企７章第⑦条
企 Q－29 外部保存を委託する場合のデータ閲覧権限はどうするといいか。
A

医療機関等が外部の事業者との契約に基づいて確保した安全な場所に保存する場合で
は、技術的な方法として、例えばトラブル発生時のデータ修復作業等緊急時の対応を除
き、原則として委託元の医療機関等のみがデータ内容を閲覧できることを担保するよう
求めてください。

企７章第⑦条
企 Q－30 個人識別に係る情報を適切に保管するために、外部保存を委託する事業者に
どのような対策を求めればいいか。
A 外部保存を受託する事業者に保存される個人識別に係る情報の暗号化を行い適切に管
理することや、外部保存を受託する事業者の管理者といえども通常はアクセスできない
制御機構をもつようにしてください。具体的には、
「暗号化を行う」、
「情報を分散保管す
る」という方法が考えられます。その場合、非常時等の通常とは異なる状況下でアクセ
スすることも想定し、アクセスした事実が医療機関等で明示的に識別できる機構を備え
るよう求めてください。

企７章第⑨条
企 Q－31 外部保存の委託を終了する際、どのような留意事項があるか。
A 診療録等が機微な個人情報であるという観点から、外部保存を終了する場合には、医療
機関等及び受託する事業者双方で一定の配慮をしなくてはなりません。
診療録等の外部保存を委託する医療機関等は、受託する事業者に保存されている診療
録等を定期的に調べ、外部保存を終了しなければならない診療録等は速やかに処理した
上で、当該処理が厳正に執り行われたかを監査しなくてはなりません。また、外部保存を
受託する事業者も、医療機関等の求めに応じて、保存されている診療録等を厳正に取扱
い、処理を行った旨を医療機関等に明確に示す必要があります。
これらの廃棄・返却に関わる規定は、外部保存を開始する前に委託契約書等にも明記
をしておく必要があります。また、実際の廃棄・返却に備えて、事前にソフトウェア等の
廃棄・返却の手順を明確化した規定を作成しておくべきであります。
これらの厳正な取扱い事項を双方に求めるのは、同意した期間を超えて個人情報を保
持すること自体が、個人情報の保護上問題になり得るためであり、そのことに十分に留
意しなければなりません。
ネットワークを通じて外部保存する場合は、外部保存システム自体も一種のデータベ
ースであり、インデックスファイル等も含めて慎重に廃棄しなければなりません。また
電子媒体の場合は、バックアップファイルについても同様の配慮が必要です。
46