態で管理していること。
d）リストアップした情報に対してリスク分析を実施していること。
e）この分析の結果得られた脅威に対して、この「
（４）匿名レセプト情報等の利用
場所、保管場所及び管理方法」に示す対策を行っていること。
ⅲ）組織的安全管理対策（体制、運用管理規程）の実施
a） 情報システム運用責任者の設置及び担当者（システム管理者を含む。）の限定
を行うこと。ただし所属機関が小規模な場合において役割が自明の場合は、明
確な規程を定めなくとも良い。
b） 個人情報が参照可能な場所においては、来訪者の記録・識別、入退を制限する
等の入退管理を定めること。
c） 情報システムへのアクセス制限、記録、点検等を定めたアクセス管理規程を作
成すること。
d） 個人情報の取扱いを委託する場合、委託契約において安全管理に関する条項を
含めること。
ⅳ）人的安全対策の措置
a）提供申出者は、個人情報の安全管理に関する施策が適切に実施されるよう措置
するとともに、その実施状況を監督するために、以下の措置をとること。
・

法令上の守秘義務のある者以外を事務職員等として採用するにあたっては、
雇用契約時に併せて守秘・非開示契約を締結すること等により安全管理を行う
こと。

・

定期的に従業者に対し個人情報の安全管理に関する教育訓練を行うこと。

・

従業者の退職後の個人情報保護規程を定めること。

b）提供申出者が組織の事務、運用等を外部の事業者に委託する場合には、当該事業
者の内部における適切な個人情報保護が行われるようにするために以下の措置
を行うこと。
・

受託する事業者に対する包括的な罰則を定めた就業規則等で裏付けられた守
秘契約を締結すること。

・

保守作業等の情報システムに直接アクセスする作業の際には、作業者、作業
内容及び作業結果の確認を行うこと。

・

清掃等の直接情報システムにアクセスしない作業の場合においても、作業後
の定期的なチェックを行うこと。

・ 委託事業者が再委託を行うか否かを明確にし、再委託を行う場合は委託事業
者と同等の個人情報保護に関する対策及び契約がなされていることを条件と
すること。
- 19 -