よむ、つかう、まなぶ。
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版」 (19 ページ)
出典
| 公開元URL | https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000359.html |
| 出典情報 | 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見募集の結果及び当該ガイドラインの公表(7/7)《総務省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
図 3-1 善管注意義務と守秘義務について
(2)安全管理措置を講じる義務
個人情報保護法では、医療機関等と対象事業者は、それぞれその取り扱う個人データの
安全管理のために必要かつ適切な措置を講ずる義務を負う(個人情報保護法 23 条13)。そ
して、医療機関等が対象事業者に対して個人データの取扱いを委託している場合、委託元
は、委託先においてその取扱いを委託した個人データの安全管理が図られるよう、委託先
を監督する義務(以下、「監督義務」という。)を負うと規定されている(個人情報保護法
25 条14)
。
監督義務の内容としては、①適切な委託先の選定、②委託契約の締結、③委託先におけ
る個人データ取扱状況の把握という 3 点が挙げられている15。
13 「医療機関等」の主体によっては、個人情報保護法 66 条にも留意が必要。
14 対象事業者がクラウドサービスを提供する事業者であって、当該事業者が個人データを取り扱わない
こととなっている場合(契約条項によって当該事業者がサーバに保存された個人データを取り扱わない旨
が定められており、適切にアクセス制御を行っている場合等)には、医療機関等は個人データを「提供」
したことにならず、個人情報保護法 25 条に基づきクラウドサービス事業者を監督する義務はないが、自
ら果たすべき安全管理措置の一環として、適切な安全管理措置を講じる必要がある。また、医療機関等
は、本ガイドラインに従ってクラウドサービス提供事業者を適切に監督する必要があり、クラウドサービ
ス事業者は本ガイドラインに従って安全管理措置を講ずる必要がある。
15
「個人情報の保護に関する法律についてのガイドライン(通則編)
」
(平成 28 年個人情報保護委員会告
示第 6 号)
13
(2)安全管理措置を講じる義務
個人情報保護法では、医療機関等と対象事業者は、それぞれその取り扱う個人データの
安全管理のために必要かつ適切な措置を講ずる義務を負う(個人情報保護法 23 条13)。そ
して、医療機関等が対象事業者に対して個人データの取扱いを委託している場合、委託元
は、委託先においてその取扱いを委託した個人データの安全管理が図られるよう、委託先
を監督する義務(以下、「監督義務」という。)を負うと規定されている(個人情報保護法
25 条14)
。
監督義務の内容としては、①適切な委託先の選定、②委託契約の締結、③委託先におけ
る個人データ取扱状況の把握という 3 点が挙げられている15。
13 「医療機関等」の主体によっては、個人情報保護法 66 条にも留意が必要。
14 対象事業者がクラウドサービスを提供する事業者であって、当該事業者が個人データを取り扱わない
こととなっている場合(契約条項によって当該事業者がサーバに保存された個人データを取り扱わない旨
が定められており、適切にアクセス制御を行っている場合等)には、医療機関等は個人データを「提供」
したことにならず、個人情報保護法 25 条に基づきクラウドサービス事業者を監督する義務はないが、自
ら果たすべき安全管理措置の一環として、適切な安全管理措置を講じる必要がある。また、医療機関等
は、本ガイドラインに従ってクラウドサービス提供事業者を適切に監督する必要があり、クラウドサービ
ス事業者は本ガイドラインに従って安全管理措置を講ずる必要がある。
15
「個人情報の保護に関する法律についてのガイドライン(通則編)
」
(平成 28 年個人情報保護委員会告
示第 6 号)
13