6. 医療情報システムの基本的な安全管理
医療情報システムの安全管理は、個人情報保護関連各法（個人情報保護法、行政機関の保
有する個人情報の保護に関する法律（平成 15 年法律第 58 号）及び独立行政法人等の保有
する個人情報の保護に関する法律（平成 15 年法律第 59 号）
）に規定された安全管理・確保
に関する条文によって法的な責務として求められている。安全管理を疎かにすることは上
記法律に違反することになるが、医療において最も重要なことは患者等との信頼関係であ
り、単に違反事象が起こっていないことを示すだけでなく、安全管理が十分であることを説
明できるようにすること、つまり説明責任を果たせるようにすることが求められる。この章
での制度上の要求事項として、個人情報保護法の条文を例示する。
A．制度上の要求事項
（安全管理措置）
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その
他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
（従業者の監督）
個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該
個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わ
なければならない。
（委託先の監督）
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その
取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必
要かつ適切な監督を行わなければならない。
（個人情報保護法 第 23 条 第 24 条 第 25 条）

6.1. 方針の制定と公表
B．考え方
「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」において、
個人情報保護に関する方針を定め公表することが求められている。本ガイドラインが対象
とする医療情報システムの安全管理も、個人情報保護対策の一部として考えることができ
るため、この方針の中で、医療情報システムの安全管理についても言及する必要がある。
個人情報を取り扱う医療情報システムを運用する組織は、これらの要求事項を勘案して
組織の実情に合った基本的な方針を策定し、適切な方法で公開することが重要である。
C．最低限のガイドライン

13