企１章第⑤条
企Ｑ－２ 「医療情報システムに対する情報セキュリティ方針（ポリシー）や患者の医
療情報の保護に関する方針及び医療情報システムの安全管理に関する方針」とあるが、
具体的にはどのようなものが想定されているのか。
Ａ

関係する個人情報保護方針や医療情報システムの安全管理に関する方針について解説
します。
【個人情報保護方針】
個 人 情 報 保 護 に 関 す る 方 針 に 盛 り 込 む べ き 具 体 的 内 容 等 に つ い て 、「 JIS Q
15001:2017（個人情報保護マネジメントシステム-要求事項）」では、下記のように定
めています。
A.3.2.1 内部向け個人情報保護方針
トップマネジメントは，5.2.1 e) に規定する内部向け個人情報保護方針を
文書化した情報には次の事項を含めなければならない。
a) 事業の内容及び規模を考慮した適切な個人情報の取得，利用及び提供に関
すること［特定された利用目的の達成に必要な範囲を超えた個人情報の取扱
い（以下，
“目的外利用”という。）を行わないこと及びそのための措置を講
じることを含む。］。
b) 個人情報の取扱いに関する法令，国が定める指針その他の規範を遵守する
こと。
c) 個人情報の漏えい，滅失又は毀損の防止及び是正に関すること。
d) 苦情及び相談への対応に関すること。
e) 個人情報保護マネジメントシステムの継続的改善に関すること。
f) トップマネジメントの氏名
トップマネジメントは，内部向け個人情報保護方針を文書化した情報を，組
織内に伝達し，必要に応じて，利害関係者が入手可能にするための措置を講じ
なければならない。
A.3.2.2 外部向け個人情報保護方針
トップマネジメントは，外部向け個人情報保護方針を文書化した情報には，
A.3.2.1 に規定する内部向け個人情報保護方針の事項に加えて，次の事項も明
記しなければならない。
a) 制定年月日及び最終改正年月日
b) 外部向け個人情報保護方針の内容についての問合せ先
トップマネジメントは，外部向け個人情報保護方針を文書化した情報につい
て，一般の人が知り得るようにするための一般の人が入手可能な措置を講じな
ければならない。
24