医療・介護のシステム開発を外部委託する場面では、電子カルテや介護記録など極めて機微性の高い個人情報を社外に預けることになります。発注先のベンダーから「3省2ガイドラインに準拠しています」「クラウドだから安全です」と説明されても、その妥当性を発注者側で判断できないという声を多く伺います。
医療・介護分野に固有の難しさは、個人情報保護法だけでなく、医師法・医療法・介護保険法、そして厚生労働省・経済産業省・総務省が定める3省2ガイドラインなど、複数の規制が重なる点にあります。発注者が「ベンダーに任せた」と言っても、個人情報保護法第25条に基づく委託先監督義務は発注者である医療機関・介護事業所側に残ります。
加えて、2025年4月には「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」が一部改正され、2026年度冬頃には電子カルテ情報共有サービスの本格運用が予定されています(厚生労働省 電子カルテ情報共有サービス)。制度変更が連続する局面で外部委託を検討する発注者にとって、判断軸の整備は喫緊の課題です。
本記事では発注プロセスの各段階で押さえるべき7つの注意点を、法規制・ベンダー選定・契約書・フェーズ別チェックリストの順で解説します。ベンダーから提示された見積書や契約書ひな形をそのまま受け入れる前に、本記事のチェック観点と照らし合わせてください。
医療・介護のシステム開発を初めて外部委託する事務長・情シス兼務担当者・経営企画担当の方が、ベンダーとの打ち合わせで具体的な質問ができ、社内稟議でリスク評価を説明できる状態になることをゴールとします。
医療・介護のシステム開発を外部委託する前に直面する3つの不安

医療・介護のシステム開発を外部委託する発注者は、他業界と比べて重い責任を背負います。患者・利用者の生命や尊厳に直結する情報を扱うため、情報漏えい一件で経営インパクトが極めて大きくなる構造があるからです。まず、発注前に整理しておくべき3つの不安を明確化します。
なお、近年は医療・介護システムにAIを組み込むプロジェクトも増えています。AIを活用する場合の固有の論点については、医療AIを外注する際の確認ポイントや介護へのAI活用で発注者が押さえるべきことも参考にしてください。
情報漏えいが起きた場合の経営インパクトは想定以上に大きい
医療機関・介護事業所で個人情報の漏えいが発生した場合、発注者が負うべき影響は以下の3つに大別されます。
第一に、行政指導・行政処分です。個人情報保護委員会は、安全管理措置義務違反や委託先監督義務違反が認められた場合、勧告・命令を行います。命令違反には罰則も用意されており、医療機関であれば保健所・厚生労働省からの追加指導も同時に走ることが一般的です。
第二に、損害賠償リスクです。漏えいした個人情報の件数・内容によって賠償額は変動しますが、医療情報は要配慮個人情報(病歴・健康診断結果など)に該当するため、慰謝料相場が一般情報より高くなる傾向があります。
第三に、信用失墜による患者・利用者離れです。地域密着型のクリニックや介護事業所では、口コミと評判が経営の基盤です。一度の漏えい報道で新規受診・新規入所の予約が急減し、収益が長期にわたって毀損するケースは少なくありません。
「ベンダーが起こした事故だから自社は無関係」という主張は、後述の委託先監督義務によって成立しません。発注者にとっての情報漏えいは、自社で起こした事故と同等の経営インパクトを持つと捉える必要があります。
「ベンダーに任せた」が通用しない委託先監督義務
個人情報保護法第25条は、「個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない」と定めています(個人情報保護委員会)。
ここで重要なのは、契約書を結ぶだけでは「必要かつ適切な監督」を果たしたとはみなされない点です。委託先の選定時に安全管理体制を確認し、契約締結後も定期的に取扱状況を把握する責務が、発注者である医療機関・介護事業所に残ります。
「専門知識がないのでベンダーに一任した」という説明は、監督義務違反を構成する可能性があります。発注者は、自社で個人データを扱うときに講ずべき安全管理措置と同等の措置がベンダー側で実施されているかを確認する立場にある、と整理してください。
2025年4月ガイダンス改定と2026年度の制度変更が発注判断に与える影響
2025年(令和7年)4月には、「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」の一部改正が施行されました。改正では、委託先の選定基準・定期的な確認の方法・サイバーインシデント発生時の対応など、委託先管理の実務に踏み込んだ記述が強化されています。
さらに、2026年度冬頃には電子カルテ情報共有サービスの本格運用が予定されています。3文書6情報の電子的やり取りが標準化されることで、電子カルテシステムは自院内で完結するシステムから、全国的な情報連携基盤の一部へと位置付けが変わります。
経済産業省・総務省の合同ガイドライン(医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン)も2025年3月に改定版が公表されており、医療情報を取り扱う事業者側の責務が再整理されました。
これらの制度変更が同時並行で進行する局面で外部委託を行う発注者は、「古い情報に基づいて発注した」というリスクと常に向き合うことになります。ベンダーが提示する資料や契約書のひな形が、最新版のガイドラインに対応しているかを確認する必要があります。
医療・介護システム外部委託で押さえるべき3省2ガイドラインと関連法規

医療・介護のシステム開発を外部委託する際に発注者が遵守すべき規制は、複数のレイヤーに分かれます。それぞれが何を要求しているかを発注者目線で整理することで、ベンダー選定と契約書チェックの土台になります。
3省2ガイドラインの全体像と発注者・受託者の責任分界点
「3省2ガイドライン」は、医療情報を扱う主体ごとに責任範囲を分担する枠組みです。具体的には、以下の2つのガイドラインを指します。
名称 | 所管 | 主な対象 | 発注者にとっての位置付け |
|---|---|---|---|
医療情報システムの安全管理に関するガイドライン 第6.0版 | 厚生労働省 | 医療機関・介護事業所等(情報を取り扱う側) | 自社(医療機関・介護事業所)が遵守すべき責務 |
医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン 第2.0版 | 経済産業省・総務省 | システム・サービス提供事業者(受託側) | 委託先ベンダーが準拠しているか確認するチェックポイント |
厚生労働省ガイドラインは「医療情報を取り扱う側」を対象とし、経産省・総務省ガイドラインは「医療情報システム・サービスを提供する側」を対象とします。発注者である医療機関・介護事業所は、自社が前者を遵守する責務を負うと同時に、委託先ベンダーが後者に準拠していることを確認する責任があります(経済産業省 医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン)。
責任分界点という用語は、どこからどこまでが発注者の責任で、どこからがベンダーの責任かを契約上で明確化する考え方を指します。クラウドサービスを利用する場合、物理的なサーバ管理はベンダー側、システム上の運用ルール(アクセス権限の付与・退職者のアカウント削除など)は発注者側、というように分かれます。3省2ガイドラインはこの責任分界点を契約書で明示することを推奨しています。
医療情報システムの安全管理に関するガイドライン第6.0版で何が変わったか
厚生労働省の「医療情報システムの安全管理に関するガイドライン」は、2023年5月に第6.0版へ改定されました。第6.0版の特徴は、読み手の属性に応じて4つの編に分かれている点です(厚生労働省 医療情報システムの安全管理に関するガイドライン)。
編 | 想定読者 | 発注プロセスでの活用 |
|---|---|---|
概説編 | 全関係者 | ガイドライン全体の俯瞰・用語の確認 |
経営管理編 | 経営層・管理者 | システム発注の意思決定・予算承認時の判断材料 |
企画管理編 | 情シス・企画担当 | RFP作成・ベンダー選定・契約書ドラフト時のチェック観点 |
システム運用編 | システム管理者・現場 | 運用フェーズでの日常的な確認項目 |
第6.0版で特に強調されたのは、経営層の責任です。経営管理編では、医療情報システムの安全管理が経営マターであることを明示し、経営層がリスク管理体制の構築と運用に責任を負う旨が記載されています。「現場に任せた」「ベンダーに任せた」では済まないという考え方が、ガイドライン上でも明確化されたわけです。
加えて、クラウドサービス利用時の責任分界点に関する記述も整理されました。SaaS・PaaS・IaaSのそれぞれで発注者とベンダーの責任範囲が異なるため、契約書で具体的にどこが境界かを明示する必要があります。2025年5月には同ガイドラインに関するQ&Aも厚生労働省から公表されており、実務での解釈に迷う論点が補足されています。
個人情報保護法第25条「委託先の監督」が外注に求める3つの義務
個人情報保護法第25条が定める「委託先の監督」は、3つの義務に分解できます。
第一に、委託先の適切な選定です。ベンダーが業務内容に沿った安全管理措置を確実に実施できる体制にあるかを、契約締結前に確認する必要があります。具体的には、第三者認証(ISMS・Pマークなど)の取得状況、過去の事故歴、再委託の体制などを評価することが想定されます。
第二に、委託契約の締結です。委託先における個人データの取扱状況を発注者側で把握できる仕組みを契約に組み込みます。安全管理措置の具体的内容、再委託の条件、事故時の報告手順、契約終了時のデータ返却・削除など、後述の条項を契約書に盛り込みます。
第三に、委託先における個人データ取扱状況の把握です。契約後も定期的に監査や報告徴収を行い、ベンダー側の取扱状況を確認します。年1回程度の運用報告会、不定期の現地監査、インシデント時の緊急報告など、確認の頻度と方法を契約段階で合意しておくと運用がスムーズです。
なお、医療情報をクラウドに保存する場合、保存先サーバが海外に所在するケースでは個人情報保護法第28条(外国第三者への提供)の検討も必要になります。クラウドサービス提供事業者が「個人データを取り扱わない」契約形態(いわゆるクラウド例外)に該当する場合は第28条の対象外となりますが、適用判断は契約条項とアクセス制御の実態次第です。後述のセクションで詳しく扱います。
ベンダー選定で確認すべき医療・介護特有の評価ポイント
汎用的なシステム開発会社の選び方とは別軸で、医療・介護システム開発を委託する際には固有の評価項目があります。RFP・提案依頼時に必ず確認すべきポイントを4つに分けて整理します。
なお、システム開発の費用感を事前に把握しておくことも、ベンダー提案の妥当性を評価する上で有効です。システム開発の費用相場と見積の読み方では、開発規模別の費用感や見積書に含まれるべき項目を解説しています。
認証・準拠状況の確認
ベンダーの安全管理体制を客観的に評価する第一歩は、第三者認証の取得状況です。代表的な認証には以下のものがあります。
認証 | 概要 | 医療・介護システム外注での重要度 |
|---|---|---|
ISMS(ISO/IEC 27001) | 情報セキュリティマネジメントシステムの国際規格 | 必須レベル。組織的な安全管理体制の証明 |
Pマーク(プライバシーマーク) | 個人情報保護の体制を持つ事業者を評価するJIS Q 15001ベースの認証 | 高。個人情報の取扱体制の確認 |
ISMAP | 政府情報システムのためのセキュリティ評価制度 | クラウド型ソリューション利用時に有用 |
SOC2 / SOC2+ | クラウドサービスの内部統制を評価する米国基準 | 海外ベンダー・グローバル展開時に確認 |
ISMSとPマークは取得していて当然と考えてよく、これらが無いベンダーは医療・介護システムの発注先候補から外れます。ISMAPは政府機関向けの認証制度ですが、医療情報を扱うクラウドサービスの選定基準として参照されるケースが増えています(ISMAPポータル)。
ただし、認証を持っていることと、医療情報の取扱いに精通していることは別問題です。認証はあくまで「組織として一定のレベルにある」ことを示すもので、医療業界固有の論点(3省2ガイドライン準拠、要配慮個人情報の取扱い、医師法・介護保険法との関係)への対応力を保証するものではありません。
医療・介護分野の開発実績と業界知識の見極め方
認証に加えて、医療・介護分野での開発実績を確認します。実績を見る際は以下の3点をチェックします。
1点目は、案件の種別です。電子カルテ・レセプトコンピュータ・予約システム・介護記録ソフト・PHR(Personal Health Record)など、自社の発注内容と近い案件の実績があるか。
2点目は、関わり方の深さです。要件定義から保守まで一気通貫で対応した案件か、開発の一部のみを受託した案件か。元請けでの実績と下請けでの実績は意味が異なります。
3点目は、提案資料における業界用語の使い方です。提案書を読んだときに、「DPC」「レセプト」「介護給付費明細書」「サマリー」など医療・介護の専門用語が自然に使われているか、ガイドラインの引用が正確か、を確認します。業界知識が浅いベンダーは、提案書で表面的な用語の羅列に留まる傾向があります。
「貴社で過去にどのような医療機関と取引がありましたか」「3省2ガイドラインのどの章が、今回の発注内容に関係しますか」と具体的に質問することで、業界理解の深さを確認できます。
再委託・サブベンダー体制とインシデント時の責任範囲
中堅以上のシステム開発会社では、開発業務の一部を別の会社(再委託先)に出すケースが一般的です。医療・介護システムの発注では、再委託の体制を必ず確認します。
確認すべき項目は以下の通りです。
- 再委託の有無と範囲(開発全体か、特定の機能のみか)
- 再委託先の名称と所在地(国内/海外)
- 再委託先の認証取得状況
- 再々委託(孫請け)の有無と管理方法
- 再委託契約における個人情報取扱条項の内容
- 発注者への通知・承認のフロー
「再委託先は自社の管理下にあるので問題ありません」という説明だけでは不十分です。再委託先で情報漏えいが発生した場合、発注者である医療機関・介護事業所まで責任が遡及する可能性があるためです。契約書段階で、再委託の事前承認制・通知義務・再委託先での安全管理措置の同等性などを明文化する必要があります。
保守・運用フェーズのSLAとサポート体制
医療・介護システムはリリース後の運用フェーズが長期に及びます。発注時点で保守・運用のSLA(Service Level Agreement)を確認することが、長期的な安心につながります。
確認すべきSLA項目は以下の通りです。
項目 | 確認内容 |
|---|---|
稼働率 | 月間/年間の稼働保証(99.9% / 99.95% など) |
障害対応時間 | 障害発生から復旧までの目標時間(重大度別) |
問い合わせ対応窓口 | 営業時間・24時間対応の有無・連絡方法 |
定期メンテナンス | 計画停止の頻度・事前通知期間 |
インシデント報告 | 障害・セキュリティ事故発生時の報告期限と内容 |
ペナルティ | SLA未達時の料金減額・サービスクレジット |
医療業界では夜間・休日の対応が必要なケースが多く、24時間365日の問い合わせ窓口があるかは特に重要です。クリニックや介護事業所の規模感では24時間対応のオプション料金が高額になる場合があるため、必要な時間帯を明確化して見積を取ることが現実的です。
医療・介護の外部委託契約書に必ず盛り込むべき条項と書きぶり

医療・介護システムの外部委託契約書では、汎用的な業務委託契約のひな形に加えて、業界固有の条項を盛り込む必要があります。ベンダー提示のひな形に対して、発注者が確認・交渉すべき5つの条項を解説します。
委託業務の範囲と取扱う個人情報の特定
契約書の冒頭で、委託業務の範囲と取扱う個人情報の種類を明確に特定します。曖昧な記載は、後の責任分界点の議論で発注者に不利に働きます。
書きぶりの例:
第○条(業務の範囲) 委託者は、受託者に対し、別紙仕様書記載の「○○電子カルテシステム」の設計・開発・保守業務(以下「本件業務」という)を委託する。本件業務において受託者が取り扱う個人データは、別紙データ取扱項目一覧記載の項目に限定し、それ以外の個人データを取り扱ってはならない。
ポイントは、「個人データの種類」「取扱範囲」を別紙で明示し、契約期間中に範囲を変更する場合は書面合意を要求することです。要配慮個人情報(病歴・健康診断結果など)が含まれる場合は、その旨を明記します。
再委託(再々委託含む)の条件と通知義務
再委託は禁止するか、事前承認制にするか、通知制にするかを明確に定めます。一般的には、事前承認制が安全管理の観点で望ましいとされます。
書きぶりの例:
第○条(再委託) 受託者は、本件業務の全部又は一部を第三者に再委託する場合、事前に書面で委託者の承認を得なければならない。再委託先がさらに第三者に再々委託する場合も同様とする。受託者は、再委託先に対し、本契約と同等の安全管理義務及び秘密保持義務を課すものとし、再委託先の行為について委託者に対し責任を負うものとする。
ベンダーが嫌がるパターンは、事前承認制ではなく事後通知制を主張するケース、再々委託まで明示しないケースです。発注者としては、再委託先で情報漏えいが発生した場合の責任構造を予防する観点から、事前承認制と再委託先での同等義務の明文化を求めることが妥当です。
事故時の報告手順と損害賠償の上限
情報漏えい・サイバー攻撃などのインシデントが発生した場合の報告手順と損害賠償の取り扱いを定めます。
報告手順については、以下の項目を契約で合意します。
- 発覚から発注者への第一報までの期限(推奨: 24時間以内)
- 第一報の方法(電話・メール・専用窓口)
- 詳細報告書の提出期限(推奨: 5営業日以内)
- 報告に含めるべき内容(影響範囲、原因、対応状況、再発防止策)
損害賠償の上限については、ベンダーが「契約金額の○倍」のような上限条項を求めてくることが一般的です。発注者として無制限を要求するのは現実的ではありませんが、要配慮個人情報を扱う案件では、上限の妥当性を慎重に判断します。ベンダーが加入しているサイバー保険の内容も確認の上、上限額を合意することが現実的な落としどころです。
契約終了時のデータ返却・削除と監査権の確保
契約終了時のデータの取り扱いは、開始時に決めておく必要があります。終了時に交渉すると、発注者側が不利な立場になりがちです。
書きぶりの例:
第○条(契約終了時の処理) 本契約が終了した場合、受託者は、委託者から預託された個人データ及びその複製物を、委託者の指示する方法により返却又は廃棄するものとする。廃棄を行った場合、受託者は、廃棄の事実を証する書面を委託者に提出する。
加えて、発注者側で監査権を確保しておくことも重要です。委託先監督義務を果たすために、定期的な書面報告に加えて、必要に応じて現地監査・書類監査を実施できる権利を契約に明記します。ベンダーが反発する場合は、「合理的な事前通知期間を設けた上で、業務時間内に実施する」など実施条件を具体化することで折り合うことができます。
クラウド利用時の保管場所(国内/国外)と適用法
クラウド型のシステムを利用する場合、データの保管場所と適用法を契約で明示します。
確認・合意すべき項目は以下の通りです。
項目 | 確認内容 |
|---|---|
データセンターの所在地 | 国内/国外、複数拠点の場合は全拠点の所在地 |
バックアップデータの所在地 | 本番データと異なる場所に置く場合の所在地 |
適用法・管轄 | 紛争時に適用される法律と裁判管轄 |
越境移転の取り扱い | 個人情報保護法第28条との関係、本人同意の要否 |
法執行機関からの開示請求への対応 | 海外当局からの開示要求への対応方針 |
医療情報の国外保存は、技術的には可能ですが、個人情報保護法第28条の越境移転規制との関係を整理する必要があります。クラウドサービス提供事業者が「個人データを取り扱わない」契約形態(クラウド例外)に該当する場合は同条の対象外となりますが、判断は契約条項とアクセス制御の実態に依存します。海外データセンターを利用する場合は、ベンダーから法的整理の説明を文書で受けることをおすすめします。
医療・介護システム外注の発注プロセス別チェックリスト

ここまでの内容を踏まえて、発注プロセスの各フェーズで確認すべきタスクをチェックリスト形式で整理します。RFP作成からリリース後の運用まで、抜け漏れを防ぐ実務リストとしてご活用ください。
企画・RFP作成フェーズ
このフェーズでは、社内の要件を整理し、ベンダーに提案を求める準備を行います。
- 取り扱う個人情報の種類・件数・要配慮個人情報の有無を整理した
- 既存システムからの移行データの範囲を特定した
- 3省2ガイドラインのうち、本件で関係する章を抽出した
- 利用形態(オンプレ/クラウド/ハイブリッド)の方針を社内で合意した
- 予算と納期の上限・下限を内部で合意した
- RFPに「3省2ガイドライン準拠の説明」をベンダーに求める項目を入れた
- RFPに「再委託の有無と体制」をベンダーに求める項目を入れた
- RFPに「データ保管場所(国内/国外)」をベンダーに求める項目を入れた
- 経営層への稟議スケジュールを策定した
ベンダー選定・提案評価フェーズ
複数ベンダーから提案を受け、比較評価を行います。
- ISMS・Pマーク等の認証取得状況を書面で確認した
- 医療・介護分野での開発実績(種別・規模・関わり方)を確認した
- 提案資料の業界用語・ガイドライン引用の正確性を確認した
- 担当者の医療・介護分野の経験年数を確認した
- 再委託の有無・範囲・再委託先を確認した
- 保守・運用フェーズのSLAを比較した
- 過去の情報セキュリティインシデント歴を確認した
- 自社の業務理解度を測る具体質問への回答を評価した
- 経営層を含めた最終評価会議で選定理由を文書化した
契約締結フェーズ
選定したベンダーと契約書を締結します。ベンダー提示のひな形をそのまま受け入れず、契約条項を精査します。
- 委託業務の範囲を別紙で具体化した
- 取り扱う個人情報の項目を別紙で明示した
- 再委託の条件(事前承認制・通知義務)を明文化した
- 安全管理措置の具体的内容を契約に盛り込んだ
- 事故時の報告手順と期限を明文化した
- 損害賠償の上限・サイバー保険の内容を確認した
- 監査権・現地調査権を契約に盛り込んだ
- 契約終了時のデータ返却・削除手順を明文化した
- クラウド利用時の保管場所と適用法を明示した
- 個人情報保護法・3省2ガイドラインへの準拠義務を明記した
開発・受入フェーズ
開発が始まってからリリースまでの確認項目です。
- 開発環境・テスト環境での個人情報の取扱いルールをベンダーと合意した
- 本番データを開発環境にコピーする場合のマスキング方針を確認した
- アクセス権限の付与・剥奪のフローを定めた
- 受入テストにおけるセキュリティテストの実施を確認した
- ペネトレーションテストの実施有無と結果を確認した
- 運用マニュアル・障害対応マニュアルを受領した
- スタッフへの操作教育・セキュリティ教育を実施した
運用・保守フェーズ
リリース後の継続的な監督義務を果たすフェーズです。
- 月次/四半期の運用報告会を設定した
- 障害・インシデントの集計と分析を共有している
- 年1回程度の書面監査・現地監査を実施している
- 退職者・異動者のアカウント削除を運用ルールに沿って実施している
- バックアップとリストア手順の定期確認を行っている
- 関連法令・ガイドラインの改定をフォローしている
- ベンダー側の組織変更・再委託先変更の通知を受領している
- 契約更新時に条項のレビューを行っている
医療・介護システム開発の外部委託を成功させるために
医療・介護のシステム開発を外部委託する際に押さえるべき要点を、最後にまとめます。
第一に、発注前に網羅的なチェックを行うことです。3省2ガイドライン・個人情報保護法・関連業法の要求事項を、RFP・ベンダー選定・契約書の各段階で項目化して確認してください。本記事のフェーズ別チェックリストを社内テンプレートとして整備することで、属人化を防ぐことができます。
第二に、ベンダー任せにせず継続的な監督を行うことです。個人情報保護法第25条の委託先監督義務は、契約締結時点で完結するものではなく、契約期間中ずっと続きます。年1回の監査・月次の運用報告会など、確認の仕組みを契約段階で設計しておくことで、運用フェーズで対応に追われることを避けられます。
第三に、制度改定の動向をフォローすることです。2025年4月のガイダンス改定、2025年3月の経産省・総務省ガイドライン改定、2026年度予定の電子カルテ情報共有サービス本格運用など、医療・介護分野の制度変更は連続しています。新規発注時だけでなく、既存ベンダーとの契約更新時にも最新版のガイドラインに照らした確認が必要です。
外部人材・受託開発の活用は、自社のリスク管理体制を整えた上で進めることで初めて意味を持ちます。「専門知識がないからベンダーに任せる」発想ではなく、「専門知識のあるパートナーと、責任分界点を明確にした上で協働する」発想に切り替えることが、発注成功の出発点です。
信頼できるシステム開発パートナーの探し方については、おすすめシステム開発会社まとめ(2025年6月版)も参考にしてください。
本記事で扱った契約条項例・チェックリストの詳細版や、医療・介護分野での外部委託の意思決定をさらに深めるための関連のお役立ち資料もご用意しています。発注プロジェクトの具体的な検討に入る際の補助資料としてご活用ください。
よくある質問
- 医療・介護システムの外部委託で「3省2ガイドライン準拠」とベンダーが言っている場合、発注者はどう確認すればよいですか?
準拠しているガイドラインの版数(厚労省第6.0版・経産省総務省第2.0版)と、今回の発注内容に関係する章を具体的に説明してもらうことで確認できます。「準拠しています」という一言だけで版数や章の説明ができないベンダーは、実態が伴っていない可能性があります。
- ISMS・Pマークを持っていないベンダーに医療・介護システムを発注しても構いませんか?
原則として発注先候補から外すことが望ましいです。個人情報保護法第25条の委託先監督義務では「適切な委託先の選定」が求められており、第三者認証のないベンダーを選んだ場合、選定の合理性を説明することが困難になります。
- ベンダーが提示する契約書ひな形は、どの条項を必ず確認・修正すべきですか?
最低限、①再委託の事前承認制、②インシデント発生時の24時間以内報告義務、③契約終了後のデータ返却・削除と廃棄証明、④発注者側の監査権の4点を確認し、記載がなければ追加交渉することが必要です。ベンダー側のひな形はこれらが省略されているケースが多くあります。
- クラウド型の介護記録ソフトで「バックアップデータは国内ですが、CDN経由で一時的に海外サーバを経由します」と説明された場合、個人情報保護法上の問題はありますか?
CDNによるキャッシュや自動リージョン複製が「外国第三者への提供」に該当するかは、クラウドサービス提供事業者が「個人データを取り扱わない」契約形態(クラウド例外)に該当するかどうかによって判断が変わります。問題は、CDN経由の処理や海外バックアップがクラウド例外の適用範囲内と言えるかが、契約条項とアクセス制御の実態に依存する点です。ベンダーに対して「CDNを含む全データ経路でのクラウド例外適用の根拠を書面で示してほしい」と求め、対応できない場合は国内完結のサービスに変更することが安全です。
- 電子カルテのクラウド移行を外部委託する場合、移行作業員が患者データに直接アクセスするリスクをどこまで要求できますか?
移行作業員への個人情報へのアクセスは、移行期間中のみに限定される一時的なものですが、委託先監督義務の観点からベンダーに対して確認できる範囲があります。具体的には、①移行作業に従事する担当者名・所属・役割の事前開示、②担当者に対するセキュリティ教育の実施証明(受講記録など)、③作業端末や作業環境の管理方針(ログの取得・クリーンルーム方式の有無)を書面で求めることが可能です。身元確認(バックグラウンドチェック)まで要求できるかはベンダーの社内ポリシー次第ですが、少なくとも「作業員が誰で、何にアクセスするか」を発注者が把握できる体制をSOWに明記することは現実的な要求範囲です。
- 2025〜2026年の制度改定は、既存のベンダー契約に影響しますか?
影響します。2025年4月のガイダンス改定では委託先管理の実務要件が強化されており、既存契約が最新版の要求を満たしていない可能性があります。契約更新のタイミングで最新ガイドラインと照らし合わせ、安全管理措置や監督義務に関する条項を見直すことが必要です。



