企画管理者は、このような外部からのアクセスによる医療情報の参照や利用について、これを認め
るかどうか、認める場合にはどのような場合に認めるか、認める際の条件や制限、技術的な対応によ
る安全管理対策などについて整理し、規則や手順を策定する必要がある。また、技術的な対応による
安全管理対策については、担当者に具体的な内容の検討を指示することも求められる。
患者等が自らの情報にアクセスする場合には、患者に対して必要な説明を行い、責任範囲等を明ら
かにすることも必要となる。
８．２．５ 持ち出した医療情報を格納する記録媒体等の紛失等への対応
持ち出した医療情報を格納する記録媒体等の紛失や盗難、あるいは利用するネットワークサービス
に関する設定や利用の誤りにより医療情報が漏洩した場合には、組織として速やかに必要な対応を行
う必要がある。
そのため、企画管理者は情報管理規程や運用管理規程等において、初期対応などについて定めてお
く必要がある。例えば、紛失等が発覚した場合の連絡先や対応手順、対応方法などについてあらかじ
め整理することが求められる。
また、漏洩又はその可能性がある場合には、医療情報の漏洩が生じた場合の対応（「３．１．５

非

常時等の体制・CSIRT 等の整備」
）や、非常時の対応（「１１．３ 非常時の事象が生じた際の対応」
）
に基づいた対応が求められる。
８．２．６ 持ち出し状況のレビュー
医療機関等から外部への医療情報の持ち出しは、基本的には限定された場合で生じることから、不
正な持ち出し等が生じないように、定期的に持ち出し状況のレビューを行う必要がある。
企画管理者は、定期的に医療情報の持ち出し状況をレビューし、不自然な持ち出し等がある場合に
は、その理由を確認する等、必要な管理を行うことが求められる。

８．３

医療情報の破棄

８．３．１ 破棄の手順等の策定
医療機関等が管理する医療情報について、安全性を確保した上で適切に破棄するために必要な対応
等を含む手順の策定が必要となる。当該手順には、情報種別や管理形態（紙媒体、システム管理等）、
また破棄対象が情報だけか、記録媒体も対象かなどの違いに応じた内容を示すことが求められる。
特にシステム上のデータの破棄や記録媒体・情報機器等の破棄については、適切に破棄しなければ、
漏洩や不正利用のリスクが生じることに留意が必要である。
８．３．２ 外部保存をシステム関連事業者に委託している場合の対応
外部保存をシステム関連事業者に委託している場合、委託先事業者において医療情報を破棄する際、
医療機関等においても適切に破棄されたことを確認する必要がある。企画管理者は、破棄されたこと
を確認できる証跡の提供を、委託先事業者に求める必要がある。

- 35 -