企２章第⑥条
企Ｑ－12 地域医療連携で暗号化を用いて第三者提供等を行う際、これに係る医療機関
等と医療情報システム・サービス事業者における責任分界において、どのような留意事
項があるか。
Ａ

【医療情報が提供元／提供先で暗号化／復号される場合の責任分界】
提供元医療機関等の医療情報システムにおいて、送信前に医療情報が暗号化され、提
供先医療機関等の医療情報システムにおいて医療情報が復号される場合、医療情報シス
テム・サービス事業者の責任は限定的になります。
しかし、この場合でも、医療情報システム・サービス事業者の管理責任は存在するた
め、ネットワーク上の情報の改ざんや侵入、妨害の脅威に対する医療情報システム・サー
ビス事業者の管理責任の範囲について契約で明らかにしておく必要があります。

【医療情報が医療情報システム・サービス事業者の管理範囲で暗号化される場合の責任分
界】
医療情報システム・サービス事業者の中には、例えば暗号化された安全なネットワー
ク回線の提供を主たるサービスとしている事業者も存在します。
そのようなネットワーク回線を使う場合、事業者が提供するネットワーク回線上にお
ける情報保護責任やサービスの可用性等の品質確保責任は事業者に発生します。したが
って、それらの責任について契約で明らかにしておきます。
ただし、医療情報システム・サービス事業者が提供するネットワーク回線に到達する
までの情報保護責任は医療機関等に存在するため、医療機関間での責任分界に沿った考
え方の整理が必要です。

企２章第⑥条
企Ｑ－13 医療機関等の施設外から医療情報システムにアクセスする場合に、接続する
者と医療機関等との間での責任分界において、どのような留意事項があるか。
Ａ

外部から医療情報システムにアクセスする場合に、接続者と医療機関等の責任分界を
定める場合として、以下の場面について解説します。
【施設外から自らの機関の医療情報システムにアクセスし業務を行う、いわゆるテレワー
クする場合の責任分界】
昨今、医療機関等においても、医療機関等の施設外から自らの機関の医療情報システ
ムにアクセスし業務を行う、いわゆるテレワークが一般的になってきました。
テレワークは、責任分界の観点では自組織に閉じていますが、医療情報システム・サー
ビス事業者が管理するネットワークを利用することになります。また、通信回線として、
公衆回線や施設内のＷｉ-Fi 等の多様なものが利用されることとなるため、個人情報保護
について広範な対応が求められることになります。
特に、医療機関等の企画管理者やシステム運用担当者でない医療機関等の職員につい
31