取得の原則
- 病院は、特定個人情報の取得については、適法かつ公正な手段によって行わなければならない
- 病院は、原則として次条に定める事務を処理するために必要があるときに、個人番号の提供を求めることとする
- 病院は、次条に定める事務を処理するために必要な場合を覗き、他人に対し、個人情報の提供を求めることはない
利用目的の特定及び明示
- 従業者または従業者以外の個人から取得する特定個人情報の利用目的は、次の表に掲げる事務の範囲内とする
利用目的・・・従業者以外の個人に係る個人番号関係事務を処理するため
利用事務・・・報酬・料金等の支払い調書作成事務
配当、余剰金等の分配及び基金利息の支払い調書作成事務
不動産の使用料等の支払い調書作成事務
不動産等の譲受けの対価の支払い調書作成事務 - 特定個人情報を取得する場合、本人に対して予め前項に定める利用目的を明示しなければならない
特定個人情報の範囲
前項において、病院が個人番号を取り扱う事務において使用される個人番号及び特定個人情報は次の通りとする
- 従業者または従業者以外の個人から本人確認の措置を実施する際に提示を受けた本人確認書類及びこれらの写し
- 病院が税務署等の行政機関等に提出するために作成した法的調書及びこれらの控え
- 病院が法的調書を作成するうえで従業者または従業者以外の個人から受領する個人番号が記載された申告書等
- その他個人番号と関連づけて保存される情報
目的外利用の禁止
- 特定個人情報は、利用目的の達成に必要な範囲を超えて取り扱ってはならない。ただし、人の生命、身体または財産の保護のために必要がある場合であって、本人の同意があり、または本人の同意を得ることが困難である場合にはその限りでない
- 特定個人情報の取り扱いにあたって利用目的の範囲内か否かが不明な場合は、その都度、特定個人情報管理責任者に判断を求めなければならない
安全管理措置
病院は、取り扱う特定個人情報の漏洩、滅失または毀損の防止、その他安全管理のために、組織的、人的、物理的、技術的に適切な措置を講ずるものとする。
- 組織的安全管理措置
① 特定個人情報管理責任者、特定個人情報管理担当者の設置
② 就業規則における安全管理措置の整備
③ 特定個人情報の取扱状況の点検・監視体制の整備と実施
④ 漏洩事案等に対応する体制の整備 - 人的安全管理措置
① 従業者との特定個人情報の非開示締結等の締結
② 従業者の役割・責任等の明確化
③ 従業者への安全管理措置の周知徹底及び教育・研修 - 物理的安全管理措置
① 特定個人情報に係る管理区域及び取扱区域の設定
② 機器及び電子媒体等の盗難等の防止
③ 電子媒体等を持ち出す場合の漏洩等の防止
④ 個人番号の削除、機器及び電子媒体等の廃棄 - 技術的安全管理措置
① 特定個人情報の漏洩、毀損等の防止策
② 特定個人情報の利用者の識別及び認証
③ 特定個人情報へのアクセス権限の管理
④ 情報システムの稼働状況等についての定期的な監査