医療情報システムの機能や運用を、必要に応じて患者等に説明ができるように、システム機能
仕様やシステム運用手順等について、システム関連事業者の協力を得ながら文書化し、管理して
おく。
【管理責任】
個人情報保護法第 23 条において「個人情報取扱事業者は、その取り扱う個人データの漏洩、
滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなけれ
ばならない。」と規定されているとおり、医療機関等は、個人情報取扱事業者として、医療情報
システムの管理実態や責任の所在を明確にする必要があり、システム関連事業者の協力を得な
がら、システムの管理や運用が適切に行われているかどうかを監督する。
【定期的な見直し、必要に応じた改善を行う責任】
医療機関等で利用している医療情報システムを提供するシステム関連事業者の協力を得なが
ら、医療機関等として安全管理の改善に必要な情報を収集し、必要に応じて、文書化して管理し
ているシステム運用手順等を改善する。
また、非常時においては、以下の取組が重要となります。
【説明責任】
情報セキュリティインシデントの事態やその原因、影響、対応方針や対処方法等を、インシデ
ントの事態に応じて、システム関連事業者の協力を得ながら、患者等への説明、ならびに、所管
官庁への報告等を実施する。
【善後策を講じる責任】
情報セキュリティインシデントが生じた場合に、システム関連事業者や外部有識者の協力を
得ながら、原因を究明し、再発防止策を講じる。

３．１．３ 委託における責任
個人情報保護法第 25 条では、「個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託
する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する
必要かつ適切な監督を行わなければならない。」と規定されており、具体的内容については、「医療・
介護関係事業者における個人情報の適切な取扱いのためのガイダンス」の「Ⅳ 医療・介護関係事業者の
義務等 ７．安全管理措置、従業者の監督及び委託先の監督（法第 23 条～第 25 条）」において示され
ている。個人情報取扱事業者である医療機関等は委託先の事業者を監督する責任を負い、委託先のシス
テム関連事業者による医療情報システムの管理も医療機関等の管理責任に含まれています。
利用する医療情報システム・サービスはじめネットワーク回線や情報機器設備など医療情報システム
に関する導入や保守などについて、システム関連事業者などの委託先の事業者との間で締結する契約に

-5-