この例の場合、責任分界点としては基本的に自施設に閉じているため、責任のあり方
の原則としては、4.1 章を参照すべきことに留意しなくてはならない。
(b) 第三者が保守を目的としてアクセスする、いわゆるリモートメンテナンス
医療機関等の施設外から医療情報システムにアクセスする場合として、リモートログ
インを用いた保守事業者による遠隔保守（リモートメンテナンス）が考えられる。この
場合、適切な情報管理やアクセス制御がなされていないと、一時保存しているディスク
上の個人情報を含む医療情報の不正な読み取りや改ざんが行われるリスクがある。他方、
リモートログインを全面的に禁止してしまうと、遠隔保守が不可能となり、保守に要す
るコストが増大する。
したがって、保守の利便性と情報保護との兼ね合いを見極めつつ、リモートメンテナ
ンスを認めるかどうか整理する必要がある。
また、リモートメンテナンスの場合でも、当然、医療機関等に「通常運用における責
任」
、
「事後責任」が存在するため、保守事業者の報告を定期的に受け、必要な監督を行
い、管理責任を果たす必要がある。
なお、リモートメンテナンスも含めた保守の考え方については、6.8 章を参照するこ
と。
(3) 医療機関等の業務の一部を委託することに伴い情報が「一時的に外部に保存」される
場合
ここでいう委託とは遠隔画像診断、臨床検査等、診療等を目的とした業務の委託であ
り、これに伴い一時的にせよ情報を受託する事業者が保管することとなる。
医療機関等の管理者は、受託する事業者の選定に関する責任やセキュリティ等の改善
指示を含めた管理責任があるため、受託する事業者を適切に管理監督する必要がある。
受託する事業者においても保存した情報の漏えい防止、改ざん防止等の対策を講じるこ
とは当然であるが、感染症情報や遺伝子情報等の機微な情報の取扱い方法や保存期間等
については、双方協議して整理しておく必要がある。
なお、治験のように、上記のようないわゆる業務委託ではなくとも、医療情報が外部
の事業者に提供される場合は、これに準じてあらかじめ外部の事業者との間で双方の責
任及び情報の取扱いについて取り決めることが必要である。
(4) オンライン外部保存を委託する場合
本ガイドラインの 8.3 章を十分理解して委託先の選定と適切な契約を結ぶ必要がある。
患者等に対する責任の主体は委託を行う医療機関等であるため、医療機関等が説明責任
を果たすための資料や説明の提供を受託する事業者との契約で定め、受託する事業者に
おける情報の取扱いを医療機関等としても理解する努力が必要である。さらに、情報処

25