6. 医療情報システムの基本的な安全管理
方針の制定と公表に関する解説
個人情報保護に関する方針に盛り込むべき具体的内容等について、
「JIS Q 15001:2017（個
人情報保護マネジメントシステム-要求事項）
」では、下記のように定めている。
A.3.2.1 内部向け個人情報保護方針
トップマネジメントは，5.2.1 e) に規定する内部向け個人情報保護方針を文書化し
た情報には次の事項を含めなければならない。
a) 事業の内容及び規模を考慮した適切な個人情報の取得，利用及び提供に関するこ
と［特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い（以下，
“目的
外利用”という。）を行わないこと及びそのための措置を講じることを含む。
］。
b) 個人情報の取扱いに関する法令，国が定める指針その他の規範を遵守すること。
c) 個人情報の漏えい，滅失又は毀損の防止及び是正に関すること。
d) 苦情及び相談への対応に関すること。
e) 個人情報保護マネジメントシステムの継続的改善に関すること。
f) トップマネジメントの氏名
トップマネジメントは，内部向け個人情報保護方針を文書化した情報を，組織内に伝
達し，必要に応じて，利害関係者が入手可能にするための措置を講じなければならな
い。
A.3.2.2 外部向け個人情報保護方針
トップマネジメントは，外部向け個人情報保護方針を文書化した情報には，A.3.2.1
に規定する内部向け個人情報保護方針の事項に加えて，次の事項も明記しなければな
らない。
a) 制定年月日及び最終改正年月日
b) 外部向け個人情報保護方針の内容についての問合せ先
トップマネジメントは，外部向け個人情報保護方針を文書化した情報について，一般
の人が知り得るようにするための一般の人が入手可能な措置を講じなければならな
い。

また、情報システムの安全管理に関する方針に盛り込むべき具体的内容等について、
「JIS
Q 27001:2014（情報セキュリティマネジメントシステム-要求事項）
」では、下記のように定
めている。

33