【初心者でもわかる】Pマークにおける3省2ガイドラインとは？

「Pマークの3省2ガイドラインとは何？」

「3省2ガイドラインに則って求められる対応はどんなこと？」

Pマークを取得された、また、これから取得する企業の担当者様の中には上記のようなお悩みを抱えている方もいらっしゃると思います。

そもそも3省2ガイドラインという言葉自体がなじみのないものですが、実はPマークを取得するのであれば知っておくべきガイドラインなのです。

なぜなら、Pマークの3省2ガイドラインは医療情報に関わるシステム等の安全管理に関するガイドラインであり、医療情報を取り扱う事業者が、適切な情報保護のために準拠すべきものであるからです。

本コラムでは、Pマークの3省2ガイドラインとはそもそもどのようなものなのか、このガイドラインに則ってどのような対応が求められるのかについて解説します。

本コラムを読み終えていただければ、初心者の方でもPマークにおける3省2ガイドラインや、その対応についてしっかりと理解し適切な対応を行えるようになることでしょう。

1.Pマークにおける3省2ガイドラインとは

・厚生労働省が発行するガイドライン
引用：「医療情報システムの安全管理に関するガイドライン 第6.0版」閲覧日2025/12/4

・経済産業省・総務省が発行するガイドライン
引用：「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」閲覧日2025/12/4

以前はそれぞれ3つの省庁から異なるガイドラインが発行されていたため3省3ガイドラインと言われていましたが、総務省と経済産業省で発行されていたガイドラインが整理・統合され2020年8月より現在の形で適用されています。

それぞれの詳細な説明につきましては、第2章で解説いたしますが、概要としましては、医療情報を扱うシステムにおけるセキュリティ対策やプライバシーに配慮した情報の取り扱いを定めているものです。

近年、医療業界でも、電子カルテや病院予約システムなどをはじめとしたテクノロジーやクラウドサービスが多く使用されるようになり、より効率的なサービス提供を行う動きが活発化しています。

システム活用が進むと大変便利になり、医療業界全体の効率化が進みます。しかし、医療データには重要な個人情報が多く含まれているため、セキュリティリスクも高くなり、それ相応の対策が求められるのです。

3省2ガイドラインは、拡大する医療業界のセキュリティリスクを防止するために必要な安全管理体制や運用時のチェック項目、システム導入にあたっての確認事項などの具体的な対応事項が記載されているのです。

2.3省2ガイドラインの概要

第1章で説明したように、3省2ガイドラインは、厚生労働省が発行している「医療情報システムの安全管理に関するガイドライン 第6.0版」と総務省・経済産業省が発行している「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」を総称したものです。

ここでは、実際に発行されているガイドラインの内容を引用形式でそれぞれご紹介します。

（1）厚生労働省が発行しているガイドライン

厚生労働省が発行しているガイドラインは「医療情報システムの安全管理に関するガイドライン 第6.0版」です。医療現場で取り扱う個⼈情報のうち、厳重な保護が必要とされる患者の電⼦カルテなどの医療情報を正しく管理するために定められています。

内容は以下のように4編で構成されています。

①概説編

ガイドラインの目的・以降3編を理解するための前提について記載されています。

②経営管理編

医療機関の経営層向けで、経営層として判断すべき事項や企画管理・システム運営担当者管理の管理事項について記載されています。

③企画管理編

医療情報システムの安全管理担当者向けで、組織体制・情報セキュリティ対策のための規程の整備・安全管理を行うにあたって遵守すべき事項について記載されています。

④システム運用編

システムの実装・運用担当者向けで、情報機器・ソフトウェア・インフラ等の活用における対応事項（委託事業者やクラウドサービスベンダーも主に本編を参照）について記載されています。

厚生労働省が発行している「医療情報システムの安全管理に関するガイドライン 第6.0版」の構成は上記の通りとなります。

（2）総務省及び経済産業省が発行しているガイドライン

総務省及び経済産業省が発行しているガイドラインは「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」です。

医療機関へのサービス提供前に開示すべき事項や、安全管理のためのリスクマネジメントプロセスについて記載されています。

このガイドラインは、以下2つのガイドラインが統合され、2020年8月より1つのガイドラインとして策定されました。

• 総務省「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン」
• 経済産業省「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」

総務省及び経済産業省が発行している「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の構成は上記の通りとなります。

（3）3省2ガイドラインで対象とされている医療情報及び対象事業者

3省が発行する2つのガイドラインの構成について述べましたが、再度2つのガイドラインで対象とされている医療情報及び対象事業者をまとめます。

①医療情報

• 医療従事者が作成・記録した情報
• 医療従事者の指示に基づき介護事業者が作成・記録した情報等

②対象事業者

• 医療機関等と直接契約を行い、医療情報システム等を提供する事業者
• 医療機関等と直接的な契約を行っていなくても、医療機関等に提供する医療情報システム等を提供する事業者
• 患者等の指示に基づいて医療機関等から医療情報を受領する事業者

以上のように、3省2ガイドラインは、厚生労働省が発行している「医療情報システムの安全管理に関するガイドライン 第6.0版」と、総務省・経済産業省が発行している「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」を総称したもので、対象となる詳細な情報や対象事業者は異なりますが、どちらも医療情報の取り扱いやリスクマネジメントについて書かれたものとなります。

3.3省2ガイドラインで求められる医療業界での対策

3省2ガイドラインでは大きく分けて4点が医療事業者に要求され、それぞれ対策を打つことが必須となります。

ここでは、どのような要求事項があるのか、また、事例とともにどのような対策が必要なのかを解説していきます。

（1）3省2ガイドラインでの要求事項

3省2ガイドライン（特に総務省・経済産業省が発行している「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」）では以下の4つの要求事項が記載されています。

• 医療情報の安全管理に関する義務と責任について
• 対象事業者と医療機関等の合意形成
• 安全管理のためのリスクマネジメントプロセス
• 制度上の要求事項

（2）3省2ガイドラインで求められる対策

上記で述べた4点の要求事項に対して医療事業者にはどのような対策が求められるのか、ここでは「医療情報の安全管理に関する義務と責任について」と「対象事業者と医療機関等の合意形成」について焦点を当て、下記に記載します。

①医療情報の安全管理に関する義務と責任について

・安全管理義務
医療機関等は患者に対して善管注意義務や守秘義務を負っており、適切なセキュリティ体制を構築し、維持、運用する義務（安全管理義務）があります。

・対象事業者の説明義務
対象事業者は医療機関等に対して、医療機関等が患者に対する安全管理義務を履行するために必要な情報を適時適切に提供する義務（説明義務）を負います。

・情報セキュリティ事故等発生時における義務と責任
情報セキュリティ事故が発生した際に、「危機対応義務」と「民事責任」を負うことがあります。

②対象事業者と医療機関等の合意形成

対象事業者と医療機関等の合意形成には、対象事業者から医療機関等への適切な情報提供が必要となります。情報提供すべき項目の例は下記となります。

• 医療情報等の安全管理に係る実施体制の整備状況
• 実績等に基づく個人データ安全管理に関する信用度
• 医療機関等の運用管理規程に定める必要がある事項
• 医療情報システム等の安全管理に係る評価の結果
• リスク対応一覧

3省2ガイドラインにおける要求事項をよく理解したうえで、対策を講じることが医療事業者に求められています。

4.3省2ガイドラインと第三者認証等の取得の関連性

3省2ガイドラインのうち、総務省・経済産業省が発行している「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の「4.4 第三者認証等の取得に係る要件」では、どういった第三者認証が必要なのかが記載されており、PマークまたはISMSを認証取得することとしています。

簡単にそれぞれの解説をいたします。

（1）Pマーク

個人情報マネジメントシステムの構築、運用、維持がされていることを示す第三者認証です。

日本国内で活用されている認証で、約17,746社（2026年2月末時点）が取得しています。

個人情報に特化した認証であるため個人情報以外に関しては触れられていません。

（2）ISMS（ISO27001）

情報セキュリティマネジメントシステムの構築、運用、維持がされていることを示す第三者認証です。

日本の認定機関に登録されている組織数は約8,427社（2026年2月末時点）となっています。

組織が取り扱う、個人情報を含めた情報資産に対しての情報セキュリティマネジメントシステムとなるため、Pマークに比べて、広い範囲で仕組みを作成するものとなります。

一概にどちらの方が優れている、ということではなく、個人情報の保護について特に力を入れたい場合はPマーク、業務に関わる情報資産に対する全般的な情報セキュリティを担保したい場合はISMSを取得するとよいでしょう。

5.まとめ

3省2ガイドラインは、厚生労働省が発行している「医療情報システムの安全管理に関するガイドライン 第6.0版」と総務省・経済産業省が発行している「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」を総称したものです。

拡大する医療業界のセキュリティリスクを防止するために必要な安全管理体制や運用時のチェック項目、システム導入にあたっての確認事項などの具体的な対応事項が記載されています。

3省2ガイドラインでは大きく分けて下記4点が医療事業者に要求され、それぞれ対策を打つことが必須となります。

• 医療情報の安全管理に関する義務と責任について
• 対象事業者と医療機関等の合意形成
• 安全管理のためのリスクマネジメントプロセス
• 制度上の要求事項

また、3省2ガイドラインのうち、総務省・経済産業省が発行している「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の「4.4 第三者認証等の取得に係る要件」では、医療事業者はPマークまたはISMSを認証取得することが必要とされています。

自社が取り扱う情報を基に対策を行い、PマークまたはISMSを取得することが求められます。