そのような報告義務・通知義務や、その前提である個人情報の安全管理のた
めの措置を講じる義務（法第 23 条）等に違反しており、個人の権利利益を保
護するため必要があると認められた場合には、個人情報保護委員会から当該医
療機関等に対して是正勧告がなされることになります（法第 145 条第 1 項）。
さらに是正勧告に正当な理由なく対応しない、違反行為がなされる等により、
個人の重大な権利利益の侵害が切迫していると認められた場合には、個人情報
保護委員会から違反行為の中止や是正措置実施の命令がなされます。（法第
145 条第 2 項、第 3 項）
令和 2 年改正個人情報保護法では、個人情報保護法に対する重大な違反行
為に対する罰則も強化されています。例えば、上記の個人情報保護委員会から
医療機関等に対する命令違反が生じた場合、命令違反をした場合の代表者や従
業員が属する法人に対する罰金刑は従来の 30 万円以下から 1 億円以下に大
きく強化されています。医療情報などの個人情報データベースを、不正に提供
等を行った場合も同様の罰金刑となっています（法 179 条第 1 項）。
このように個人情報保護法では医療情報が漏洩した場合の報告義務等や、こ
れに関連して必要な対応を行わずに命令違反を行った場合の医療機関等に対
する罰則などが強化されていることを十分理解する必要があります。
なお令和３年改正法では、医療機関等における責任に直接関係する内容の改
正はありませんが、国公立の病院、大学等には原則として民間の病院、大学等
と同等の規律を適用することとしています。

経１．２章
経Ｑ－３

このガイドラインに従いシステム構築等をしていたにも関わらず起
こった情報セキュリティインシデントについて、責任のあり方をどの
ように考えるべきか。

Ａ このガイドラインは、医療情報システムの安全管理及び e-文書法への適切
な対応に関し、厚生労働大臣が法を執行する際の基準となるものの一つです。
技術的なことだけではなく、運用を含めた安全対策を示したものであり、ガイ
ドラインを遵守していたと認められる状況下で起こった情報セキュリティイ
ンシデントについては、一定程度の法的責任を果たしていたということが可
能だと考えられます。

11