よむ、つかう、まなぶ。
医療情報システムの安全管理に関するガイドライン第6.0版(令和5年5月)Q&A (28 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html |
| 出典情報 | 医療情報システムの安全管理に関するガイドライン 第6.0版(5/31)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
2.責任分界
企2章第①条
企Q-5 委託したクラウド型の電子カルテサービス業者から自院の患者に関するデー
タが漏えいした場合、自院にはどのような責任が問われるのか。
A
本ガイドラインの「2.2.2 委託における責任分界(複数事業者が関与する場合
を含む)
」の記述が適用されます。
管理責任は委託を行った医療機関等の責任者にあり、万一事故が起きた際には、受託
する医療情報システム・サービス事業者と連携しながら本ガイドライン「経営管理編 1.
2.2 非常時における責任」項の「説明責任」と「善後策を講ずる責任」を果たす必要
があります。
企2章第⑥条
企Q-6 第三者提供における責任分界をどのように考えればよいか。
A
第三者提供とは、第三者が何らかの目的で医療情報を利用するために行われるもので、
医療機関等の管理者にとっては、原則として、提供先との責任分界に基づく範囲で責任
を有しています。適切な第三者提供がなされる限り、提供された後の情報保護責任は、
提供した医療機関等の管理者ではなく、提供を受けた第三者が負うことになります。
ただし、例外的に、提供先で適切に扱われないことを知りながら情報提供をしたよう
な場合は、提供元の医療機関等の責任が追及される可能性があります。
一方、電子化された情報の特性に着目すると、医療情報が第三者提供されても、医療機
関等の側で当該情報を削除しない限り、当該医療情報を引き続き保存し続けることにな
ります。したがって、その情報について情報保護責任がなお残ることはいうまでもあり
ません。
医療情報が電子化され、ネットワーク等を通じて情報が提供される場合、第三者提供
の際にも、医療機関等から提供を受ける第三者に直接情報が提供されるのではなく、医
療情報システム・サービス事業者が介在することがあります。この場合、いつの時点で、
第三者提供が成立するのか、すなわち医療情報システム・サービス事業者との責任分界
というべき概念が発生します。
一旦、適切・適法に提供された医療情報については、提供元の医療機関等に送付先での
情報保護責任がないことは先に述べたとおりですが、第三者提供の主体は提供元の医療
機関等であることから、患者等に対する関係では、少なくとも情報が提供先の第三者に
到達するまで、原則として、提供元の医療機関等に責任があると考えることができます。
その上で、医療機関等と医療情報システム・サービス事業者との間の内部的な意味での
「善後策を講ずる責任」をいかに分担するかは、医療情報システム・サービス事業者と医
療機関等の間で、あらかじめ協議して明確にしておくことが望まれます。医療情報シス
テム・サービス事業者の選任・監督義務を果たしており、特に責任が明記されていない場
合に、医療情報システム・サービス事業者の過失で何らかの不都合な事態が生じた場合
は、医療情報システム・サービス事業者が全ての責任を負うのが原則です。
27
企2章第①条
企Q-5 委託したクラウド型の電子カルテサービス業者から自院の患者に関するデー
タが漏えいした場合、自院にはどのような責任が問われるのか。
A
本ガイドラインの「2.2.2 委託における責任分界(複数事業者が関与する場合
を含む)
」の記述が適用されます。
管理責任は委託を行った医療機関等の責任者にあり、万一事故が起きた際には、受託
する医療情報システム・サービス事業者と連携しながら本ガイドライン「経営管理編 1.
2.2 非常時における責任」項の「説明責任」と「善後策を講ずる責任」を果たす必要
があります。
企2章第⑥条
企Q-6 第三者提供における責任分界をどのように考えればよいか。
A
第三者提供とは、第三者が何らかの目的で医療情報を利用するために行われるもので、
医療機関等の管理者にとっては、原則として、提供先との責任分界に基づく範囲で責任
を有しています。適切な第三者提供がなされる限り、提供された後の情報保護責任は、
提供した医療機関等の管理者ではなく、提供を受けた第三者が負うことになります。
ただし、例外的に、提供先で適切に扱われないことを知りながら情報提供をしたよう
な場合は、提供元の医療機関等の責任が追及される可能性があります。
一方、電子化された情報の特性に着目すると、医療情報が第三者提供されても、医療機
関等の側で当該情報を削除しない限り、当該医療情報を引き続き保存し続けることにな
ります。したがって、その情報について情報保護責任がなお残ることはいうまでもあり
ません。
医療情報が電子化され、ネットワーク等を通じて情報が提供される場合、第三者提供
の際にも、医療機関等から提供を受ける第三者に直接情報が提供されるのではなく、医
療情報システム・サービス事業者が介在することがあります。この場合、いつの時点で、
第三者提供が成立するのか、すなわち医療情報システム・サービス事業者との責任分界
というべき概念が発生します。
一旦、適切・適法に提供された医療情報については、提供元の医療機関等に送付先での
情報保護責任がないことは先に述べたとおりですが、第三者提供の主体は提供元の医療
機関等であることから、患者等に対する関係では、少なくとも情報が提供先の第三者に
到達するまで、原則として、提供元の医療機関等に責任があると考えることができます。
その上で、医療機関等と医療情報システム・サービス事業者との間の内部的な意味での
「善後策を講ずる責任」をいかに分担するかは、医療情報システム・サービス事業者と医
療機関等の間で、あらかじめ協議して明確にしておくことが望まれます。医療情報シス
テム・サービス事業者の選任・監督義務を果たしており、特に責任が明記されていない場
合に、医療情報システム・サービス事業者の過失で何らかの不都合な事態が生じた場合
は、医療情報システム・サービス事業者が全ての責任を負うのが原則です。
27