及び管理の状況
d

実績等に基づく個人データ安全管理に関する信用度

e

財務諸表等に基づく経営の健全性

f

プライバシーマーク認定又は ISMS 認証の取得

g

「政府情報システムにおけるクラウドサービスの利用に係る基本方針」の「セキュリティク
ラウド認証等」に示す下記のいずれかの認証等により、適切な外部保存に求められる技術及
び運用管理能力の有無
・政府情報システムのためのセキュリティ評価制度（ISMAP）
・JASA クラウドセキュリティ推進協議会 CS ゴールドマーク
・米国 FedRAMP
・AICPA SOC2（日本公認会計士協会 IT7 号）
・AICPA SOC3（SysTrust/WebTrust）
（日本公認会計士協会 IT2 号）
上記認証等が確認できない場合、下記のいずれかの資格を有する者による外部監査結果
により、上記と同等の能力の有無を確認すること
・システム監査技術者
・Certified Information Systems Auditor ISACA 認定

h

医療情報を保存する情報機器が設置されている場所(地域、国)

i

委託先事業者に対する国外法の適用可能性

⑦ 医療情報の外部保存の委託先事業者との契約には、以下の内容を含めること。
－

委託元の医療機関等、患者等の許可なく保存を受託した医療情報を分析等の目的で取り扱
わないこと。

－ 保存を委託した医療情報の分析等は正当な目的の場合に限り許可されること。
－

匿名化した情報であっても、匿名化の妥当性の検証を行う、及び院内掲示等を使って取扱
いをしている事実を患者等に知らせるなどして、個人情報保護に配慮した上で取り扱うこ
と。

－

保存を委託する医療機関等に患者がアクセスし、自らの記録を閲覧できるような仕組みを
提供する場合は、外部保存の委託先事業者に適切な利用者権限や閲覧の範囲を設定し、情報
漏洩や、誤った閲覧（異なる患者の情報を見せてしまう又は患者に見せてはいけない情報が
見えてしまう等）が起こらないように配慮すること。

－

情報の提供は、原則、患者が受診している医療機関等と患者との間での同意に基づいて実
施すること。

⑧

委託先事業者が契約に基づいて必要な対応を行っていることを定期的に確認するため、委託

先事業者に報告を求めること。当該報告の結果、改善が必要である場合にはその旨を求めるこ
と。また委託先事業者からの報告内容については、経営層に報告し、承認を得ること。
⑨

委託契約終了に際し、医療情報の返却とその方法など、委託先事業者が行うべき内容につい

てあらかじめ契約により取り決めておくこと。
⑩

外部保存の委託に当たり、あらかじめ患者に対して、必要に応じて個人情報が特定の外部の

施設に送付・保存されることについて、その安全性やリスクを含めて院内掲示等を通じて説明
し、理解を得ること。

- 28 -