)
第2条
この規程でいう用語を次のとおり定義する。
(1) 個人番号  番号法の規定により住民票コードを変換して得られる番号で、住民票コードが記載された住民票に係る者を識別するために指定されるものをいう。
(2) 特定個人情報  個人番号をその内容に含む個人情報をいう。
(3) 特定個人情報等  個人番号及び特定個人情報を併せたものをいう。
(4) 役員  本会定款第21号で規定する会長、副会長、理事、監事をいう。
(5) 職員  本会の業務に従事する者で、正社員のほか、嘱託職員、臨時職員(アルバイト等を含む)をいう。
(6) 管理区域  特定個人情報ファイルを取り扱う情報システムを管理する区域をいう。
(7) 取扱区域  特定個人情報等を取り扱う事務を実施する区域をいう。

(個人番号を取り扱う事務の範囲)
第3条
本会が個人番号を取り扱う事務の範囲は以下のとおりとする。

役職員(扶養家族を含む)に係る個人番号 関係事務 給与所得・退職所得の源泉徴収票作成事務
雇用保険届出事務
労働者災害補償保険法に基づく請求に関する事務
健康保険・厚生年金保険届出事務
役職員の配偶者に係る個人番号関係事務 国民年金の第三号被保険者の届出事務
役職員以外の個人に係る個人番号関係事務 報酬・料金等の支払調書作成事務
配当、剰余金の分配及び基金利息の支払調書作成事務
不動産の使用料等の支払調書作成事務
不動産等の譲受けの対価の支払調書作成事務

(本会が取り扱う特定個人情報等の範囲)
第4条
1. 前条において使用される個人番号及び個人番号と関連付けて管理される特定個人情報は以下のとおりとする。
(1) 役職員又は会員等の個人から提示を受けた本人確認書類(個人番号カード、通知カード、身元確認書類等)及びこれらの写し。
(2) 税務署等の行政機関等に提出するために作成した法定調書及びこれらの控え。
(3) 法定調書を作成するうえで受領する個人番号が記載された申告書等。
(4) その他個人番号と関連づけて保存される情報。
2. 第1項各号に該当するか否かが定かでない場合は、事務取扱責任者が判断する。

第2章 安全管理措置

第1節 組織的安全管理措置・人的安全管理措置

(組織体制)
第5条
会長が指名する者を事務取扱担当者とし、そのうち一人を事務取扱責任者とする。事務取扱担当者は、特定個人情報の保護に十分な注意を払ってその業務を行うものとする。

(事務取扱担当者の監督)
第6条
本会は特定個人情報等が本規程に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行うものとする。

(教育・研修)
第7条
本会は事務取扱担当者に本規程を遵守させるための教育訓練を企画・運営し、継続的且つ定期的に教育訓練を行わなければならない。

(取扱状況・運用状況の記録)
第8条
事務取扱担当者は、以下の特定個人情報等の取扱い状況を確認し、保存するものとする。
(1) 特定個人情報等の入手日
(2) 源泉徴収票・支払調書等の法定調書の作成日
(3) 源泉徴収票等の本人への交付日
(4) 源泉徴収票・支払調書等の法定調書の税務署等の行政機関等への提出日
(5) 特定個人情報等の廃棄日

(情報漏えい事案等への対応)
第9条
事務取扱担当者は、特定個人情報の漏えい、滅失又は毀損による事故が発生した場合又はその可能性が高いと判断した場合は、合理的な安全策が講じられなければならない。

第2節 物理的安全管理措置

(特定個人情報等を取り扱う区域の管理)
第10条
管理区域及び取扱区域を明確にし、其々の区域に対し以下の措置を講じる。
(1) 管理区域  入退室管理及び管理区域へ持ち込む機器及び電子媒体等の制限を行う。
(2) 取扱区域  事務取扱担当者以外の往来が少ない場所や、覗き見の可能性が低い場所へ座席配置等を工夫するものとする。

(機器及び電子媒体等の盗難等の防止)
第11条
特定個人情報等を取扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、次の各号に掲げる措置を講じる。
(1) 取扱い機器、電子媒体又は書籍等を施錠できる書庫等に保管する。
(2) 特定個人情報等の情報システム機器は、セキュリティワイヤー等により固定する。

(電子媒体等を持ち出す場合の漏えい等の防止)
第12条
1. 特定個人情報等の管理区域又は取扱区域の外への移動は、次の場合を除き禁止する。
(2) 個人番号関係事務に係る外部委託先に、委託事務を実施する上で必要と認められる範囲内でデータを提供する場合。
(3) 行政機関等への法定調書の提出等、本会が実施する個人番号関係事務に関して個人番号利用事務実施者に対しデータ又は書類を提出する場合。
2. 特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、パスワードの設定、封筒への封入等、紛失・盗難等を防ぐための安全な方策を講ずるものとする。

(個人番号の削除、機器及び電子媒体等の廃棄)
第13条
事務取扱責任者は、外部委託先が特定個人情報等を削除・廃棄したことを確認するものとする。

第3節 技術的安全管理措置

(アクセス制御・アクセス者の識別と認証)
第14条
特定個人情報等へのアクセス制御及びアクセス者の識別と認証は以下のとおりとする。
(1) 特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事務取扱担当者を限定する。
(2) 機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、情報システムを取り扱う事務取扱担当者を限定する。

(外部からの不正アクセス等の防止)
第15条
情報システムを外部からの不正アクセス又は不正ソフトウェアから次の方法で保護するものとする。
(1) 外部ネットワークの接続箇所にファイアウォール等を設置し、不正アクセスを遮断する方法。
(2) 機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入する方法。
(3) 導入したセキュリティ対策ソフトウェア等により、不正ソフトウェアの有無を確認する方法。
(4) 機器等に標準装備されている自動更新機能等を活用、ソフトウェア等を最新状態にする方法。
(5) ログ等の分析を定期的に行い、不正アクセス等を検知する方法。

(情報漏えい等の防止)
第16条
特定個人情報等をインターネット等により外部に送信する場合には、通信経路の暗号化を行い、データの暗号化またはパスワードによる保護で、情報漏えい等を防止するものとする。

第3章 特定個人情報等の取得

(特定個人情報の適正な取得)
第17条
特定個人情報等の取得を適法かつ公正な手段によって行うものとする。

(特定個人情報の利用目的)
第18条
役職員又は会員等から取得する特定個人情報の利用目的は、第3条に掲げた個人番号を取り扱う事務の範囲内とする。

(特定個人情報の取得時の利用目的の通知等)
第19条
特定個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を情報主体に通知し、又は公表しなければならない。通知の方法は、原則として書面によることとし、公表の方法は、事務所等への書面の掲示、インターネット上のホームページ等での公表等適切な方法によるものとする。

(個人番号の提供の要求)
第20条
第3条に掲げる事務を処理するため必要がある場合に限り、本人又は他の個人番号関係事務実施者若しくは利用事務実施者に対して個人番号の提供を求めることができるものとする。

(個人番号の提供を求める時期)
第21条
第3条に定める事務を処理するために必要があるときまたは、本人との法律関係等に基づき個人番号関係事務の発生が予想される場合には、個人番号の提供を求めることとする。

(特定個人情報の提供の求めの制限)
第22条
1. 特定個人情報の提供とは、法的な人格を超える特定個人情報の移動を意味するものであり、同一法人の内部等の法的な人格を超えない特定個人情報の移動は利用に該当し、個人番号の利用制限に従うものとする。
2. 本会は第3条に定める事務の範囲を超えて、特定個人情報を収集しないものとする。

(本人確認)
第23条
番号法の定めにより、役職員又は会員等の個人番号の確認及び当該人の身元確認を行うものとし、代理人については、当該代理人の身元確認、代理権の確認及び本人の個人番号の確認を行うものとする。
(取得段階における組織的安全管理措置・人的安全管理措置)

第4章 特定個人情報の利用

(個人番号の利用制限)
第24条
1. 第18条に掲げる利用目的の範囲内でのみ利用するものとする。
2. 人の生命、身体又は財産の保護のために必要がある場合を除き、本人の同意があったとしても、利用目的を超えて特定個人情報を利用してはならないものとする。

(特定個人情報ファイルの作成の制限)
第25条
第3条に定める事務を実施するために必要な範囲に限り、特定個人情報ファイルを作成するものとする。

第5章 特定個人情報の保管

(特定個人情報の正確性の確保)
第26条
事務取扱担当者は、特定個人情報を、第18条に掲げる利用目的の範囲において、正確pかつ最新の内容に保つよう努めなければならない。

(保有個人データに関する事項の公表等)
第27条
特定個人情報等の保有個人データに関する事項を本人の知り得る状態に置くものとする。

(特定個人情報の保管制限)
第28条
1. 第3条に定める事務の範囲を超えて、特定個人情報を保管してはならない。
2. 所管法令で定められた個人番号を記載する書類等の保存期間を経過するまでの間は、当該書類pだけでなく、システム内においても保管することができる。

第6章 特定個人情報の提供

(特定個人情報の提供制限)
第29条
第18条に掲げる利用目的を除き、本人の同意の有無に関わらず、特定個人情報を第三者に提供しないものとする。

第7章 特定個人情報の開示、訂正等、利用停止等

(特定個人情報の開示)
第30条
1. 情報主体から自己の情報について開示を求められた場合は、合理的な期間内に速やかに対応しなければならない。
2. 次の事由に該当する場合には、当該開示請求の全部又は一部を不開示とすることができ、請求者に対してその旨及び理由を説明することとする。
(1) 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2) 本会の業務の適正な実施に著しい支障を及ぼすおそれがある場合
(3) 他の法令に違反することとなる場合

(保有個人データの開示請求処理手順)
第31条
1. 前条に基づき本人又はその代理人から保有個人データの開示請求を受けた場合は、次の手順で応ずることとする。
(1) 所定の様式の書面による請求であること。
(2) 代理人による請求の場合は、所定の委任状によるものであること。
(3) 郵送による本人確認資料の受領などの場合は、事務取扱責任者が適宜判断する。
(4) 事務取扱担当者は、各々検討の上、開示の可否を決定する。
(5) 前項に基づき、保有個人データの全部又は一部を開示しない旨の決定をしたときはその旨を通知し、その理由についても説明をすることとする。
(6) 開示請求に対する回答は書面にて、遅滞なく郵送又はこれに代わる方法により通知する。
2. 特定個人情報に関して開示等の求めを受け付ける方法を定めた場合には、個人情報保護基本方針と一体としてインターネットのホームページでの常時掲載を行うこと、又は事務所の窓口等での掲示・備付け等を行うこととする。

(保有個人データの訂正等)
第32条
保有個人データの開示の結果、誤った情報があり、内容の訂正、追加又は削除を求められた場合は、原則として合理的な期間内に速やかに対応し、訂正又は削除を行った場合は、可能な範囲で当該特定個人情報等の受領者に対して通知を行わなければならない。

第8章 特定個人情報の廃棄・削除

(特定個人情報の廃棄・削除)
第33条
所管法令によって一定期間保存が義務付けられているもので、これらの書類等に記載された個人番号についてはその期間保管するものとし、定められている保存期間を経過した場合にはできるだけ速やかに廃棄又は削除するものとする。

第9章 特定個人情報の委託の取扱い

(委託先における安全管理措置)
第34条
個人番号関係事務又は個人番号利用事務の全部又は一部を委託する場合、本会自らが果たすべき安全管理措置と同等の措置が委託先において適切に講じられるよう、次の必要かつ適切な監督を行なうものとする。
(1) 委託先の適切な選定
設備、技術水準、従業者に対する教育状況、経営環境状況、特定個人情報の安全管理の状況が本会の定める水準を満たしているまたは、暴力団員等これらに準ずる者に該当しないこと。
(2) 委託先に安全管理措置を遵守させるために必要な契約の締結
秘密保持義務、特定個人情報の持出し・目的外利用の禁止、再委託における条件、漏えい事案等発生時の委託先責任、委託契約終了後の特定個人情報の返却又は廃棄、従業者の教育、契約内容遵守の状況報告、特定個人情報を取り扱う従業者の明確化、委託先に対して実地調査を行うことができること等を規定に盛り込むこと。
(3) 委託先における特定個人情報の取扱状況の把握
委託先において特定個人情報の安全管理が適切に行われていることについて、必要に応じて調査をするものとする。
(4) 再委託先の取り扱い状況
委託先は、本会の許諾を得た場合に限り、委託を受けた個人番号関係事務又は個人番号利用事務の全部又は一部を再委託できるものとする。再委託先が更に再委託する場合も同様とする。 
再委託契約には第3項と同等の規定を盛り込ませるものとし、委託先が再委託先に対しても必要かつ適切な監督を行うものとする。

第10章 その他

(規程の改廃)
第35 本規則の改廃は、理事会の議を経なければならない。

附則

この規則は、平成27年10月1日より施行する。

次世代育成支援対策に伴う一般事業主行動計画

職員が仕事と子育てを両立させることができ、職員全員がその能力を発揮し、仕事と生活の調和を図り、働きやすい雇用環境の整備を行うため、次のように行動計画を策定する。

  1. 計画期間 平成27年4月1日~令和7年3月31日までの 10年間
  2. 内容
    目標1 : 妊娠中の女性職員の母性健康管理についてのパンフレットを作成して職員に配布し、制度の周知を図る。
    <対策>
    ●平成27年4月~
    母性健康管理についてのニーズ調査、最新情報の収集
    ●平成28年4月~
    制度に関するパンフレットの作成・配布、職員への周知

    目標2 : 産前産後休業や育児休業制度、育児休業給付金、産前産後・育児休業中の社会保険料免除などの周知や情報提供を行う。
    <対策>
    ●平成27年4月~
    法に基づく諸制度の調査
    ●平成28年4月~
    制度に関するパンフレットを作成更新し、職員へ周知

    目標3 : 子どもの出生時における育児休業取得を促進する。
    <対策>
    ●平成29年4月~
    管理職を対象とした休業取得促進についての内容を検討
    ●平成30年4月~
    所属長への周知、啓発の実施

    目標4 : 育休復帰後の職員が復帰し易くするための情報提供を行う。
    <対策>
    ●平成28年4月~
    既育児休業取得者へ具体的なニーズを調査、実態把握の開始
    ●平成29年4月~
    各職場でのニーズを検討、全体の具体的内容を検討
    ●平成30年4月~
    広報を活用した職員への周知・啓発の実施

女性活躍推進法に基づく一般事業主行動計画

男女ともに全職員が活躍できる雇用環境の整備を行うため、次のように行動計画を策定する。

  1. 計画期間 令和4年4月1日~令和7年3月31日までの 3年間
  2. 内容
    目標1 : 職業生活と家庭生活との両立に関する目標
    社員一人当たりの有給休暇取得率を70%以上とする。
    <対策>
    ●令和4年4月~
    有給休暇取得状況を把握し、取得率の低い部署に取得を促す。
    ●令和4年4月~
    管理監督者が率先して有休休暇を取得するなど、
    各部署において有給休暇を取得しやすい環境整備を図る。

    目標2 : 女性の活躍推進に関する目標
    育児・介護・配偶者の転勤等を理由とする退職者に対する再雇用を促進する。
     <対策>
     ●令和4年4月~
    実態を把握し、周知及び対象者へ再雇用の促進を図る。