個人情報の詳細な分析を重視

　Pマーク取得の方向性が決まると、00年10月に「個人情報保護方針」を宣言。これに基づいてPIP（Personal Information Protection）委員会を立ち上げ、事務局を設置し、各所属長を情報管理責任者とする組織的な活動を開始した。
　最初の活動は、あらためて職員の意識づけを行うことだった。啓発のためのシールを作成し、院内のパソコンや医療機器などに貼ってもらい、常に「患者さんのプライバシーを尊重する」という意識を刺激し続けた。
　次に、個人情報保護に関する規定の整備を行った。「個人情報保護基本規程」をはじめ、「個人情報保護コンプライアンス・プログラム運用規程」「入退室管理規程」「個人情報保護内部監査規程」「情報セキュリティ管理規程」などを策定した。
　マネジメントサイクルに沿った取り組みにも着手。一般的にはPDCAサイクルで示されるが、河北総合病院では「計画から始まるのではなく、調査や分析から始まる活動だから」（篠塚事務部長）との理由で、「See-Plan-Do」のサイクルを構築した（図表）。

　「See」にあたる調査・分析・評価ではまず、カルテのほか各種検査伝票、処方箋、食事箋など、財団全体で350種類以上ある帳票類の記載項目を洗い出した。そして、各帳票類を管理している部署ごとにどんな個人情報を扱っているかを整理するため、「個人情報保護側面抽出票」を作成。抽出票では、記録媒体の種類、機密度の高低、記録方法、保管場所と期間、廃棄方法、管理責任者を明記。さらに（１）不正アクセス（２）紛失（３）破壊（４）改ざん（５）漏洩、のいずれのリスクが考えられるか、その影響（リスク評価）は、H（高い）、M（中位）、L（低い）のいずれかもわかるようにした。そしてそれらの個人情報のリスクを分析し、コンプライアンス・プログラム（CP）登録した。
　CP登録というのは、各情報のリスクの大きさに応じて職員がどう管理するかを定めることで、これを財団の個人情報保護の手順に組み込む。そこでの管理方法は０〜３の４段階。０の「非登録」は、個人情報保護の対象とはならない情報を意味する。１の「管理区域内」は、関連部署内では柔軟に扱える情報という意味だ。２の「管理区域有人対応」は、スタッフがいる場合に限って１と同じ扱いができるというもの。３の「厳重コントロール」は、鍵をかけた倉庫やキャビネットなどで厳重に管理する情報のことだ。
　こうした区分は病院ならではといえる。「本来は厳重に管理すべき情報でも、運用上現実的でないというケースも多い。例えば病棟で治療中の患者さんの入院診療録を、常に鍵付きのキャビネットに保管しておいたら、緊急時の診療に支障を来すことになる」（篠塚事務部長）。そこで、診療行為上柔軟に対応すべきか否かを各所属長が判断した上で、CP登録を行うことにした。
　「Plan（計画）」では、個人情報保護側面抽出票などに基づいて、部署ごとの具体的な作業を「個人情報取り扱い手順」としてマニュアル化した。「Pマークの要求事項を常に意識してもらうため」（篠塚事務部長）、左側にPマークの要求事項を明記し、その右に自分たちの作業手順を示す書式とした。また、年度ごとに財団、各部門、各部署の目標を定めた「方針展開表」や、その成果を所属長がチェックする「遵守計画検査票」を導入。実行可能な計画を策定した上で、「Do（実行）」へとつなげた。
　財団としての内部監査については、職員の中から任期２年の「オーディター（監査役）」を選び、毎年、数人でチームを組んで法人の全組織を回る方式を採用した。