企７章第⑥条
企Ｑ－26 外部保存を委託する事業者の選定において、どのような留意事項があるか。
A

法令上の保存義務を有する医療機関等は、システム堅牢性の高い安全な情報の保存場
所を選定する必要があります。
また、総務省・経済産業省の定めた「医療情報を取り扱う情報システム・サービスの提
供事業者における安全管理ガイドライン」の要求事項も満たす必要があります。
なお、選定にあたっては、外部委託事業者のセキュリティ対策状況を確認することが
必要です。例えば、
「医療情報を取り扱う情報システム・サービスの提供事業者における
安全管理ガイドライン」における「サービス仕様適合開示書」や「『製造業者/サービス事
業者によるによる医療情報セキュリティ開示書』ガイド」によって、外部保存を受託する
事業者におけるセキュリティ対応状況の概要を確認することができるため、サービスの
性質等、必要に応じてその提供を求めることなどが有効です。
外部保存されている医療情報は、保存される情報やその目的に応じて厚生労働省等、
所管する行政機関の調査等に供するため、提出等を行う必要が生じうることから、これ
を円滑に実現できることが求められます。そのため外部保存の受託事業者の選定にあた
っては、国内法の適用があることや、逆にこれを阻害するような国外法の適用がないこ
となどを確認し、適切に判断した上で選定することが求められます。

企７章第⑥条
企Ｑ－27 ISMS 認証を取得している事業者に対して、根拠資料を求めることはできる
のか。
A

例えば、ISMS 認証を取得している事業者の選定に際して、選定対象となる事業者が管
理しているリスクに応じて、適合性を示す資料の提供を求めてください。なお、これら
の認証は、医療機関等に限らず、個人情報の取扱いに関し、適切な体制を整備している
ことを示すものであり、あくまで事業者として最低限の適格性を医療機関等へ示す手段
として捉えています。

企７章第⑥条
企Ｑ－28 ７．安全管理のための人的管理⑥ｇの「適切な外部保存に求められる技術及
び運用管理能力の有無」とは、「政府情報システムのためのセキュリティ評価制度
（ISMAP）」や「JASA クラウドセキュリティ推進協議 会 CS ゴールドマーク」等で公
開されたサービスリストやマーク取得サービス一覧などに掲載されていることを確認す
ることでよいか。
Ａ

サービスリストやマーク取得サービス一覧に掲載されたクラウドサービス であるこ
とだけをもって適切な外部保存に求められる技術及び運用管理能力 があるとはいえず、
44