8.4. 個人情報の保護
A．制度上の要求事項
（安全管理措置）
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止そ
の他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
（委託先の監督）
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、そ
の取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対す
る必要かつ適切な監督を行わなければならない。
（個人情報保護法 第 23 条、第 25 条）
患者のプライバシー保護に十分留意し、個人情報の保護が担保されること。
（外部保存改正通知 第 2

1（3））

B．考え方
ネットワークを通じて外部に保存する場合、医療機関等の管理者の権限や責任の範囲が、
自機関等の施設とは異なる施設や電気通信事業者にも及ぶために、より一層、個人情報の保
護に配慮することが必要となる。
なお、患者の個人情報の保護等に関する事項は、診療録等の法的な保存期間が終了した場
合や、外部保存を受託する事業者との契約期間が終了した場合でも、個人情報が存在する限
り配慮する必要がある。また、バックアップ情報における個人情報の取扱いについても、同
様の運用体制が求められる。
ネットワークを通過する際の個人情報保護は、通信手段の種類によって個別に考える必
要がある。通信手段の違いによる情報の秘匿性確保に関しては 6.11 章「 (2)選択すべき
ネットワークのセキュリティの考え方｣で触れているので、そちらを参照すること。
C．最低限のガイドライン
1. 診療録等の外部保存を受託する事業者内における個人情報保護
(1)

委託先を適切に監督すること
診療録等の外部保存を受託する事業者内の個人情報保護については、本ガイドライ

ン 6 章を参照し、適切な管理を行わせる必要がある。
2. 外部保存実施に関する患者への説明
外部保存の委託に当たり、あらかじめ患者に対して、必要に応じて個人情報が特定の外
部の施設に送付・保存されることについて、その安全性やリスクを含めて院内掲示等を通
じて説明し、理解を得る必要がある。

70