（趣旨）

第1条　この規則は国立大学法人山口大学の保有する個人情報の管理に関する規則（以下「規則」という。）第45条に基づき，山口大学医学部附属病院（以下「病院」という。）の保有する個人情報（以下「保有個人情報」という）の管理に関し，必要な事項を定める。

（定義）

第2条　この規定における用語の意義は，規則第2条の定めるもののほか，以下のとおりとする。

（1）「診療記録等」保有個人情報のうち，診療の過程で患者の身体状況，症状，治療等について作成又は収集された書面，画像等の一切をいう。
病院で取り扱う代表的な記録としては以下のとおり。
診療録，手術記録，麻酔記録，各種検査記録，検査成績，エックス線写真，助産録，看護記録，紹介状，処方せんの控え等。

（2）「職員等」病院の業務に従事する者で，常勤職員のほか，非常勤職員，派遣職員，ボランティア，保有個人情報を取り扱うことのある大学院生，学生，研究生,研修登録医，研修生，実習生を含む。

（保護管理者）

第3条　規則第4条に基づき，病院に総括保護管理者のもとに保護管理者を置く。

2　保護管理者は，保有個人情報を適切に管理する任に当たり，病院長をもって充てる。

（保護担当者）

第4条　規則第5条に基づき，病院に保護担当者を置き，教育職員，医療職員，看護職員のうちから保護管理者が指名する。

2　保護担当者は，保護管理者を補佐し，保護管理者と同等の権限を持って保有個人情報の管理に関する業務を担当する。

第5条　職員等は，法の趣旨に則り，関連する法令及び規定等の定め並びに総括保護管理者，保護管理者及び保護担当者の指示に従い，保有個人情報を，取り扱わなければならない。

第6条　保護管理者は，職員等に対し，保有個人情報の適切な管理のために，総括保護管理者の実施する教育研修への参加の機会を付与する等の必要な措置を講ずる。

（アクセス制限）

第7条　保護管理者は，保有個人情報の秘匿性等その内容に応じて，保有個人情報にアクセスする権限を有する者をその利用目的を達成するために必要最小限の職員に制限する。
2　アクセス権限を有しない職員等は保有個人情報にアクセスしてはならない。
3　職員等は，アクセス権限を有する場合であっても，業務上の目的以外の目的で保有個人情報にアクセスしてはならない。
4　保護管理者は，各職種等のアクセス権限を別に定める。

（複製等の制限）

第8条　職員等は，業務上の目的で保有個人情報を取り扱う場合であっても，次に掲げる行為については，保護管理者の指示に従い行う。

• 一　保有個人情報の複製
• 二　保有個人情報の送信
• 三　保有個人情報が記録されている媒体の外部への送付又は持ち出し
• 四　その他保有個人情報の適切な管理に支障を及ぼすおそれのある行為

（誤りの訂正等）

第9条　職員等は，保有個人情報の内容に誤り等を発見した場合には，保護管理者の指示に従い，訂正等を行う。

（媒体の管理等）

第10条　職員等は，保護管理者の指示に従い，保有個人情報が記録されている媒体を定められた場所に保管するとともに，必要があると認めるときは，金庫等への保管，施錠等を行う。

（廃棄等）

第11条　職員等は，保有個人情報又は保有個人情報が記録されている媒体（端末及びサーバに内蔵されているものを含む。）が不要となった場合には，保護管理者の指示に従い，復元又は判読が不可能な方法により当該情報の消去又は当該媒体の廃棄を行う。

（保有個人情報の取扱状況の記録）

第12条　保護管理者は，保有個人情報の秘匿性等その内容に応じて，個人情報ファイルとして整備し，その取扱いについては別に定める。

（診療記録等の取扱いと保管）

第13条　紙媒体の診療記録等の取扱いと保管については，以下のとおりとする。

（1） 診療記録等の保管については，毎日の業務終了時に所定の保管場所に収納し，滅失，毀損，盗難等の防止に留意するものとする。

（2） 患者の診療中など，診療記録等を業務に利用する際には，滅失，毀損，盗難等の防止に留意するとともに，記録の内容が他の患者など部外者等の目に触れないよう配慮しなくてはならない。

（3） いったん作成した診療記録等を，後日書き改める場合には，もとの記載が判別できるように二重線で末梢し，訂正箇所に日付及び訂正者印を押印するものとする。この方法によらずに診療記録等を書き改めた場合には，改ざんしたものとみなされることがあるので，留意するものとする。

（4） 診療記録等は原則として院外へ持ち出してはならない。ただし，職務遂行上やむを得ず持ち出す場合には，病院長の許可を得ることとし，返却後にも病院長の確認を得なくてはならない。

（アクセス制限）

第14条　保護管理者は，保有個人情報（病院情報システムで取り扱うものに限る。以下第１7条において同じ。）の秘匿性等その内容に応じて，パスワード等（パスワード，ＩＣカード，生体情報等をいう。以下同じ。）を使用して権限を識別する機能（以下「認証機能」という。）を設定する等のアクセス制御のために必要な措置を講ずる。

2　保護管理者は，前項の措置を講ずる場合には，パスワード等の管理に関する定めの整備（その定期又は随時の見直しを含む。），パスワード等の読み取り防止等を行うために必要な措置を講ずる。

（アクセス記録）

第15条　保護管理者は，保有個人情報の秘匿性等その内容に応じて，保有個人情報へのアクセス状況を記録し，その記録（以下「アクセス記録」という。）を一定の期間保存し，及びアクセス記録を定期に又は随時に分析するために必要な措置を講ずる。

2　保護管理者は，アクセス記録の改ざん，窃取又は不正な消去の防止のために必要な措置を講ずる。

（外部からの不正アクセスの防止）

第16条　保護管理者は，保有個人情報を取り扱う情報システムへの外部からの不正アクセスを防止するため，経路制御等の必要な措置を講ずる。

（コンピュータウイルスによる漏えい等の防止）

第17条　保護管理者はコンピュータウイルスによる保有個人情報の漏えい，滅失又は毀損の防止のため，コンピュータウイルスの感染防止等に必要な措置を講ずる。

（暗号化）

第18条　保護管理者は，保有個人情報の秘匿性等その内容に応じて，その暗号化のために必要な措置を講ずる。

（入力情報の照合等）

第19条　職員等は，病院情報システムで取り扱う保有個人情報の重要度に応じて，入力原票と入力内容との照合，処理前後の当該保有個人情報の内容の確認，既存の保有個人情報との照合等を行う。

2　入力済情報の変更を行う場合は，その方法について別に定める。

（バックアップ）

第20条　保護管理者は，保有個人情報の重要度に応じて，バックアップを作成し，分散保管するために必要な措置を講ずる。

（情報システム設計書等の管理）

第21条　保護管理者は，保有個人情報に係る情報システムの設計書，構成図等の文書について外部に知られることがないよう，その保管，複製，廃棄等について必要な措置を講ずる。

（端末の限定）

第22条　保護管理者は，保有個人情報の秘匿性等その内容に応じて，その処理を行う端末を限定するために必要な措置を講ずる。

（端末の盗難防止等）

第23条　保護管理者は，端末の盗難又は紛失の防止のため，端末の固定，執務室の施錠等の必要な措置を講ずる。

2　職員等は，保護管理者が必要であると認めるときを除き，端末を外部へ持ち出し，又は外部から持ち込んではならない。

（第三者の閲覧防止）

第24条　職員等は端末の使用に当たっては，保有個人情報が第三者に閲覧されることがないよう，使用状況に応じて病院情報システムからログオフを行うことを徹底する等の必要な措置を講ずる。

（入退室の管理）

第25条　保護管理者は，保有個人情報を取り扱う基幹的なサーバ等の機器を設置する室等（以下「情報システム室等」という。）に入室する権限を有する者を定めるとともに用件の確認，入退室の記録，部外者についての識別化，部外者が入室する場合の職員の立ち会い等の措置を講ずる。また，保有個人情報を記録する媒体を保管するための施設を設けている場合においても，同様の措置を講ずる。

2　保護管理者は，情報システム室等の出入口の特定化による入退室の管理の容易化，所在表示の制限等の措置を講ずる。

3　保護管理者は，情報システム室等及び保管施設の入退室の管理について，入室に係る認証機能を設定し，及びパスワード等の管理に関する定めの整備（その定期又は随時の見直しを含む。），パスワード等の読み取り防止等を行うために必要な措置を講ずる。

（情報システム室等の管理）

第26条　保護管理者は，外部からの不正な侵入に備え，情報システム室等に施錠装置，警報装置，監視設備の設置等の措置を講ずる。

2　保護管理者は，災害等に備え，情報システム室等に，耐震，防火，防煙，防水等の必要な措置を講ずるとともに，サーバ等の機器の予備電源の確保，配線の損傷防止等の措置を講ずる。

（保有個人情報の提供）

第27条　保護管理者は，法第9条第2項第3号及び第4号の規定に基づき行政機関及び独立行政法人等以外の者に保有個人情報を提供する場合には，原則として，提供先における利用目的，利用する業務の根拠法令，利用する記録範囲及び記録項目，利用形態等について書面を取り交わす。

2　保護管理者は，法第９条第2項第3号及び第4号の規定に基づき，行政機関及び独立行政法人等以外の者に保有個人情報を提供する場合には，安全確保の措置を要求するとともに，提供前又は随時に実地の調査等を行い措置状況を確認し，その結果を記録するとともに，改善要求等の措置を講ずる。

3　保護管理者は，法第9条第2項第3号の規定に基づき，行政機関及び独立行政法人等に保有個人情報を提供する場合において，前2項に規定する措置を講ずる。

4　保有個人情報のうち診療記録等について開示請求があった場合には「山口大学医学部附属病院診療情報開示規則」に基づいて対応するものとする。

（業務の委託等）

第28条　保有個人情報の取扱いに係る業務を外部に委託する場合には，個人情報の適切な管理を行う能力を有しない者を選定することがないよう，必要な措置を講ずる。また，契約書に，次に掲げる事項を明記するとともに，委託先における責任者等の管理体制，個人情報の管理の状況についての検査に関する事項等の必要な事項について書面で確認する。

• 一　個人情報に関する秘密保持等の義務
• 二　再委託の制限又は条件に関する事項
• 三　個人情報の複製等の制限に関する事項
• 四　個人情報の漏えい等の事案の発生時における対応に関する事項
• 五　委託終了時における個人情報の消去及び媒体の返却に関する事項
• 六　違反した場合における契約解除の措置その他必要な事項

2　保有個人情報の取扱いに係る業務を派遣労働者によって行わせる場合には，労働者派遣契約書に秘密保持義務等個人情報の取扱いに関する事項を明記する。

（事案の報告及び再発防止措置）

第29条　保有個人情報の漏えい等安全確保の上で問題となる事案が発生した場合に，その事実を知った職員等は，速やかに当該保有個人情報を管理する保護管理者に報告する。

2　保護管理者は，被害の拡大防止又は復旧等のために必要な措置を講ずる。

3　保護管理者は，事案の発生した経緯，被害状況等を調査し，総括保護管理者に報告する。ただし，特に重大だと認める事案が発生した場合には，直ちに総括保護管理者に当該事案の内容等について報告する

4　保護管理者は，事案の発生した原因を分析し，再発防止のために必要な措置を講ずる。

（公表等）

第30条　保護管理者は事案の内容，影響等に応じて，事実関係及び再発防止策の公表，当該事案に係る本人への対応等の措置を総括保護管理者と協議の上，講ずる。

（点検）

第31条　保護管理者は，自ら管理責任を有する保有個人情報の記録媒体，処理経路，保管方法等について，定期に又は随時に点検を行い，必要があると認めるときは，その結果を総括保護管理者に報告する。

（評価及び見直し）

第32条　保護管理者は，保有個人情報の適切な管理のための措置については，点検又は国立大学法人山口大学の保有する個人情報の管理に関する規則第41条第2項に定める規定に基づき実施される監査の結果等を踏まえ，実効性等の観点から評価し，必要があると認めたときは，その見直し等の措置を講じ，総括保護管理者に報告する。

第33条　保護管理者は，個人情報の取扱いに関する苦情について，迅速かつ適切に対応できるよう体制整備を行う。

第34条　この規則に定めるもののほか，保有個人情報の管理に関し必要な事項は，別に定める。

この規則は，平成17年4月１日から施行する。