あじさいネット
お問い合わせ よくある質問
ホーム 会員の皆さま 医療関係の皆さま 患者さま・ご家族の皆さま 賛助会員の皆さま
会長挨拶 あじさいネットとは 組織概要 参加施設一覧 視察・見学について

セキュリティポリシー (2016年7月1日 改正)

(目的)

第1条
本ポリシーは、特定非営利活動法人長崎地域医療連携ネットワークシステム協議会(以下「協議会」といいます。)とその情報利活用事業(以下、協議会事業といいます。)への参加申し込みを行った参加者・医療機関等・利用者・補助作業者に対して適用されます。
参加者・医療機関等・利用者・補助作業者は協議会事業への参加に関し本ポリシーの内容を十分に理解するとともにこれを誠実に遵守するものとします。

(用語)

第2条
本ポリシーにおいて、次の用語はそれぞれ次の意味で用いるものとします。
  1. 参加者等:

    協議会の趣意に賛同し参加申し込みを行ったもの(代理人を含む)、有効性のある情報共有の同意状態にあるもの、つながる安心カードなどの個人識別カード(以下「カード等」という。)の発行を受けたもの。

  2. 医療機関等:

    協議会に参加申し込みをした病医院、診療所、歯科診療所、薬局、介護施設またはこれらと協同して活動する行政機関・研究機関および当該機関から委託を受けて活動を行うもの、およびその代表者、本協議会の各種システムの利用資格を持つ団体のこと。

  3. 利用者:

    協議会事業に参加する医療機関等に従事する医師、歯科医師、 薬剤師、看護師、管理栄養士、理学療法士、作業療法士などの 医療福祉関係の専門職種。主に ISO17090(Health Informatics -Public Key Infrastructure)で定義された hcRole(healthcare Role) に表される職種で協議会が別に定める利用者規程に定めるもの を指す。

  4. 補助作業者:

    協議会事業に参加する医療機関等の従事者で、利用者以外の者のうち本協議会および当該医療機関等が利用者を補助するための入力作業等を行うことを認めた者を指す。

  5. 個人情報:

    生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日、その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。以下電磁的記録という)で作られる記録をいう。 以下、その他の記述等という)に記載され、若しくは記録され、又 は音声、動作その他の方法を用いて表されたく一切の事項をいう(個人識別符号を除く)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別するこ とができることとなるものを含む。)および、個人識別符号が含まれるもの。

  6. 個人識別符号:

    特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの、および個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しく は購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若 しくは購入者又は発行を受ける者を識別することができるもののうち、政令で定められているもの。

  7. ID・パスワード:

    協議会が運営する各種システム、およびサービスベンダーが提供するサービスシステムへのアクセスのために発行されるID・パスワー ドのことをいいます。

  8. カード等:

    個人を識別するために配布される個人識別符号を含む記名式の各種カードのこと。

  9. システム:

    協議会が運営する地域医療福祉情報連携のためのネットワーク基盤やポータルサイト、サービスシステムや暗号化通信装置のこと。

  10. 利用責任者:

    協議会事業への参加を申請し、ネットワーク基盤の設置が完了した医療機関等の代表者・責任者を指す。

  11. サポートセンター:

    協議会事業の運用に係る医療機関等、参加者等、利用者等の参 加・変更等の受付およびシステムへの設定業務、システムを構成する各機器、設備、ソフトウェア等に係る連絡調整業務、システムに関する相談、苦情等の受付と対応業務等を行う事務局。

(本ポリシーの変更)

第3条
協議会は第20 条に定める手順によって、参加者・利用者・医療機関等の承諾を得ることなく本ポリシーを各種法令・ガイドラインなどの変更時の対応などを含め、必要時に変更できるものとします。
変更等の通知については変更内容を協議会のホームページ上に掲載し、その効力は掲載された期日から発効するものとします。

(協議会からの通知)

第4条
本セキュリティポリシーは、協議会事業に参加する医療機関等および医療機関等の 利用者、参加者等及び本システムの運営と構築等に係わる団体、企業、法人等とその関係者に公開するものとし、協議会は、協議会ホームページへの掲載その他メーリングリストなど協議会が適切と判断する方法及び範囲で、必要となる事項を通知するものとします。

(事業内容とその委託など)

第5条
協議会事業の具体的な内容は、定款およびパンフレット等に定めるとおりとします。
協議会が利用者、参加者等に提供する協議会事業の内容又は提供条件を既存のものから変更した場合、利用者、参加者等は当該変更後の内容に基づき協議会事業に参画するものとします。
協議会は、事業の全部又は一部をクラウドサービス事業者等の第三者に委託することができるものとします。 この場合は、委託契約書に以下の措置を実施するものとします。
  1. 委託契約書には守秘事項を含むものとし、契約先の契約署名者は代表者とする。
  2. 委託契約書には、再委託先に関する事項を加えるものとする。
  3. 委託契約書の付帯条件として、サービス提供にあたって保障する品質と、事故・障害等 が発生した際の補償について明確にするものとする。
  4. 委託契約書には、再委託先に関する事項を加えるものとする。
前項の委託先が委託業務を外部に再委託する場合は、本ポリシーと同等の個人情報保護、安全管理に関する対策および契約がなされるものとする。
参加者等が協議会以外の他の地域において実施されている地域連携システムとの連携などを希望する場合は、あらかじめ当該地域との間での協定や契約などを設け、それらに基づき別途連携利用を行うものとします。

(責任者の選任と管理体制)

第6条
協議会は、事業全体の安全かつ責任ある運用を行うために下記の責任者の選任と 管理体制の構築をおこなうものとします。
  1. 事業管理者

    本協議会の会長をこれに充てる。 事業管理者は、協議会事業の円滑な推進を目的とし、協議会の事業の統括・管理を行う。

  2. 事業実施責任者の設置

    事業管理者が選任する本協議会の副会長をこれに充てる。 事業実施責任者は、正副の任命を妨げない。 事業実施責任者は、協議会事業の運営が円滑に執り行われるよう各種調整業務を行う。 事業実施責任者は、参加機関の登録に関する事務取扱を実施し、登録状況について事業管理者に報告する。

  3. 統括運用管理責任者の設置

    事業管理者が選任する専務理事をもってこれに充てる。 統括運用管理責任者は、正副の任命を妨げない。 協議会事業では長崎県下全域で事業を推進するために各地域にそれぞれ地域部会を設置し、その運用管理業務に責任を持つ地域部会運用管理責任者を置く。

  4. 地域部会運用管理責任者の設置

    協議会事業では長崎県下全域で事業を推進するため、各地域にそれぞれ地域部会を設置し、その運用管理業務に責任を持つ地域部会運用管理責任者を当該部会における互選にて任命するものとする。

  5. システム管理者の設置

    統括運用管理責任者は、本システムの安全かつ円滑な運用の実施責任をもつシステム管理者を任命するものとする。システム管理者は、正副もしくは複数の任命を妨げない。

  6. その他の責任者の設置

    統括運用管理責任者は、本システムの安全かつ円滑な運用の実施を行う、その他の責任者を任命するものとする。その他の責任者は、各々正副もしくは複数の任命を妨げない。責任分担の詳細については、運用管理規程にて別途定める。

統括運用管理責任者は、個人情報の取り扱いおよび本システムの運営等に関して、利用者、参加者等からの相談、苦情を受け付け、適切かつ迅速な対応を行うためサポートセンターを設置し、運営するものとする。
1)サポートセンターは、以下のサポート業務を行うものとする。
1.以下の問い合せへの対応
  • 本システムの利用に関する事項
  • 本システムの内容に関する事項
  • 本システムの利用者登録、変更、解消に関する事項
  • 本システムの障害に関する事項
  • 本システムの操作に関する事項
  • 個人情報の保護、取扱いに関する事項
2.以下の実施
  • 本システムの利用者登録、変更、解消
  • 利用者向け個人情報の保護、安全管理に関する教育
  • 利用者向けシステム利用に関する教育
2)サポートセンターの場所、対応日時等
相談窓口名称あじさいネット事務局(長崎県医師会内)
住所〒852-8532 長崎県長崎市茂里町 3-27
電話番号095-844-1111
FAX095-844-1110
メールaj-na@nagasaki.med.or.jp
対応時間9:00~17:00
(除く土日、祝日および年末年始、その他休業日)
統括運用管理責任者は、緊急時および災害時の連絡、復旧体制等を定め、文書化し、運用管理に携わる関係者に周知をするものとする。
統括運用管理責任者は、本システムの取り扱いについてマニュアルを整備し、運用管理に携わる関係者に周知を行うものとする。
統括運用管理責任者は、本システムの運用に携わる関係者に個人情報の保護に関する教育を行うものとする。
統括運用管理責任者は、本システムを利用する医療機関等の責任者がその所属員に行 う個人情報保護および安全管理に関する教育に関し、協力の依頼があった場合はこれに協力するものとする。
統括運用管理責任者は、本システムに係わる各地域における運用について運用管理規 程などを整備し、安全かつ円滑な運用を図るものとする。事業全体に係わる運用管理規程などについては、別途定めるものとする。

(情報の取り扱いおよび利用範囲)

第7条
本システムが保存する情報は、複製情報として取り扱うものとし、情報の原本は医療機関等が法令等に従い別途管理するものとする。
本システムが保存する複製情報の内容は、医療機関等において、その完全性、正確性、 適用性、有用性等のいかなる面からの保証をするものではないものとし、最終的な臨床的な 診療判断の根拠としてはならない。
本システムが保存する情報のほかに流通させる情報は、医療機関等においてその完全性、正確性、適用性、有用性等のいかなる面からの保証をするものではないものであり、医療機 関等間での最終的な臨床的な診療判断の根拠としてはならない。また、当該情報が利用を 継続できなかったことに起因する医療機関等間における法的責任が発生した場合であっても、 協議会は一切その責任を負わないものとします。
前項によらず、本システムの暗号化ネットワーク上で稼働する医薬品医療機器等法の承認を受けたシステムにおいて運用されるものに関しては本ポリシーによらず、当該法認定要 件によるものとする。
本システムで収集した情報は、本協議会が別に定める個人情報保護指針における利用目的に使うことができるものとする。

(協議会事業への参加と解除)

第8条
協議会事業への参加または解除を希望する者は、参加または解除のための所定の様式に必要事項を記載し協議会へ申請するものとします。
協議会は前項の文書を受領した場合は、所定の手順によって参加登録または解除を行うこととします。 ただし、参加者の解除の場合は個人情報としての医療機関等からのアクセス権をすべて解除するものとします。その場合も第17条第2項によって開示される情報は除外されます。
協議会は、本ポリシーにかかわらず、次のいずれかに該当する場合には、参加登録を行わない場合があります。
  1. 参加希望者が、処分等の事由によって過去に参加登録を解除された事実があるとき
  2. 参加申込書に虚偽の記載、誤記があったとき又は記入漏れがあったとき
  3. 参加申込書を提出した者が金銭債務の履行を怠るおそれがあるとき
  4. 法人等の団体の職員が代表者の同意を得ずに参加申込を行ったとき
  5. 協議会が 運営するシステムの利用が申請者における環境上の理由や業務上あるいは技術上 著しく困難であると協議会が判断したとき
  6. その他、協議会が不適当と判断したとき

(権利義務譲渡の禁止)

第9条
参加者・医療機関等・利用者は本ポリシー及び参加事業の権利又は義務全部若しくは一部を他に譲渡してはならないものとします。

(ネットワーク基盤の導入・維持)

第10条
協議会は、参加者・医療機関等が協議会事業に参加するにあたり必要な環境を構築するために、参加者・医療機関等の保有する通信環境について調査・検討し、ネットワーク 基盤を導入・維持の補助を行うものとします。ただし、参加者・医療機関等の保有する環境の変更や、その環境要因によって生じるネットワーク基盤の改造、変更、追加の義務を負わな いものとします。

(一時的な中断)

第11条
協議会は、次の場合には、参加者・医療機関等への事前の通知又は承諾を要することなく、協議会事業を中断することができるものとします。
  1. 協議会事業の実施に必要な設備の故障等により保守を行う場合
  2. 運用上又は技術上の理由でやむを得ない場合
  3. その他天災地変等不可抗力により協議会事業が継続できない場合
前項に定める事由により協議会事業を継続できなかったことに起因して参加者・医療機関等・利用者が損害および法的責任を被った場合であっても、協議会は一切その責任を負わないものとします。

(会費等)

第12条
協議会運営に係る会費(以下「会費」といいます。) は、協議会が別に定める利用者規程に記載のとおりとします。

(医療機関等の義務・責務)

第13条
医療機関等の代表者である利用責任者は、当該組織に所属する各種システムを利用する資格を持つ者に対して、本ポリシーに定める事項を周知徹底し、遵守させるものとしま す。また、当該組織の関係者等による本ポリシーの違反につき、協議会に対して責任を負うものとします。
医療機関等がネットワーク基盤を利用するに際しては、著作権法(昭和45年法律第48号)及び個人情報保護条例および法、ならびに本協議会が別に定める個人情報保護指針に定める法令・ガイドラインその他規範を遵守しなければなりません。
医療機関等は,ネットワーク基盤を通じて入手した情報について,適正な利用に努めなければなりません。
医療機関等はネットワーク基盤に接続する端末には、セキュリティーを維持するために協議会が提供するウイルス対策ソフトを導入し、常に最新のウイルス定義に更新しなければなりません。

(登録内容の変更)

第14条
参加者・医療機関等・利用者が申し込み時に申請した登録内容について変更が生じた場合、協議会の定める方法により遅滞なく通知するものとします。

(禁止行為)

第15条
参加者・医療機関等・利用者は、協議会事業への参加にあたり、次の各号に定める行為をしてはならないものとします。
  1. 協議会事業に関する情報の改竄行為や他の者になりすまして本サービスを利用する行為
  2. 各種法令やガイドラインにおいて禁止されている不法行為や公序良俗に反する行為
  3. 本人の同意を得ることなく又は詐欺的な手段により第三者又は協議会の保有する情報を収集する行為
  4. 協議会の事業の実施を妨げる行為や第三者又は委託先等の著作権その他の知的財産権を侵害する行為
  5. 営業活動その他営利を目的とする行為や許可されない第三者を事業に参加させる行為(書面により協議会が事前に承諾した場合を除きます。)
  6. 協議会が発行するID・パスワードを利用者本人以外の者に共同で利用させる行為
  7. ネットワークを通じて入手した情報について,あらかじめ協議会が承認した場合を除いて許可なく複製・公開・提供すること(学会・論文などへの発表・投稿等を含む)
  8. 協議会の信用を傷つけ、又は協議会に損害を与える行為やその他、協議会が不適切と判断した行為

(違反行為に対する措置)

第16条
協議会は参加者・医療機関等・利用者が、その義務・責任の遵守を行わなかった場合、又は禁止行為を繰り返す場合はID・パスワードの取り消しを行い、所定の手続きにより当該参加者・医療機関等・利用者の協議会事業への参加を強制的に解除できるものとします。

(機密保持)

第17条
協議会は、協議会事業実施に際して参加者・医療機関等・利用者等から提供された個人の情報であって、当該個人が機密である旨を通知したもの(以下「機密情報」といいます。)について、 善良なる管理者の意をもってその機密を保持するものとし、協議会事業の従事する者に使用させる場合を除き、機密情報を開示しないものとします。
前項にかかわらず次の各号に該当する資料及び情報は機密情報に含まれないものとします。
  1. 既に公知のもの又は協議会の責に帰することのできない事由により公知となったもの
  2. 既に協議会が保有している統計・解析結果に含まれているもの
  3. 協議会が守秘義務を負うことなく第三者から正当に入手した情報
  4. 協議会が参加者から書面により開示を承諾されたもの
  5. 協議会によって所定の方法で匿名化利用するもの
協議会は、参加者から提供を受けた機密情報を、事業を実施するために必要な範囲に限り使用、複製することができるものとします。また、機密情報の改変が必要なときは、事前に参加者から承諾を得るものとします。
本条の機密保持義務は、参加が解除された後も5年間継続するものとします。

(個人情報)

第18条
協議会は、個人情報を「個人情報保護方針」に基づき管理するものとし、協議会事業の実施のために使用する場合を除きそれらの個人情報を第三者に開示しないものとします。
前項にかかわらず、次の各号に該当する場合、参加者から個別の同意を得ることなく個人情報を 開示することができるものとします。
  1. 協議会が事業を実施するために必要な業務を第三者に委託するに際し、当該委託先に開示する場合
  2. 協議会が事業の成果向上を検討するために必要な範囲で、集計及び分析を第三者に委託するに際し、当該委託先に開示する場合
  3. 協議会が個人情報及び集計及び分析等により得られた統計データを、個人を識別又は特定できない状態で協議会の委託先その他の第三者に開示する場合
  4. 裁判所又は監督官庁等の行政機関から法令の定めるところに従い個人情報の開示を要求された場合
協議会は、前項に基づき個人情報を開示する場合、開示する個人情報を開示目的の実現に最低限必要な範囲に限定するとともに前項第3号及び第4号の場合を除き、開示する相手方に対し本条により協議会が負うのと同等の義務を課し、開示の範囲などの記録を文書にて残すものとします。
当協議会が個人情報に基づく個人データを第三者に提供したときの記録事項は、第2項の各号を除き、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める事項とします。
(1)オプトアウト手続により個人データを第三者に提供した場合
  1. 協議会当該個人データを提供した年月日
  2. 当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)
  3. 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
  4. 当該個人データの項目
(2)個人データを本人の同意を得て第三者に提供した場合
  1. 本人の同意を得ている旨
  2. 上記(ア)②~④の事項
前項の定めによらず、あらかじめ本人の同意を書面にて得ている場合、当該作成された書面に前項の定める事項が記載されている場合は、当該書面をもって当該事項に関する情報提供の記録に代えることができるものとする。
個人データを第三者に提供したときの記録の保存期間は最後に当該記録に係る個人データの提供を行った日から起算して3年を経過する日までの間とする。
本条第1項にかかわらず、協議会は、個人情報の集計及び分析等により得られた統計データについて、個人を識別又は特定できない匿名加工情報に加工したうえで協議会事業に利用(第三者への開示を含みます。)することができるものとします。また、当該匿名加工情報の取扱いに関する規程 類を別に整備し、当該規程類に従って加工方法等情報を適切に取り扱うとともに、その取扱いの状況について評価を行い、その結果に基づき改善を図るために必要な措置を講じます。

(責任の範囲)

第19条
協議会は、取り扱う情報に関して各種法令・ガイドライン等に基づき善良なる管理者の意をもって管理します。
協議会は、協議会事業における情報の利用あるいは利用不能から生じる損害に関して一切の責任を負わないものとします。
参加者・医療機関等・利用者が協議会事業のシステム利用によって第三者に損害を与えた場合、又は第三者との間で紛争が生じた場合は、自己の責任と費用をもって処理解決する ものとします。なお、参加者・医療機関等・利用者が本サービスの利用に伴い第三者から損害を受けた場合も同様とします。

(ポリシーの変更手順)

第20条
本ポリシーの変更は統括運用管理責任者または事業実施責任者が実施し、運営 委員会において取り扱い、事業管理者の承認を得なければなりません。
事業管理者は、システムの機能、運用状況等に問題がある場合には、必要な是正の実施および予防の実施を行うため、事前の了解なく本セキュリティポリシーを見直しすることがで きるものとする。

(監査体制)

第21条
事業管理者は、本ポリシーおよび管理運用規程、利用者規則などの運用ルール等への準拠性に対する内部監査を実施し、必要に応じて外部監査を実施するものとする。
監査の実施にあたっては、別途定める情報セキュリティ監査実施要綱によるものとする。

(その他)

第22条
協議会事業の区域は日本国内とし、本ポリシー及び事業の利用契約の成立、効力、解釈 及び履行については日本法に準拠するものとします。

(管轄裁判所)

第23条
本ポリシー及び協議会事業に関する一切の紛争は長崎地方裁判所を第一審の専属的合意管轄裁判所として処理するものとします。

《 附則 》

 
本ポリシーは平成28年7月1日から実施するものとします。