ガイドライン案 IV.③ 認定利用事業者の安全管理措置に関する基準（組織的安全管理措置 (1)）

補足資料

(1) 仮名加工医療情報の安全管理に係る基本方針（新GLⅣ-14-1-1参照）
 次に掲げる事項を含め、仮名加工医療情報の安全管理に関する基本的な考え方を明らかにした基本方針を策定する
必要がある。
• 仮名加工医療情報を利用する一連の過程で生じ得るリスクを分析し、その結果に応じ、仮名加工医療情報の安全管
理のために必要かつ適切な措置を講ずる方針
• 適用される法、個人情報保護法その他の関係法令及び内部規則等の遵守を徹底する方針
 策定にあたっては、データのライフサイクル全般に亘って適切にリスク管理を行うというデータマネジメントの観点を勘案すること
が望ましい。

(2) 安全管理責任者（新GLⅣ-14-1-2参照）
 「仮名加工医療情報の安全管理に関する相当の経験及び識見を有する責任者」（安全管理責任者）を設置し、以
下の事項を明らかにする必要がある。
• 認定利用事業者内の組織体制における権限及び責任
• 安全管理責任者が業務を全うすることが可能であること（以下に該当する場合にはその内容を記載する必要あり）
– 安全管理責任者の勤務形態が出向又は派遣である場合にあっては、当該認定利用事業者と出向元又は派遣元と
の間の契約等により、安全管理責任者の権限及び責任について取り決めていること
– 安全管理責任者が認定利用事業者以外の法人又は個人で兼業する場合（非常勤又は臨時的な業務に就く場合
を除く。）にあっては、当該兼業の内容（兼業先となる法人の名称を含む。）
• 安全管理責任者に係る契約関係
– 安全管理責任者が認定利用事業者のためにその指揮命令又は監督を受けてその業務に従事する契約関係（例え
ば、雇用、出向、派遣等）にあることを明らかにする必要がある
• 安全管理責任者の実務経験及び専門性
– 個人情報保護を含む情報セキュリティに係る実務経験を有するなど、必要な専門性を有することをいう
– 申請書類においては、上記を満たしていることが分かる具体的な経歴、業績、資格等を明らかにする必要がある
※安全管理責任者が業務に従事し得ない場合の代位者を指定することが必要（Ⅱ型認定の場合には任意）

26