次世代医療基盤法における厳格なセキュリティ対策及び適正な利活用の仕組み
医療情報の安全かつ適正な利活用のため、次世代医療基盤法では、厳格なセキュリティ対策及び適切な審査体制を
認定事業者に求めている。
主なセキュリティ対策基準
①組織的・人的なリスク
要因の徹底排除

②基幹システムはオープンネットワーク
から分離

・教育・運用・管理体制の整備
・警備員・監視カメラ・入退室管理

・基幹業務系と情報系システムの分離
・基幹業務系はインターネット等オープン
環境から分離

③多層防御・安全策の導入（想定外の手口にも対応）
・アクセスログ／データ操作ログをリアルタイムで監視
（予定されない通信、アクセスは直ちに遮断する等）
・ソフトウェアの不断のアップデート（脆弱性対応等）
・データの暗号化（万が一、悪意ある者がデータ断片を入手しても解読困難）
・第三者認証を含む継続的なセキュリティ水準の確保や緊急時の対応、
監督官庁への連絡体制の確保

利活用者への匿名加工医療情報の提供にあたっては、
認定事業者に設置した審査委員会において以下の観点
から審査を実施。
① 利用の目的が基本方針に照らして適切かつ日本の医療分
野の研究開発に資するものであるか。
② 利用の内容が科学的に妥当であるか。
③ 研究開発の結果が一般市民に提供される場合にあっては、
その公表等の方法が一定の地域又は団体に属する者等の
特定の個人又はその子孫以外の者にも不利益を生じないよ
うに配慮されたものであるか。
④ 研究開発に係る金銭その他の利益の収受及びその管理の
方法が妥当であるか。
⑤ 提供の内容及び方法が法、規則等に照らして妥当であるか。

主な罰則
● 認定事業者等がデータベース化された医療情報等の不正提供をした場合、国家公務員の秘密保持義務違反に対する罰則（１年以下の懲役
または５０万円以下の罰金）よりも重い罰則（２年以下の懲役または１００万円以下の罰金）を定めている。 ※年数は懲役年数、金額は罰金額
データベース化された医療情報
等の不正提供等

不正な利益目的による
医療情報等の提供等

不当な目的による
医療情報等の利用等

是正命令違反

認定事業者
認定受託事業者

2年以下
100万円以下
（法人重科：１億円以下）

1年以下
100万円以下
（法人重科：１億円以下）

1年以下
50万円以下

1年以下
100万円以下
（法人重科：１億円以下）

（参考）個人情
報保護法の個人情
報取扱事業者

１年以下
50万円以下
（法人重科：１億円以下）

1年以下
100万円以下
（法人重科：１億円以下）

3