て取扱いをしている事実を患者等に知らせるなどして、個人情報保護に配慮した
上で取り扱わせること。
(5)

保存を受託する医療機関等に患者がアクセスし、自らの記録を閲覧できるような
仕組みを提供する場合は、外部保存を受託する事業者に適切なアクセス権を設定
し、情報漏えいや、誤った閲覧（異なる患者の情報を見せてしまう又は患者に見せ
てはいけない情報が見えてしまう等）が起こらないように配慮するよう求めるこ
と。

(6)

情報の提供は、原則、患者が受診している医療機関等と患者間の同意に基づいて実
施すること。

2. 医療機関等が外部の事業者との契約に基づいて確保した安全な場所に保存する場合
(1)

保存した情報の取扱いに関して監督できるようにするため、外部保存を受託する
事業者及びその管理者、電子保存作業従事者等に対する守秘に関連する事項やそ
の事項に違反した場合のペナルティを契約書等で定めること。

(2)

医療機関等と外部保存を受託する事業者を結ぶネットワーク回線に関しては 6.11
章を遵守させること。

(3)

総務省・経済産業省の定めた「医療情報を取り扱う情報システム・サービスの提供
事業者における安全管理ガイドライン」を遵守することを契約等で明確に定め、少
なくとも定期的に報告を受ける等で確認をすること。

(4)

外部保存を受託する事業者の選定に当たっては、事業者のセキュリティ対策状況
を示す資料を確認すること。例えば、
「医療情報を取り扱う情報システム・サービ
スの提供事業者における安全管理ガイドライン」における「サービス仕様適合開示
書」の提供を求めて、確認することなどが挙げられる。

(5)

外部保存を受託する事業者に、契約書等で合意した保守作業に必要な情報以外の
情報を閲覧させないこと。なお保守に関しては、6.8 章を遵守すること。

(6)

保存した情報（Cookie、匿名加工情報等、個人を特定しない情報を含む。本項にお
いて以下同じ。
）を独断で分析、解析等を実施してはならないことを契約書等に明
記するとともに、外部保存を受託する事業者に遵守させること。

(7)

保存した情報を、外部保存を受託する事業者が独自に提供しないように、契約書等
で情報提供について定めること。外部保存を受託する事業者が提供に係るアクセ
ス権を設定する場合は、適切な権限を設定させ、情報漏えいや、誤った閲覧（異な
る患者の情報を見せてしまう又は患者に見せてはいけない情報が見えてしまう等）
が起こらないようにさせること。

(8)

保存された情報を格納する機器等が、国内法の適用を受けることを確認すること。

(9)

外部保存を受託する事業者を選定する際は、(1)から(8)のほか、少なくとも次に掲
げる事項について確認すること。
a

医療情報等の安全管理に係る基本方針・取扱規程等の整備状況

68