プライバシーポリシー

1章 はじめに

本規程は、「個人情報の保護に関する法律」(平成15年法律57号、以下「本法」)に基づき、株式会社リメディア(以下、「リメディア」という)が行う個人情報の適正な取扱いの確保に関する活動を支援するための指針として定めたものである。
個人情報の取扱いについては、本法第3条において「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものである」とされていることを踏まえ、個人情報の重要性を十分に認識し、日頃の業務活動での適正な運用を図らなければならない。
さらに、本規程による運用に当たっては、本法、個人情報の保護に関する基本方針(平成16年4月2日閣議決定)、省庁のガイドライン及び関連法規制(付録1参照)の趣旨を十分に理解し、個人情報の適正な取扱いに取り組む必要がある。

2章 個人情報とは

1.個人情報とは

個人情報とは、公にされているか否かを問わず生存する個人を特定できる情報すべてを言う。氏名、生年月日、その他当該個人を識別できる一切の情報(他の資料と容易に照合することができ、それにより特定の個人の識別が可能となるものを含む)がこれに該当し、映像や音声もこれに含まれる。なお、匿名化を図った被験者の情報も、非匿名化された時のことを考慮し、個人情報として取り扱う。個人情報か否か判断に迷う場合、個人情報と判断して取り扱った方がコンプライアンス上安全となる。

2.個人情報の種類

個人情報保護法では、個人情報を図1のように3つに分けている。個人情報の概念がもっとも広く、その中に個人データ、さらにその中に保有個人データがある。
このように分類しているのは、個人情報保護法ではそれぞれ個人情報取扱事業者の義務が異なるからである。
最も義務が重いものが保有個人データである。
個人データとは、個人情報データベースの構成要素を言う。例えば名刺情報はそのままでは個人情報であるが、これを整理分類した名刺台帳(電子ファイルか否かに関わらず)を作成すれば個人データとなる。
保有個人データとは、情報取扱事業者が情報主体から収集した個人情報のことを言う。情報取扱事業者は、情報主体(情報提供者)からの情報の開示、内容の訂正・追加・削除、利用の停止・消去、第三者への提供の停止の全てに応じることができる権限を有しているが、それだけ義務が重くなっている。

表1 リメディアの個人情報例
個人情報の種類
保有個人データ ・リメディアが直接情報収集を行った個人情報
・従業員の情報
個人データ 上記に加えて
・市販されている本などの情報から入力した個人情報
・お客様が収集し、預託された個人情報
個人情報 上記に加えて
・整理されていない名刺
・電子メールアドレス

(注1)名刺をアイウエオ順に並び替えると個人データとなる。

3.個人情報の種別管理義務

個人情報保護法上での個人情報取扱事業者に課せられた管理義務を個人情報種別ごとに示した。具体的な取扱いについては2章以降に記載するが、法律上の理解も不可欠である(平成15年法律第57号)。

(1) 個人情報

  1. 利用目的をできる限り具体的に特定しなければならない。
  2. 情報主体(情報提供者)の同意なしに目的外の利用をしてはならない。
  3. 偽り・不正な手段により取得してはならない。
  4. 取得したら利用目的を情報主体に通知・公表しなければならない。

(2) 個人データ

上記(1)に加えさらに次の義務が課せられます。

  1. 正確かつ最新の情報に保つよう努めなければならない。
  2. 安全管理のために必要な措置を講じなければならない。
  3. 従業者に対する監督を講じなければならない。
  4. 委託先に対する監督を講じなければならない。
  5. 本人の同意なく第三者提供をしてはならない。

(3) 保有個人データ

上記(1)、(2)に加えさらに次の義務が課せられます。

  1. 利用目的等を本人に知り得る状態に置かなければならない。
  2. 本人の求めに応じて情報を開示しなければならない。
  3. 本人の求めに応じて情報の訂正等をしなければならない。
  4. 本人の求めに応じて情報の利用停止等をしなければならない。
  5. 本人の求めた措置をしない理由等の説明に努めなければならない。
  6. 開示等の求めを受け付ける方法を定める時は本人の負担に配慮しなければならない。
  7. 開示等の手数料は実費を勘案した合理的な範囲で定めなければならない。

4.本規程が対象とする個人情報

当規程では個人情報を、次のように分類して取扱い方針を定める。

表2 リメディアの個人情報分類
取扱い分類 レベルの定義
分類1 個人が管理している個人データに該当しない個人情報 名刺、アドレス帳、携帯電話内の電話番号など
分類2 組織で管理している個人データに該当しない個人情報 人事関連書類等
分類3 保有個人データに該当しない個人データ 顧客からの預託個人情報など(治験責任医師等の履歴書を含む)
分類4 保有個人データ リメディアが収集した個人情報(職務経歴書を含む)、第三者提供を受けた個人情報など

5.本規程の適用範囲

以下、本規程で個人情報とは、管理の対象となる分類2~4(表2)を指すが、分類1の個人情報であってもできるだけ本規程に沿って取扱うことが望ましい。

3章 日常業務での個人情報の取扱い

ここでは、個人配布のパソコンのパスワード設定等予め環境が設定されているものを除き、個人情報を取扱う上で必要とされる行動規範をまとめる。
ただし、SOPで規定している項目についてはSOPに従うこととし、個人情報管理台帳への記入等は不要とする。

1.個人情報を扱う関係者は以下のことを実行する

(1)個人情報の管理

各部門ごとに個人情報管理台帳に必要事項を記入し、各部門の管理担当部署で保管する。ここで取扱っている個人情報の種類を特定することになる。

(2)個人情報の持ち出し

個人情報を記録したコンピュータ可読媒体(フロッピーディスク、CD-ROM、MOディスク、メモリースティック等)、個人情報を印刷・記録した媒体は、外部に持ち出す際は、個人情報保護業務責任者の許可を受ける。自宅で作業する場合も同様である。

(3)個人情報の送付

十分な注意を払う。

(4)個人情報の複製、コピーの禁止

個人情報のコンピュータ可読媒体(フロッピ、CD-ROM、MOディスク、メモリーステッィク等)への記録、印刷は、必要な場合を除き行わない。必要な場合は、当該個人情報保護業務責任者・責任者(各部署の部長)のいずれかの了承を得るものとする。

(5)個人情報の施錠管理

個人情報を記載または記録した紙媒体、コンピュータ可読媒体は、キャビネット、机の引き出し等に保管した上で、人目につかないように施錠管理する。

(6)個人情報の開示制限

リメディアの社員だからと言って、安易に個人情報を開示してはならない。必ず当該個人情報管理責任者の了承を得るものとする。開示した場合には開示先を個人情報管理台帳に記録する。特に関係会社間であっても、別々の会社(第三者)であることを意識する必要がある。

(7)個人情報の個人使用のパソコンでの保管・保存の禁止

個人情報はアクセス管理が施されセキュアなクラウド上に保管・保存する。
また、業務で必要とする場合は、保管・保存期間を当該個人情報保護業務責任者に申請し、許可を得たパソコンにのみ保管・保存できることとする。終了後は速やかに消去し、当該個人情報保護業務責任者に報告する。

(8)個人情報のバックアップ

個人情報が格納されているクラウドの管理責任者または当該個人情報保護担当者は、バックアップのサイクル、メディア等を定めバックアップをとる。ただし、顧客から預託された個人情報は、複製の作成を禁ずる場合もあるので顧客との契約内容や顧客の指示に従う。バックアップメディアは、クラウドの管理責任者または当該個人情報保護担当者が保管する。またサーバの管理責任者または当該個人情報保護担当者は定期的にバックアップから復元テストを行う。

(9)個人情報の廃棄

  1. 少量の紙媒体は溶解ボックスに廃棄、または、裁断機処理により廃棄する。
  2. コンピュータ可読の記録媒体(備え付けのハードディスクを含む)は、記録し廃棄する。

(10)個人情報の漏洩等事故発生時の対応

個人情報取扱事業者は、個人情報漏洩等の事故があった場合、監督管理官庁に報告しなければならない。これを怠ると事故が発覚した際より大きな問題となり、事態を収拾できなくなる恐れがある。
まず、当該個人情報保護業務責任者(不在の場合は、所属長)に報告し、その指示に従う。個人情報保護業務責任者は、速やかに個人情報保護管理者に連絡する。

(11)個人情報の取扱いに対する疑義がある場合

このような場合は、個人情報保護管理者に相談する。

(12) 離席時の注意点

個人情報が当該コンピュータに格納されているか否かにかかわらず、個人情報を取扱う関係者が使うコンピュータには、パスワード付スクリーンセーバーをセットし、離席時には必ず立ち上げる。

(13) 怪しいメール等を受信した際の注意点

文字化けしている、誰から来たかわからない、使ったことのないファイルが添付されているなどのメールは削除する(ごみ箱からも削除)。

2.組織として次のことを実行する

  1. 個人情報のクラウドへのアクセス権は、個人情報保護業務責任者が許可する。
  2. 個人情報のクラウドへのアクセス権は必要最小限の範囲に留める。
  3. 個人情報のクラウドへのアクセス権は、常に最新の状態を保ち異動、退職等があった場合、速やかに修正する。
  4. 個人情報の管理責任者とクラウドの管理責任者は、できる限り分離する。
  5. クラウドの個人情報へのアクセスログを取る。
  6. ログへのアクセス権は限定し、通常は個人情報保護業務責任者以上の個人情報に対する責任権限のある人に留める。
  7. 個人情報保護業務責任者は、管理が適切に行われているか適宜チェックをする。
  8. 苦情受付窓口を総務部に設置し、情報主体者から代表電話やホームページに入る苦情に対する1次受付窓口を設ける。実際の内容の問合せ、今後の措置などに対する対応は各業務担当者が対応する。

個人情報の廃棄は以下の定められたルールに従って行う。

  1. 廃棄を依頼された紙媒体の個人情報は、直接廃棄業者に手渡し、その結果を記録し保管する。
  2. 廃棄を依頼されたコンピュータ可読媒体の個人情報は消去するか、媒体そのものを破壊した後、廃棄する。また、個人情報廃棄シートにその結果を記録し保管する。

この他、安全管理措置として専任組織が情報セキュリティの為に実施するものは、この規程から省く。例えば入退館の管理、外部からのネットワークへの侵入を防ぐ為の措置や勤務者に対する情報セキュリティ教育の実施とその記録、内部監査の実施とその記録などがこれに該当する。

4章 業務の受託

ここでは、個人情報を取扱う受託業務の際、リメディアの立場から顧客と取り交わす契約書に盛り込むべき事柄を中心に述べる。リメディアが業務を外部に委託する場合の必要事項は8章を参照。

1.個人情報取扱いにおける委託者と受託者の責任範囲を明確化する

リメディアが受託した業務を遂行するパターンによって個人情報の管理義務が異なるので、各業務の契約書及び手順書を参考にすることとする。

2.原則として顧客に個人を特定できる個人情報を提供してはならない

職務経歴書等の個人情報を顧客に提供する場合は、SOPに従って提供することとする。

3.個人情報の安全管理を行う

通常はこのガイドラインに沿った行動を確実にとっていれば問題ないはずであるが、顧客が自分たちにとってのみ都合の良い無理な要求が出されていないかの注意は必要である。
最近は個人情報に限らず情報セキュリティ全般に関する対応についても、説明やその資料の提出を求められたりするので注意が必要である。

4.委託元が監査を行う場合、監査内容等を確認する

  1. 監査の内容
  2. 監査の方法
  3. 監査の時期
  4. リメディアへの通知と事前承諾

5.顧客が保有個人データの取扱い義務を果たしているか確認する

顧客から個人情報の預託を受ける場合は、顧客が保有個人データの取扱い義務を果たしているか確認する。

  1. 利用目的を具体的に特定し、情報主体に伝えているか?
  2. 利用目的外の利用とならないか?
  3. 利用目的外利用の場合、情報主体に通知または同意を得ているか?
  4. 偽り・不正な手段で個人情報を取得していないか?

上記の個人情報取扱事業者としての義務は委託元にあるが、これを確認しないまま業務を実施した場合、情報主体、委託元、リメディアとの間のトラブルの元となるので注意が必要である。顧客からの預託の場合、利用目的外の利用とならないか否かを確認する。

5章 個人情報の収集

1.個人情報を収集する場合には、情報主体に対し次の事項を通知する

  1. 社名、担当者名とその所属先名、連絡先
  2. 実施前に利用目的をできるだけ明確に特定する。

2.偽り・不正な手段で個人情報を取得しない

利用目的を偽ったり、個人情報を盗むなど不正な手段で個人情報を収集してはならない。また、十分な判断能力を持たない子供から親の個人情報を収集することも禁止する。

3.特定機微な個人情報を収集しない

特定機微な情報とは、思想、人種、民族、本籍地(所在都道府県に関する情報を除く)、身体・精神障害、犯罪歴などその情報を知られることで情報主体が不利益を被ることがあったり、不快感等を感じる情報のことである。ただし、本人の同意を得ているか、または司法手続き上必要不可欠な場合はこの限りではない。

4.当初の利用目的外の利用をする場合は、情報主体の同意を得る

ただし、法施行前に同意を取っていれば、法施行後、改めて同意を取る必要はない。入手した名刺を使って商品紹介のダイレクトメールを送付するのは目的外利用と考えられることもあるので注意が必要である。
社員の個人情報を顧客の要求に従って提出する場合も利用目的外の利用である。

5.第三者から個人情報の提供を受ける場合、情報主体に対し必要事項を通知・公表する

医療機関名簿や医師名簿、官報あるいは本人が公開しているWebから個人情報を間接的に収集する場合は、第三者提供を受けたことになるが、この場合、あらかじめ利用目的を情報主体に知らせていないので、収集後速やかに以下の内容について以下の措置をとる。

  1. 通知・公表内容
    • 第三者への提供を利用目的とすること
    • 第三者に提供される個人データの項目
    • 第三者への提供の手段または方法
    • 情報主体の求めに応じて、当該本人が識別される個人データの第三者への提供を停止すること
  2. 通知・公表方法
    • 文書または口頭で情報主体に通知する。

6.個人情報の収集等を第三者に委託する場合

第8章を参照。

6章 個人データの取扱い

1.個人情報は、必要な範囲内において正確かつ最新の情報に保つよう努める

個人情報取扱事業者としては当然のことである。例えば、特別な場合を除き数年前の医療機関名簿や医師名簿等、官報等から作成した個人データを使って再集計したり、アンケート調査票を送ったりしないということである。

2.第三者提供をする場合、情報主体の同意を取る

ただし、法律で許された事項(法の第23条をお読みください)に当たる場合や、法施行前に同意を取っていれば、法施行後改めて同意を取る必要はない。
第三者提供に当たるものには次のようなものがある。
個人情報保護法では、同意を得なくても以下の事項を通知・公表すればよいことになっている。

  • 第三者への提供を利用目的とすること
  • 第三者に提供される個人データの項目
  • 第三者への提供の手段または方法

情報主体の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。ただし、次の場合は第三者提供に当たらないので情報主体の同意を得る必要はない。

委託先 資料、成果物等の配達を宅配業者に依頼する場合
弁護士に相談する場合
共同利用者 グループ企業間で利用目的の範囲内で個人データを共同利用する場合
事業の承継者 合併等で事業を承継することにより、新会社に個人データを渡す場合
営業譲渡により譲渡先に個人データを渡す場合

3.共同利用の場合、情報主体の同意を得る必要はないが、通知をする必要がある

利用される個人データの項目、共同利用する者の範囲、目的、個人データの管理責任者名について、情報主体が容易に知り得る状態に置くか、情報主体に通知しなければならない。

7章 保有個人データの取扱い

1.利用目的等以下の情報を情報主体が知り得る状態に置く

個人情報取扱事業者名

  1. 利用目的
  2. 開示等求めの手続き
    ①利用目的の通知
    ②個人情報の開示
    ③個人情報内容の訂正・追加・削除
    ④利用停止または消去
    ⑤第三者への提供の停止
  3. 苦情窓口

このうち2.①、②は5章1.で個人情報収集時に情報主体に通知することになっている。
また、保有個人データでは、2.③、④について情報主体が知り得る状態に置かなければならない。ただし、いわゆるブラックリスト等「その存在が明らかになることにより、公益その他の利益が害されるもの」の存在を明らかにする必要はない。

2.情報主体からの情報の開示等の求めに応じるためには本人確認を行う

本人が直接訪問してきた場合は、写真添付の身分証明書(免許証、パスポート社員証等)で確認すること。健康保険証は不可。
電話では、本人しか知りえない個人情報(生年月日等確認できる情報)をこちらから聞いて確認するか、電話番号を聞きコールバックをする。
メールでは、本人しか知りえない個人情報(生年月日等確認できる情報)をメールで確認する。
郵送・FAXは写真添付の身分証明書(免許証、パスポート社員証等)のコピーで確認すること。健康保険証のコピーは不可。
いずれの場合も情報主体に不快感を与えないよう主旨を伝え十分な配慮をする。

3.情報主体の代理人からの情報の開示等の求めに応じるためには本人確認を行う

  • 次の者が代理人となれる。
    ・未成年者または成年被後見人の法定代理人
    ・本人が委任した代理人
  • 代理人による要請は直接訪問のみ受け付ける。代理人の本人確認は写真添付の身分証明書(免許証、パスポート社員証等)で確認すること。健康保険証は不可。また、情報主体の自筆の委任状が必要(形式は問わない)である。さらに情報主体の確認は、本人しか知りえない情報を代理人に尋ね確認する。この場合も情報主体およびその代理人に不快感を与えないよう主旨を伝え十分な配慮をする。

4.情報主体の次の求めに応じなければならない

求めに応じることができるのは、情報主体本人の情報のみであり、他人の個人情報に対する求めに応じてはならない。

  1. 情報主体の求めに応じて情報を開示しなければならない。
    ただし、以下のような場合には開示しなくても良い。

    • 本人または第三者の生命、身体、財産その他の権利利益を害する恐れがある場合。たとえば病名を伝えることで本人の心身状況を悪化させる恐れがある等がこれに当たる。
    • 業務の実施に著しい支障を及ぼす恐れがある場合。例えば、クレーマーからのクレームが複雑で繰り返し行われるため苦情相談窓口が占有され、他の相談に支障を来たす恐れがある場合や人事考課の開示がこれに当たる。
    • 他の法令に違反する場合
  2. 情報主体の求めに応じて情報の訂正・追加・削除をしなければならない。
    ただし、要求の内容が事実と異なったり、利用目的から見て必要ない場合は、応じる必要はない。
  3. 情報主体の求めに応じて情報の利用停止をしなければならない。
    個人情報取扱事業者がこれに対応しなければならないのは、次の手続き違反を犯している場合である。これ以外の場合は応じる義務はないが、情報主体とのトラブルを避けるため一定の判断は必要である。

    • 情報主体の同意を得ていない目的外利用
    • 偽り・不正な手段での情報取得
    • 本人の同意を得ていない第三者提供

5.情報主体の求めた措置をしない場合はその理由等の説明に努める

8章 引入れ外注

本ガイドラインでは引入れ外注とは、関係会社、協力会社、派遣会社、パート社員、アルバイトを含め、リメディア社員と同じ執務室で、委託あるいは指示された業務を行う者すべてを言う。リメディアが外部に委託した業務であっても、当該委託先社員が一定期間、リメディア内で作業を行う場合も、その期間は引入れ外注として一般常識の範囲内での管理をする。ただし、本来の管理は委託先が行うべきものなので、委託先を通して安全管理策を遵守するよう伝える必要がある。

  1. 当該業務担当者は、新たな引入れ外注があった場合必要事項を届け出る。
  2. 当該業務担当者は、引入れ外注に必要な教育をし、環境を整備する。
    引入れ外注が業務を遂行するに当たって、必要な知識・技術および守るべき事項について説明する。さらに必要なアクセス権限を与えるよIT管理者に申請する。
  3. 当該業務担当者は、本人からの誓約書を取り、担当部署に提出する。
  4. 当該業務担当者は、届け出内容に変更があった場合は、逐次担当部署に届け出る。
  5. 担当部署はこれを受けて登録内容を逐次修正する。
  6. 当該業務担当者は、適宜個人情報等セキュリティ遵守状況を確認する。
  7. 当該業務担当者および関係者は、引入れ期間が終了した場合、担当部署に届け出る。
  8. 個人情報の消去等の情報漏洩のないことを確認する。

付録1.

個人情報に関する法令、基本方針、指針及び通知
法 令

  • 個人情報の保護に関する法律(平成15年5月30日法律第57号)
  • 個人情報の保護に関する法律施行令(平成15年12月10日政令第507号)

基本方針、指針及び通知

  • 個人情報の保護に関する基本方針(平成16年4月2日閣議決定)
  • 労働者の個人情報保護に関する行動指針(平成12年12月20日)
  • 雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針(平成16年7月1日厚生労働省告示第259号)
  • 雇用管理に関する個人情報のうち健康情報を取り扱うに当たっての留意事項について     (平成16年10月29日厚生労働省労働基準局長通知)
  • 健康保険組合等における個人情報の適切な取扱いのためのガイドライン
  • ヒトゲノム・遺伝子解析研究に関する倫理指針(平成13年3月29日文部科学省・厚生労働省・経済産業省告示第1号)
  • 臨床研究に関する倫理指針
  • 遺伝子治療臨床研究に関する倫理指針
  • 疫学研究に関する倫理指針

付録2

情報とその取扱い

1.臨床試験における被験者の情報

臨床試験は、薬機法、GCP(「医薬品の臨床試験の基準に関する省令」(平成9年厚生省令第28号)等の関係省令、関係指針及び関係通知等に従って実施される。この中で被験者の情報の取扱いにあたり、医師は、臨床試験に参加する被験者の識別をコード化して行うことを求められており、この為、臨床試験の依頼者に提供される被験者の情報は、匿名化されている。なお、匿名化を図った被験者の情報も、非匿名化された時のことを考慮し、個人情報として適正に取り扱わなければならない。

2.製造販売後調査における患者の情報

製造販売後調査は、薬事法、関係省令(「医薬品の市販後調査の基準に関する省令」(平成9年厚生省令第10号)等)、関係通知等に従って実施されている。製造販売後調査依頼者は、患者情報を入手する必要がある場合、医療機関において患者氏名をイニシャル化する等、匿名化されたものを入手しているが、上記1と同様、個人情報として適正に取り扱わなければならない。

3.医師、歯科医師、薬剤師、薬局・薬店等医療関連者の個人情報

医師、歯科医師、薬剤師、薬局・薬店等医療関係者の情報は、本法の対象であり、本法に則し、適正に取得し、適正に取り扱わなければならない。

4.従業員の個人情報

事業者は、従業者の個人情報として、住所、生年月日、学歴、人事評価情報、健康診断情報、年金・保険情報、家族情報などの情報を有する。これらの取扱いについては、「雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針」(平成16年7月1日厚生労働省告示第259号)等を遵守しなければならない。

5.臨床試験、製造販売後調査および副作用に関する資料や情報等を厚生労働省等の行政当局に提出する場合の治験責任医師や治験担当医師の情報等

当該医師情報を薬事法の規定に則り厚生労働大臣等に報告する場合は、法第23条第1項第1号に該当する場合として、本人の同意なしに情報提供ができる。

<お問合せ・苦情受付窓口>

当社の個人情報の取扱いに関するお問合せ、苦情については、下記までご連絡下さい。

電 話:株式会社リメディア  問合せ・苦情窓口 03-3525-8455
郵 便:〒101-0038  東京都千代田区神田美倉町10番地
    喜助新神田ビル6階
    株式会社リメディア  問合せ・苦情窓口
E-mail:株式会社リメディア  問合せ・苦情窓口 info@remedia-cro.com

 

附則
2014年10月27日 制定、同日施行(初版)
2018年7月1日  改定(第2版)