７．安全管理措置、従業者の監督及び委託先の監督（法第２３条～第２５条）
（安全管理措置）
法第二十三条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀
損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなけれ
ばならない。
（従業者の監督）
法第二十四条 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当た
っては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適
切な監督を行わなければならない。
（委託先の監督）
法第二十五条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する
場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受け
た者に対する必要かつ適切な監督を行わなければならない。
（１）医療・介護関係事業者が講ずるべき安全管理措置等
①安全管理措置
医療・介護関係事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止
その他の個人データの安全管理のため、組織的、人的、物理的及び技術的安全管理措
置等を講じなければならない。また、外国において個人データを取り扱う場合には、
外的環境の把握を行ったうえで、これらの安全管理措置を講じなければならない。そ
の際、本人の個人データが漏えい、滅失又は毀損をした場合に本人が被る権利利益の
侵害の大きさを考慮し、事業の性質及び個人データの取扱い状況等に起因するリスク
に応じ、必要かつ適切な措置を講ずるものとする。なお、その際には、個人データを
記憶した媒体の性質に応じた安全管理措置を講ずる。
②従業者の監督
医療・介護関係事業者は、①の安全管理措置を遵守させるよう、従業者に対し必要
かつ適切な監督をしなければならない。なお、
「従業者」とは、医療資格者のみならず、
当該事業者の指揮命令を受けて業務に従事する者全てを含むものであり、また、雇用
関係のある者のみならず、理事、派遣労働者等も含むものである。
医療法第１５条では、病院等の管理者は、その病院等に勤務する医師等の従業者の
監督義務が課せられている。
（薬局や介護関係事業者についても、医薬品医療機器等法
や介護保険法に基づく各種サービスに関する人員、設備及び運営に関する基準（以下
「指定基準」という。
）等に同様の規定あり。
）
（２）安全管理措置として考えられる事項
医療・介護関係事業者は、その取り扱う個人データの重要性に鑑み、個人データの漏
３６