・不要となった個人データを廃棄する場合には、焼却や溶解など、個人データを復元不
可能な形にして廃棄する。
・個人データを取り扱った情報機器を廃棄する場合は、記憶装置内の個人データを復元
不可能な形に消去して廃棄する。
・これらの廃棄業務を委託する場合には、個人データの取扱いについても委託契約にお
いて明確に定める。
（３）業務を委託する場合の取扱い
①委託先の監督
医療・介護関係事業者は、検査や診療報酬又は介護報酬の請求に係る事務等個人デ
ータの取扱いの全部又は一部を委託する場合、法第２３条に基づく安全管理措置を遵
守させるよう受託者に対し、必要かつ適切な監督をしなければならない。
「必要かつ適切な監督」には、委託契約において委託者である事業者が定める安全
管理措置の内容を契約に盛り込み受託者の義務とするほか、業務が適切に行われてい
ることを定期的に確認することなども含まれる。
また、業務が再委託された場合で、
再委託先が不適切な取扱いを行ったことにより、
問題が生じた場合は、医療・介護関係事業者や再委託した事業者が責めを負うことも
あり得る。
②業務を委託する場合の留意事項
医療・介護関係事業者は、個人データの取扱いの全部又は一部を委託する場合、以
下の事項に留意すべきである。
・個人情報を適切に取り扱っている事業者を委託先（受託者）として選定する（受託
者の安全管理措置が、少なくとも法第２３条で求められるものと同等であることを
確認するため、Ⅳ７.（２）の項目が、委託する業務内容に応じて確実に実施される
ことについて、受託者の体制、規程等の確認に加え、必要に応じて個人データを取
り扱う場所に赴き、又はこれに代わる合理的な方法により確認を行った上で、個人
情報保護に関する管理者、監督者等が、適切に評価することが望ましい。
）
。
・契約において、個人情報の適切な取扱いに関する内容を盛り込む（委託期間中のほ
か、委託終了後の個人データの取扱いも含む。
）
。
・受託者が、委託を受けた業務の一部を再委託することを予定している場合は、再委
託を受ける事業者の選定において個人情報を適切に取り扱っている事業者が選定さ
れるとともに、再委託先事業者が個人情報を適切に取り扱っていることが確認でき
るよう契約において配慮する（再委託の可否及び医療・介護関係事業者への文書に
よる事前報告又は承認手続を求める等の事項を定めることが望ましい。
）
。
・受託者が個人情報を適切に取り扱っていることを定期的に確認する。
・受託者が再委託を行おうとする場合は、医療・介護関係事業者は委託を行う場合と
同様、再委託の相手方、再委託する業務内容及び再委託先の個人データの取扱方法
等について、受託者に事前報告又は承認手続を求めること、直接又は受託者を通じ
て定期的に監査を実施すること等により、受託者が再委託先に対して法第２５条に
３９