告し、また本人に通知等する義務を負うとされている（個人情報保護法 26 条）1718。
「個人
情報の保護に関する法律についてのガイドライン（通則編）」を参考に、必要な対策を講
ずることが求められる。

(2)民事責任
えい

情報漏洩等のセキュリティ事故が発生し、患者等に被害が生じると、患者等は医療機関
等に対し、契約責任または不法行為責任に基づき損害賠償を請求することがある。また、
患者等は、直接の契約関係がない対象事業者に対しても、不法行為責任に基づき損害賠償
を請求する可能性がある。
契約責任の場合、事業者がいかなる債務を負っていたのかという、委託契約（サービス
提供契約、開発委託契約等）の解釈問題となる。また、不法行為責任の場合、事業者の過
失の存否（すなわち、いかなる注意義務を負っていたか）として判断される。

17

ただし、当該個人情報取扱事業者である対象事業者が、他の個人情報取扱事業者又は行政機関等であ
る医療機関等から取扱いの委託を受けている個人データについて、個人情報保護法施行規則 7 条各号に該
当する事態が生じた場合であって、その旨を当該他の個人情報取扱事業者又は行政機関等である医療機関
等に通知したときは、この限りでない（個人情報保護法 26 条 1 項ただし書）
。
18 行政機関等である医療機関等は、個人情報保護法施行規則 43 条各号に該当する事態が生じたときは、
個人情報保護委員会への報告及び本人通知等の義務を負う（個人情報保護法 68 条）
。この際、対象事業者
において、当該医療機関等から取扱いの委託を受けている個人情報について、同規則 43 条各号には該当
するが、同規則 7 条各号には該当しない事態（例えば、本人の数が 100 人を超え 1000 人以下の漏えい
等、条例要配慮個人情報が含まれる漏えい等）が生じた場合、対象事業者は個人情報保護法 26 条に基づ
く漏えい等報告及び本人通知等義務を負わない。しかし、当該医療機関等は同法 68 条に基づき当該義務
を負うことから、当該医療機関等においては、漏えい等事案が生じた旨を対象事業者が当該医療機関等に
通知する体制を確保することが必要である。

15