2018.7.2

 0.閲覧性を高める工夫は重要
 運用する際にも、審査を受ける際にも、MS文書の閲覧性が高いことは非常に重要です。必要な文書がすぐに取り出せないと、日常運用に支障をきたすばかりでなく、審査にも不利となる場合があります(実運用されているか疑われる)。申請の前に、以下の観点で見直してみてください。
□ PMS文書はしっかりしたバインダーに綴じて1冊(複数になっても可)にまとめられている
□ 個人情報保護体制を維持するための全ての文書(様式を含む)が見渡せる文書の一覧(MS文書マップ)がある
□ 必要な規程類がすぐに取り出せるように、ラベルを付けるなど閲覧性を高める工夫がされている
□  PMS文書の内容は様式7でチェックしましょう

当財団での審査対象となる条件は以下の通りです。

病院・診療所、調剤薬局、検査センター、健康保険組合、審査支払機関、介護施設サービス事業者、介護在宅サービス事業者など。
また、業種の如何を問わず医療機関で取り扱う診療録、検査依頼伝票、検査結果報告書、レセプト等が、取り扱う個人情報の5割以上を占める事業者。

※また、保健医療福祉分野のプライバシーマークの申請には、JIS Q 15001及び保健医療福祉分野のプライバシーマーク認定指針に準拠したマネジメントシステムを定めていることが条件となります

2018.8.1
 2018年8月1日より、申請様式が変わりました
※新審査基準への移行の詳細についてはこちらのページをご参照ください。
 
 1-1.申請書類の作成

1.申請書類の作成(JIS Q 15001:2017)          
 
 保健医療福祉分野のプライバシーマーク付与適格性審査に必要な申請書類は、下記の通りです。新規申請と更新申請に必要な書類は同じですが、様式9は更新申請時のみご提出下さい(新規申請時は不要)。

 1. 申請書
<必須でご提出いただく書類>

1.0 付与適格性審査申請チェック表(申請様式2017-0)
1.1 プライバシーマーク付与適格性審査申請書(申請様式2017-1)

1.2 事業者概要(申請様式2017-2)
1.3 個人情報を取扱う業務の概要(申請様式2017-3)
1.4 すべての事業所の所在地及び業務内容(申請様式2017-4)
1.5 個人情報保護体制(申請様式2017-5)
1.6 個人情報保護マネジメントシステム(
PMS)文書の一覧(申請様式2017-6)
1.7 
JIS Q15001:2017要求事項との対応表(申請様式2017-7) ※認定指針4に対応
1.8 保健医療福祉関係処理について(申請様式2017-8)
1.9 前回適格決定時から変更のあった事業の報告(更新時のみ)(申請様式2017-9)

1.10 登記事項証明書(「履歴事項全部証明書」または「現在事項全部証明書」)等、
申請事業者(法人)の実在を証する公的文書(申請の日前3ヵ月以内の発行文書の写し
1.11 定款、寄付行為、その他これに準ずる規程類の写し
1.12 最新の個人情報保護マネジメントシステム(
PMS)文書一式の写し(内部規定・様式のすべて、個人情報取得時に使用している通知・同意文書等の様式)
1.13 参照すべき法令、国が定める指針その他の規範の特定一覧表の写し
1.14 個人情報管理台帳の写し
1.15 リスク分析表の写し

1.16 情情報システムの概要を示す資料(システム構成図、ネットワーク構成図等)の写し

1.17 教育計画書(直近の写し)
1.18 教育実施報告書の写し(記録2017-18)
(全ての従業者に実施した教育実施記録)
1.19 内部監査計画書(直近の写し)
1.20 内部監査実施報告書の写し(記録2017-20)
(全ての部門に実施した監査実施記録)
1.21 是正処置報告書(直近の写し)
1.22 マネジメントレビュー(事業者の代表者による見直し)報告書の写し(記録2017-22)

 <任意でご提出いただく書類>
 1.23 役員名簿
 1.24 組織図(法人全体の組織を確認できる体制図)
 1.25 事業者パンフレット等(ある場合)

   ●申請書一括ダウンロードはこちら
(申請様式2017-0〜2017-9,記録2017-18,20,22)
ZIP形式で圧縮してあります

 注意

1.申請様式2017-19については電子ファイル(PDF形式以外が望ましい)でも提出してください(必須)2.電子ファイルを入れる電子媒体はFD、CD、MOなどにしてください。
3.各申請様式の【記載上の注意】は、提出する際は削除してください。
4.格納する形式は、
Word形式またはExcel形式を用いてください。電子メールの添付ファイルによる提出は不可とします。
5.教育実施報告書、内部監査実施報告書については、当該実施記録及び報告書の写しの提出でこれに代えることが出来ます。

6.申請様式
2017-8「保健医療福祉関係処理について」は、明らかに保健医療福祉分野の事業者である場合(医療機関、健診センター、介護施設等)は提出不要です。不明な場合はお問い合わせ下さい。

 

2008.8.19
 2.申請

 保健医療福祉分野のプライバシーマーク付与の認定を受けようとする事業者は、申請書類を以下の一般財団法人医療情報システム開発センターの受付窓口に郵送(配送記録が残る手段を利用してください)または持参します。

〒162-0825
東京都新宿区神楽坂1丁目1番地 三幸ビル2F
 一般財団法人医療情報システム開発センター
 プライバシーマーク付与認定審査室・宛
「申請書在中」と明記してください。

TEL: 03-3267-1925 FAX: 03-3267-1926
mailto:privacy@medis.or.jp

  • 申請の前に、プライバシーマーク制度設置及び運営要領を必ず一読願います。
  • 当財団が定めるプライバシーマーク付与適格性審査に関する約款を承認の上、 申請願います。
  • 申請に当たっては、申請内容に関する審査等の経費としての申請料が、審査結果の可否にかかわらず必要です。
  • 新規申請の場合、マネジメントシステムが申請までに少なくとも1ヶ月以上実際に運用されていることが必要です。教育履歴、監査報告書などの諸記録については、その期間内にとられたものをご提出ください。
2012.4.19
 3.申請書類の受理と書類審査

1)受理(チェック)
 申請受付窓口及び郵送等で受領した申請書類については、申請書類の不足及び記載漏れを確認した後、受理するか否かを決定します(形式審査)。 形式審査で不備があり申請書類を返却した場合でも申請料は発生します。
 受理連絡と同時に請求書を送付しますので、プライバシーマーク申請料及び審査料を、指定の口座に速やかに振り込んでください。費用の振り込みのない間、審査を中止することが出来るものとします。

2)書類審査
 申請料及び審査料の振り込みを確認した後、審査を開始します。
 受理された申請書類の記載内容等に関して、個人情報保護マネジメントシステム(PMS)等の個人情報保護の行動指針を定めた規程類の整備状況、それらの規程類に準じた体制整備状況の視点から審査を行います。
*書類審査の結果については現地審査時に確認します。現地審査前に結果を通知することは原則としてありません。
 基本的には、先に示した 「プライバシーマークの付与を申請できる事業者」 としての2つの条件を満たしていることが必要ですが、特に下記の事項については重要な条件となります。

  1. 個人情報の管理者が指名され、個人情報保護についての組織内の責任、 役割分担が明確である等、個人情報を適切に取り扱う体制が整備されていること。
  2. 申請までに年1回以上、個人情報保護マネジメントシステム(PMS)の周知徹底の措置 (教育、研修等)を実施ていること。
  3. 申請までに1回以上、事業者内部の個人情報の保護の状況を検査(内部監査およびマネジメントレビュー)していること。
  4. 当該者に係る個人情報保護に関する相談窓口が常設され、かつそれが患者様等に明示されていること。
  5. 当該者が有する個人情報について、外部からの侵入又は内部からの漏えいが発生しないよう適正な安全措置を講じていること。
  6. 組織外部への個人情報の提供、取扱いの委託を行う際には、 責任分担や守秘に係る契約を締結する等、 個人情報について適切な保護が講じられるよう措置していること。

 審査に際して生じた疑義については、別途必要な資料の提供を求めることもあります。

2006.3.15
 .現地審査

 申請事業者に対して現地審査を実施します(事前にスケジュール調整をいたします)
 現地審査は、書類上の審査において生じた疑義の確認、および個人情報保護マネジメントシステム(PMS) の通りに体制が整備され、運用しているか等について確認するために行うものです。
 複数の事業所がある場合は、個人情報の取扱いが異なる事業所について実施します。例えばチェーン薬局等では個人情報の取扱いは薬局により異なることはないはずですので、1つの薬局を調査します。調査場所については距離等を勘案して事前にご相談します。

 現地審査に係る交通費、宿泊費等については、請求書を送付しますので、速やかに指定の口座に振り込んでください。現地審査は、原則として2名の審査員で伺います。従って、現地審査に係る交通費、宿泊費等は二人分をご請求します。2名以上で行く場合もありますが、請求は2名分のみの請求になります。
 交通費、宿泊費については「プライバシーマーク付与適格性審査に係る現地審査の旅費に関する規則」を適用します。
 現地審査に係る費用の振り込みのない間、審査を中止することが出来るものとします。


 現地審査の流れ

 現地審査は基本的に以下の流れで行われます。
 調査時間は申請者の規模に応じて異なりますが概ね半日〜1日です(移動が必要な場合は複数日になる場合もあります)。

1.代表者へのインタビュー

  1. 業務内容/経営方針
  2. プライバシーマーク申請のきっかけ
  3. 個人情報保護方針とその周知方法
  4. 個人情報保護管理者・監査責任者の任命の方法
  5. マネジメントレビュー(管理体制について)
  6. その他

2.運用状況の確認(申請担当者、個人情報保護管理者、監査責任者等へのヒアリング )

  1. 書類審査における不明点の確認
  2. 個人情報の特定と取扱の手順
  3. 教育・訓練の方法と結果
  4. 監査の方法と結果
  5. 外部委託業務について
  6. リスクの認識と処理(ネットワークセキュリティ等の確認)
  7. 情報主体からの要求に対する対応
  8. 病院情報システム、電子保存の三原則に対する対応状況など

3.現場確認(組織内で個人情報を取り扱っている全ての部署の実施状況を確認)

  1. 個人情報保護方針の周知
  2. インハウス情報の管理
  3. 新規・再来受付、外来受付、診察室、ナースステーション、病棟、病歴室、その他
  4. 入退管理
  5. 鍵管理
  6. 病院情報システムの状況(電子カルテ、オーダリングシステム等)
    • 障害対応
    • バックアップ媒体、記録媒体の管理
    • アクセス制御、アクセスログ
    • セキュリティ対策

4.総括
  講評と指摘事項等

2003.8.1
 5.認定可否の決定と通知
 書類による審査および現地審査の結果に基づき、プライバシーマーク付与適格性の可否を決定します。
 決定結果は、申請者に対してプライバシーマーク付与申請審査結果の通知によって行います。
 審査の結果、改善要望事項がある場合は、文書でその旨を通知しますので指摘事項の改善確認後、合格となります。
2006.03.09
 6.申請から付与までの流れ

  1. 3)の書類審査の結果を現地審査前に通知することは原則としてありません(現地審査時に確認します)。
  2. 6)〜7)の業務は付与機関(JIPDEC)が行います。付与機関の指示に従ってください。
  3. 現地審査は原則として1度のみです。現地審査後指摘された事項についての確認は書類で行います。
  4. 指摘事項への回答は、原則として指摘事項通知後3ヶ月以内にお願いいたします。
  5. 否認決定(不合格)を受けた申請者は、当該否認決定の日から3か月以内に、その理由となった事項について改善のための措置を講じ再審査の請求をすることができます。ただし、1つの申請について1回が限度です。
2018.5.7
 7.申請事項の変更について

 申請書類提出後および認定後に、申請された事項に変更がある場合は、すみやかに指定審査機関への報告が必要です。報告は、以下のとおり、様式を作成の上、下記宛送付してください

<変更報告が必要な事項>
  1.事業者名 
  2.登記上の本店所在地     
  3.代表者      
  4.個人情報保護管理者

  5.申請担当者/申請担当者連絡先   

 変更申請書様式)
  ■ 様式「プライバシーマーク付与に係る変更報告書」(様式例13:doc形式

〒162-0825
東京都新宿区神楽坂1丁目1番地 三幸ビル2F
 一般財団法人医療情報システム開発センター
 プライバシーマーク付与認定審査室・宛
「変更報告書在中」と明記してください。

TEL: 03-3267-1925 FAX: 03-3267-1926
mailto:privacy@medis.or.jp


Copyright(C) 2003, The Medical Information System Development Center. All Rights Reserved.