4. 電子的な医療情報を扱う際の責任のあり方
本章では、医療機関等、情報処理事業者、電気通信事業者等の関係者間での電子的な医療
情報の取扱いにおける責任の在り方について、
「医療機関等の管理者の情報保護責任の内容
と範囲」及び「他の医療機関等や事業者に情報処理の委託や他の業務の委託に付随して医療
情報を委託する場合と第三者提供した場合」に分けて、責任分界という概念を用いて整理し
た（具体的な内容は別冊「4.電子的な医療情報を扱う際の責任のあり方」参照）
。

4.1. 医療機関等の管理者の情報保護責任について
医療機関等の管理者が医療情報を適切に管理するための善管注意義務を果たすためには、
通常の運用時における医療情報保護の体制を構築し管理する責任と、医療情報について何
らかの不都合な事態（典型的には情報漏えい）が生じた場合に対処をすべき責任とがある。
便宜上、本ガイドラインでは前者を「通常運用における責任」、後者を「事後責任」と呼ぶ
こととする。
(1) 通常運用における責任について
ここでいう通常運用における責任とは、医療情報の保護のための適切な情報管理とい
うことになるが、適切な情報管理を行うことが全てではなく、以下に示す 3 つの責任を
含む必要がある。
① 説明責任
医療情報システムの機能や運用方法の取扱いに関する基準を満たしていることを患
者等に説明できるようにする責任である。この責任を果たすためには、以下のことが必
要である。
・

医療情報システムの仕様や運用方法を明確に文書化すること

・

仕様や運用方法が文書化した方針のとおりに機能しているかどうかを定期的に
監査すること

・

監査結果をあいまいさのない形で文書化すること

・

監査の結果問題があった場合は、真摯に対応すること

・

対応の記録を文書化し、第三者が検証可能な状況にすること

② 管理責任
医療情報システムの運用管理を行う責任である。医療情報システムの管理を受託する
事業者に任せきりにしているだけでは、これを果たしたことにはならないため、医療機
関等においては、以下のことが必要である。
・

管理状況の報告を定期的に受けること

7