サービスの利用に係る基本方針」（令和７2025 年５月 27 日デジタル社会推進会議幹事会決定）の「セ
キュリティクラウド認証等」に示す下記のいずれかの認証等により、適切な外部保存に求められる技術及び運用
管理能力の有無
・政府情報システムのためのセキュリティ評価制度（ISMAP）（ISMAP-LIU は含まない）
・JASA クラウドセキュリティ推進協議会 CS ゴールドマーク
・米国 FedRAMP（LI-SaaS は含まない）
・AICPA SOC2／SOC3（または又はこれに準じる公認会計士による監査報告書）
上記認証等が確認できない場合、下記のいずれかの資格を有する者による外部監査結果により、上記と
同等の能力の有無を確認すること
・システム監査技術者
・Certified Information Systems Auditor ISACA 認定
・「民間事業者による医療情報に係るクラウドサービスの評価」（一般社団法人保健医療福祉情報安全
管理適合性評価協会）
h 医療情報を保存する情報機器が設置されている場所(地域、国)
i 委託先事業者に対する国外法の適用可能性
⑦ 医療情報の外部保存の委託先事業者との契約には、以下の内容を含めること。
－ 委託元の医療機関等、患者等の許可なく保存を受託した医療情報を分析等の目的で取り扱わないこと。
－ 保存を受託した医療情報の分析等は正当な目的の場合に限り許可されること。
－ 匿名化した情報であっても、匿名化の妥当性の検証を行う、及び院内掲示等を使って取扱いをしている事
実を患者等に知らせるなどして、個人情報保護に配慮した上で取り扱うこと。
－ 保存を委託する医療機関等に患者がアクセスし、自らの記録を閲覧できるような仕組みを提供する場合は、
外部保存の委託先事業者に適切な利用者権限や閲覧の範囲を設定し、情報漏洩漏えいや、誤った情報閲
覧が起こらないように配慮すること。
－ 情報の提供は、原則、患者が受診している医療機関等と患者との間での同意に基づいて実施すること。
⑧ 委託先事業者が契約に基づいて必要な対応を行っていることを定期的に確認するため、委託先事業者に報告
を求めること。当該報告の結果、必要に応じてその改善を求めること。また委託先事業者からの報告内容につい
ては、経営層に報告し、承認を得ること。
⑨ 委託契約終了に際し、医療情報の返却とその方法など、委託先事業者が行うべき内容についてあらかじめ契
約により取り決めておくこと。
⑩ 外部保存の委託に当たり、あらかじめ患者に対して、必要に応じて個人情報が特定の外部の施設に送付・保
存されることについて、その安全性やリスクを含めて院内掲示等を通じて説明し、理解を得ること。

７．１ 職員管理
➢

医療機関等は、情報の盗難や不正行為、情報設備の不正利用等のリスク軽減を図るため、人による誤りの防
止を目的とした人的安全管理対策を策定する必要がある。これには守秘義務と違反時の罰則に関する規定や
教育・訓練に関する事項が含まれる。

➢

以下の者については、医療機関等の職員に対する人的安全管理の対象として整理される。
（a） 医師、看護師等の業務で診療に関わる情報を取り扱い、法令上の守秘義務のある者
（b） 医事課職員、事務委託者等、の医療機関等の事務の業務に携わることでり、雇用契約の下に医療情報を
取り扱い、守秘義務を負う者

➢

いずれも、医療情報を取り扱う者として、守秘義務や教育・訓練等を受ける義務を課す雇用契約等を締結する
- 28 -