b

医療情報等の安全管理に係る実施体制の整備状況

c

不正ソフトウェア等のサイバー攻撃による被害を防止するために必要なバッ
クアップの取得及び管理の状況

d

実績等に基づく個人データ安全管理に関する信用度

e

財務諸表等に基づく経営の健全性

f

プライバシーマーク認定又は ISMS 認証を取得していること

g

「政府情報システムにおけるクラウドサービスの利用に係る基本方針」の「セ
キュリティクラウド認証等」に示す下記のいずれかの認証等により、適切な外
部保存に求められる技術及び運用管理能力の有無
・政府情報システムのためのセキュリティ評価制度（ISMAP）
・JASA クラウドセキュリティ推進協議会 CS ゴールドマーク
・米国 FedRAMP
・AICPA SOC2（日本公認会計士協会 IT7 号）
・AICPA SOC3（SysTrust/WebTrust）
（日本公認会計士協会 IT2 号）
上記認証等が確認できない場合、下記のいずれかの資格を有する者による外
部監査結果により、上記と同等の能力の有無を確認すること
・システム監査技術者
・Certified Information Systems Auditor ISACA 認定

h

医療情報を保存する機器が設置されている場所(地域、国)

i

受託事業者に対する国外法の適用可能性

D．推奨されるガイドライン
1. ISMS 認証を取得している事業者の選定に際しては、選定対象となる事業者に管理して
いるリスクに応じて、適合性を示す資料の提供を求めること。
2. 医療機関等が外部の事業者との契約に基づいて確保した安全な場所に保存する場合で
は、技術的な方法として、例えばトラブル発生時のデータ修復作業等緊急時の対応を除
き、原則として委託する医療機関等のみがデータ内容を閲覧できることを担保するよ
う求めること。
3. 外部保存を受託する事業者に保存される個人識別に係る情報の暗号化を行い適切に管
理することや、外部保存を受託する事業者の管理者といえども通常はアクセスできな
い制御機構をもつこと。具体的には、「暗号化を行う」、
「情報を分散保管する」という
方法が考えられる。その場合、非常時等の通常とは異なる状況下でアクセスすることも
想定し、アクセスした事実が医療機関等で明示的に識別できる機構を備えるよう求め
ること。

69