経１．３章
経Ｑ－６ 委託している事業者において、情報漏えい等の情報セキュリティインシデン
トが発生した場合、事業者に対応をさせればよいのか。
Ａ

情報漏えい等の情報セキュリティインシデントに際しては、当該情報を一次管理して
いる医療機関等側に、説明責任及び善後策を講ずる責任が発生します。もちろん情報セ
キュリティインシデントを起こした事業者側も責任を免れるものではなく、両者が協力
して説明及び善後策を講じる必要があります。

経１．２．１章
経Ｑ－７ 委託先の事業者の対応にあたり、
「個人情報保護の責任者」を選定する要件や
考慮すべきこと（「個人情報の保護について一定の知識」など）はあるか。
Ａ

具体的な要件が定められているものではありませんが、医療に関わる全ての行為は、
医療法等で医療機関等の管理者の責任で行うことが求められています。そのため、結果
的には、個々の医療機関等の管理者が、権限を一部委譲するに適当と考える者を「個人
情報保護の責任者」として選任することになると考えられます。
電子化された「個人情報の保護についての一定の知識」についても、具体的な条件は示
されていませんが、電子化された情報は、紙媒体の情報に比べ容易に大量の情報が漏洩
する可能性がある特徴を持つことから、それらの特徴と扱い方について理解しているこ
とが重要です。

経１．３．２章、１．４章
経Ｑ－８ 委託と第三者提供の情報管理責任上の違いは何か。
Ａ

委託とは、契約書等に基づき、業務の一部（例えば臨床検査）を外部に託すものであ
り、その情報の管理責任は一義的には委託元にあります。したがって、委託元は委託先
の情報管理を監督しなければなりません。
それに対し、第三者提供（例えば紹介状による治療情報の提供）とは、患者等の同意の
下に情報を他の事業者等に提供することです。第三者提供では、情報提供が確実に行わ
れた時点で提供された情報の管理責任は提供先に移動します。
ただし、電子化された情報は提供が行われた場合でも提供元にも同じ情報が残ること
が多く、残った情報の管理責任がなくなるわけではありません。

20