厚生労働省の「医療情報システムの安全管理に関するガイドライン 第6.0版」ページでは、令和7年5月版の医療機関向けチェックリストと、医療機関等・事業者向けに統合されたチェックリストマニュアルが公開されています。つまり現在の公的整理では、医療機関自身の対策だけでなく、委託先事業者の確認まで含めて運用することが前提です。

このテーマで最初に押さえるべき前提は、委託しても責任が消えるわけではないという点です。厚労省の経営管理編では、医療情報システムの安全管理をシステム関連事業者に委託する場合でも、医療機関等には委託先事業者を監督する責任があるとされ、さらに委託先事業者の過失による情報セキュリティインシデントでも、医療機関等が患者等に対する責任を免れることはできないと明記されています。

そのうえで企画管理編は、委託時には責任分界をあらかじめ取り決めること、重要な委託では事前に経営層の承認を得ること、技術的な部分はシステム運用担当者の検討結果を責任分界に反映すること、さらに複数の関係者が関与する場合はその関係を整理し、誰と何を取り決めるか漏れなく定めることを求めています。契約は発注書の延長ではなく、責任の地図として作らなければなりません。

ここから4日目の記事では、病院や診療所がベンダー契約で最低限押さえるべき項目を、7つに絞って整理すると読みやすくなります。

1. 責任分界を、契約書とSLAで明文化する

最初に必要なのは、誰が何に責任を持つのかを文章にすることです。厚労省は、医療機関等と委託先事業者との間で責任分界を取り決め、通常時だけでなく非常時の責任も想定するよう求めています。さらに、その責任分界は契約書やSLAなど、双方を拘束する合意文書として明らかにすることが求められるとしています。実務上は、障害対応、脆弱性対応、ログ保全、患者説明、行政報告のどこまでを誰が担うのかまで書けて初めて有効です。

2. 守秘義務だけで終わらせず、委託先の教育と就業規則まで確認する

契約書にNDA条項だけを入れて終わるのは不十分です。企画管理編では、医療機関等の事務・運用等を外部事業者に委託する場合、委託契約書に守秘・非開示に関する内容を含めることに加え、委託先事業者の就業規則等に、採用時・定期的な教育や守秘に関する対応を含めるよう求めることまで挙げています。つまり、契約書1枚より重要なのは、委託先の内部統制が実際に回っているかです。

3. 「預けたデータをどう扱うか」を細かく縛る

外部保存やクラウド利用を伴う委託では、データの扱いを細かく定める必要があります。厚労省は、委託先との契約において、守秘義務と違反時のペナルティ保守作業に必要な情報以外を閲覧させないこと保存した情報を独断で分析・解析しないこと独自に第三者提供しないこと、さらに保存された情報を格納する情報機器等が国内法の適用を受けることを確認することなどを求めています。契約の本質は「使わせる」ことではなく、見てよい範囲、使ってよい目的、出してよい先を限定することです。

4. 保守作業は、専用アカウント・ログ・作業計画書照合までセットにする

ベンダー保守は便利ですが、最も見落とされやすいリスクでもあります。システム運用編では、保守要員がサーバにアクセスする際は専用アカウントを使用させること個人情報へのアクセス有無や作業内容を記録することリモートメンテナンスでは必ずアクセスログを収集し、作業計画書と照合して確認すること、そして作業終了後は速やかに企画管理者に報告し確認を求めることを示しています。したがって、契約条項としては「保守可能」だけでは足りず、誰が入るか、何をしたか、誰が確認するかまで落とし込む必要があります。

5. 契約前に、ベンダーの説明資料を回収する

委託先評価は価格や機能比較だけでは足りません。チェックリストマニュアルは、リモートメンテナンスを利用している機器の有無を事業者に確認すること事業者から医療情報セキュリティ開示書(MDS/SDS)を提出してもらうことを明記しています。さらに企画管理編は、外部保存の委託先選定に当たり、安全管理の基本方針・規程、実施体制、バックアップ取得・管理状況、信用度、財務の健全性、プライバシーマークやISMS等の認証、情報機器の設置場所、国外法の適用可能性まで確認するよう求めています。契約前の確認不足は、事故後に取り返せません。

6. 委託終了時の返却・破棄・監査方法を先に決める

契約開始時に見落としやすいのが、契約終了時の出口設計です。企画管理編では、外部保存や外部委託を終了する場合、保存期間の条件が明確に示されている必要があるとし、医療機関等は委託先に保存されている医療情報を定期的に確認し、終了すべき情報が速やかかつ厳正に処理されているかを監査しなければならないとしています。さらに、破棄や返却に関する規定は契約書に明記し、事前に手順書も整備しておくべきとしています。始め方だけでなく、終わらせ方まで契約に書かれているかが重要です。

7. 重要な委託は、経営層承認と年次点検の対象にする

委託先管理を現場任せにすると、契約書はあっても統制が効きません。企画管理編は、重要度の高い委託では経営層に丁寧に報告し、承認を得ることを求めています。加えて、チェックリストマニュアルは、医療機関等が事業者に「事業者確認用」を送付し、システムを提供している事業者ごとに確認を求め、各事業者から回収すること、そして少なくとも年1回はチェックリストを用いた点検を実施することを示しています。委託先管理は、契約締結時の単発作業ではなく、経営判断と定期点検を伴う継続業務として扱うべきです。

このテーマで読者に伝えたい結論は明確です。病院のベンダー契約は、調達文書ではなく安全管理文書として作るべきということです。守秘条項を入れたかどうかではなく、責任分界、保守統制、ログ確認、再委託やデータ利用制限、終了時の返却・破棄まで含めて設計して初めて、契約がセキュリティ対策になります。厚労省の現行ガイドラインと令和7年5月版のチェックリスト群は、そのための具体的な枠組みをすでに示しています。