また、実施に当たっては院内に検証のための組織等を作り客観的な評価を行
う必要があります。
匿名化された情報を取り扱う場合においても、地域や委託した医療機関等の
規模によっては容易に個人が特定される可能性もあることから、匿名化の妥当
性の検証を検証組織で検討したり、取扱いをしている事実を患者等に掲示等を
使って知らせる等、個人情報の保護に配慮する必要があります。
【事業者に外部保存する場合】
いかなる形態であっても、保存された情報の外部保存を受託する事業者が独
自に保存主体の医療機関等以外に提供してください。匿名化された情報であっ
ても同様です。なお医療機関等が管理する端末等を用いて、医療機関等又は患
者が患者情報に関するサービスを利用する場合に、受託する事業者において
Cookie を取得することがあります。Cookie は直ちに個人を特定するもので
はないため、患者情報には当たらないとされうるものの、第三者提供すること
により、患者等が特定されるリスクがあるため、受託する事業者において第三
者に提供することは許されません。
外部保存を受託する事業者を通じて保存された情報を保存主体の医療機関
等以外にも提供する場合は、あくまで医療機関等同士の合意で実施されなくて
はならず、当然、個人情報保護法に則り、患者の同意も得た上で実施する必要
があります。
このような場合において、外部保存を受託する事業者がアクセス権の設定を
受託しているときは、医療機関等又は医療機関等に対して同意した患者の求め
に応じて適切な権限を設定する等して、情報漏えいや、誤った閲覧（異なる患
者の情報を見せてしまう又は患者に見せてはいけない情報が見えてしまう等）
が起こらないようにしなくてはなりません。
したがって、このような形態で外部に診療録等を保存しようとする医療機関
等は、外部保存を受託する事業者に対して、契約書等でこれらの情報提供につ
いても規定しなくてはなりません。
外部保存を受託する事業者が医療機関等から委託を受けて情報を保存する
場合、不当な利益追求を目的として情報を閲覧、分析等を行うことはあっては
ならず、許されません。したがって、外部保存を受託する事業者を選定する場
合、医療機関等はそれらが実施されないことの確認、又は実施させないことを
明記した契約書等を取り交わす必要があります。
外部保存の技術的な方法としては、例えばトラブル発生時のデータ修復作業
等、緊急時の対応を除き、原則として医療機関等のみがデータ内容を閲覧できる
ことを担保することも考えられます。

38