8.3. 外部保存を受託する事業者の選定基準及び情報の取扱いに関する基準
A．制度上の要求事項
（安全管理措置）
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他
の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

（個人情報保護法 第 23 条）
電気通信回線を通じて外部保存を行う場合にあっては、保存に係るホストコンピュー
タ、サーバ等の情報処理機器が医療法第 1 条の 5 第 1 項に規定する病院又は同条第 2 項
に規定する診療所その他これに準ずるものとして医療法人等が適切に管理する場所、行
政機関等が開設したデータセンター等、及び医療機関等が民間事業者等との契約に基づ
いて確保した安全な場所に置かれるものであること。
（外部保存改正通知 第 2 1 （2））
B．考え方
特に「２

医療機関等が外部の事業者に対してとの契約に基づいて確保した安全な場所

に保存する場合」には、データセンター等の情報処理を受託する事業者が総務省・経済産業
省の定めた「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガ
イドライン」の要求事項を満たしていることを確認し、契約等でその遵守状況を明らかにし
なくてはならない。なお、データセンターについては、個人情報保護法の改正により、民間
事業者においても安全管理に関する法律上の義務が生じるようになったことから、行政機
関等が開設したデータセンター等と契約に基づいて確保した安全な場所である民間事業者
が開設したデータセンターとは区別せず、同一の要求事項が求められる。
外部保存を受託する事業者の選定基準や情報の扱い、情報の提供にあたっては、病院、診
療所、医療法人等が適切に管理する場所に保存する場合、又は医療機関等が外部の事業者等
との契約に基づいて確保した安全な場所に保存する場合のそれぞれにおいて、適切に対応
する必要がある。
C．最低限のガイドライン
1. 病院、診療所、医療法人等が適切に管理する場所に保存する場合
(1)

病院や診療所、医療法人等が適切に管理する場所に診療録等を保存すること。

(2)

委託した医療機関等及び患者等の許可なく、保存を受託した診療録等を分析等の
目的で取り扱わせないこと。

(3)

保存を受託した診療録等の分析等は、不当な利益を目的としない場合に限って許
可すること。

(4)

匿名化した情報であっても、匿名化の妥当性の検証を行う、及び院内掲示等を使っ

67