Lens Blog
2025/7/1
#ガイドライン

令和7年4月施行!医療・介護分野の個人情報保護ガイダンスと委託先管理の重要ポイント

医療・介護分野では、患者や利用者の氏名、病歴、心身の状態など、特に機密性の高い「要配慮個人情報」を含む多くの個人情報を取り扱います。これらの情報がひとたび漏えい・滅失・毀損すれば、個人のプライバシー侵害はもちろん、医療・介護事業者の信頼失墜にも繋がりかねません。

近年、医療機関を狙ったサイバー攻撃の増加や、内部関係者による不正な持ち出しなど、個人情報に関するリスクはますます高まっています。このような背景から、個人情報の適切な取り扱いを確保するためのルールである「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」(以下、ガイダンス)の重要性が増しているのです。

本記事では、令和7年4月に一部改正が施行されたガイダンスの概要にある「委託先の監督」に焦点を当て、医療・介護分野における情報管理の課題と、効果的な委託先管理・サードパーティリスクマネジメント(TPRM)の必要性について解説します。

「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」とは

「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」とは、厚生労働省と個人情報保護委員会が共同で策定したもので、医療・介護関係事業者が個人情報保護法を遵守し、個人情報を適切に取り扱うために取るべき具体的な措置を示した手引きです。

ガイダンスの目的と対象者

ガイダンスの主な目的は以下の通りです。

  • 医療・介護分野における個人情報の適正な取扱いの確保
  • 個人情報保護法及び関連法令の遵守の促進
  • 患者・利用者等のプライバシー保護と権利利益の保護

対象となる事業者は、病院、診療所、歯科診療所、薬局、訪問看護ステーション、介護老人福祉施設、介護老人保健施設、居宅サービスなど、医療・介護サービスを提供する幅広い事業者を含みます。

ガイダンスのポイント(令和7年4月一部改正を踏まえて)

今回の改正は、個人情報保護法自体の改正や、近年の情報セキュリティを取り巻く環境変化に対応するものです。

(※2025年4月1日時点で令和7年4月改正の詳細が公表されていない場合、以下の内容は現行ガイダンスおよび一般的な改正動向に基づきます。最新情報は必ず公式発表をご確認ください

ガイダンスでは、個人情報の取得・利用・保管・提供・廃棄といったライフサイクル全般にわたる具体的なルールが定められていますが、特に重要なポイントとして以下の点が挙げられます。

  • 安全管理措置の徹底
    • 組織的安全管理措置 :個人情報保護に関する責任者の設置、従業者の役割・責任の明確化、取扱規程の整備、漏えい等事案への対応体制の構築など
    • 人的安全管理措置 : 従業者への教育・研修の実施、秘密保持に関する誓約書の取得など
    • 物理的安全管理措置 :個人情報を取り扱う区域の管理、機器・電子媒体等の盗難・紛失防止策、書類・電子媒体等の廃棄ルールの明確化など。
    • 技術的安全管理措置 :アクセス制御の実施、不正アクセス対策(ファイアウォール導入、OS・ソフトウェアのアップデート等)、情報システムの監視など
  • 委託先の監督 個人データの取扱いを外部に委託する場合、委託先が適切な安全管理措置を講じているかを確認し、必要かつ適切な監督を行う義務があります。これには以下の要素が含まれます。
    • 適切な委託先の選定 :委託先の個人情報保護体制やセキュリティ対策状況を評価し、基準を満たす事業者を選定する
    • 委託契約の締結 :委託する業務内容、個人データの範囲、安全管理措置の内容、再委託の条件、事故発生時の報告・連絡体制、契約終了時のデータ返却・消去などを明確に規定する
    • 委託先における取扱状況の把握 :定期的な報告徴収、監査、立入検査などを通じて、委託先が契約通りに適切な取扱いを行っているかを確認する
  • 漏えい等事案発生時の対応 個人データの漏えい、滅失、毀損等が発生した場合、またはその恐れがある場合に、個人情報保護委員会への報告及び本人への通知が義務付けられています(事案の内容によっては義務とならない場合もあります)。迅速かつ適切な対応体制を整備しておく必要があります。
  • 保有個人データに関する開示等の請求への対応 本人から自己の保有個人データの開示、訂正、利用停止等を求められた場合の対応手続きを定めておく必要があります。

医療・介護分野特有の情報管理・セキュリティ課題

医療・介護分野では、他の業界と比較して特有の情報管理・セキュリティ上の課題が存在します。

  • 取り扱う情報の機微性 :患者の病歴や治療内容、介護記録などは「要配慮個人情報」に該当し、極めて慎重な取り扱いが求められる。漏えいした場合の影響は甚大
  • 複雑な情報連携 :医療機関、介護施設、検査機関、調剤薬局、地域のケアマネージャー、さらには情報システムを提供するベンダーなど、非常に多くの関係者間で情報が連携される。関係者が増えるほど、情報管理の経路が複雑化し、リスクポイントも増加する
  • 多様な従業者とITリテラシー :医師、看護師、介護士、事務職員など、様々な職種の従業者が情報システムを利用するが、ITスキルやセキュリティ意識にはばらつきが見られることがある。そのため、ヒューマンエラーによる情報漏えいリスクも無視できない
  • システム導入・運用の複雑化 :電子カルテや介護記録システム、オンライン診療システムなどの導入が進む一方、これらのシステムのセキュリティ設定や適切な運用管理には専門的な知識が求められ、中小規模の事業者にとっては負担となることがある
  • サイバー攻撃の標的化 :重要インフラの一部として、また機密性の高い情報を保有していることから、医療・介護分野はランサムウェアなどのサイバー攻撃の標的となりやすい傾向にある

これらの課題がある中で、業務の一部を外部に委託するケースは少なくありません。例えば、検査業務、情報システムの開発・運用・保守、データ入力・保管、廃棄物処理などが挙げられます。これらの委託先においても、自社と同水準の厳格な情報管理体制が求められるのです。

ガイダンス遵守と委託先管理・サードパーティリスクマネジメント(TPRM)の重要性

ガイダンスで求められる「委託先の監督」義務は、契約書を結ぶだけでは不十分です。委託先が本当に信頼でき、個人情報を安全に取り扱える能力があるかを継続的に確認し、管理していく必要があります。これが委託先管理であり、より広範なリスク管理の枠組みであるTPRMの中核をなす要素です。

ガイダンス遵守のための具体的な委託先管理アクション

  • リスクに基づいた委託先選定 :委託する業務内容や取り扱う個人情報の種類・量に応じてリスクを評価し、そのリスクに見合ったセキュリティレベルを持つ委託先を選定。チェックリストを作成し、情報セキュリティ体制、個人情報保護規程の有無、従業員教育の実施状況、認証取得状況(ISMSなど)を確認することが有効
  • 契約による義務の明確化 :ガイダンスで求められる安全管理措置の内容を具体的に契約書に盛り込む。データの取扱い範囲、目的外利用の禁止、再委託の条件・承認手続き、監査権、事故発生時の報告義務と協力体制、契約終了後のデータ消去・返却などを明確に定める
  • 継続的なモニタリングと監査 :契約後も、委託先が契約内容及びガイダンスを遵守しているかを定期的に確認する必要がある。書面による報告(アンケート形式など)、実地監査、外部監査結果の確認などを通じて、委託先の管理状況を把握し、問題があれば是正を求める。インシデント発生を想定した連携訓練なども有効

サードパーティリスクマネジメント(TPRM)導入のメリット

TPRMは、委託先だけでなく、取引先や提携先など、自社に関わるあらゆるサードパーティ(第三者)がもたらすリスクを網羅的に評価・管理するプロセスです。TPRMの考え方を委託先管理に導入することで、以下のようなメリットが期待できます。

  • ガイダンス遵守の効率化・高度化 :リスク評価、契約管理、モニタリングといった一連のプロセスを体系的に管理することで、ガイダンスが求める「委託先の監督」義務をより効率的かつ確実に履行できる
  • 潜在リスクの早期発見 :定期的なリスク評価やモニタリングを通じて、委託先の経営状況の変化やセキュリティ体制の脆弱化といった潜在的なリスクを早期に発見し、プロアクティブに対応できる
  • サプライチェーン全体のセキュリティ強化 :自社だけでなく、委託先を含めたサプライチェーン全体でのセキュリティレベル向上に繋がり、結果として自社の事業継続性を高める
  • 管理業務の標準化と効率化 :委託先管理に関するプロセスや基準を標準化し、専用ツールなどを活用することで、管理業務の属人化を防ぎ、効率化を図ることができる

医療・介護分野においては、患者・利用者の生命や健康に直結する情報を扱っているという特性上、委託先管理・TPRMの重要性は特に高いと言えます。ガイダンスの遵守はもちろんのこと、より能動的かつ包括的なリスク管理体制を構築することが、事業継続と社会的信頼の維持に不可欠です。

医療・介護分野における個人情報保護を、場当たり的な対応で終わらせてはいけない

令和7年4月に一部改正された「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」は、医療・介護分野における個人情報保護の重要性を改めて示しています。特に、業務委託が広く行われている現状において、「委託先の監督」に関する要件は、事業者にとって重要な責務です。

ガイダンスを遵守し、機密性の高い個人情報を適切に保護するためには、場当たり的な対応ではなく、リスクに基づいた委託先の選定、契約による義務の明確化、そして継続的なモニタリングを含む、体系的な委託先管理・TPRM体制の構築が求められます。

Lens RMでは、委託先管理・サードパーティリスク管理ソリューションを提供しています。本記事で解説した対応について、お気軽にご相談ください。

← 記事一覧に戻る

AIの力で委託先・サードパーティ管理に革新を。

AIの力で委託先・サードパーティ管理を高度化・効率化しませんか? Lens RMは、煩雑な業務を削減し、リスク評価を強化し、包括的なリスクの所在を確かめた上で本質的な対応策や残存リスクの管理に集中することができます。 まずは、お気軽にお問い合わせください。

お問い合わせ