1.情報取扱事業者名の明示とその対象とする個人情報の範囲
この個人情報保護に関する基本方針(プライバシーポリシー)は、関西医科大学(以下「本学」といいます。)が収集し利用するすべての個人情報をその対象として、本学の個人情報に関する基本的な考え方や指針をご説明させていただくものです。
2.対象とする個人情報の利用目的
本学は、本学の学生の教育、附属病院の患者様の診療、看護、療養支援および医学の研究、研究者の育成のために、学生および患者様の個人情報を収集し利用させていただきます。
本学は、本学における教職員の雇用および人事管理のために、本学の教職員に関する個人情報を収集し利用します。
かかる利用目的の達成に必要な範囲を超えて、個人情報を収集し、または利用することはありません。
3.第三者提供の有無
本学は、本学の個人情報を本人の同意を得ないで第三者に提供することはありません。個人情報を第三者に提供する場合は、法令に定める場合を除き、事前に本人の同意を得ることといたします。
4.安全管理措置の実施
本学は文部科学省および厚生労働省の定める個人情報保護ガイドラインに従って、本学の取り扱う個人情報につき、必要に応じて、組織的、人的、物理的、かつ技術的安全管理措置の全部または一部を実施し、個人情報に対する不正アクセス、個人情報の紛失、破壊、改ざんおよび漏えいなどを防止すると同時に、事故が発生した場合に備えて、証拠を保全してその原因を追跡できるような体制を構築するとともに、万一、かかる事故が発生した場合でも迅速かつ適切に対処して、事故の再発の防止等、その是正のため最大限の努力をいたします。
5.法令および規範等の遵守
本学は、本学が収集し利用する個人情報を保護するため、個人情報に関する法律、およびこれに基づく各種ガイドライン等の規範を遵守いたします。本学の学内では、かかる法令等を遵守するための個人情報保護規程、その他の手順書等を策定して、これを役員および教職員等に対して遵守させます。
6.法令遵守体制の継続的改善
本学は、本基本方針および個人情報保護規程、その他の手順書等を適宜見直し、その全部または一部を改訂することがあります。本学がかかる改訂を行った場合は、その旨を明記することといたします。
7.個人情報保護規程に関する事項
本学は、本基本方針のほか、学内の法令遵守体制の基本規程として個人情報保護規程を策定しております。個人情報保護規程には、本学が収集し保有するすべての保有個人情報の利用目的、開示請求、訂正、追加または削除の請求、利用停止等の請求等の各種手続きが明記されています。
8.個人情報に関する各種問い合わせ先
本学に対する苦情、本学の保有個人情報に対する開示請求等の各種手続きやその手数料に関するご質問、本基本方針に関するご質問等がございましたら、下記問い合わせ先までご連絡ください。なお、ご質問内容によっては、本学は、問い合わせをされた方が、本学においてその個人情報を保有するご本人様であることを確認させていただくため、ご質問に対する回答をさせていただく前に本学から、一定の質問をさせていただくことがあります。
問い合わせ先
郵便番号573-1010
大阪府枚方市新町2-5-1
学校法人 関西医科大学 総務部総務課
電話番号 072-804-2116
9.作成年月日
本基本方針は、平成17年4月1日に作成されたものです。
(ご参考)関西医科大学個人情報保護規程
(基本理念と目的)
第1条 個人情報は、個人の人格尊重の理念のもとに慎重に取り扱われるべきものであることにかんがみ、その適正な取り扱いが図られなければならない。
2 この規程は、個人情報の保護に関する法律(以下「個人情報保護法」という)に基づき、個人情報取扱事業者である関西医科大学(以下「本学」という。)における個人情報の取得、利用、加工、開示、管理等について必要な事項を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
3 本学において個人情報の取得、利用、加工、開示、管理等の業務に従事する者、その他本学の教職員は個人情報保護に係る法令、国の指針、本学の規程等を遵守するとともに個人情報の秘密保持に十分な注意を払いその業務を遂行しなければならない。なお、法第76条第1項第3号の規定に該当する場合、本規程第8条乃至第14条の規定は適用されない。ただしゲノム等個別の指針が示されている場合はそれに従う。
(定義)
第2条 この規程における用語の定義は次の各項に定めるとおりとする。
2 「個人情報」:生存する個人に関する情報であつて、当該情報に含まれる氏名、生年月日、その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他の知覚によつては認識することができない方式をいう。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いられて評された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)及び個人識別符号が含まれるものをいい、本学において取扱う個人情報は、以下に大別される。
① 患者及びその親族等の個人情報
② 学生及びその親族等の個人情報
③ 本学及び関係機関に勤務する教職員及びその親族等の個人情報
④ 上記以外の個人情報
なお、死者に関する情報が、同時に、遺族等の生存する個人に関する情報でもある場合には、当該生存する個人に関する情報となる。
3 「個人識別符号」:次の各項のいずれかに該当する文字、番号、記号、その他の符号のうち、別紙1で定めるものをいう。
4 「要配慮個人情報」:本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被つた事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして別紙2で定める記述等が含まれる個人情報をいう。
5 「個人情報データベース等」:特定の個人情報を、電子計算機を用いて検索することができるように体系的に構成したもの及びこれに含まれる個人情報を一定の規則に従つて整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であつて、目次、索引その他検索を容易にするためのものを有するものをいい、利用方法からみて個人の権利利益を害するおそれが少ないものとして次のいずれにも該当するものを除く。
① 不特定かつ多数の者により販売することを目的として発行されたものであつて、かつ、その発行が法又は法に基づく命令の規定に違反して行われたものでないこと。
② 不特定かつ多数の者により随時に購入することができ、又はできたものであること。
③ 生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであること。
6 「個人情報取扱事業者」:個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
① 国の機関
② 地方公共団体
③ 独立行政法人(独立行政法人等の保有する個人情報の保護に関する法律(平成15年法律第59号)第2条第1項に規定する独立行政法人等をいう。)
④ 地方独立行政法人(地方独立行政法人法(平成15年法律第118号)第2条第1項に規定する地方独立行政法人をいう。)
7 「個人データ」:個人情報のうち、個人情報データベース等を構成するものをいう。
8 「保有個人データ」:個人データのうち、開示、訂正、利用停止等の権限を有するものであつて、以下のものを除く。
① 6月以内に消去することとなるもの
② 当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
③ 当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
④ 当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
⑤ 当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
9 「匿名加工情報」:次の各号に掲げる個人情報の区分に応じて当該各項に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であつて、当該個人情報を復元することができないようにしたものをいう。
① 個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
② 個人識別符号に含まれる識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
10 「本人」:個人情報によつて識別される特定の個人をいう。
11 「従業者」:法人役員、大学役職員、職員、派遣社員その他本学の指揮監督を受けて本学の業務に従事する者をいう。
12 「事務取扱責任者」:本学の個人情報の管理に関する責任を担う者をいう。
13 「責任者」:所管部署の個人情報取扱いに責任を担う部署の長をいう。
14 「管理者」:当該個人情報を取得、利用、加工、開示、管理する部門の長をいう。
15 「個人情報取扱担当者」:本学内において、個人情報を取り扱う事務に従事する者をいう。
16 「利用」:本学の個人情報取扱担当者が本学の業務のために個人データを使用、加工等業務に必要な措置を実施することをいう。
17 「開示」:本学の教職員等が、学外の第三者又は本人に対し、自らの保有個人データを使用ならしめることをいう。
18 「法」:個人情報の保護に関する法律(平成15年法律第57号)をいう。
19 「政令」:個人情報の保護に関する法律施行令(平成15年政令第507号)をいう。
20 「規則」:政府の個人情報保護委員会が定める規則をいう。
21 「ガイドライン」:政府の個人情報保護委員会が策定する下記のガイドラインを総称したものをいう。
① 「個人情報の保護に関する法律についてのガイドライン(通則編)」(平成28年11月)
② 「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」(平成28年11月)
③ 「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」(平成28年11月)
22 「ガイダンス」:各省庁において、所管する事業に係る個人情報の適切な取扱いに関する基本方針を示したもの、例えば「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」(平成29年4月厚生労働省)等を総称したものをいう。
(個人情報保護体制)
第3条 個人データの取扱いを円滑に行うため個人情報保護委員会を設ける。
2 個人情報保護委員会の委員長は本学全体の個人情報取扱責任者として個人データ管理の責任を担う。
3 委員会の構成は本学個人情報保護委員会規程に定める。
(責任者および管理者の責務)
第4条 責任者及び管理者は、この規程に定められた事項を理解し、自ら遵守するとともに、個人情報取扱担当者にこれを理解させ、遵守させるための教育訓練を実施するものとする。
2 責任者は、個人情報保護に関して、本学組織全体で対応すべき問題を認めた場合は、直ちに個人情報保護委員会に報告しなければならない。
(個人情報の取得および利用目的の明示)
第5条 個人情報の取得に当たつては、適正な手段によることとし、本学の業務の範囲内で利用目的を明確に定め、その目的達成に必要な限度においてこれを行う。
2 個人情報を取得する場合は、あらかじめその利用目的を明示しておくか、個人情報を取得した場合は、速やかにその利用目的を、本人に通知又は公表しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
3 利用目的を変更した場合は、変更された利用目的について、本人に通知又は公表しなければならない。
4 前三項の規定は、次に掲げる場合については適用しない。
(1) 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2) 利用目的を本人に通知し、又は公表することにより本学の権利又は正当な利益を害するおそれがある場合
(3) 法令に基づく場合
(個人データの保管・管理)
第6条 個人データは、媒体の種別・利用目的に応じて適正な方法・状態で保存保持、管理しなければならない。
2 管理者は、個人データに対する不当なアクセス、個人データの紛失・破壊・不当な変更・漏洩等に対して技術面及び組織面において合理的な安全対策を講じなければならない。
3 管理者は、業務委託等のために個人データを学外の事業者に委託する場合は、管理者の指示の遵守、個人データに関する秘密保持、再提供の禁止、違約時の責任分担等に係る契約を締結し、当該個人データの保有期間これを保存するものとする。
(電子的情報の安全管理)
第7条 電子的情報の安全管理については、別に定めるセキュリティポリシー等に従う。
(個人データの利用)
第8条 個人データの利用に当たつては、その利用目的を特定するものとする。
2 利用目的を変更する場合は、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行つてはならない。
3 利用目的の範囲を超えて個人情報の利用をしようとする場合は、あらかじめ本人の同意を得るものとする。ただし、次の各号のいずれかに該当する場合を除く。
(1) 法令に基づく場合
(2) 人の生命、身体又は財産の保護のために必要がある場合であつて、本人の同意を得ることが困難であるとき。
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であつて、本人の同意を得ることが困難であるとき。
(第三者提供の制限)
第9条 あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。ただし、次の各号のいずれかに該当する場合を除く。
(1) 法令に基づく場合
(2) 人の生命、身体又は財産の保護のために必要がある場合であつて、本人の同意を得ることが困難であるとき。
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であつて、本人の同意を得ることが困難であるとき。
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であつて、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
2 次に掲げる場合において、当該個人データの提供を受ける者は、第1項の規定の適用については、第三者に該当しないものとする。
(1) 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人情報の取扱いの全部又は一部を委託することに伴つて当該個人データが提供される場合
(2) 合併その他の事由による事業の承継に伴つて個人データが提供される場合
(3) 特定の者との間で共同して利用される個人情報が当該特定の者に提供される場合であつて、その旨並びに共同して利用される個人情報の項目、共同して利用する者の範囲、利用する者の利用目的及び個人情報の管理について責任を有する者の氏名又は名称について、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置いているとき。
3 本学は、前項第3号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更内容について、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
(外国にある第三者への提供の制限)
第10条 本学が外国(本邦の域外にある国又は地域をいう。以下同じ。)にある第三者(個人情報取扱事業者に該当する者を除く。)に個人情報を提供する場合は、前条第1項各号に該当する場合を除くほか、あらかじめ当該外国の第三者への提供を認める旨の本人同意を得なければならない。この場合においては同条の規定は適用しない。
(個人データの開示)
第11条 本人は自己の個人情報について、関西医科大学個人情報取り扱い手順書(共通編)第9章の規定に基づき、当該本人が識別される保有個人データの開示を請求することができる。
2 当該保有個人データの開示に当たつては、責任者の事前許可を得るものとする。
3 本人から、当該本人が識別される保有個人データの開示を求められたときは、本人に対し遅滞なく当該保有個人データを開示するものとする。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
(1) 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2) 本学の業務の適正な実施に著しい支障を及ぼすおそれがある場合
(3) 他の法令に違反することとなる場合
4 前項の規定に基づき保有個人データの全部又は一部について開示しない旨の決定をしたときは、本人に対し遅滞なくその旨を通知しなければならない。この場合、本学は本人に対して、当該通知においてその理由を説明するものとする。
5 開示方法は、書面の交付による方法又は本人が同意した方法とする。
6 本人に関する保有個人データの開示の請求に基づいてなされた措置に不服がある場合は、本人であることを明らかにして、個人情報保護委員会に対して不服の申し立てを行うことができる。
(個人情報の訂正等)
第12条 本人から、当該本人が識別される保有個人データの内容が事実でないという理由によつて当該保有個人データの内容の訂正、追加、又は削除(以下「訂正等」という。)を求められた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。
2 前項の規定に基づき求められた保有個人データの内容の全部若しくは一部について訂正等を行つたとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行つたときは、その内容を含む。)を通知しなければならない。この場合、本学は本人に対して、当該通知においてその理由を説明するものとする。
(個人情報の利用停止等)
第13条 本人から、当該本人が識別される保有個人データの利用の停止又は消去(以下「利用停止等」という。)若しくは第三者への提供の停止を求められた場合、遅滞なく、当該保有個人データの利用停止等及び第三者提供の停止を行うとともに、その旨を本人に対し、遅滞なく通知しなければならない。ただし、利用停止等及び第三者提供の停止を行うことに多額の費用を要する場合その他の利用停止等を行うことが困難な場合であつて、当該本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りではない。
(苦情対応)
第14条 責任者及び管理者は、個人情報の取り扱いに関する苦情があつたときは、適切かつ迅速に対応するように努めなければならない。
2 苦情処理に関する本学の体制整備は、関西医科大学個人情報取り扱い手順書(共通編)第35条に定めるところに従う。
(緊急時対応)
第15条 個人情報の取り扱いに関する事故等の緊急事態が発生した場合は、個人情報保護委員会において対応を決定するものとする。
(監査)
第16条 個人情報保護委員会委員長は同委員会内に監査チームを設置することができる。監査チームは、本学の個人情報保護体制について監査を行い、監査結果を個人情報保護委員会に報告する。
(違反に対する措置)
第17条 この規程に違反した職員等に対しては、関西医科大学就業規則に則り、また委託業者等に対しては、本学が被つた損害の程度に応じて、委託契約等に基づき、必要な措置を講ずるものとする。
(改廃)
第18条 この規程の改廃は、個人情報保護委員会規程に則り、個人情報保護委員会において審議の後、委員会の決定事項を理事会に諮り、承認を得るものとする。
附 則
この規程は、平成17年4月1日から制定施行する。
附 則
この規程は、平成24年4月1日から制定施行する。
附 則
この規程は、平成29年5月30日から施行する。