|
|
|
第1条
|
目的
|
|
本規程は、日本神経麻酔集中治療学会が、「行政手続における特定の個人を識別するための番号の利用等に関する法律」(平成25年法律第27号、以下「番号法」という。)及び「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」に基づき、本学会の取り扱う特定個人情報等の適正な取扱いを確保するために定めるものである。
本規程は、特定個人情報等の保護に係る安全管理措置について定めるものである。
|
|
|
|
第2条
|
定義
|
|
本規程で掲げる用語の定義は、次のとおりとする。なお、本規程における用語は、他に特段の定めのない限り番号法その他の関係法令の定めに従う。
|
|
(1)
|
「個人情報」とは、個人情報の保護に関する法律(以下「個人情報保護法」という。)第2条第1項に規定する個人情報であって、生存する個人に関する情報であり、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
|
|
(2)
|
「個人番号」とは、番号法第7条第1項又は第2項の規定により、住民票コードを変換して得られる番号であって、当該住民票コードが記載された住民票に係る者を識別するために指定されるものをいう(番号法第2条第6項及び第7項、第8条並びに第67条並びに附則第3条第1項から第3項まで及び第5項における個人番号)。
|
|
(3)
|
「特定個人情報」とは、個人番号(個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む。番号法第7条第1項及び第2項、第8条並びに第67条並びに附則第3条第1項から第3項まで及び第5項を除く。)をその内容に含む個人情報をいう。
|
|
(4)
|
「特定個人情報等」とは、個人番号及び特定個人情報を併せたものをいう。
|
|
(5)
|
「個人情報ファイル」とは、個人情報保護法第2条第2項に規定する個人情報データベース等であって行政機関及び独立行政法人等以外の者が保有するものをいう。
|
|
(6)
|
「特定個人情報ファイル」とは、個人番号をその内容に含む個人情報ファイルをいう。
|
|
(7)
|
「個人番号関係事務」とは、番号法第9条第3項の規定により個人番号利用事務に関して行われる他人の個人番号を必要な限度で利用して行う事務をいう。
|
|
(8)
|
「個人番号関係事務実施者」とは、個人番号関係事務を処理する者及び個人番号関係事務の全部又は一部の委託を受けた者をいう。
|
|
(9)
|
「従業員」とは、本学会の組織内にあって直接又は間接に本学会の指揮監督を受けて本学会の業務に従事している者をいう。
|
|
(10)
|
「事務取扱担当者」とは、本学会内において、個人番号を取り扱う事務に従事する者をいう。
|
|
(11)
|
「管理区域」とは、特定個人情報ファイルを取り扱う情報システムを管理する区域をいう。
|
|
(12)
|
「取扱区域」とは、特定個人情報等を取り扱う事務を実施する区域をいう。
|
|
|
|
第3条
|
本学会が取り扱う個人番号・特定個人情報等の範囲
|
|
1
|
本学会が取り扱う個人番号・特定個人情報等の範囲
|
|
|
従業員に関する事務
|
|
|
|
|
|
|
|
従業員(扶養家族を含む)の
氏名、住所及び個人番号
|
|
上記事務における特定個人
情報等を取り扱う情報システムの
保守に関する事務
|
|
|
(2)
|
報酬等の支払先に関する事務
|
|
|
|
|
|
報酬、料金、契約金及び賞金に
関する支払調書作成事務
|
|
|
上記各事務における特定個人
情報等を取り扱う情報システムの
保守に関する事務
|
|
|
2
|
第1項各号に該当するか否かが定かでない場合は、事務取扱責任者が判断する。
|
|
|
|
|
|
第1節 組織的安全管理措置・人的安全管理措置
|
|
第4条
|
組織体制
|
|
1
|
本学会は、事務局長が指名する者を事務取扱担当者とする。
|
|
2
|
事務取扱担当者が複数いる場合は、そのうち一人を責任者とする。
|
|
3
|
事務取扱担当者は、特定個人情報等の保護に十分な注意を払ってその業務を行うものとする。
|
|
4
|
事務取扱担当者が変更することになる場合、事務局長は新たに事務取扱担当者となる者を指名するものとする。この場合、従前の事務取扱担当者は新たに事務取扱担当者となる者に対して確実に引継ぎを行わせるものとする。事務局長はかかる引継ぎが行われたか確認するものとする。
|
|
|
|
第5条
|
事務取扱担当者の監督
|
|
本学会は、特定個人情報等が本規程に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行うものとする。
|
|
|
|
第6条
|
教育・研修
|
|
1
|
本学会は、本規程に定められた事項を理解し、遵守するとともに、事務取扱担当者に本規程を遵守させるための教育訓練を企画・運営する責任を負う。
|
|
2
|
事務取扱担当者は、事務取扱担当者が主催する本規程を遵守させるための教育を受けなければならない。研修の内容及びスケジュールは、事業年度毎に事務局長が定める。
|
|
3
|
本学会は、特定個人情報等についての秘密保持に関する事項を就業規則に盛り込むものとする。
|
|
|
|
第7条
|
取扱状況・運用状況の記録
|
|
事務取扱担当者は、以下の特定個人情報等の取扱い状況を別紙1のチェックリストに基づき確認し、記入済みのチェックリストを保存するものとする。
|
|
(1)
|
特定個人情報等の入手日
|
|
(2)
|
個人番号を記載した帳票等の作成日
|
|
(3)
|
個人番号を記載した帳票等の本人への交付日
|
|
(4)
|
個人番号を記載した帳票等の税務署その他の行政機関等への提出日
|
|
(5)
|
特定個人情報等の廃棄日
|
|
|
|
第8条
|
情報漏えい事案等への対応
|
|
|
事務取扱担当者は、特定個人情報等の漏えい、滅失又は毀損による事故が発生したことを知った場合又はその可能性が高いと判断した場合は、事務局長に直ちに報告する。
|
|
|
|
第9条
|
取扱状況の確認
|
|
|
事務局長は、特定個人情報等の取扱状況について、少なくとも毎年1回確認を行うものとする。
|
|
|
|
|
|
第10条
|
特定個人情報等を取り扱う区域の管理
|
|
|
本学会は管理区域及び取扱区域を明確にし、それぞれの区域に対し、次の各号に従い以下の措置を講じる。
|
|
(1)
|
管理区域
|
|
|
入退室管理及び管理区域へ持ち込む機器及び電子媒体等の制限を行うものとする。
|
|
(2)
|
取扱区域
|
|
|
可能な限り壁又は間仕切り等の設置をしたり、事務取扱担当者以外の者の往来が少ない場所への座席配置や、後ろから覗き見される可能性が低い場所への座席配置等をするなど座席配置を工夫するものとする。
|
|
|
|
第11条
|
機器及び電子媒体等の盗難等の防止
|
|
|
本学会は管理区域及び取扱区域における特定個人情報等を取扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、次の各号に掲げる措置を講じる。
|
|
(1)
|
特定個人情報等を取扱う機器、電子媒体又は書籍等を、施錠できるキャビネット・書庫等に保管する。
|
|
(2)
|
特定個人情報ファイルを取扱う情報システムが機器のみで運用されている場合は、セキュリティワイヤー等により固定する。
|
|
|
|
第12条
|
電子媒体等を持ち出す場合の漏えい等の防止
|
|
1
|
本学会は特定個人情報等が記録された電子媒体又は書類等の持出し(特定個人情報等を、管理区域又は取扱区域の外へ移動させることをいい、事業所内での移動等も含まれる。)は、次に掲げる場合を除き禁止する。なお、「持出し」とは、特定個人情報等を、管理区域又は取扱区域の外へ移動させることをいい、事業所内での移動等も持出しに該当するものとする。
|
|
(1)
|
個人番号関係事務に係る外部委託先に、委託事務を実施する上で必要と認められる範囲内でデータを提供する場合
|
|
(2)
|
行政機関等への法定調書の提出等、本学会が実施する個人番号関係事務に関して個人番号利用事務実施者に対しデータ又は書類を提出する場合
|
|
2
|
事務取扱担当者は、特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐための安全な方策を講ずるものとする。
|
|
|
|
第13条
|
個人番号の削除、機器及び電子媒体等の廃棄
|
|
|
事務局長は、事務取扱担当者又は外部委託先が特定個人情報等を削除・廃棄したことを確認するものとする。
|
|
|
|
第3節 技術的安全管理措置
|
|
|
|
第14条
|
アクセス制御・アクセス者の識別と認証
|
|
|
本学会における特定個人情報等へのアクセス制御及びアクセス者の識別と認証は以下のとおりとする。
|
|
(1)
|
特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事務取扱担当者を限定する。
|
|
(2)
|
機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、情報システムを取り扱う事務取扱担当者を限定する。
|
|
|
|
第15条
|
外部からの不正アクセス等の防止
|
|
|
本学会は、以下の各方法により、情報システムを外部からの不正アクセス又は不正ソフトウェアから保護するものとする。
|
|
(1)
|
情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断する方法。
|
|
(2)
|
情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入する方法。
|
|
(3)
|
導入したセキュリティ対策ソフトウェア等により、入出力データにおける不正ソフトウェアの有無を確認する方法。
|
|
(4)
|
機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする方法。
|
|
(5)
|
ログ等の分析を定期的に行い、不正アクセス等を検知する方法。
|
|
|
|
第16条
|
情報漏えい等の防止
|
|
|
本学会は、特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えい等及び情報システムに保存されている特定個人情報等の情報漏えい等を防止するものとする。
|
|
|
通信経路における情報漏えい等の防止策
|
|
|
通信経路の暗号化
|
|
(2)
|
情報システムに保存されている特定個人情報等の情報漏えい等の防止策
|
|
|
データの暗号化又はパスワードによる保護
|
|
|
|
第3章 特定個人情報の取得
|
|
第17条
|
特定個人情報の利用目的
|
|
本学会が、従業員又は第三者から取得する特定個人情報の利用目的は、第3条に掲げた個人番号を取り扱う事務の範囲内とする。
|
|
|
|
第18条
|
特定個人情報の取得時の利用目的の通知等
|
|
1
|
本学会は、特定個人情報を取得する場合は、に掲げられた「マイナンバー制度導入に伴う個人番号の提供のお願い」(別紙2−1〜別紙2−2)を交付又は送付する方法により、利用目的を通知する。
|
|
|
本学会は、利用目的の変更を要する場合、当初の利用目的と相当の関連性を有すると合理的に認められる範囲内で利用目的を変更して、本人への通知、公表又は明示を行うことにより、変更後の利用目的の範囲内で特定個人情報を利用することができる。
|
|
|
|
第19条
|
個人番号の提供の要求
|
|
1
|
本学会は、第3条に掲げる事務を処理するために必要がある場合に限り、本人又は他の個人番号関係事務実施者若しくは個人番号利用事務実施者に対して個人番号の提供を求めることができるものとする。
|
|
2
|
従業員又は第三者が、本学会の個人番号の提供の要求又は第23条に基づく本人確認に応じない場合には、番号法に基づくマイナンバー制度の意義について説明をし、個人番号の提供及び本人確認に応ずるように求めるものとする。それにもかかわらず、従業員又は第三者が個人番号の提供に応じない場合は、提供を求めた経緯等を記録するものとする。
|
|
|
|
第20条
|
個人番号の提供を求める時期
|
|
1
|
本学会は、第3条に定める事務を処理するために必要があるときに個人番号の提供を求めることとする。
|
|
2
|
前項にかかわらず、本人との法律関係等に基づき、個人番号関係事務の発生が予想される場合には、契約を締結した時点等の当該事務の発生が予想できた時点で個人番号の提供を求めることが可能であるものとする。
|
|
|
|
第21条
|
特定個人情報の提供の求めの制限
|
|
1
|
特定個人情報の「提供」とは、法的な人格を超える特定個人情報の移動を意味するものであり、同一法人の内部等の法的な人格を超えない特定個人情報の移動は「提供」ではなく「利用」に該当し、個人番号の利用制限(第29条)に従うものとする。
|
|
2
|
本学会は、番号法第19条各号のいずれかに該当し特定個人情報の提供を受けることができる場合を除き、特定個人情報の提供を求めてはならない。
|
|
|
|
第22条
|
特定個人情報の収集制限
|
|
|
本学会は第3条に定める事務の範囲を超えて、特定個人情報を収集しないものとする。
|
|
|
|
第23条
|
本人確認
|
|
|
本学会は「マイナンバー制度導入に伴う個人番号の提供のお願い」(別紙2−1〜別紙2−2)に掲げる方法により、従業員又は第三者の個人番号の確認及び当該人の身元確認を行うものとする。また、代理人については、同条に定める各方法により、当該代理人の身元確認、代理権の確認及び本人の個人番号の確認を行うものとする。
|
|
|
|
第24条
|
取得段階における安全管理措置
|
|
|
特定個人情報の取得段階における安全管理措置は第2章(安全管理措置)に従うものとする。
|
|
|
|
第4章 特定個人情報の利用
|
|
第25条
|
個人番号の利用制限
|
|
1
|
本学会は、第18条に掲げる利用目的の範囲内でのみ利用するものとする。
|
|
2
|
本学会は、人の生命、身体又は財産の保護のために必要がある場合を除き、本人の同意があったとしても、利用目的を超えて特定個人情報を利用してはならないものとする。
|
|
|
|
第26条
|
特定個人情報ファイルの作成の制限
|
|
|
本学会が特定個人情報ファイルを作成するのは、第3条に定める事務を実施するために必要な範囲に限り、これらの場合を除き特定個人情報ファイルを作成しないものとする。
|
|
|
|
第27条
|
利用段階における安全管理措置
|
|
|
特定個人情報の利用段階における安全管理措置は第2章(安全管理措置)に従うものとする。
|
|
|
|
第5章 特定個人情報の保管
|
|
第28条
|
特定個人情報の保管制限
|
|
1
|
本学会は、第3条に定める事務の範囲を超えて、特定個人情報を保管してはならない。
|
|
2
|
本学会は、所管法令で定められた個人番号を記載する書類等の保存期間を経過するまでの間は、支払調書の再作成等の個人番号関係事務を行うために必要があると認められるため、当該書類だけでなく、支払調書を作成するシステム内においても保管することができる。
|
|
3
|
本学会は、番号法上の本人確認の措置を実施する際に提示を受けた本人確認書類(個人番号カード、通知カード、身元確認書類等)の写しや本学会が行政機関等に提出する法定調書の控えや当該法定調書を作成するうえで事業者が受領する個人番号が記載された申告書等を特定個人情報として保管するものとする。これらの書類については、法定調書の再作成を行うなど個人番号関係事務の一環として利用する必要があると認められるため、関連する所管法令で定められた個人番号を記載する書類等の保存期間を経過するまでの間保存することができる。
|
|
|
|
第29条
|
保管段階における安全管理措置
|
|
|
特定個人情報の保管段階における組織的安全管理措置及び人的安全管理措置は第2章(安全管理措置)に従うものとする。
|
|
|
|
第6章 特定個人情報の提供
|
|
第30条
|
特定個人情報の提供制限
|
|
|
本学会は、番号法第19条各号に掲げる場合を除き、本人の同意の有無に関わらず、特定個人情報を第三者(法的な人格を超える特定個人情報の移動を意味し、同一法人の内部等の法的な人格を超えない特定個人情報の移動は該当しないものとする。)に提供しないものとする。なお、本人の同意があっても特定個人情報の第三者提供ができないことに留意するものとする。
|
|
|
|
第31条
|
提供段階における安全管理措置
|
|
|
特定個人情報の提供段階における安全管理措置は第2章(安全管理措置)に従うものとする。
|
|
|
|
第7章 特定個人情報の開示
|
|
第32条
|
特定個人情報の開示
|
|
|
本学会は、本人から当該本人が識別される特定個人情報に係る特定個人情報について開示を求められた場合は、次条に規定する手続き及び方法により、遅滞なく、当該情報の情報主体であることを厳格に確認した上で、当該本人が開示を求めてきた範囲内でこれに応ずるものとする。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
|
|
(1)
|
本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
|
|
(2)
|
本学会の事業の適正な実施に著しい支障を及ぼすおそれがある場合
|
|
(3)
|
他の法令に違反することとなる場合
|
|
2
|
開示は、書面により行うものとする。ただし、開示の申出をした者の同意があるときは、書面以外の方法により開示をすることができる。
|
|
3
|
特定個人情報等に係る保有個人データの開示又は不開示の決定の通知は、本人に対し、書面により遅滞なく行うものとする。
|
|
|
|
第8章 特定個人情報の廃棄・削除
|
|
第33条
|
特定個人情報の廃棄・削除
|
|
|
本学会は第3条に規定する事務を処理する必要がある範囲内に限り特定個人情報等を収集又は保管し続けるものとする。なお、書類等について所管法令によって一定期間保存が義務付けられているものについては、これらの書類等に記載された個人番号については、その期間保管するものとし、それらの事務を処理する必要がなくなった場合で、所管法令において定められている保存期間を経過した場合には、個人番号をできるだけ速やかに廃棄又は削除するものとする。
|
|
|
|
第34条
|
廃棄・削除段階における安全管理措置
|
|
|
特定個人情報の廃棄・削除段階における安全管理措置は第2章(安全管理措置)に従うものとする。
|
|
|
|
第9章 特定個人情報の取扱いの委託
|
|
第35条
|
特定個人情報の委託
|
|
|
本学会は、特定個人情報等の取扱いの全部又は一部を本学会以外の者に委託するときは、委託先において番号法に基づき本学会がはたすべき安全管理措置と同等の措置が講じられているか否かについてあらかじめ確認した上で、原則として委託契約において、特定個人情報の安全管理について委託先が講ずべき措置を明らかにし、委託先に対する必要かつ適切な監督を行うものとする。
|
|
|
|
|
|
第36条
|
年度大会事務局への準用
|
|
|
日本神経麻酔集中治療学会の年度大会事務局は、本会の当「個人番号及び特定個人情報取扱規定」に準じて行うものとする。
|
|
2
|
年度大会が当規定を準用するに当たっては、当規定の「事務局長」及び「本部事務局」は、それぞれ「大会長」及び「大会事務局員」に読み替えるものとする。
|
|
3
|
年度大会の開催準備から大会終了までの期間、特定個人情報等の安全管理について講ずべき措置を明らかにし、大会終了は特定個人情報の取扱状況を本部事務局に報告することとする。
|
|
4
|
本部事務局は、マイナンバー法及び個人情報保護法並びに関連するガイドラインに従って、年度大会事務局に対する必要かつ適切な監督を行う
|
|
|
|
第11章 その他
|
|
第37条
|
改廃
|
|
|
本規則の改廃は、事務局の承認による。
|
|
|
|
附則
|
|
本規則は平成28年7月16日から施行する。
|
|
|
|
別紙1 特定個人情報等の取扱状況・運用状況のチェックリスト(本規程第8条関連)
|
|
(1)
|
特定個人情報等の入手日
|
|
|
(2)
|
個人番号を記載した帳票等の作成日
|
|
|
(3)
|
個人番号を記載した帳票等の本人への交付日
|
|
|
(4)
|
個人番号を記載した帳票等の税務署その他の行政機関等への提出日
|
|
|
(5)
|
特定個人情報の廃棄日
|
|
|
(6)
|
備考(※
|
|
|
