0.閲覧性を高める工夫は重要
運用する際にも、審査を受ける際にも、MS文書の閲覧性が高いことは非常に重要です。必要な文書がすぐに取り出せないと、日常運用に支障をきたすばかりでなく、審査にも不利となる場合があります(実運用されているか疑われる)。申請の前に、以下の観点で見直してみてください。
□ PMS文書はしっかりしたバインダーに綴じて1冊(複数になっても可)にまとめられている
□ 個人情報保護体制を維持するための全ての文書(様式を含む)が見渡せる文書の一覧(MS文書マップ)がある
□ 必要な規程類がすぐに取り出せるように、ラベルを付けるなど閲覧性を高める工夫がされている
□ PMS文書の内容は様式7でチェックしましょう
保健医療福祉分野のプライバシーマークの申請には、JIS Q 15001及び保健医療福祉分野のプライバシーマーク認定指針に準拠したマネジメントシステムを定めていることが条件です
保健医療福祉分野のプライバシーマーク付与適格性審査に必要な申請書類は、下記の通りです。新規申請と更新申請に必要な書類は同じですが、様式12は更新申請時のみご提出下さい(新規申請時は不要)。
1.申請書
1.12 個人情報の取扱状況報告書(更新時)(様式2006-12)
※様式1〜7及び12に関しては電子ファイル(PDF形式以外が望ましい)でも提出してください(FD、CDなど)(必須)
●申請書一括ダウンロードはこちら⇒ (様式2006-0〜2006-12) ※ZIP形式で圧縮してあります
2.その他の文書
2.3 役員名簿
2.6 JIS 要求事項との対応表(様式2006-7)の「使用する様式」欄に記載した全ての様式
2.7 情報システムの概要を示す資料(システム構成図、ネットワーク構成図等)
3.運用に係る記録類
*全てではなく抜粋でも可
注意
- 様式がある申請書類については、可能な範囲で、電子媒体(FD、CD等)でも提出してください。なお、各様式の【記載上の注意】は、提出する際は削除してください。
- 格納する形式は、Word形式またはEXCEL形式を用いてください。電子メールの添付ファイルによる提出は不可とします。
- 教育実施記録、監査実施記録については、当該記録及び報告書のコピーの提出でこれに代えることが出来ます。
- 様式2006-11については明らかに保健医療福祉分野の事業者である場合(医療機関、健診センター、介護施設等)は提出不要です。不明な場合はお問い合わせ下さい
保健医療福祉分野のプライバシーマーク付与の認定を受けようとする事業者は、申請書類を以下の一般財団法人医療情報システム開発センターの受付窓口に郵送(配送記録が残る手段を利用してください)または持参します。
|
〒162-0825 TEL: 03-3267-1925 FAX: 03-3267-1926 |
- 申請の前に、プライバシーマーク制度設置及び運営要領を必ず一読願います。
- 当財団が定めるプライバシーマーク付与適格性審査に関する約款を承認の上、 申請願います。
- 申請に当たっては、申請内容に関する審査等の経費としての申請料が、審査結果の可否にかかわらず必要です。
- 新規申請の場合、マネジメントシステムが申請までに少なくとも1ヶ月以上実際に運用されていることが必要です。教育履歴、監査報告書などの諸記録については、その期間内にとられたものをご提出ください。
1)受理(チェック)
申請受付窓口及び郵送等で受領した申請書類については、申請書類の不足及び記載漏れを確認した後、受理するか否かを決定します(形式審査)。 形式審査で不備があり申請書類を返却した場合でも申請料は発生します。
受理連絡と同時に請求書を送付しますので、プライバシーマーク申請料及び審査料を、指定の口座に速やかに振り込んでください。費用の振り込みのない間、審査を中止することが出来るものとします。
2)書類審査
申請料及び審査料の振り込みを確認した後、審査を開始します。
受理された申請書類の記載内容等に関して、コンプライアンス・プログラム(CP)等の個人情報保護の行動指針を定めた規程類の整備状況、それらの規程類に準じた体制整備状況の視点から審査を行います。
*書類審査の結果については現地審査時に確認します。現地審査前に結果を通知することは原則としてありません。
基本的には、先に示した 「プライバシーマークの付与を申請できる事業者」 としての2つの条件を満たしていることが必要ですが、特に下記の事項については重要な条件となります。
- 個人情報の管理者が指名され、個人情報保護についての組織内の責任、 役割分担が明確である等、個人情報を適切に取り扱う体制が整備されていること。
- 申請までに年1回以上、コンプライアンス・プログラム(CP)の周知徹底の措置 (教育、研修等)を実施ていること。
- 申請までに1回以上、事業者内部の個人情報の保護の状況を検査(監査および代表者による見直し)していること。
- 当該者に係る個人情報保護に関する相談窓口が常設され、かつそれが患者様等に明示されていること。
- 当該者が有する個人情報について、外部からの侵入又は内部からの漏えいが発生しないよう適正な安全措置を講じていること。
- 組織外部への個人情報の提供、取扱いの委託を行う際には、 責任分担や守秘に係る契約を締結する等、 個人情報について適切な保護が講じられるよう措置していること。
審査に際して生じた疑義については、別途必要な資料の提供を求めることもあります。
申請事業者に対して現地審査を実施します(事前にスケジュール調整をいたします)。
現地審査は、書類上の審査において生じた疑義の確認、およびコンプライアンス・プログラム(CP) の通りに体制が整備され、運用しているか等について確認するために行うものです。
複数の事業所がある場合は、個人情報の取扱いが異なる事業所について実施します。例えばチェーン薬局等では個人情報の取扱いは薬局により異なることはないはずですので、1つの薬局を調査します。調査場所については距離等を勘案して事前にご相談します。
現地審査に係る交通費、宿泊費等については、請求書を送付しますので、速やかに指定の口座に振り込んでください。現地審査は、原則として2名の審査員で伺います。従って、現地審査に係る交通費、宿泊費等は二人分をご請求します。2名以上で行く場合もありますが、請求は2名分のみの請求になります。
交通費、宿泊費については「プライバシーマーク付与適格性審査に係る現地審査の旅費に関する規則」を適用します。
現地審査に係る費用の振り込みのない間、審査を中止することが出来るものとします。
現地審査の流れ
現地審査は基本的に以下の流れで行われます。
調査時間は申請者の規模に応じて異なりますが概ね半日〜1日です(移動が必要な場合は複数日になる場合もあります)。
1.代表者へのインタビュー
- 業務内容/経営方針
- プライバシーマーク申請のきっかけ
- 個人情報保護方針とその周知方法
- 個人情報保護管理者・監査責任者の任命の方法
- マネジメントレビュー(管理体制について)
- その他
2.運用状況の確認(申請担当者、個人情報保護管理者、監査責任者等へのヒアリング )
- 書類審査における不明点の確認
- 個人情報の特定と取扱の手順
- 教育・訓練の方法と結果
- 監査の方法と結果
- 外部委託業務について
- リスクの認識と処理(ネットワークセキュリティ等の確認)
- 情報主体からの要求に対する対応
- 病院情報システム、電子保存の三原則に対する対応状況など
3.現場確認(組織内で個人情報を取り扱っている全ての部署の実施状況を確認)
- 個人情報保護方針の周知
- インハウス情報の管理
- 新規・再来受付、外来受付、診察室、ナースステーション、病棟、病歴室、その他
- 入退管理
- 鍵管理
- 病院情報システムの状況(電子カルテ、オーダリングシステム等)
- 障害対応
- バックアップ媒体、記録媒体の管理
- アクセス制御、アクセスログ
- セキュリティ対策
4.総括
講評と指摘事項等
決定結果は、申請者に対してプライバシーマーク付与申請審査結果の通知によって行います。
審査の結果、改善要望事項がある場合は、文書でその旨を通知しますので指摘事項の改善確認後、合格となります。
- 3)の書類審査の結果を現地審査前に通知することは原則としてありません(現地審査時に確認します)。
- 6)〜7)の業務は付与機関(JIPDEC)が行います。付与機関の指示に従ってください。
- 現地審査は原則として1度のみです。現地審査後指摘された事項についての確認は書類で行います。
- 指摘事項への回答は、原則として指摘事項通知後3ヶ月以内にお願いいたします。
- 否認決定(不合格)を受けた申請者は、当該否認決定の日から3か月以内に、その理由となった事項について改善のための措置を講じ再審査の請求をすることができます。ただし、1つの申請について1回が限度です。
申請書類提出後および認定後に、申請された事項に変更がある場合は、すみやかに指定審査機関への報告が必要です。報告は、以下のとおり、様式を作成・捺印の上、下記宛送付してください
<変更報告が必要な事項>
1.事業者名
2.登記上の本店所在地
3.代表者
4.個人情報保護管理者
5.個人情報保護監査責任者
6.申請担当者/申請担当者連絡先
なお、1〜3の事項については、登記簿謄本を添付の上提出してください。
変更申請書様式)
■ 様式「プライバシーマーク付与に係る変更報告書」(様式例13:doc形式)
|
〒162-0825 TEL: 03-3267-1925 FAX: 03-3267-1926 |