医療機関及び医療情報を取り扱う事業者がプライバシーマークを取得する際には一般財団法人 医療情報システム開発センター（以下、MEDIS）に申請を行い、審査を受ける必要があります。

 

必ず、MEDISに申請が必要で別の審査機関に申請を行うことが出来ません。

MEDISは独自の指針を確立しており、単なるPマークの取り組みとは異なってきます。

 

ただ、MEDISでのPマーク取得はハードルが高く挫折されるお客様も多々拝見しています。

2023年5月23日時点でMEDISでのPマーク認証は646組織とのことです。

当社ではこれまでMEDIS対応のコンサル支援実績が60件を超えています。

単純にMEDISでPマークを取得されている組織の10%に当社が関わらせて頂いています。

 

Pマークの支援会社が数多くいる中でこれは決して少なくない数字です。

 

今回は15年の支援実績、MEDIS対応のコンサル支援実績が60件を超える当社がMEDISでのPマークを取得・維持される方向けに落としてはいけない3つのポイントをお伝えしていきます。

 

 

【リスクアセスメント】

Pマークを取得する上で絶対に行わないといけないリスク分析ですが、MEDIS対応の場合リスク分析の仕方が普通のPマークとは異なってきます。

 

MEDISの指針にも記載がありますが、個人情報の取扱いのフロー図を作成し、そのフロー内で対象となる個人情報を明確にし、フロー内で想定されるリスクを認識・対策を検討する必要があります。

 

これが思いのほか手間と知識が必要となり、MEDISでPマークを取得される皆さんが躓かれます。

 

細かすぎると作り切れなくなりますし、ざっくり過ぎると審査に適合できないとなり、医療系の業務知識とPマークに関する知識と両方が必要となる分野になります。

 

【同意文書の取扱い】

Pマーク上は、個人情報を直接取得するときに同意書を本人からもらう必要があります。

 

MEDIS対応を行う場合でも同様な対応が必要です。

 

ただ、MEDIS対応の場合に面倒はことがあります。

それは一度同意と言う考え方です。

 

要配慮個人情報と言う法律上でも取扱いが厳格に定められている個人情報をある種日常的に取扱う医療保健分野の事業者では、指針上同意をない事項を明示することで提示している同意文書の内容の一部に拒否する権利が設けられています。

 

Pマークは同意文書については同意を得ることだけを要求しているので、MEDISでの支援実績がない、もしくはケースが少ないコンサルタントですと一部同意の内容を勘違いした支援を行い、審査時や万が一の際に支援・助言が行えない状況が発生してしまいます。

 

医療分野の事業者様はその分野のエキスパートではありますが、やはり個人情報保護に関する専門家ではないので専門家の助言はやはり重要です。

当社のコンサルタントはPマークの専門家だけではなく行政書士と言う法的な資格を活用したビジネスも行っており、法的知識にも長けているので法律的なアドバイスも可能です。

 

【要配慮個人情報のクラウドサービスでの利用】

最近はクラウドサービスを活用して業務を進めることが当然になっています。

どこの会社でも何か1つは使っていると思います。

 

要配慮個人情報をクラウドサービスで利活用することについて、MDEISはなかなかのハードルを設けています。

一般的なPマークではクラウドサービスのPマーク上の選定評価と利用規約の確認。で問題ないとしています。

MEDISにおいては従来のPマーク通りの対応をすると審査時にNGが出てしまいます。

 

従来、病院などでは医療に関連する個人情報をネットワーク(特にインターネット)にアップすることは禁忌してきています。

昨今の技術革新でだいぶん軽減されてはきましたが、MEDISではそれを否定的な見解を示しているようです。

 

情報セキュリティシステムの仕様やMEDISの指針で定義されている関係省庁のガイドラインの遵守など、一般的なPマークよりもクラウドサービスの利用については非常に高いハードルが管理責任であるPマークを取得している事業者に課されてきます。

 

これらの確認が出来ないとクラウドサービスを利用した上でのMEDISでのPマーク取得は難しくなります。

 

昨今のクラウドサービスの利活用を積極的に行うビジネス形態や情勢とは逆行しているのは重々承知していますが・・・

 

【最後に】

MEDISでPマークを取得する場合、コンサルティング会社の選定はシビアにすべきです。

今回ご紹介したもの以外にもMEDIS独特の取り組みは多数あります。

一般的なPマークの取得支援実績が多数あるからと言って、MEDISの経験が０や少ないコンサルティング会社ではPマークを取得できない。と言う最悪の事態が考えられるため、MEDISでの実績が豊富な支援先を選定する必要があります。