本ガイドラインの対象
2.1.

本ガイドラインが対象とする医療情報と事業者

本ガイドラインが対象とする医療情報は、「医療に関する患者情報（個人識別情報）を
含む情報」である。この定義は医療情報安全管理ガイドラインにおける定義と同一である。
医療情報には、医療従事者が作成・記録した情報のほか、医療従事者の指示に基づき介護
事業者が作成・記録した情報がある。これらの医療情報は、その情報を作成・記録した者
が所属する医療機関等で保管される場合や、その医療機関等から他の医療機関等に提供さ
れる場合のほか、患者等（患者本人のほか、患者の家族等で、患者の医療情報を閲覧する
権限を有する者を含む。以下同じ）に提供される場合が想定される。
本ガイドラインが対象とする事業者は、医療機関等との契約等に基づいて医療情報シス
テム等を提供する事業者9（以下、
「対象事業者」という。）である10。ただし、医療機関等
と直接的な契約関係になくても、医療機関等に提供する医療情報システム等に必要な資源
や役務を提供する事業者や、患者等の指示に基づいて医療機関等から医療情報を受領する
事業者は本ガイドラインにおける対象事業者11となる。
本ガイドラインが対象とする医療情報と事業者に関しては、別紙 2－1「医療情報を取り
扱う情報システム・サービスの提供事業者における安全管理ガイドライン FAQ」の「１．
ガイドラインの対象範囲」に示す例も参照すること。

9

ここでいう「医療情報システム等」には、
「医療従事者の指示に基づいて作成・記録した情報」を含む
医療情報を取り扱う介護事業者が利用するシステムも含まれる。
10 クラウド事業者ガイドラインが対象としていた事業者及び情報処理事業者ガイドラインが対象としてい
た事業者のうち、医療機関等が利用する医療情報システム等を提供する事業者は、引き続き対象範囲とな
る。なお、
「提供する事業者」には、医療情報システムや機器等の売買契約のみを行う場合は含まれな
い。また、クラウド事業者ガイドラインが対象としていた事業者のうち、脚注 11 の事業者は入らない。
11 患者等から直接医療情報を受領する事業者は、本ガイドラインにおける対象事業者にはあたらない。

6