個人情報保護法が適用される個人情報取扱事業者の該当の有無の
具体的判断対応について
具体的判断対応について
2005年4月に施行された個人情報保護法について、その適用対象となる個人情報取扱事業者であるか否かの
具体的判断・対応方法は、なかなかわかりにくいものと考えられますし、また、自社/医療機関等 の事業で
直接的に収集・作成・保管管理している個人情報資料・データの合計件数が5000件を超えていないので、
取扱事業者には該当しないものと、安心しておられる方も多いと思われますので、下記に、該当の有無を
判断する具体的対応をご説明いたします。参考にしてください。
なお、これについての、正確な判断基準等についてのご照会・確認は、担当官庁である内閣府個人情報
保護推進室にしてください。/内閣府
次の個人情報の件数の合計が5000件を超えると個人情報取扱事業者に該当します。
(また、保有期間は6ヶ月以上が必要です。なお、媒体については、紙、電子媒体など制約はありません。
件数の把握単位は、事業所・支店単位ではなく、会社・団体の全体ベースです。
全体で5000件を超えれば該当となります。)
1 自社/医療機関等の業にかかり自社・自施設/委託先で収集・作成・管理している個人情報データ
2 社員・職員および会社・医療機関等自体が業務のために収集、保管管理している名刺及びこれから
作成した名簿等資料・データ(整理されているもの-五十音などの順番や会社別など、雑然と保管され
法則性のないものは該当しない 。また、社員等が退社する場合、業に使用している名刺の持ち出しは
できません。第三者提供に該当するためです。 これを行うには名刺本人の同意を得る必要があります。)
3 社員・職員等の人事・給与・福利厚生等にかかり保有している社員等にかかる個人情報
(現在就業している者分、退職者(法律で一定期間の情報の保存が定められている)分、応募書類(履歴書など)
も含まれます。)自社・自団体などの従業員にかかる個人情報については、これもカウント対象となります。
もちろん、派遣業を業としている場合は、その派遣社員の個人情報もカウント対象です。
4 業務に使用している市販・頒布の名簿・名鑑(個人が識別可能な項目が収載されているものー例えば、
氏名と会社・官庁名、職名で識別可能という判断になる) 医師会の名簿等もこれに該当します。収載されている
個人の件数をカウントします。患者さんのカルテの件数としては5000件に達しないから事業者に該当しないと
安心してはいけません。個人の識別可能な名簿・名鑑があり、業に使用していれば、これの件数を含めて
カウントするとあっというまに5000件を越えて、個人情報取扱事業者に該当することとなります。
また、厚生労働省の「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」
においては、5000件以下であってもガイドラインを遵守する努力を求めています。これは医療情報の
プライバシー性の高さを考慮したものと考えられます。
「4」については、対象に含まれると考えられておられる会社・医療機関等は少ないと思いますが、市販などの
紳士録や官庁の職員録、医師会名簿など個人名のある名鑑などは全て該当します。これは要注意です。
これらを診療部門のみならず、管理部門等で保有し業務に使用していれば、保有している個人情報の
カウント対象になります。従いまして、直接的に個人のユーザーなどを相手にしていない業でも、取引先の方の
名刺や、上記の名簿・名鑑を保有して業に用いていれば、取扱事業者に該当することとなります。
個人情報保護の解説書などで、市販などの他者の作成した名簿については、個人情報ではあるが、カウント
対象である個人データではないとしているものがありますが、所管の内閣府の見解は、市販等の名簿であってもそれを
業に用いていれば、カウント対象であるとしています。
これらに収載されている人数を会社等の全体でカウントして、御社等の業務で直接収集・保管管理されている
たとえばカルテなどの個人情報の件数に合算することになります。
これらの名鑑・名簿の一部でも、直接的に販売業務や庶務的事務に使用していても該当するものとなると
考えられます。なお、関連業界の会社名簿に社長名などの個人名が含まれていれば、この業界団体名簿・
業界名簿も該当です。
なお、件数のカウントにおいて、同一情報の重複カウントはしないこととされています。
なお、対象から除外するものとして、電話帳やカーナビ等のデータがあります。
ただし、これらに情報を追加したりすると対象になります。
医療機関・介護事業者が注意を要するのは、扱う個人情報が高度な秘密保護を適切とされることから、
前述のように5000以下の場合にあっても取扱事業者と同様の対応等をする旨 のガイドラインがあります。
「医療・介護関連事業者における個人情報の適切な取扱のためのガイドライン」
上記の具体的判断基準を適用して、個人情報取扱事業者に該当するのであれば、
同事業者に課せられる各種の義務に対応しておくことが必要となります。
1 個人情報の利用目的の特定とそれの公表
2 個人情報の適正な管理、利用及び第三者提供への適切な対応
3 個人情報にかかる本人の権利・関与についての対応
4 これに関連する苦情処理の対応 など
参考
保護法でいう個人情報とは・・・
個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等
により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を
識別することができることとなるものを含む。)をいう。
個人情報保護関連情報サイト
個人情報の保護に関する法律
内閣府―個人情報保護法等資料サイト
個人情報保護対策室/法の解説、保護対策
個人情報保護対策ポータル/基礎知識、対策、中小企業向け
個人情報ドットコム/法の解説、定義・ポリシー、世界の個人情報保護
電気通信事業における個人情報保護に関するガイドライン/総務省
個人情報の保護に関する法律についての経済産業分野を対象としたガイドライン
/経済産業省
金融分野における個人情報保護ガイドライン/金融庁
財務省所管分野における事業者が講ずべき個人情報の保護に関する指針/財務省
個人情報の適正な取扱いを確保するために農林水産分野における事業者が
講ずべき措置に関するガイドライン/農林水産省
個人情報の保護に関するガイドラインについて/内閣府/全省庁のガイドラインの集約サイト
医療・介護・福祉分野の個人情報保護対応
企業の個人情報保護法対策
AllAbout個人情報保護と安全対策
AllAboput/企業のIT導入 ウチも個人情報取扱事業者?
個人情報ドットコム/ウェッブマスター用個人情報保護法解説
日本ダイレクトメール協会個人情報保護ガイドライン
東芝 個人情報保護指針
パイオニア梶@個人情報保護指針
日経BP社 個人情報保護指針
明治安田生命 個人情報保護指針
朝日新聞社 個人情報保護方針
日本光電工業褐ツ人情報保護指針
医療・介護・福祉分野の個人情報保護対応
医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン/厚生労働省/PDF
健康保険組合等における個人情報の適切な取扱いのためのガイドライン/厚生労働省/PDF
福祉関係事業者における個人情報の適切な取扱いのためのガイドライン/厚生労働省/PDF
厚生労働分野における個人情報の適切な取扱いのためのガイドライン等/厚生労働省
医療分野における個人情報保護について/厚生労働省
医療機関等における個人情報の保護に係る当面の取組について
医療情報システムの安全管理に関するガイドライン(案)/医療ネットワーク基盤検討会作業班ドラフト
個人情報保護法への医療機関の対応/対応方法の解説/全国保険医団体連合会
診療情報の提供に関する指針/厚生労働省
保健医療分野のプライバシーマーク付与認定制度/MEDIS
医療分野における個人情報の保護について/日本医師会
保護方針と周知の例
国立病院機構 名古屋医療センター > 個人情報保護について
国立成育医療センターにおける個人情報保護の方針について
国立がんセンター中央病院における個人情報の利用目的について
愛知県がんセンターにおける個人情報の保護に関する基本方針
聖路加国際病院における個人情報保護に関する基本方針/聖路加国際病院
個人情報保護方針/東邦大学医療センター
筑波技術技術大学保健科学部附属東西医学統合医療センターでの個人情報の
利用目的と基本指針等
個人情報保護に関する基本方針 /新田塚医療福祉センター
個人情報保護規程の参考例/健康福祉分野における個人情報取扱事業者用
| TOP |