合意形成しておく必要があります。

4.

対象事業者と医療機関等の合意形成（基本的な考え方）
医療情報システム等を適切に利用・運用するためには、対象事業者と医療機関等で適切な

合意形成が必要です。適切な合意形成のために、両者で必要な安全管理のための情報の共有、
役割分担の明確化、医療情報システム等の安全管理に係る評価の共有等がなされる必要が
あります。

4.1. 医療機関等へ情報提供すべき項目以外の情報提供は必要ないのか？
本ガイドライン「4.1. 医療機関等へ情報提供すべき項目」は、対象事業者と医療機関等で
適切な合意形成のために必要となる情報を掲載しています。両者で適切な合意形成ができ
る程度まで情報共有が必要なので、ここで記載されていない項目についても、必要があれば
情報共有することが望ましいと考えられます。
また、表 4-1 は、①「医療機関等が医療情報安全管理ガイドラインに基づき「外部保存を受
託する事業者の選定基準」として少なくとも確認する必要がある項目」と②「医療機関等との共
通理解を形成するために情報提供すべき項目」の２つの目的で分類していますが、例えば、①の
項目は合意形成過程の初期段階における情報提供項目として、②の項目は契約に向けて具体的
な話が進んだ段階で合意形成の内容を深めるための情報提供項目として利用することが考えら
れます。

4.2. プライバシーマーク認定/ISMS 認証の取得と本ガイドラインとの関係の考え方は？
本ガイドラインにおいては、医療情報を取り扱う対象事業者に対して、情報セキュリティ
に係る公的な第三者認証として、プライバシーマーク認定または ISMS 認証の取得を求め
ています。しかし、これらの認証は、医療情報に限らず、個人情報の取扱いに関し、適切な
体制を整備していることを示すものであり、あくまで最低限の適格性を医療機関等へ示す
手段として捉えています。本ガイドラインの求める医療情報の適切な取扱いとは位置づけ
や求める内容も異なり、これらの認証の取得をもって、本ガイドラインの安全管理水準を満
たすわけではありません。また、プライバシーマーク認定や ISMS 認証と同等の第三者認証
等があり、これにより適格性を示すことができる場合には、これに代えることも可能です。

5