３．１．３ 委託における責任
個人情報保護法第 25 条では、「個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託
する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する
必要かつ適切な監督を行わなければならない。」と規定されており、具体的内容については、「医療・
介護関係事業者における個人情報の適切な取扱いのためのガイダンス」の「Ⅳ 医療・介護関係事業者の
義務等 ７．安全管理措置、従業者の監督及び委託先の監督（法第 23 条～第 25 条）」において示され
ている。個人情報取扱事業者である医療機関等は委託先の事業者を監督する責任を負い、委託先のシス
テム関連事業者による医療情報システムの管理も医療機関等の管理責任に含まれています。
利用する医療情報システム・サービスはじめネットワーク回線や情報機器設備など医療情報システム
に関する導入や保守などについて、システム関連事業者などの委託先の事業者との間で締結する契約に
おいて、委託する内容や非常時も含めた役割分担、責任の所在を明確にして、委託先事業者との間で適
切な協働体制を構築する必要があります。
双方の役割を分担し、責任の所在を明確にする、いわゆる責任分界には、
・法律上の責任の範囲を明確にする。
・具体的な運用及び対応の範囲を明確にする。
等の設定効果が期待されますので、システム関連事業者との間で認識の齟齬等が生じないよう、詳細に
確認をし、書面等により可視化して、適切な契約等の取決めを実施することが重要です。

３．１．４ 第三者提供における責任
医療機関等が外部の第三者に医療情報を提供する場合、医療機関等は、個人情報保護法や「医療・介
護関係事業者における個人情報の適切な取扱いのためのガイダンス」に留意し、安全に医療情報を提供
する責任を負っています。
医療機関等は、医療情報を提供する先の第三者との間で、それぞれが負う責任の範囲をあらかじめ明
確にし、認識の齟齬等が生じないよう、書面等により可視化し、適切に管理することが必要です。

３．２ リスク評価を踏まえた管理
医療機関等は、医療情報システムの安全管理対策を講じるために、リスク分析・評価を実施し、リス
ク管理方針（リスクの回避・低減・移転・受容）を決定することが必要です。

-6-