企７章第⑤条
企Ｑ－25 医療機関等や委託事業者に外部保存を委託する場合、保存する情報の取り扱
いに関して、どのような留意事項があるか。
A

外部保存を委託する先を医療機関等と委託事業者それぞれに分けて、留意していただ
きたいことをまとめます。
【医療機関等に外部保存する場合】
情報を保存している機関に患者がアクセスし、自らの記録を閲覧するような仕組みを
提供する場合は、情報の保存を受託した病院、診療所、医療法人等は適切なアクセス権限
を規定し、情報漏えいや、誤った閲覧（異なる患者の情報を見せてしまう又は患者に見せ
てはいけない情報が見えてしまう等）が起こらないように配慮してください。
また、それら情報の提供は、原則、患者が受診している医療機関等と患者間の同意で実
施されるものであり、情報の保存を受託した病院、診療所、医療法人等が患者から何らの
同意も得ずに実施してはなりません。
病院、診療所等であっても、保存を受託した診療録等について分析等を行おうとする
場合は、委託した病院、診療所及び患者の同意を得た上で、不当な利益を目的としない場
合に限ります。
また、実施に当たっては院内に検証のための組織等を作り客観的な評価を行う必要が
あります。
匿名化された情報を取り扱う場合においても、地域や委託した医療機関等の規模によ
っては容易に個人が特定される可能性もあることから、匿名化の妥当性の検証を検証組
織で検討したり、取扱いをしている事実を患者等に掲示等を使って知らせる等、個人情
報の保護に配慮する必要があります。

【事業者に外部保存する場合】
いかなる形態であっても、保存された情報の外部保存を受託する事業者が独自に保存
主体の医療機関等以外に提供しないでください。匿名化された情報であっても同様です。
なお医療機関等が管理する端末等を用いて、医療機関等又は患者が患者情報に関するサ
ービスを利用する場合に、受託する事業者において Cookie を取得することがあります。
Cookie は直ちに個人を特定するものではないため、患者情報には当たらないとされうる
ものの、第三者提供することにより、患者等が特定されるリスクがあるため、受託する事
業者において第三者に提供することは許されません。
外部保存を受託する事業者を通じて保存された情報を保存主体の医療機関等以外にも
提供する場合は、あくまで医療機関等同士の合意で実施されなくてはならず、当然、個人
情報保護法に則り、患者の同意も得た上で実施する必要があります。

42