医療情報システムの安全管理に関するガイドライン 第3版の一部
p.9 - 4 電子的な医療情報を扱う際の責任のあり方
医療に関わるすべての行為は医療法等で医療機関等の管理者の責任で行うことが求められており、情報の取扱いも同様である。
情報の取扱いについては、情報が適切に収集され、必要に応じて遅滞なく利用できるように適切に保管され、不要になった場合に適切に廃棄されることで、刑法等に定められている守秘義務、個人情報保護に関する諸法および指針の他、診療情報の扱いに係わる法令、通知、指針等により定められている要件を満たすことが求められる。故意にこれらの要件に反する行為を行えば刑法上の秘密漏示罪で犯罪として処罰される場合があるが、診療情報等については過失による漏えいや目的外利用も同様に大きな問題となりうるから、いずれにしろそのような事態が生じないよう適切な管理をする必要がある。問題はいかなる管理が適切であるか否かであるが、法律的な用語では、管理者に善良なる管理者の注意義務(善管注意義務)を果たすことが求められる。その具体的内容は、扱う情報や状況によって異なるものであり、本ガイドラインは、医療情報を電子的に取り扱う際の善管注意義務をできるだけ具体的に示したものである。
医療情報を電子的に取り扱う場合といっても、本来、医療情報の価値と重要性はその媒体によって変化するものではなく、医療機関等の管理者は、そもそも紙やフィルムによる記録を院内に保存する場合と少なくとも同等の善管注意義務を負うと考えられる。
ただし、電子化された情報は、紙の媒体やフィルムなどに比べてその動きが一般の人にとって分かりにくい側面があること、漏えい等の事態が生じた場合に一瞬かつ大量に情報が漏えいする可能性が高いこと、さらに医療従事者が情報取扱の専門家とは限らないためその安全な保護に慣れていないケースが多いことなど、固有の特殊性もある。従って、それぞれの医療機関等がその事情によりメリット・デメリットを勘案して電子化の実施範囲及びその方法を検討し、導入するシステムの機能や運用計画を選択して、それに対し求められる安全基準等への対応を決める必要がある。
また、昨今のブロードバンドに代表されるようなネットワークおよびその技術の進展から、電子化された医療情報が医療機関等の施設内だけに存在するという状況から、空間的境界を越えてネットワーク上に広がって存在することも現実のものとなってきた。
このような状況の下では、医療情報の管理責任が医療機関等の管理ばかりでなく、ネットワーク上の空間を提供する事業者やネットワークを提供する通信事業者等にもまたがるようになる。その際、必要となる新たな概念としては責任分界点が挙げられる。
本章では、電子的な医療情報を取り扱う際の責任のあり方として、医療機関等の管理者の責任の内容と範囲および他の医療機関等や事業者に情報処理の委託や他の業務の委託に付随して医療情報を提供する場合と第三者提供した場合の責任分界点について整理する。p.15 - 4.3 例示による考え方の整理
本項では「4.2 責任分界点について」について、いくつか例を挙げて解説する。ただし、本項は4.2の考え方を例として考えた場合であるため、医療情報システムの安全管理や接続時のネットワークの考え方、保存義務のある書類の保存、外部保存を受託することが可能な機関の選定基準等は、それぞれ6章、7章、8章を参照すること。
厚生労働省:医療情報システムの安全管理に関するガイドライン 第3版(平成20年3月)p.18 - C.医療機関等の業務の一部を委託することに伴い情報が一時的に外部に保存される場合
ここでいう委託とは遠隔画像診断、臨床検査等、診療等を目的とした業務の第三者委託であり、これに伴い一時的にせよ情報を第三者が保管することとなる。
医療機関の管理者は業務委託先に対して、受託する事業者の選定に関する責任や(セキュリティ等の)改善指示を含めた管理責任があるとともに、情報の保存期間の規定等の管理監督を行う必要がある。
ただし、受託する事業者は保存した情報の漏えい防止、改ざん防止等の対策を講じることは当然であるが、感染症情報や遺伝子情報など機微な情報の取り扱い方法や保存期間等を双方協議し明記しておく必要がある。
なお、治験のように、上記のようないわゆる業務委託ではなくとも、医療情報が外部に提供される場合は、これに準じてあらかじめ治験依頼者との間で双方の責任及び情報の取扱いについて取り決めを行うことが必要である。
