を講ずるよう努めることが望ましい。
②

匿名要介護認定情報等の利用に限らず提供申出者が一般的に具備しておくことが望ましい条件

ⅰ）個人情報保護方針の策定・公開
a）個人情報保護に関する方針を策定し、公開していること。
b）個人情報を取り扱う情報システムの安全管理に関する方針を策定していること。
c）提供される匿名要介護認定情報等についても当該方針に従った対応を行うこと。
ⅱ）情報セキュリティマネジメントシステム（ISMS）の実践（必ずしも ISMS 適合性評価制度に
おける認証の取得を求めるものではない。）
a）情報システムで扱う情報をすべてリストアップしていること。
b）リストアップした情報を、安全管理上の重要度に応じて分類を行い、常に最新の状態を維持し
ていること。
c）このリストは情報システムの安全管理者が必要に応じて速やかに確認できる状態で管理して
いること。
d）リストアップした情報に対してリスク分析を実施していること。
e）この分析の結果得られた脅威に対して、この「（４）匿名要介護認定情報等の利用場所、保管
場所及び管理方法」に示す対策を行っていること。
ⅲ）組織的安全管理対策（体制、運用管理規程）の実施
a）情報システム運用責任者の設置及び担当者（システム管理者を含む。）の限定を行うこと。た
だし所属機関が小規模な場合において役割が自明の場合は、明確な規程を定めなくとも良い。
b）個人情報が参照可能な場所においては、来訪者の記録・識別、入退を制限する等の入退管理を
定めること。
c）情報システムへのアクセス制限、記録、点検等を定めたアクセス管理規程を作成すること。
d）個人情報の取扱いを委託する場合、委託契約において安全管理に関する条項を含めること。
ⅳ）人的安全対策の措置
a） 提供申出者は、個人情報の安全管理に関する施策が適切に実施されるよう措置するとともに、
その実施状況を監督するために、以下の措置をとること。
・法令上の守秘義務のある者以外を事務職員等として採用するにあたっては、雇用契約時に併
せて守秘・非開示契約を締結すること等により安全管理を行うこと。
・定期的に従業者に対して、個人情報の安全管理に関する教育訓練を行うこと。
・従業者の退職後の個人情報保護規程を定めること。
b）提供申出者が組織の事務、運用等を外部の事業者に委託する場合には、当該事業者の内部にお
ける適切な個人情報保護が行われるようにするために以下の措置を行うこと。
・受託する事業者に対する包括的な罰則を定めた就業規則等で裏付けられた守秘契約を締結す
ること。
・保守作業等の情報システムに直接アクセスする作業の際には、作業者、作業内容及び作業結果
の確認を行うこと。
・清掃等の直接情報システムにアクセスしない作業の場合においても、作業後の定期的なチェ
ックを行うこと。
15