よむ、つかう、まなぶ。
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版」 (20 ページ)
出典
| 公開元URL | https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000359.html |
| 出典情報 | 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見募集の結果及び当該ガイドラインの公表(7/7)《総務省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
図 3-2 安全管理措置を講じる義務について
これらは、行政法規である個人情報保護法等に定められた安全管理義務であり、民事上
の安全管理義務を補完するものである。
対象事業者の説明義務
医療機関等は、上記①~③のために適切に情報を取得する必要がある。しかし、医療機
関等は医療の専門機関であって、セキュリティについての専門性は乏しいことが十分に想
定される。これに対し、対象事業者は、医療機関等に対し専門的な医療情報システム等を
提供する事業者であり、セキュリティに関する専門的な知識・経験・人材を擁しているべ
きである。
このような専門性の格差に鑑みて、対象事業者は、医療機関等に対し、委託契約又は信
義則に基づく付随義務として、医療機関等が患者に対する安全管理義務を履行するために
必要な情報を適時適切に提供する義務(以下、「説明義務」という。)を負う16。
情報セキュリティ事故等発生時における義務と責任
(1)危機対応義務
個人情報保護法上、個人情報取扱事業者である対象事業者は、個人情報保護法施行規則
7 条各号に該当する個人データの漏えい等事案が生じたときは、個人情報保護委員会に報
16
2020 年民法(債権法)改正に伴い、請負契約における瑕疵担保責任(瑕疵があった場合は、引き渡し
から 1 年間の修補、解除、損害賠償)が、契約不適合責任(知った時から 1 年以内に通知、5 年以内に追
完、代金減額、解除、損害賠償、消滅時効 10 年)となった。対象事業者は、医療機関等と請負契約を締
結する際には、本改正を踏まえた上でセキュリティ条項等について医療機関等と合意形成を図ることが求
められる。なお、独立行政法人情報処理推進機構(IPA)より改正民法に対応した「情報システム・モデル
取引・契約書」も公表されているため、参考とすること。
14
これらは、行政法規である個人情報保護法等に定められた安全管理義務であり、民事上
の安全管理義務を補完するものである。
対象事業者の説明義務
医療機関等は、上記①~③のために適切に情報を取得する必要がある。しかし、医療機
関等は医療の専門機関であって、セキュリティについての専門性は乏しいことが十分に想
定される。これに対し、対象事業者は、医療機関等に対し専門的な医療情報システム等を
提供する事業者であり、セキュリティに関する専門的な知識・経験・人材を擁しているべ
きである。
このような専門性の格差に鑑みて、対象事業者は、医療機関等に対し、委託契約又は信
義則に基づく付随義務として、医療機関等が患者に対する安全管理義務を履行するために
必要な情報を適時適切に提供する義務(以下、「説明義務」という。)を負う16。
情報セキュリティ事故等発生時における義務と責任
(1)危機対応義務
個人情報保護法上、個人情報取扱事業者である対象事業者は、個人情報保護法施行規則
7 条各号に該当する個人データの漏えい等事案が生じたときは、個人情報保護委員会に報
16
2020 年民法(債権法)改正に伴い、請負契約における瑕疵担保責任(瑕疵があった場合は、引き渡し
から 1 年間の修補、解除、損害賠償)が、契約不適合責任(知った時から 1 年以内に通知、5 年以内に追
完、代金減額、解除、損害賠償、消滅時効 10 年)となった。対象事業者は、医療機関等と請負契約を締
結する際には、本改正を踏まえた上でセキュリティ条項等について医療機関等と合意形成を図ることが求
められる。なお、独立行政法人情報処理推進機構(IPA)より改正民法に対応した「情報システム・モデル
取引・契約書」も公表されているため、参考とすること。
14