企２章第⑥条
企Ｑ－15 レセプトのオンライン請求のように、第三者提供が法令に定められている
場合、医療機関等と医療情報システム・サービス事業者との間の責任分界に
おいて、どのような留意事項があるか。
Ａ

法令で定められている場合等の特別な事情により、医療情報システム・サービス事業
者に暗号化されていない医療情報が送信される場合は、医療情報システム・サービス事
業者及びネットワーク事業者等において盗聴の脅威に対する対策を施す必要があります。
そのため、ネットワークの管理責任を負っている医療機関等は、医療情報システム・サ
ービス事業者と医療情報の管理責任についての明確化を行わなくてはなりません。
また、医療情報システム・サービス事業者に対して管理責任の一部又は全部を委託す
る場合は、それぞれの事業者と個人情報に関する委託契約を適切に締結し、監督しなけ
ればなりません。

企２章第⑤条
企Ｑ－16 外部保存を委託する際に、医療機関等と医療情報システム・サービス事業
者との間の責任分界において、どのような留意事項があるか。
Ａ

本ガイドラインの「７．安全管理のための人的管理（職員管理、事業者管理、教育・
訓練、事業者選定・契約）」を十分理解して委託先の選定と適切な契約を結ぶ必要があり
ます。患者等に対する責任の主体は委託を行う医療機関等であるため、医療機関等が説
明責任を果たすための資料や説明の提供を受託する事業者との契約で定め、受託する事
業者における情報の取扱いを医療機関等としても理解する努力が必要です。さらに、例
えば電子カルテを提供する医療情報システム・サービス事業者と、そのデータの外部保
存のための資源を提供する事業者は異なることがあります。この場合、例えば障害が起
こった際の対処の責任範囲について両事業者間で明確に定めた上で、医療機関等が理解
しておく必要があります。
下図は、医療機関等が複数の事業者と外部保存に関する契約を行う例ですが、障害等
が発生した非常時の場合に、最初に原因調査の範囲を決める責任を負う主体や、原因調
査に必要な調査協力義務などについての役割、範囲等をそれぞれの事業者と取り決めて
おくことが求められます。複数事業者の提供サービス内容や契約内容を合わせて、本ガ
イドラインの要求に漏れなく適合していることの確認が必要です。

25