て責任分界点を定め、情報処理関連事業者の管理責任の範囲及びサービスに何らかの障
害が起こった際の対処主体を明らかにしておく。
ただし、通常運用における責任及び事後責任は、委託の場合、原則として提供元医療
機関等にあり、第三者提供の場合、適切に情報が提供される限り原則として提供先医療
機関等にある。情報処理関連事業者に過失がない場合、情報処理関連事業者に生じるの
は、あくまで管理責任の一部に留まることに留意する必要がある。
②

提供元医療機関等と提供先医療機関等が独自に接続する場合の責任分界点
ここでいう「独自に接続」とは、接続しようとする医療機関等同士がルータ等の接続

機器を自ら設定して 1 対 1 や 1 対 N で相互に接続する場合や電話回線等の公衆網を使
う場合を言う。
そのうち、あらかじめ提供先又は提供先となる可能性がある医療機関等を特定できる
場合は、委託又は第三者提供の要件に従って両医療機関等が責務を果たすこととなる。
このような場合、情報処理関連事業者には管理責任は発生せず、通信の品質確保の責
任は発生するとしても、情報処理関連事業者が提示する約款に示されるような一般的な
責任に限られる。
一方、提供先又は提供先となる可能性がある医療機関等が特定できない場合は、法令
で定められている場合等の例外を除いて、原則として医療情報を提供できない。
③

共同利用により他の医療機関等が収集した医療情報を利用する場合の責任分界点
地域医療連携で患者情報を交換する際、個人情報保護法上の共同利用により他の医療

機関等が収集した情報の利用が可能である。この場合、医療機関等の間での責任分界な
どを規約や契約などで明確にすることが必要である。
(b) 情報処理関連事業者に対する考え方
①

医療情報が提供元／提供先で暗号化／復号される場合の責任分界点
提供元医療機関等の医療情報システムにおいて、送信前に患者情報が暗号化され、提

供先医療機関等の医療情報システムにおいて患者情報が復号される場合、情報処理関連
事業者の責任は限定的になる。
しかしながら、この場合でも、情報処理関連事業者の管理責任は存在するため、ネッ
トワーク上の情報の改ざんや侵入、妨害の脅威に対する情報処理関連事業者の管理責任
の範囲について契約で明らかにしておく。
なお、暗号化等のネットワークに係る考え方や最低限のガイドラインについては、
6.11 章を参照すること。
②

医療情報が情報処理関連事業者の管理範囲で暗号化される場合の責任分界点

23