ガイドライン案 Ⅱ.②(2) 認定作成事業者による認定利用事業者に対する監督のあり方


補足資料

認定作成事業者における認定利用事業者に対する監督については、個情法における委託元による委託先に対する監督の規律を踏まえ、
省令及びGLにおいて概要以下の規律を設ける（新GLⅡ-25-4-2参照）。
省令事項

認定作成事業者が、提供した仮名加工医療情報について適切な取扱いが行われるよう、認定利用事業者に対して必要かつ適切な監督を
行う体制を備えていることを、認定作成事業者における安全管理措置の一環として規定。

両者間の
取決め

GLの
記載事項

•

認定作成事業者は、認定利用事業者との間で、認定作成事業者による認定利用事業者に対する仮名加
工医療情報の利用条件及びそれに応じた安全管理措置の遵守状況に関する定期的な監督（例えば、必
要に応じて仮名加工医療情報を取り扱う場所に赴く又はこれに代わる合理的な方法での監督、名簿の管
理、利用終了時の措置等）について取決めを行うこととする。

•

認定作成事業者は、上記の取決めに基づき、認定利用事業者に対して、適切な方法により、定期的な監査を実施す
る必要があり、また、そのための体制を整備することが必要となる。

•

定期的な立入検査・実地検査までを求める趣旨ではないが、必要に応じて行えるように取り決めておくことが望ましい。

•

認定利用事業者において仮名加工医療情報の取扱者に変更・追加があった場合には、認定利用事業者より報告を
受けることにより、認定作成事業者が取扱者の適格性の確認と名簿の管理を行う。

•

仮名加工医療情報及び成果物（中間成果物を含む。）の利用終了時は、例えば以下のような形で、利用終了が
確実に行われたことを認定作成事業者が確認する。
• 【Ⅰ型認定の認定利用事業者の場合】認定作成事業者は、認定利用事業者における消去の状況を管理・確認
し、その記録を保管すること
• 【Ⅱ型認定の認定利用事業者の場合】認定作成事業者は、認定利用事業者によるVisiting環境上の当該デー
タおよびスクリプトの消去の状況を管理・確認し、又は、認定作成事業者の権限と責任により当該データおよびスクリ
プトを消去し、その記録を保管すること。

•

さらに、Ⅱ型認定を取得する認定利用事業者に対しては、例えば、認定利用事業者のアクセスログ等の利用状況を
監視し、想定されない利用（例：外部記憶媒体の接続、データの利用量やアクセス頻度が異常な水準となったこと
等）が生じた場合の検知・制御体制を整備し運用すことが必要となる。

•

また、認定作成事業者は、認定利用事業者からの要望（独自データと仮名加工医療情報を合わせた解析、独自の
解析ツールの使用、成果物の持出しなど）について確認の上、可否や方法の回答を行い、必要な対応を行う。

監督義務
の履行

43