厚生労働省

  • 文字サイズの変更
  • 小
  • 中
  • 大

資 料 3

医療情報受託ガイドラインの策定について

経済産業省
商務情報政策局

1.医療情報受託ガイドライン策定の経緯

(1)これまで医療情報については、厚生労働省から発出されている「医療情報システムの安全管理に関するガイドライン(以下、「医療ガイドライン」という。)」により、原則として医療機関又は行政機関が保有する状況にあった。

(2)こうした状況に対しては、医療機関が保有する診療録等を専門の民間情報処理事業者が管理することで、医療機関にとっては、個人情報漏えい等のリスクを低減することが可能になるとの指摘があった。これを受け、厚生労働省医政局に設置された「医療情報ネットワーク基盤検討会」において、医療情報の外部保存に関するルールを明確化し、平成20年3月に医療ガイドラインを改正したところである。

(3)他方、医療機関から医療情報を受託する事業者(以下、「医療情報受託者」という。)となる立場の情報処理事業者については、現在、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の規定が適用されている。同ガイドラインは、多様な業種の事業者が広汎な種類の個人情報を取り扱うことを想定しているため、機微性の高い医療情報の取扱いに携わる医療情報受託者に対しては、必ずしも十分な安全管理措置が規定されていない。

(4)このため、経済産業省では、医療情報の外部保存の安全性に万全を期すため、医療情報受託者が義務的に講ずべき措置を具体的に明記したガイドライン(以下、「医療情報受託ガイドライン」という。)を別途策定するところである。

2.医療情報受託ガイドラインの主な内容

医療機関における医療情報の取扱いについては、個人情報保護法のほかに医師法、医療法等とも相まって、十分な規律が働いている。他方、医療情報受託事業者は、医師法、医療法等の規律対象ではない。このため、医療情報の委託元と委託先との間で、事実上、規律のレベルにギャップが生じている。

個人情報保護法成立時の附帯決議及び個人情報の保護に関する基本方針(閣議決定)において、個人情報保護のための格別の措置を講ずべき分野として医療分野が掲げられていることを踏まえ、医療情報受託者の安全管理措置の程度を引き上げる等の手当により、医療情報の委託元と委託先との規律のギャップを縮小させ、医療情報の外部保存による情報漏えい等のリスクの増大を回避することとした。主な内容は、次のとおり。

(1)医療情報受託者に対する責任の充実

・「医療ガイドライン」に基づき、現在、医療機関が必ず実施しなければならない事項に関して、医療情報受託者にも実施を義務付ける。

・「医療ガイドライン」上、医療機関には実施が「推奨」されるにとどまる対策に関しても、医療情報受託者については原則として実施を義務付ける。

(2)医療情報受託者の安全管理体制の第三者認証

・医療情報の受託に当たり、プライバシーマーク制度、不足なく適用範囲を定めた適用宣言書に基づくISMS認定制度等の公正な第三者の認定の取得を義務付ける。

(3)医療情報受託者の情報セキュリティ対策に関する監査の充実

・第三者機関による情報セキュリティ外部監査の定期的実施を推奨する。


トップへ