- (目 的)
- 第1条: この規程は山陰労災病院(以下「病院」とする)における業務でSocial Networking Service (以下「SNS」とし、第2条第5項で定義する)を利用する際に、個人情報保護の観点から十分な配慮を払いながら、迅速かつ有効な情報共有を図るための事項を定め、適正な利用状況を維持することを目的とする。
- (定義)
- 第2条:この規程において以下に挙げる用語の意義は、各該当号の定めるところによる。
- 管理責任者
利用管理者および登録利用者を把握し管理する責任者で、病院に常勤している。また、緊急時等に備えあらかじめ補佐を置くことができる。
- 利用管理者
登録利用者から構成されるグループを作成し、当該SNSサービスの管理者画面を通じて登録利用者の管理を行う。
- 登録利用者
利用管理者により作成されたグループの構成員で原則として病院職員(嘱託を含む)に限定する。
- 院内情報システム
業務で使用されている既存の情報連携システムで、電子カルテシステムやそれに連携しているサブシステムを指す
- SNS
登録された利用者同士が交流できるインターネット上で公開されている「コミュニティ型の会員制のサービス」を指す。
- グループ
SNSで提供される登録利用者の集合体で、作成削除権限がコントロールされている機能を指す。
- (対象となる入出力情報及び機器)
- 第3条:対象となる情報、送受信者、通信手段を以下の通り定める。
- 対象となる情報
業務で登録利用者が知り得た情報あるいは現場で採取された音源・画像または一般的に公開されている情報が情報源として利用される。 - 送受信者
グループに登録されIDとパスワードを付与された登録利用者。 - 通信手段
利用モバイル端末は、病院で貸与されたモバイル端末で生体認証機能を有し、かつMobile Device Management(以下MDWとする)の管理下にあるモバイル端末であることが望ましい。この場合、当該サービスとMDMを連携することにより、病院で貸与されたモバイル端末内の当該サービスのアプリケーションに限定した利用を可能とする。利用モバイル端末をBring Your Own Device(以下BYODとする)端末で運用する場合は、第6条の(5)に沿った機能を有するサービスに限定する。
※注:BYODとは私用(プライベート)モバイルを利用することを意味する。
- (運用体制)
- 第4条:業務におけるSNS利用にあたっては、病院管理者が管理責任者及び利用管理者を置くものとする。
- 管理責任者は随時、利用管理者よりSNSのグループ名、利用目的、登録利用者の報告を受け、「医療情報連携においてSNSを利用する際に気をつけるべき事項」(一般社団法人保健医療福祉情報安全管理適合性評価協会(HISPRO)
が公表)などと照合し、適切に利用されることに責任を持つ。
- 管理責任者は規程に違反した利用管理者に対して当該サービスの管理者権限を解除すると同時に当該利用管理者が作成したグループの削除を行うことができる。
- 管理責任者は利用管理者より病院職員以外の登録利用者申請がなされた場合、医療情報システム委員会の承認を受けたうえで、許可できる。
- 管理責任者は利用管理者からの報告をもとに医療情報システム委員会に本規程改定について上申することができる。
- 利用管理者はグループ作成の際に管理責任者に利用申請を行い、利用目的、グループ名、登録利用者を報告しなければならない。
- 利用管理者はSNSのグループ名、利用目的、登録利用者に変更があった際には、すみやかに管理責任者へ報告する義務がある。
- 利用管理者は本規程に基づいて登録利用者に対してグループの利用停止及び構成員からの解除を行なうことができる。
- 利用管理者はSNSの不適切な利用や誹謗中傷など社会的に有害な情報を得た場合は、すみやかに管理責任者に報告する。
- 利用管理者は実情に合わない事象などが連続して発生し、運用の見直しが必要と判断した場合、管理責任者に報告する。
- 利用管理者は生命的危機や災害時など危機管理が必要とされる場合に、情報保護ポリシーに例外的判断を行うことが可能とするが、事後に管理責任者に必ず報告する義務を伴う。
- (登録利用者の責務)
- 第5条:業務におけるSNS利用にあたっては、病院管理者が管理責任者及び利用管理者を置くものとする。
- 自身のIDやパスワードを適切に管理し、これを他人に利用させてはならない。IDを複数名で共有することは禁止する。
- 与えられているアクセス権限以上の操作をしてはならない。
- 対象となる情報を利用目的外で利用してはならない。
- 業務外の情報共有に当該サービスを利用しない。
- 送受信者は当該サービスで得た情報を既存の院内情報システムに転記するなど、院内情報システムを主軸とした情報共有の原則を順守する。
- 患者情報はすべて要配慮個人情報で機微な情報であることを理解し、その取り扱いに留意を払って利用する。ことに容易に個人特定が可能な情報(患者IDや氏名など)は省略や秘匿を図って利用する。
- 対象となる情報はプライベートSNS(以下「非公開型SNS」とする)を利用し、パブリック型SNS(以下「公開型SNS」とする)の利用を禁止する。
※注:公開型とはFacebook、Twitter、Google+、LINEなどのように一般利用者が自由にアカウントを作成し、メッセージやデータのやりとりを相互に可能とし、一般公開されているサービスを指す。
- データの2次利用(他のシステムへの転送)は禁止する。
- 添付できるデータは画像データ(JPG、PNG、GIF)またはテキストデータ(RTF、PDF)または音声データ(WAV、WMA、MP3、AU)または動画データ(AVI、MPEG、MOV、MKV、MP4)に限定する。実行可能ファイル(EXE)や自動実行機能を有するファイル(DOCX、XLSX、HTML)や圧縮ファイル(ZIP)の添付は禁止する。
- モバイル端末の紛失あるいは盗難に遭遇した際には速やかに利用管理者に申し出る。物損や機種変更にあたってはその限りではない。
- 当該サービスの不適切な利用や誹謗中傷など社会的に有害な情報を得た場合は、すみやかに利用管理者に報告する。
- (管理運用機能の要件)
- 第6条:以下の各号に定める機能を有し、運用可能なSNSを選定する。
- 情報の送受信にあたっては暗号化されたデータで取り扱われ、プライバシーポリシー等で個人情報保護方針が明示されている。
- 利用管理者または管理責任者に登録利用者のアクセスログ記録が参照可能な権限が付与されている。
- SLA(Service Level Agreement:サービスレベル合意)がサービス利用規約に規定されているサービスである。
- 通常業務範囲以外のデータ分析などに利用できる。ただし、利用する際には管理責任者の許可を必要とする。
- 登録利用者がモバイル端末を紛失した際に備え、利用管理者が当該登録利用者の強制ログアウト(IDの利用一時停止またはIDの削除)をすることが可能でなければならない。この機能によって拾得者が当該サービスの画面参照を不可能な状態にすることが遠隔操作により可能でなければならない。
- ビデオ通話または音声通話やチャット機能が双方向あるいはグループ内で容易に利用可能である。
- グループ内で送信者が添付したデータを共有できる。
- (運用の留意点)
- 第7条:以下の各号については特に留意して運用する。
- 即時性を有する院内における情報連絡は既存のPHSシステムや固定電話連絡などを利用する。ただし、危機的状況や災害時など連絡手段が限定される場合にはその限りではない。
- 送受信者はSNS内の必要な情報を既存の院内情報システムに転記し、院内情報システムを主軸とした情報共有の原則を順守する。
- 業務利用のために当該サービス利用を行なっていることを院内に掲示し、利用希望しない対象患者の意思は院内情報システムで共有される運用とする。
- 上記で定められた利用希望しない対象患者の情報であっても、生命的危機や災害時など危機管理が必要とされる場合は利用管理者の倫理的な判断によりサービス利用を可能とし、管理責任者にその事例を事後に報告する。
- 非公開型SNSから公開型SNSや他の情報共有サービス(メールサービスやホームページサービスなど)へのデータの転送および公開は禁止する。
- 業務範囲外の個人情報・患者情報・生活情報の送受信を禁ずる。
- 個人や団体への誹謗中傷、暴言、虚偽事由などをSNS内で発信する行為は厳禁とする。
- 第2条第3項、第4条第3項定義された登録利用者以外の利用者をSNS内に登録することを禁じる。
- (罰則)
- 第9条:違反行為に対する処罰は、病院あるいは上位機構で定められた規定に準ずる。
- (施行)
- 第10条:この規則は2022年5月16日より施行する。
2022年5月16日
医療情報システム委員会
倫理委員会