ばならないことは、診療情報等を閲覧する患者等のセキュリティ知識と環境に大きな差が
あるということである。また、一旦診療情報等を提供すれば、その情報保護の責任は医療機
関等ではなく、患者等にも発生する。しかし、診療情報等を提供する医療機関等が患者等に
十分に患者がセキュリティ対策の必要性や管理の責任を負うこと等の理解すべき事項を説
明し、その提供の目的を明確にする責任がある。また、説明が不足している中で万一情報漏
えい等の事故が起きた場合は、その責任を負う可能性があることを認識しなくてはならな
い。
今まで述べてきたような専用線等のネットワーク接続形態で患者等に診療情報等を提供
することは、患者等が自宅に専用線を敷設する必要が生じるため現実的ではなく、提供に用
いるネットワークとしては、一般的にはオープンなネットワークを介することになる。この
場合、盗聴等の危険性は極めて高い。医療機関等における基本的な留意事項は、既に 4 章や
(1)で述べているが、オープンなネットワーク接続であるため、利活用と安全確保の両面を
考慮したセキュリティ対策が必須である。特に、患者等に情報を公開しているコンピュータ
システムを通じて、医療機関等の内部のシステムに不正な侵入等が起こらないように、例え
ば、システムやアプリケーションを切り分けしておく必要がある。そのため、ファイア
ウォール、アクセス監視、通信の TLS 暗号化、PKI 個人認証等の技術を用いる必要がある。
また、患者の委託先に診療情報等を送付する(クラウドサービスへのアップロード含む)
際、外部の事業者に対して送付するよう、患者から依頼を受ける場合も想定される。この場
合、患者の委託先への送付であることから、第三者提供には当たらないものの、診療情報等
の流出などに対する留意が求められる。送信先／アップロード先についての安全性等につ
いて疑義が生じた場合に患者からの依頼を断るなどのほか、送信等を行うに当たっては、患
者との関係で責任分界についても取り決めておくことが求められる。

62