医療・介護のシステム開発を外部委託する場面では、電子カルテや介護記録など極めて機微性の高い個人情報を社外に預けることになります。発注先のベンダーから「3省2ガイドラインに準拠しています」「クラウドだから安全です」と説明されても、その妥当性を発注者側で判断できないという声を多く伺います。
医療・介護分野に固有の難しさは、個人情報保護法だけでなく、医師法・医療法・介護保険法、そして厚生労働省・経済産業省・総務省が定める3省2ガイドラインなど、複数の規制が重なる点にあります。発注者が「ベンダーに任せた」と言っても、個人情報保護法第25条に基づく委託先監督義務は発注者である医療機関・介護事業所側に残ります。
加えて、2025年4月には「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」が一部改正され、2026年度冬頃には電子カルテ情報共有サービスの本格運用が予定されています(厚生労働省 電子カルテ情報共有サービス)。制度変更が連続する局面で外部委託を検討する発注者にとって、判断軸の整備は喫緊の課題です。
本記事では発注プロセスの各段階で押さえるべき7つの注意点を、法規制・ベンダー選定・契約書・フェーズ別チェックリスト・FAQの順で解説します。ベンダーから提示された見積書や契約書ひな形をそのまま受け入れる前に、本記事のチェック観点と照らし合わせてください。
医療・介護のシステム開発を初めて外部委託する事務長・情シス兼務担当者・経営企画担当の方が、ベンダーとの打ち合わせで具体的な質問ができ、社内稟議でリスク評価を説明できる状態になることをゴールとします。
医療・介護のシステム開発を外部委託する前に直面する3つの不安
医療・介護のシステム開発を外部委託する発注者は、他業界と比べて重い責任を背負います。患者・利用者の生命や尊厳に直結する情報を扱うため、情報漏えい一件で経営インパクトが極めて大きくなる構造があるからです。まず、発注前に整理しておくべき3つの不安を明確化します。
なお、近年は医療・介護システムにAIを組み込むプロジェクトも増えています。AIを活用する場合の固有の論点については、医療AIを外注する際の確認ポイントや介護へのAI活用で発注者が押さえるべきことも参考にしてください。
情報漏えいが起きた場合の経営インパクトは想定以上に大きい
医療機関・介護事業所で個人情報の漏えいが発生した場合、発注者が負うべき影響は以下の3つに大別されます。
第一に、行政指導・行政処分です。個人情報保護委員会は、安全管理措置義務違反や委託先監督義務違反が認められた場合、勧告・命令を行います。命令違反には罰則も用意されており、医療機関であれば保健所・厚生労働省からの追加指導も同時に走ることが一般的です。
第二に、損害賠償リスクです。漏えいした個人情報の件数・内容によって賠償額は変動しますが、医療情報は要配慮個人情報(病歴・健康診断結果など)に該当するため、慰謝料相場が一般情報より高くなる傾向があります。
第三に、信用失墜による患者・利用者離れです。地域密着型のクリニックや介護事業所では、口コミと評判が経営の基盤です。一度の漏えい報道で新規受診・新規入所の予約が急減し、収益が長期にわたって毀損するケースは少なくありません。
「ベンダーが起こした事故だから自社は無関係」という主張は、後述の委託先監督義務によって成立しません。発注者にとっての情報漏えいは、自社で起こした事故と同等の経営インパクトを持つと捉える必要があります。
「ベンダーに任せた」が通用しない委託先監督義務
個人情報保護法第25条は、「個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない」と定めています(個人情報保護委員会)。
ここで重要なのは、契約書を結ぶだけでは「必要かつ適切な監督」を果たしたとはみなされない点です。委託先の選定時に安全管理体制を確認し、契約締結後も定期的に取扱状況を把握する責務が、発注者である医療機関・介護事業所に残ります。
「専門知識がないのでベンダーに一任した」という説明は、監督義務違反を構成する可能性があります。発注者は、自社で個人データを扱うときに講ずべき安全管理措置と同等の措置がベンダー側で実施されているかを確認する立場にある、と整理してください。
2025年4月ガイダンス改定と2026年度の制度変更が発注判断に与える影響
2025年(令和7年)4月には、「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」の一部改正が施行されました。改正では、委託先の選定基準・定期的な確認の方法・サイバーインシデント発生時の対応など、委託先管理の実務に踏み込んだ記述が強化されています。
さらに、2026年度冬頃には電子カルテ情報共有サービスの本格運用が予定されています。3文書6情報の電子的やり取りが標準化されることで、電子カルテシステムは自院内で完結するシステムから、全国的な情報連携基盤の一部へと位置付けが変わります。
経済産業省・総務省の合同ガイドライン(医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン)も2025年3月に改定版が公表されており、医療情報を取り扱う事業者側の責務が再整理されました。
これらの制度変更が同時並行で進行する局面で外部委託を行う発注者は、「古い情報に基づいて発注した」というリスクと常に向き合うことになります。ベンダーが提示する資料や契約書のひな形が、最新版のガイドラインに対応しているかを確認する必要があります。
医療・介護システム外部委託で押さえるべき3省2ガイドラインと関連法規
医療・介護のシステム開発を外部委託する際に発注者が遵守すべき規制は、複数のレイヤーに分かれます。それぞれが何を要求しているかを発注者目線で整理することで、ベンダー選定と契約書チェックの土台になります。
3省2ガイドラインの全体像と発注者・受託者の責任分界点
「3省2ガイドライン」は、医療情報を扱う主体ごとに責任範囲を分担する枠組みです。具体的には、以下の2つのガイドラインを指します。
名称 | 所管 | 主な対象 | 発注者にとっての位置付け |
|---|---|---|---|
医療情報システムの安全管理に関するガイドライン 第6.0版 | 厚生労働省 | 医療機関・介護事業所等(情報を取り扱う側) | 自社(医療機関・介護事業所)が遵守すべき責務 |
医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン 第2.0版 | 経済産業省・総務省 | システム・サービス提供事業者(受託側) | 委託先ベンダーが準拠しているか確認するチェックポイント |
厚生労働省ガイドラインは「医療情報を取り扱う側」を対象とし、経産省・総務省ガイドラインは「医療情報システム・サービスを提供する側」を対象とします。発注者である医療機関・介護事業所は、自社が前者を遵守する責務を負うと同時に、委託先ベンダーが後者に準拠していることを確認する責任があります(経済産業省 医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン)。
責任分界点という用語は、どこからどこまでが発注者の責任で、どこからがベンダーの責任かを契約上で明確化する考え方を指します。クラウドサービスを利用する場合、物理的なサーバ管理はベンダー側、システム上の運用ルール(アクセス権限の付与・退職者のアカウント削除など)は発注者側、というように分かれます。3省2ガイドラインはこの責任分界点を契約書で明示することを推奨しています。
医療情報システムの安全管理に関するガイドライン第6.0版で何が変わったか
厚生労働省の「医療情報システムの安全管理に関するガイドライン」は、2023年5月に第6.0版へ改定されました。第6.0版の特徴は、読み手の属性に応じて4つの編に分かれている点です(厚生労働省 医療情報システムの安全管理に関するガイドライン)。
編 | 想定読者 | 発注プロセスでの活用 |
|---|---|---|
概説編 | 全関係者 | ガイドライン全体の俯瞰・用語の確認 |
経営管理編 | 経営層・管理者 | システム発注の意思決定・予算承認時の判断材料 |
企画管理編 | 情シス・企画担当 | RFP作成・ベンダー選定・契約書ドラフト時のチェック観点 |
システム運用編 | システム管理者・現場 | 運用フェーズでの日常的な確認項目 |
第6.0版で特に強調されたのは、経営層の責任です。経営管理編では、医療情報システムの安全管理が経営マターであることを明示し、経営層がリスク管理体制の構築と運用に責任を負う旨が記載されています。「現場に任せた」「ベンダーに任せた」では済まないという考え方が、ガイドライン上でも明確化されたわけです。
加えて、クラウドサービス利用時の責任分界点に関する記述も整理されました。SaaS・PaaS・IaaSのそれぞれで発注者とベンダーの責任範囲が異なるため、契約書で具体的にどこが境界かを明示する必要があります。2025年5月には同ガイドラインに関するQ&Aも厚生労働省から公表されており、実務での解釈に迷う論点が補足されています。
個人情報保護法第25条「委託先の監督」が外注に求める3つの義務
個人情報保護法第25条が定める「委託先の監督」は、3つの義務に分解できます。
第一に、委託先の適切な選定です。ベンダーが業務内容に沿った安全管理措置を確実に実施できる体制にあるかを、契約締結前に確認する必要があります。具体的には、第三者認証(ISMS・Pマークなど)の取得状況、過去の事故歴、再委託の体制などを評価することが想定されます。
第二に、委託契約の締結です。委託先における個人データの取扱状況を発注者側で把握できる仕組みを契約に組み込みます。安全管理措置の具体的内容、再委託の条件、事故時の報告手順、契約終了時のデータ返却・削除など、後述の条項を契約書に盛り込みます。
第三に、委託先における個人データ取扱状況の把握です。契約後も定期的に監査や報告徴収を行い、ベンダー側の取扱状況を確認します。年1回程度の運用報告会、不定期の現地監査、インシデント時の緊急報告など、確認の頻度と方法を契約段階で合意しておくと運用がスムーズです。
なお、医療情報をクラウドに保存する場合、保存先サーバが海外に所在するケースでは個人情報保護法第28条(外国第三者への提供)の検討も必要になります。クラウドサービス提供事業者が「個人データを取り扱わない」契約形態(いわゆるクラウド例外)に該当する場合は第28条の対象外となりますが、適用判断は契約条項とアクセス制御の実態次第です。後述のセクションで詳しく扱います。
ベンダー選定で確認すべき医療・介護特有の評価ポイント
汎用的なシステム開発会社の選び方とは別軸で、医療・介護システム開発を委託する際には固有の評価項目があります。RFP・提案依頼時に必ず確認すべきポイントを4つに分けて整理します。
なお、システム開発の費用感を事前に把握しておくことも、ベンダー提案の妥当性を評価する上で有効です。システム開発の費用相場と見積の読み方では、開発規模別の費用感や見積書に含まれるべき項目を解説しています。
認証・準拠状況の確認
ベンダーの安全管理体制を客観的に評価する第一歩は、第三者認証の取得状況です。代表的な認証には以下のものがあります。
認証 | 概要 | 医療・介護システム外注での重要度 |
|---|---|---|
ISMS(ISO/IEC 27001) | 情報セキュリティマネジメントシステムの国際規格 | 必須レベル。組織的な安全管理体制の証明 |
Pマーク(プライバシーマーク) | 個人情報保護の体制を持つ事業者を評価するJIS Q 15001ベースの認証 | 高。個人情報の取扱体制の確認 |
ISMAP | 政府情報システムのためのセキュリティ評価制度 | クラウド型ソリューション利用時に有用 |
SOC2 / SOC2+ | クラウドサービスの内部統制を評価する米国基準 | 海外ベンダー・グローバル展開時に確認 |
ISMSとPマークは取得していて当然と考えてよく、これらが無いベンダーは医療・介護システムの発注先候補から外れます。ISMAPは政府機関向けの認証制度ですが、医療情報を扱うクラウドサービスの選定基準として参照されるケースが増えています(ISMAPポータル)。
ただし、認証を持っていることと、医療情報の取扱いに精通していることは別問題です。認証はあくまで「組織として一定のレベルにある」ことを示すもので、医療業界固有の論点(3省2ガイドライン準拠、要配慮個人情報の取扱い、医師法・介護保険法との関係)への対応力を保証するものではありません。
医療・介護分野の開発実績と業界知識の見極め方
認証に加えて、医療・介護分野での開発実績を確認します。実績を見る際は以下の3点をチェックします。
1点目は、案件の種別です。電子カルテ・レセプトコンピュータ・予約システム・介護記録ソフト・PHR(Personal Health Record)など、自社の発注内容と近い案件の実績があるか。
2点目は、関わり方の深さです。要件定義から保守まで一気通貫で対応した案件か、開発の一部のみを受託した案件か。元請けでの実績と下請けでの実績は意味が異なります。
3点目は、提案資料における業界用語の使い方です。提案書を読んだときに、「DPC」「レセプト」「介護給付費明細書」「サマリー」など医療・介護の専門用語が自然に使われているか、ガイドラインの引用が正確か、を確認します。業界知識が浅いベンダーは、提案書で表面的な用語の羅列に留まる傾向があります。
「貴社で過去にどのような医療機関と取引がありましたか」「3省2ガイドラインのどの章が、今回の発注内容に関係しますか」と具体的に質問することで、業界理解の深さを確認できます。
再委託・サブベンダー体制とインシデント時の責任範囲
中堅以上のシステム開発会社では、開発業務の一部を別の会社(再委託先)に出すケースが一般的です。医療・介護システムの発注では、再委託の体制を必ず確認します。
確認すべき項目は以下の通りです。
- 再委託の有無と範囲(開発全体か、特定の機能のみか)
- 再委託先の名称と所在地(国内/海外)
- 再委託先の認証取得状況
- 再々委託(孫請け)の有無と管理方法
- 再委託契約における個人情報取扱条項の内容
- 発注者への通知・承認のフロー
「再委託先は自社の管理下にあるので問題ありません」という説明だけでは不十分です。再委託先で情報漏えいが発生した場合、発注者である医療機関・介護事業所まで責任が遡及する可能性があるためです。契約書段階で、再委託の事前承認制・通知義務・再委託先での安全管理措置の同等性などを明文化する必要があります。
保守・運用フェーズのSLAとサポート体制
医療・介護システムはリリース後の運用フェーズが長期に及びます。発注時点で保守・運用のSLA(Service Level Agreement)を確認することが、長期的な安心につながります。
確認すべきSLA項目は以下の通りです。
項目 | 確認内容 |
|---|---|
稼働率 | 月間/年間の稼働保証(99.9% / 99.95% など) |
障害対応時間 | 障害発生から復旧までの目標時間(重大度別) |
問い合わせ対応窓口 | 営業時間・24時間対応の有無・連絡方法 |
定期メンテナンス | 計画停止の頻度・事前通知期間 |
インシデント報告 | 障害・セキュリティ事故発生時の報告期限と内容 |
ペナルティ | SLA未達時の料金減額・サービスクレジット |
医療業界では夜間・休日の対応が必要なケースが多く、24時間365日の問い合わせ窓口があるかは特に重要です。クリニックや介護事業所の規模感では24時間対応のオプション料金が高額になる場合があるため、必要な時間帯を明確化して見積を取ることが現実的です。
医療・介護の外部委託契約書に必ず盛り込むべき条項と書きぶり
医療・介護システムの外部委託契約書では、汎用的な業務委託契約のひな形に加えて、業界固有の条項を盛り込む必要があります。ベンダー提示のひな形に対して、発注者が確認・交渉すべき5つの条項を解説します。
委託業務の範囲と取扱う個人情報の特定
契約書の冒頭で、委託業務の範囲と取扱う個人情報の種類を明確に特定します。曖昧な記載は、後の責任分界点の議論で発注者に不利に働きます。
書きぶりの例:
第○条(業務の範囲) 委託者は、受託者に対し、別紙仕様書記載の「○○電子カルテシステム」の設計・開発・保守業務(以下「本件業務」という)を委託する。本件業務において受託者が取り扱う個人データは、別紙データ取扱項目一覧記載の項目に限定し、それ以外の個人データを取り扱ってはならない。
ポイントは、「個人データの種類」「取扱範囲」を別紙で明示し、契約期間中に範囲を変更する場合は書面合意を要求することです。要配慮個人情報(病歴・健康診断結果など)が含まれる場合は、その旨を明記します。
再委託(再々委託含む)の条件と通知義務
再委託は禁止するか、事前承認制にするか、通知制にするかを明確に定めます。一般的には、事前承認制が安全管理の観点で望ましいとされます。
書きぶりの例:
第○条(再委託) 受託者は、本件業務の全部又は一部を第三者に再委託する場合、事前に書面で委託者の承認を得なければならない。再委託先がさらに第三者に再々委託する場合も同様とする。受託者は、再委託先に対し、本契約と同等の安全管理義務及び秘密保持義務を課すものとし、再委託先の行為について委託者に対し責任を負うものとする。
ベンダーが嫌がるパターンは、事前承認制ではなく事後通知制を主張するケース、再々委託まで明示しないケースです。発注者としては、再委託先で情報漏えいが発生した場合の責任構造を予防する観点から、事前承認制と再委託先での同等義務の明文化を求めることが妥当です。
事故時の報告手順と損害賠償の上限
情報漏えい・サイバー攻撃などのインシデントが発生した場合の報告手順と損害賠償の取り扱いを定めます。
報告手順については、以下の項目を契約で合意します。
- 発覚から発注者への第一報までの期限(推奨: 24時間以内)
- 第一報の方法(電話・メール・専用窓口)
- 詳細報告書の提出期限(推奨: 5営業日以内)
- 報告に含めるべき内容(影響範囲、原因、対応状況、再発防止策)
損害賠償の上限については、ベンダーが「契約金額の○倍」のような上限条項を求めてくることが一般的です。発注者として無制限を要求するのは現実的ではありませんが、要配慮個人情報を扱う案件では、上限の妥当性を慎重に判断します。ベンダーが加入しているサイバー保険の内容も確認の上、上限額を合意することが現実的な落としどころです。
契約終了時のデータ返却・削除と監査権の確保
契約終了時のデータの取り扱いは、開始時に決めておく必要があります。終了時に交渉すると、発注者側が不利な立場になりがちです。
書きぶりの例:
第○条(契約終了時の処理) 本契約が終了した場合、受託者は、委託者から預託された個人データ及びその複製物を、委託者の指示する方法により返却又は廃棄するものとする。廃棄を行った場合、受託者は、廃棄の事実を証する書面を委託者に提出する。
加えて、発注者側で監査権を確保しておくことも重要です。委託先監督義務を果たすために、定期的な書面報告に加えて、必要に応じて現地監査・書類監査を実施できる権利を契約に明記します。ベンダーが反発する場合は、「合理的な事前通知期間を設けた上で、業務時間内に実施する」など実施条件を具体化することで折り合うことができます。
クラウド利用時の保管場所(国内/国外)と適用法
クラウド型のシステムを利用する場合、データの保管場所と適用法を契約で明示します。
確認・合意すべき項目は以下の通りです。
項目 | 確認内容 |
|---|---|
データセンターの所在地 | 国内/国外、複数拠点の場合は全拠点の所在地 |
バックアップデータの所在地 | 本番データと異なる場所に置く場合の所在地 |
適用法・管轄 | 紛争時に適用される法律と裁判管轄 |
越境移転の取り扱い | 個人情報保護法第28条との関係、本人同意の要否 |
法執行機関からの開示請求への対応 | 海外当局からの開示要求への対応方針 |
医療情報の国外保存は、技術的には可能ですが、個人情報保護法第28条の越境移転規制との関係を整理する必要があります。クラウドサービス提供事業者が「個人データを取り扱わない」契約形態(クラウド例外)に該当する場合は同条の対象外となりますが、判断は契約条項とアクセス制御の実態に依存します。海外データセンターを利用する場合は、ベンダーから法的整理の説明を文書で受けることをおすすめします。
医療・介護システム外注の発注プロセス別チェックリスト
ここまでの内容を踏まえて、発注プロセスの各フェーズで確認すべきタスクをチェックリスト形式で整理します。RFP作成からリリース後の運用まで、抜け漏れを防ぐ実務リストとしてご活用ください。
企画・RFP作成フェーズ
このフェーズでは、社内の要件を整理し、ベンダーに提案を求める準備を行います。
- 取り扱う個人情報の種類・件数・要配慮個人情報の有無を整理した
- 既存システムからの移行データの範囲を特定した
- 3省2ガイドラインのうち、本件で関係する章を抽出した
- 利用形態(オンプレ/クラウド/ハイブリッド)の方針を社内で合意した
- 予算と納期の上限・下限を内部で合意した
- RFPに「3省2ガイドライン準拠の説明」をベンダーに求める項目を入れた
- RFPに「再委託の有無と体制」をベンダーに求める項目を入れた
- RFPに「データ保管場所(国内/国外)」をベンダーに求める項目を入れた
- 経営層への稟議スケジュールを策定した
ベンダー選定・提案評価フェーズ
複数ベンダーから提案を受け、比較評価を行います。
- ISMS・Pマーク等の認証取得状況を書面で確認した
- 医療・介護分野での開発実績(種別・規模・関わり方)を確認した
- 提案資料の業界用語・ガイドライン引用の正確性を確認した
- 担当者の医療・介護分野の経験年数を確認した
- 再委託の有無・範囲・再委託先を確認した
- 保守・運用フェーズのSLAを比較した
- 過去の情報セキュリティインシデント歴を確認した
- 自社の業務理解度を測る具体質問への回答を評価した
- 経営層を含めた最終評価会議で選定理由を文書化した
契約締結フェーズ
選定したベンダーと契約書を締結します。ベンダー提示のひな形をそのまま受け入れず、契約条項を精査します。
- 委託業務の範囲を別紙で具体化した
- 取り扱う個人情報の項目を別紙で明示した
- 再委託の条件(事前承認制・通知義務)を明文化した
- 安全管理措置の具体的内容を契約に盛り込んだ
- 事故時の報告手順と期限を明文化した
- 損害賠償の上限・サイバー保険の内容を確認した
- 監査権・現地調査権を契約に盛り込んだ
- 契約終了時のデータ返却・削除手順を明文化した
- クラウド利用時の保管場所と適用法を明示した
- 個人情報保護法・3省2ガイドラインへの準拠義務を明記した
開発・受入フェーズ
開発が始まってからリリースまでの確認項目です。
- 開発環境・テスト環境での個人情報の取扱いルールをベンダーと合意した
- 本番データを開発環境にコピーする場合のマスキング方針を確認した
- アクセス権限の付与・剥奪のフローを定めた
- 受入テストにおけるセキュリティテストの実施を確認した
- ペネトレーションテストの実施有無と結果を確認した
- 運用マニュアル・障害対応マニュアルを受領した
- スタッフへの操作教育・セキュリティ教育を実施した
運用・保守フェーズ
リリース後の継続的な監督義務を果たすフェーズです。
- 月次/四半期の運用報告会を設定した
- 障害・インシデントの集計と分析を共有している
- 年1回程度の書面監査・現地監査を実施している
- 退職者・異動者のアカウント削除を運用ルールに沿って実施している
- バックアップとリストア手順の定期確認を行っている
- 関連法令・ガイドラインの改定をフォローしている
- ベンダー側の組織変更・再委託先変更の通知を受領している
- 契約更新時に条項のレビューを行っている
よくある質問(FAQ)
医療・介護のシステム開発を外部委託する発注者から寄せられる質問に、本記事の内容のサマリとして回答します。
Q1. 3省2ガイドラインに準拠していないベンダーに発注しても法的に問題ないですか?
3省2ガイドライン自体は法律ではなく行政指針ですが、医療情報の安全管理に関する事実上の業界標準となっています。準拠していないベンダーへの発注は法的に直ちに違法とは言えませんが、個人情報保護法第25条の委託先監督義務の観点から、「適切な委託先の選定」を行ったと説明することが困難になります。実務上は、3省2ガイドライン準拠を選定要件とすることが妥当です。
Q2. クラウド型の介護記録ソフトを使う場合、データの保存場所が海外でも構いませんか?
技術的には可能ですが、個人情報保護法第28条(外国第三者への提供)との関係を整理する必要があります。クラウドサービス提供事業者が「個人データを取り扱わない」契約形態(いわゆるクラウド例外)に該当する場合は同条の対象外となりますが、適用判断は契約条項とアクセス制御の実態次第です。安全側に倒すなら、国内データセンターを選ぶか、海外保存の場合は本人同意の取得と適用法の整理をベンダーから文書で説明を受けることをおすすめします。
Q3. 委託先で情報漏えいが発生した場合、発注者である医療機関の責任はどうなりますか?
委託先で発生した漏えいであっても、発注者である医療機関・介護事業所は個人情報保護法第25条の委託先監督義務違反を問われる可能性があります。委託先選定時の確認、契約書での安全管理措置の明文化、契約後の定期的な監督が適切に行われていなかった場合、発注者にも責任が及びます。「ベンダーが起こしたから自社は無関係」という整理は通用しません。
Q4. ベンダーが下請けに再委託することを契約で禁止すべきですか?
完全禁止は現実的でないケースが多いため、事前承認制とするのが一般的です。重要なのは、再委託先に対しても本契約と同等の安全管理義務を課すこと、再々委託(孫請け)まで明示すること、再委託先の事故についてベンダーが発注者に対して責任を負うことを契約で明文化することです。
Q5. 既存の電子カルテをクラウド型に移行する際、データの移行作業も外部委託できますか?
委託可能ですが、移行作業中の個人情報の取り扱いについて、平常時とは別の契約条項またはSOW(作業範囲記述書)で明文化する必要があります。移行データの保管場所、移行期間中のアクセス権、移行後のソースデータの削除手順、移行ミスによるデータ消失時の責任などを事前に合意します。移行作業を担当する作業員のセキュリティ教育の実施状況もベンダーに確認してください。
Q6. 個人情報保護法と医療・介護分野の個人情報保護ガイダンスはどう使い分ければよいですか?
個人情報保護法は全業種共通の基本ルールです。医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンスは、医療・介護分野固有の事情を踏まえた解釈と運用指針を示すものです。ガイダンスは個人情報保護法に上書きするものではなく、医療・介護分野での具体的な運用方法を補足する位置付けです。発注時には両者を併読し、ガイダンスの該当章を契約書・RFPの根拠として引用することが実務的です。
医療・介護システム開発の外部委託を成功させるために
医療・介護のシステム開発を外部委託する際に押さえるべき要点を、最後にまとめます。
第一に、発注前に網羅的なチェックを行うことです。3省2ガイドライン・個人情報保護法・関連業法の要求事項を、RFP・ベンダー選定・契約書の各段階で項目化して確認してください。本記事のフェーズ別チェックリストを社内テンプレートとして整備することで、属人化を防ぐことができます。
第二に、ベンダー任せにせず継続的な監督を行うことです。個人情報保護法第25条の委託先監督義務は、契約締結時点で完結するものではなく、契約期間中ずっと続きます。年1回の監査・月次の運用報告会など、確認の仕組みを契約段階で設計しておくことで、運用フェーズで対応に追われることを避けられます。
第三に、制度改定の動向をフォローすることです。2025年4月のガイダンス改定、2025年3月の経産省・総務省ガイドライン改定、2026年度予定の電子カルテ情報共有サービス本格運用など、医療・介護分野の制度変更は連続しています。新規発注時だけでなく、既存ベンダーとの契約更新時にも最新版のガイドラインに照らした確認が必要です。
外部人材・受託開発の活用は、自社のリスク管理体制を整えた上で進めることで初めて意味を持ちます。「専門知識がないからベンダーに任せる」発想ではなく、「専門知識のあるパートナーと、責任分界点を明確にした上で協働する」発想に切り替えることが、発注成功の出発点です。
信頼できるシステム開発パートナーの探し方については、おすすめシステム開発会社まとめ(2025年6月版)も参考にしてください。
本記事で扱った契約条項例・チェックリストの詳細版や、医療・介護分野での外部委託の意思決定をさらに深めるための関連のお役立ち資料もご用意しています。発注プロジェクトの具体的な検討に入る際の補助資料としてご活用ください。
画像指示
-
アイキャッチ推奨クエリ: "medical doctor reviewing contract documents on tablet hospital"
-
本文内画像(主要セクションに絞る):
挿入位置(セクション見出し)
検索クエリ
備考
医療・介護のシステム開発を外部委託する前に直面する3つの不安
"hospital administrator concerned computer screen security"
不安・課題の象徴
医療・介護システム外部委託で押さえるべき3省2ガイドラインと関連法規
"japanese legal documents stack desk"
法規制・ガイドライン
ベンダー選定で確認すべき医療・介護特有の評価ポイント
"business meeting evaluating proposal medical office"
ベンダー評価・提案検討
医療・介護の外部委託契約書に必ず盛り込むべき条項と書きぶり
"contract document signing pen close-up"
契約書・条項
医療・介護システム外注の発注プロセス別チェックリスト
"checklist clipboard healthcare professional"
チェックリスト・プロセス管理
