プライバシーマーク(Pマーク)における3省2ガイドラインって何？初心者にもわかりやすく解説

HOME

Pマーク

コラム一覧

基本の知識

プライバシーマーク(Pマーク)における3省2ガイドラインって何？初心者にもわかりやすく解説

2022年9月1日

プライバシーマーク（Pマーク）における3省2ガイドラインとは、医療情報に関わるシステム等の安全管理に関するガイドラインで、情報の取扱いについて考える基準となります。
3省2ガイドラインに含まれる第三者認証として、プライバシーマークの他にISMS（ISO27001）も選択に入れることができます。

１．3省2ガイドラインとは
２．医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドラインとは
３．どんな要求事項があるのか？
４．どんな対策が必要なの？
５．第三者認証等の取得ープライバシーマークとISMS
　プライバシーマーク　
　ISMS（ISO27001）
まとめ

１．3省2ガイドラインとは

3省2ガイドラインとは、

総務省及び経済産業省が発行している「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」と

厚生労働省は発行している「医療情報システムの安全管理に関するガイドライン」を指しています。

以前は、3省3ガイドラインと言われていましたが、

総務省と経済産業省で発行されていたガイドラインが整理・統合され2020年8月より適用されています。

２．医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドラインとは

「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」とは、

総務省で発行していた「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン」と

経済産業省で発行していた「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」を2020年8月に整理・統合したガイドラインとなります。

このガイドラインで対象とされている医療情報及び対象事業者は下記となります。

医療情報

・医療従事者が作成・記録した情報

・医療従事者の指示に基づき介護事業者が作成・記録した情報等

対象事業者

・医療機関等と直接契約を行い、医療情報システム等を提供する事業者

・医療機関等と直接的な契約を行っていなくても、医療機関等に提供する医療情報システム等を提供する事業者

・患者等の指示に基づいて医療機関等から医療情報を受領する事業者

等

３．どんな要求事項があるのか？

「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」には大きく下記のことが記載されています。

医療情報の安全管理に関する義務と責任について
対象事業者と医療機関等の合意形成
安全管理のためのリスクマネジメントプロセス
制度上の要求事項

４．どんな対策が必要なの？

要求事項に対してどんな対策が必要か、いくつかの例を下記に記載します。

医療情報の安全管理に関する義務と責任について

1．安全管理義務

医療機関等は患者に対して善管注意義務や守秘義務を負っています。この義務には、適切なセキュリティ体制を構築し、維持、運用する義務（安全管理義務）があります。医療機関等から業務の委託を受ける対象事業者も関連する事項に対して、安全管理義務が含まれます。

また、個人情報保護法では委託元の医療機関等も委託先の対象事業者も安全管理措置を講じる義務を負います。

2．対象事業者の説明義務

対象事業者は医療機関等に対して、医療機関等が患者に対する安全管理義務を履行するために必要な情報を適時適切に提供する義務（説明義務）を負います。

3．情報セキュリティ事故等発生時における義務と責任

情報セキュリティ事故が発生した際に、「危機対応義務」と「民事責任」を負うことがあります。

対象事業者と医療機関等の合意形成

対象事業者と医療機関等の合意形成には、対象事業者から医療機関等への適切な情報提供が必要となります。情報提供すべき項目の例は下記となります。

－医療情報等の安全管理に係る実施体制の整備状況

－実績等に基づく個人データ安全管理に関する信用度

－医療機関等の運用管理規程に定める必要がある事項

－医療情報システム等の安全管理に係る評価の結果

－リスク対応一覧　

等

プロのコンサルタントがお悩みをお伺いします!

５．第三者認証等の取得ープライバシーマークとISMS

この「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」には、

『4.4 第三者認証等の取得に係る要件』（どういった第三者認証が必要なのか）が記載されており、プライバシーマークまたはISMSを認証取得することとしています。

第三者認証等の取得に関わる要件について、プライバシーマークとISMS、どちらの方が良いのでしょうか？

簡単にそれぞれの特徴を記載します。

　プライバシーマーク　

個人情報マネジメントシステムの構築、運用、維持がされていることを示す第三者認証です。

日本国内で活用されている認証で、約17,000社（2022年3月末時点）が取得しています。

個人情報に特化した認証であるため個人情報以外に関しては触れられていません。

　ISMS（ISO27001）

情報セキュリティマネジメントシステムの構築、運用、維持がされていることを示す第三者認証です。

国際標準のISO27001が基となっているため、日本国外でも認知されています。

日本の認定機関に登録されている組織数は約6,800社（2022年3月末時点）となっています。

組織が取り扱う、個人情報を含めた情報資産に対しての情報セキュリティマネジメントシステムとなるため、

プライバシーマークに比べて、広い範囲で仕組みを作成するものとなります。

それぞれに上記の記載があるため一概にどちらの方が優れている、ということは言えません。

取引先から個人情報の保護について強く言われているのであれば、プライバシーマーク

取引先から業務に関わる情報資産に対する全般的な情報セキュリティを担保できる状態にして欲しい、という要望があるのであれば、ISMS

と考えてもらった方がよいかもしれません。

自社の業務でより取扱いが多い情報がどちらかを見直していただき、判断をしてみてください。
まだまだ疑問点がある…という方へ、無料の解説資料を現在プレゼント中です！ぜひご活用ください。

まとめ

3省2ガイドラインとは、医療情報に関わるシステム周りについての安全管理に関わるガイドラインのことを言います。

その中で、第三者認証に関わる要件について、プライバシーマークとISMSを取得することが言われています。

自社が取り扱う情報を基にどちらを取得するか判断するとよいでしょう。

ISO・Pマーク認証更新でお悩みの方へ

認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。
アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

＼SNSでシェアしてね／