Google Workspaceで患者データ本体を扱う場合の利用可否評価
Google Workspaceについて、一般的な個人情報保護法上の対処と、医療情報外部保存ガイドライン上で残る論点を分けて評価したHTMLレポート。
011. 最終結論
Google Workspaceは、一般的な個人情報保護法の範囲では、必要な対処を実施すれば本人同意なしでも利用できる。一方、患者データ本体の保存先として採用するには、医療情報外部保存ガイドライン上の保存場所・国内法適用・国外法リスクが残る。
この資料は、医療機関の採否判断そのものを決める資料ではない。採否を決めるのは医療機関である。この資料は、採用を検討する際に残る論点を明確にする。
- 個人情報保護法の結論: Google Workspaceは、DPA、復処理者情報、Data Region情報、監査資料、管理設定、継続確認手順をそろえれば利用できる。
- 本人同意の扱い: 本人から事前同意を取るオプトインルートではなく、基準適合体制ルートで整理する。本人から求められた場合に措置情報を提供できるようにする。
- 医療情報の残存リスク: 患者データ本体をGoogle Workspaceに置く場合、医療情報の外部保存または医療情報システムの一部として扱う。本資料作成時点のGoogle WorkspaceのData Regionでは日本を選べないため、保存場所・国内法適用・国外法リスクが残る。
したがって、医療機関がGoogle Workspaceを患者データ本体の保存先として採用するには、この残存リスクを経営・システム・法務・監査上の判断として明示的に扱う必要がある。
022.1 論点の分離
Google Workspaceの利用可否は、一般的な個人情報保護法の論点と、医療情報外部保存ガイドラインの論点を分けて評価する。
| 論点 | この資料で示すこと | 理由 |
|---|---|---|
| 一般的な個人情報保護法 | 必要な対処を実施すれば利用できる。 | 日本リージョンは必須ではない。Google Workspaceは、委託・外国提供・基準適合体制・外的環境把握として整理する。 |
| 医療情報外部保存ガイドライン | 採用するには残存リスクがある。 | Google WorkspaceのData Regionは米国・欧州・指定なしであり、日本国内保存固定を選べない。保存場所・国内法適用・国外法リスクが残る。 |
| 業務フローでのGoogle Workspace利用 | 患者データ本体を置くかどうかでリスクが変わる。 | 患者データ本体を含まない院内規程、教育資料、公開資料、管理資料などは一般業務文書として扱える。 |
032.2 前提
- 対象データは、本人を識別できる患者データ本体である。
- 診療情報、病歴、検査結果、処方、診療録、医療機関内の患者記録などを含む。
- 当該データは、個人情報保護法上の要配慮個人情報・個人データに該当する。
- 本人から、Google Workspaceに保存し、国外で処理され、外国にあるGoogleまたは復処理者へ提供されることについて、個別の明示同意は取得していない。
- 評価対象はGoogle Workspaceであり、Google Cloud Storage、Compute Engine、Cloud SQL等のGCPリージョンサービスは別物として扱う。
043.1 個人情報保護法で必要な対処
一般的な個人情報保護法の範囲では、Google Workspaceは必要な対処を実施すれば利用できる。評価ルートは、Google Workspaceを個人データの取扱いの委託先として扱い、外国提供・基準適合体制・外的環境把握を整備する、という流れである。
なお、クラウドサービスでは「クラウド事業者が個人データを取り扱わない」整理が検討されることがある。ただしGoogle Workspaceでは、Googleまたは復処理者がCustomer Dataを処理し得るため、本件では補助論点として扱う。
| 必要な対処 | 具体内容 | Google Workspaceで使う材料 |
|---|---|---|
| 組織契約を前提にする | 個人向けGoogleアカウントではなく、組織管理されたGoogle Workspaceを前提にし、DPAを適用する。 | Google Workspace契約、Cloud Data Processing Addendum、管理コンソール設定。 |
| 委託先監督を行う | Googleを委託先として扱い、安全管理措置、目的外利用禁止、復処理者管理、漏えい時対応、削除・返却、監査協力を確認する。 | DPA、セキュリティ資料、監査資料、サポート条件、Vault等の保持・削除設定。 |
| 外国提供・基準適合体制を整理する | 本人同意ルートではなく、基準適合体制ルートで整理する。提供先、復処理者、処理国、外国制度、安全管理措置を管理文書に落とす。 | 復処理者一覧、Data Region情報、DPA、PPC Q&Aに基づく国を特定できない場合の説明。 |
| 継続的措置を運用する | 復処理者変更、監査レポート更新、セキュリティ変更、サポートアクセス、設定変更を年次・変更時に確認する。 | 復処理者変更通知、監査資料、管理コンソールログ、Access Transparency等。 |
| 本人請求時の情報提供を準備する | 事前同意ではない。本人から求められた場合に、外国提供先・措置・安全管理・復処理者管理について回答できるようにする。 | Google公式資料、委託先管理台帳、外的環境把握資料、本人請求時の回答テンプレート。 |
| クラウド事業者が取り扱わない整理は補助論点に留める | Googleまたは復処理者がCustomer Dataを処理し得るため、PPC Q&A上の「クラウド事業者が個人データを取り扱わない」整理だけで説明を完結させない。 | Service Specific Terms、DPA、復処理者情報。 |
この対処を実施すれば、一般的な個人情報保護法の範囲ではGoogle Workspaceを利用できる。
053.2 個人情報保護法対応で揃える資料
この章で伝えるべきことは、Googleやベンダーから受け取る資料と、医療機関側で完成させる管理資料は別物だという点である。Googleやベンダーの資料は材料であり、それを使って自組織の利用範囲・設定・運用に合わせた管理資料を作る。
医療機関側で作る資料
| 資料 | 書く内容 | 使う場面 |
|---|---|---|
| Google Workspace利用範囲定義書 | 対象データ、利用部署、利用目的、保存期間、患者データ本体を入れるかどうか、禁止する利用を明記する。 | Google Workspaceをどの業務に使うかを固定する。 |
| 委託先管理台帳 | Google、販売代理店、運用ベンダー、サポート事業者、各者の役割、適用されるDPA・サービス条件を記録する。 | 委託先監督の対象を一覧化する。 |
| 外国提供・外的環境把握メモ | Googleまたは復処理者が関係する国、処理場所を特定できる範囲、特定できない範囲、外国制度リスクの確認結果を書く。 | 本人同意なしで基準適合体制ルートを使う根拠にする。 |
| 基準適合体制の確認記録 | 目的外利用禁止、安全管理措置、復処理者管理、漏えい時対応、削除・返却、監査資料、継続確認方法を記録する。 | 個人情報保護法上の外国提供・委託先監督を説明できるようにする。 |
| 管理設定記録 | 共有制限、外部共有、MFA、DLP、Vault、CSE、Data Region、監査ログ、管理者権限をどう設定したかを記録する。 | Google Workspaceを安全管理措置としてどう設定したかを示す。 |
| 復処理者変更時の確認手順 | Googleの復処理者変更通知を確認し、影響評価し、必要に応じて管理資料を更新する手順を書く。 | 基準適合体制を継続的に確認する。 |
| 本人請求時の回答手順・回答テンプレート | 本人から求められた場合に、外国提供先、講じている措置、安全管理措置、復処理者管理をどう回答するかを書く。 | 本人同意ではなく、本人請求時の情報提供に対応する。 |
Google・ベンダーから取得する資料
| 取得する資料 | 提供元 | 医療機関側の資料での使い方 |
|---|---|---|
| DPA、Service Specific Terms | 委託先管理台帳、基準適合体制の確認記録に添付する。 | |
| 復処理者一覧・変更通知 | 外国提供・外的環境把握メモ、復処理者変更時の確認手順に反映する。 | |
| Data Region、CSE、DLP、Vault、監査ログ等の公式ヘルプ | 管理設定記録と安全管理措置の説明材料にする。 | |
| 監査報告書、認証資料、セキュリティ資料 | Googleまたは販売代理店 | 委託先監督と基準適合体制の確認記録に添付する。 |
| 設定設計書、設定作業記録、運用手順書 | 導入ベンダー・運用ベンダー | 管理設定記録、利用範囲定義書、運用手順に反映する。 |
| リスク評価表、チェックリスト、テンプレート | 導入ベンダー・業界団体・コンサル等 | 医療機関側の管理資料を作るためのひな形として使う。 |
結論として、Googleやベンダーから取得する資料だけでは完了しない。医療機関側では、利用範囲定義、委託先管理、外国提供・外的環境把握、基準適合体制、管理設定、復処理者変更、本人請求時対応の資料を完成させる必要がある。
063.3 本人同意と本人請求時情報提供の違い
この章は、本人同意がない前提で、個人情報保護法上どの整理を使うのかを明確にするための章である。結論は、本人から事前同意を取るルートではなく、提供先が基準に適合する体制を継続的に整備していることを確認するルートで整理する、というものになる。
ここで重要なのは、本人請求時の情報提供は事前同意ではないという点である。本人請求時の情報提供は、3.2で作る管理資料を使って、求められた場合に措置情報を説明できるようにするための運用である。
| 区分 | 内容 | 本件での扱い |
|---|---|---|
| 本人同意ルート | 外国提供について本人から事前同意を取る。 | 本件前提では採らない。本人同意は取得していない。 |
| 基準適合体制ルート | 提供先が基準に適合する体制を継続的に整備していることを確認し、本人から求められた場合に措置情報を提供する。 | 本件で使う整理。本人請求時の情報提供は、事前同意とは別である。 |
| クラウド事業者が取り扱わない整理 | クラウド事業者が個人データを取り扱わない場合に、第三者提供に該当しない方向で整理する。 | Google Workspaceでは補助論点に留める。Googleまたは復処理者がCustomer Dataを処理し得るため。 |
074.1 個人情報保護法対応後に医療ガイドラインで追加される差分
3章の個人情報保護法対応を実施しても、医療情報外部保存では医療情報システムとしての説明責任、管理責任、委託先選定、契約、監査、患者説明、終了時返却等について、より具体的な確認・証跡・運用が求められる。したがって「保存場所、国内法適用、国外法リスクの3点以外は個人情報保護法に包括される」という整理ではない。
整理は二段階に分ける。第一に、個人情報保護法側にも同種の要求があるが、医療ガイドライン側で対象・粒度・証跡が強化され、Google公式資料、ベンダー資料、管理設定、契約、運用手順で説明できる差分がある。第二に、それらを整備してもGoogle Workspaceを患者データ本体の保存先にする限り最後まで残る差分がある。
| 医療ガイドライン側で強化される差分 | 個人情報保護法側との違い | Google Workspaceでの評価 |
|---|---|---|
| 医療情報システムとしての文書化・説明責任・監査 | 個人情報保護法でも安全管理措置の整備は必要だが、医療ガイドラインでは医療情報システムの機能、運用手順、監査結果、患者への説明窓口まで文書化する粒度が求められる。 | 対応対象。3.2の管理資料、Google Workspace管理設定、監査ログ、運用手順で説明できる。 |
| 外部保存の委託先選定・契約・定期報告 | 個人情報保護法でも委託先監督は必要だが、医療ガイドラインでは医療情報を扱うサービス事業者としての安全管理ガイドライン適合、サービス仕様適合開示書、認証・監査資料、定期報告まで確認する粒度が求められる。 | 対応対象。Google公式資料、認証・監査資料、販売代理店・導入ベンダー資料、契約・運用手順で説明できる。 |
| 保守アクセス・独自利用・第三者提供の制限 | 個人情報保護法でも目的外利用防止や委託先監督は必要だが、医療情報の外部保存では、保守作業に必要な情報以外を閲覧させないこと、独断分析をさせないこと、独自提供をさせないことをより明示的に扱う。 | 対応対象。Service Specific Terms、DPA、CSE、Access Approval、Access Transparency、管理者権限、監査ログで説明できる。 |
| 外部保存終了時の返却・削除 | 個人情報保護法でも不要データの削除や委託先管理は必要だが、医療ガイドラインでは委託終了時に医療情報の返却方法等をあらかじめ取り決め、終了時の実行を確認する粒度が求められる。 | 対応対象。Vault、エクスポート、保持・削除ポリシー、契約終了時手順で説明できる。 |
| 保存された情報機器等の国内法適用確認 | 個人情報保護法の外国提供・外的環境把握とは別に、外部保存された情報機器等が国内法の適用を受けることを確認する要求がある。 | 最後まで残る差分。Google Workspaceでは保存・処理・サポート・復処理者に外国が関係し得るため、国内法だけで完結すると説明し切れない。 |
| 保存場所と国外法適用可能性の確認 | 外部保存先の選定時に、医療情報を保存する情報機器の場所(地域・国)と、委託先事業者に対する国外法の適用可能性を確認する要求がある。 | 最後まで残る差分。Google WorkspaceのData Regionは日本国内固定を選べず、国外法の影響も完全には排除できない。 |
結論として、医療ガイドライン側の差分は、対応対象と最後まで残る差分に分ける。Google Workspace採用時に最後まで残る差分は、保存場所、国内法適用、国外法リスクである。
084.2 保存場所・国内法適用・国外法リスクが医療ガイドライン上残る根拠
4.1で示した「最後まで残る差分」が保存場所、国内法適用、国外法リスクになるのは、医療情報外部保存ガイドラインが個人情報保護法の一般的な委託・外国提供の枠組みだけで作られていないためである。この章では、4.1の分類を受けて、この3点が医療情報外部保存ガイドライン上の構造的な要求として残る根拠を確認する。
診療録等は法令上の保存義務を持つ医療記録であり、外部保存の議論は、電子保存、保存場所、e-文書法、医療情報システムの安全管理、クラウドサービスの利用へ段階的に拡張されてきた。したがって、Google Workspaceのセキュリティ機能でアクセス統制や証跡を強化できるかという問題と、医療情報の保存先として保存場所・適用法・国外法リスクを説明できるかという問題は分けて評価する。
| 時期・改定 | 議論・変遷 | 現在の評価に残る意味 |
|---|---|---|
| 2002年 外部保存通知・診療録等の外部保存ガイドライン | 診療録等の外部保存が、電子保存と保存場所の要件として整理された。外部保存は単なる個人データ委託ではなく、診療録等の保存場所をどう説明するかの問題として始まっている。 | 保存場所の説明は外部保存の開始時点から中核論点であり、クラウドサービスに対象が広がった後も外されていない。 |
| 2005年 第1版 | e-文書法、個人情報保護法、診療録等の電子保存、外部保存の指針を統合して安全管理ガイドラインが作られた。 | 個人情報保護法対応だけでは完結せず、法令上保存義務を持つ医療記録として、見読性、真正性、保存性、説明可能性を支える要求が残る。 |
| 2008年から2010年 第3版・第4.1版 | 責任分界、外部保存を受託する事業者の選定基準、民間事業者のデータセンターへの保存が整理された。 | 民間データセンターや外部サービス利用は認める方向に広がったが、事業者選定、責任分界、保存場所の説明は引き続き保存先評価の中心に残る。 |
| 2018年から2021年 クラウド事業者ガイドライン・第5.1版 | ASP/SaaSだけでなくPaaS/IaaS等のクラウドサービス事業者まで対象が広がり、第5.1版ではクラウドサービス、受託事業者選定、国内法適用、認証、提供すべきセキュリティ情報が追記された。 | クラウド利用は想定対象になったが、クラウドであることは保存場所や国内法適用の確認を不要にする理由にはならない。 |
| 2022年から2023年 第5.2版・第6.0版 | 2省ガイドラインとの整合、外部委託・外部サービスの利用、クラウドサービスの特徴を踏まえたリスク、医療機関等のシステム類型別の責任が整理された。 | 第6.0版はクラウドを現実の利用形態として扱う一方、責任分界、保存場所、国外法リスクを説明する構造を維持している。 |
| 第6.0版Q&A | 医療情報が保存されないことが契約等で担保される場合は、国内法の適用を受けていないサーバも利用可能とする一方、外部保存では国内法の適用や国外法の適用可能性を確認して選定する考え方が示されている。 | 保存されない一過性処理は軽く評価できるが、患者データ本体をGoogle Workspaceに保存する場合は、国内法適用・国外法リスクの確認論点から外れない。 |
このため、Google WorkspaceでCSE、DLP、Vault、Access Approval、Access Transparency等を組み合わせても、それは安全管理・アクセス統制・証跡を強化する対策であり、保存場所を日本国内に固定することや、国内法だけで完結する保存先にすることとは別である。
個人情報保護法で利用できる理由
個人情報保護法でも、外国アクセス、復処理者、漏えい、不当利用のリスクは存在する。違いは、個人情報保護法がそれらのリスクをゼロにすることを利用条件にしていない点にある。個人情報保護法では、利用目的の範囲内の委託であれば提供先は第三者に該当せず、委託先監督、同等の安全管理措置、再委託管理、外国制度の把握、基準適合体制、本人から求められた場合の情報提供によって管理する構造である。つまり、外国が関係すること自体を禁止する制度ではなく、誰がどの義務を負い、どの措置で本人の権利利益を守るかを説明できれば利用できる。
医療ガイドラインで評価が重くなるのは、個人情報保護法の管理構造を否定するからではない。患者データ本体を外部保存する場合、対象が診療録等の保存義務を持つ医療記録になり、外部保存先そのものが診療継続、患者説明、終了時削除、責任追跡、行政等への提出可能性に関わる。そのため、個人情報保護法上は委託・基準適合体制で整理できる国外処理でも、医療情報外部保存としては、保存場所、国内法適用、国外法リスクを保存先選定の残存リスクとして別に評価する。
次節では、この構造的要求を踏まえて、保存場所、国内法適用、国外法リスクが具体的にどの種類のリスクとして残るかを整理する。
094.3 最後まで残る差分の具体説明
4.2で確認した通り、保存場所、国内法適用、国外法リスクは、医療情報外部保存ガイドラインの構造上、個人情報保護法対応だけでは消えない差分である。この章では、その差分をリスク類型、医療限定で困ること、利用形態ごとの濃淡に分けて具体化する。
医療で対処が深くなる理由は、行政調査があるからではない。4.2で整理した外部保存の要求を、患者データ本体の利用場面に落とすと、問題は次のように分かれる。行政調査は結果として困る場面の一つである。本質は、診療録等が法令上の保存義務を持つ医療記録であり、診療継続、見読性、真正性、保存性、事故時の責任追跡、患者への説明可能性を維持する必要がある点にある。外部保存先の場所・適用法・国外法リスクを説明できないと、医療機関がその医療記録を実効的に管理していると言いにくくなる。
ここで扱うリスクは一つではない。継続性・可用性、情報流出・不当利用、統制・返却削除・適用法に分ける。国内バックアップと別環境復旧で主に説明できるのは継続性・可用性である。一方、Google Workspace上に患者データ本体または患者データに戻せるコピーが残る場合、情報流出・不当利用と、保存先に対する統制・返却削除・適用法の論点は残る。
| リスク類型 | 何のリスクか | 国内バックアップで解消するか | 医療で個人情報保護法より強く評価する理由 |
|---|---|---|---|
| 継続性・可用性 | 障害、災害、サイバー攻撃時に診療業務を継続し、必要な診療情報を見読・復旧できるか。 | 相当程度解消できる。国内バックアップ、世代管理、別環境復旧、書き込み禁止化で説明できる。 | 診療が止まると患者への医療提供そのものに影響するため、一般企業のバックアップより診療継続を強く見る。 |
| 情報流出・不当利用 | 外部保存先の不適切な取扱い、誤閲覧、第三者提供、事業者や職員による不当利用、大量漏えい。 | 解消しない。復旧できても、Google Workspace側に患者データが残る限り、その保存先から漏えい・不当利用が起きる経路は残る。 | 医療情報は病態・病歴等を含み、漏えい後の権利回復が困難で、本人の社会生活・就労・保険・家族関係への影響が大きい。厚労省Q&Aも、医療に関連した個人情報の漏えいや不当利用では被害者の苦痛や権利回復が困難であるため、格別の安全管理措置が求められるという構造で説明している。 |
| 統制・返却削除・適用法 | 保存先の場所、誰が閲覧できるか、契約終了時に返却・削除できるか、国外法や国外アクセスの影響を受けるか。 | 解消しない。国内に復旧先があっても、Google Workspace側のコピーが残るなら、そのコピーの保存場所、削除、返却、アクセス、国外法リスクを別に評価する必要がある。 | 医療情報外部保存では、情報を保存する事業者に独自提供・不当利用をさせないこと、終了時に外部保存システムやバックアップファイルを含めて廃棄・返却を確認すること、保存された情報を格納する情報機器等の国内法適用を確認することが求められる。これは、単なる委託先監督より、診療録等の保存義務と患者への説明可能性に結び付く管理要求である。 |
したがって、国内サーバーで復旧できるなら、可用性リスクは大きく下げられる。しかし、Google Workspace側に患者データ本体や患者データに戻せるコピーがある限り、情報流出・不当利用と統制・返却削除・適用法のリスクは残る。医療でこの残存リスクを強く見る理由は、医療情報の機微性だけではなく、外部保存先が診療録等の保存義務、患者説明、終了時削除、責任追跡に直接関係するためである。
| 最後まで残る差分 | 医療ガイドライン側で強く求められること | Google Workspaceで説明し切れない点 | 達成できない場合に医療限定で困ること |
|---|---|---|---|
| 保存場所 | 医療情報を保存する情報機器の場所(地域・国)を確認し、外部保存先として説明できること。バックアップ先も、患者データ本体または患者データに戻せる情報を保存するなら保存場所の説明対象になる。 | Google WorkspaceのData Regionでは日本国内固定を選べない。CSE、DLP、Vault等を使っても、患者データ本体の保存先を国内に固定した説明にはならない。国内サーバーで復旧できても、Google Workspace側に保存されるコピーの場所は国内固定にならない。 | 復旧用の国内バックアップがあっても、Google Workspace側を日常運用の保存先・共有先・検索先として使うなら、Google Workspace側の保存場所も説明対象になる。どの環境を正規保存先と扱い、どの環境がコピー・バックアップで、復旧時にどちらを優先し、不要時にどちらを削除するかを示せないと、保存場所の説明は解消しない。 |
| 国内法適用 | 保存された情報を格納する情報機器等が国内法の適用を受けることを確認すること。 | 個人情報保護法上は、外国が関係しても、委託先監督、基準適合体制、外国制度の把握、本人請求時の情報提供で整理できる。一方、Google Workspaceでは保存、処理、サポート、復処理者の一部に外国が関係し得るため、患者データ本体の外部保存先として国内法だけで完結する環境だとは説明できない。 | 医療記録は、診療継続、保存義務、開示請求、紛争対応、事故対応に耐える形で管理される必要がある。国内法だけで完結しない場合、医療機関が自ら統制できる範囲、復旧・返却・提出を実行できる範囲を説明しにくくなる。 |
| 国外法リスク | 外部保存の委託先事業者に対する国外法の適用可能性を確認すること。 | 個人情報保護法上は、国外法リスクを把握し、基準適合体制と相当措置の継続確認で管理する整理ができる。一方、Google WorkspaceではData Region対象外データ、復処理者、サポートアクセス、運用ログ等に国外が関係し得るため、国外法制の影響を完全に排除した医療情報保存先だとは説明できない。 | 外部保存先の事業者に国外法が及ぶ場合、医療機関が意図しない開示・アクセス・差押え等のリスクを完全には否定できない。患者への説明、院内掲示、委託先選定、事故時の責任追跡で、医療情報の保存先としての説明が弱くなる。 |
利用形態ごとの濃淡
| Google Workspaceでの利用形態 | 濃淡 | 評価 |
|---|---|---|
| 電子カルテ、診療録、検査結果、画像、処方等の正規保存先として使う | 最も重い | 医療情報外部保存そのものとして扱う。保存場所、国内法適用、国外法リスクを説明し切れないことが採否判断の中心になる。 |
| 国内サーバーを正規保存先とし、Google Workspaceに同期コピーやバックアップを置く | 重い | 国内サーバーで復旧できることは可用性対策になるが、Google Workspace側に患者データ本体または患者データに戻せるコピーが保存されるなら、情報流出・不当利用と統制・返却削除・適用法のリスクは残る。 |
| 患者データ本体を業務支援ツール上で一時共有・レビュー・変換・問い合わせに使う | 重い | 電子カルテのマスター保管よりは周辺業務だが、一時的にせよ患者データ本体を事業者が保管する。外部保存または外部利用として、4章の残存リスクを踏む。 |
| ログ、CSV、スクリーンショット、バックアップ、患者データに戻せる中間ファイルを置く | 重い | 名目が業務支援でも、本人に戻せる情報が保存されるなら医療情報の保存先として評価する。保存場所・国内法適用・国外法リスクは残る。 |
| 比較対象(一過性処理サービス): Google Workspaceに保存せず、一過性処理だけを行う外部サービス | 本件対象外に近い | 第6.0版Q&Aの考え方は、医療情報が保存されないことが契約等で担保されるサービスについて、国内法適用を受けていないサーバ利用も可能とするもの。この行は、保存がない一過性処理なら保存場所・国内法適用の論点が軽くなる、という比較対象である。Google Workspace上にファイル、履歴、添付、出力、ログとして患者データ本体または患者データに戻せる情報が残る場合は、この行には入らない。 |
| 患者データ本体を含まない院内規程、教育資料、公開資料、プロジェクト管理 | 低い | 医療情報外部保存ではなく、一般業務文書として個人情報保護法・情報セキュリティ管理で整理する。 |
したがって、本資料の評価では、電子カルテ等のマスター保管と業務支援ツール利用には濃淡がある。ただし、Google Workspaceに患者データ本体や本人に戻せるファイルを保存する限り、業務支援ツール、コピー、バックアップという名目だけでは保存場所・国内法適用・国外法リスクの論点から外れない。論点から外れるのは、Google Workspaceに患者データ本体も患者データに戻せる情報も保存されない設計にできる場合である。
104.4 要求項目ごとのGoogle Workspace対応表
4.2と4.3で示した通り、医療情報外部保存の評価では、セキュリティ機能で低減できる項目と、保存場所・国内法適用・国外法リスクとして残る項目を分ける必要がある。この章は、Google Workspaceのプラン名だけで判定するのではなく、医療ガイドライン側で求められる項目ごとに、どの機能・プランでどこまで説明できるかを示す。個人向けGoogleアカウントは、組織契約、DPA、委託先監督、監査ログ、管理者統制が成立しないため、表の前提から外す。
| 求められる項目 | 必要なGoogle Workspace機能・資料 | Business系での評価 | Enterprise Standardでの評価 | Enterprise Plus + 必要に応じたAssured Controlsでの評価 |
|---|---|---|---|---|
| 組織契約・DPA・委託先管理 | Google Workspace契約、Cloud Data Processing Addendum、Service Specific Terms、復処理者一覧、販売代理店・運用ベンダー契約。 | 一部可能。組織契約、DPA、復処理者一覧は材料にできる。ただしBusiness系だけでは、Access Transparency、Access Approval、CSE、詳細監査ログ、管理者アクセス制御が不足し、委託先管理を医療情報外部保存の粒度で説明しにくい。 | 可能。契約・DPA・復処理者情報は材料にできる。 | 可能。契約・DPA・復処理者情報に加え、アクセス制御系の追加資料を組み合わせられる。 |
| 利用範囲・禁止利用・患者データ混入防止 | 管理コンソール、共有制限、外部共有制限、コンテキストアウェアアクセス、DLP、監査ログ、利用範囲定義書。 | 不足。Business Starter/StandardではDLP、Vault、詳細監査ログ、CSE等が不足する。Business PlusでもCSEや高度なアクセス制御が不足し、患者データ本体の混入防止と検知を十分に説明しにくい。 | 一部可能。DLPやVault等は使えるが、CSE、Access Approval、Access Transparencyが不足する。患者データ本体が混入した場合の暗号鍵分離、Googleスタッフアクセスの承認、アクセス透明性の説明が弱い。 | 可能。DLP、詳細ログ、CSE等を組み合わせて混入防止と検知を説明できる。 |
| 保持・削除・返却 | Google Vault、保持ポリシー、エクスポート、削除手順、契約終了時手順。 | 一部可能。Business PlusではVaultを使えるが、Business Starter/StandardではVaultによる保持・検索・エクスポート管理が不足する。 | 可能。Vault等で保持・削除・返却手順を設計できる。 | 可能。Vault、監査ログ、管理手順を組み合わせて説明できる。 |
| 監査・証跡・定期報告 | 監査ログ、管理者ログ、Vault、Access Transparency、認証・監査資料、ベンダー報告。 | 不足。Business系ではAccess Transparency、Access Approval、CSE、詳細な管理者・アクセス監査、医療用途を前提にした定期報告材料をそろえにくい。誰が、いつ、どの経路で患者データ本体にアクセスし得たかの説明が弱い。 | 一部可能。基本的な監査資料・管理ログは使えるが、Access TransparencyやAccess Approvalを組み合わせたGoogle側アクセスの透明性・承認記録までは説明しにくい。 | 可能。詳細ログ、Access Transparency、認証・監査資料を組み合わせられる。 |
| 保守アクセス・管理者アクセス制限 | CSE、Access Approval、Access Transparency、Access Management、管理者権限設計、MFA、SSO。 | 不足。CSE、Access Approval、Access Transparency、Access Managementが不足する。Googleスタッフや管理者アクセスを患者データ本体の外部保存向けに承認・制限・追跡する説明が弱い。 | 不足。DLP等は使えるが、CSE、Access Approval、Access Transparency、Access Managementが不足する。保守アクセスの承認、透明性、鍵分離を医療情報外部保存の粒度で説明しにくい。 | 可能。CSEに加え、Assured ControlsでGoogleスタッフのアクセス制限・承認・透明性を強化できる。 |
| 保存場所の説明 | Data Region、対象データ範囲の説明、保存場所に関するGoogle公式資料。 | 未解消。Data Regionを使えるプランでも日本国内固定は選べない。 | 未解消。日本国内固定は選べない。 | 未解消。Enterprise PlusやAssured Controlsでも日本国内保存固定はできない。 |
| 国内法適用の説明 | DPA、サービス条件、復処理者情報、処理場所・サポートアクセスに関する説明資料。 | 未解消。保存・処理・サポート・復処理者に外国が関係し得る。 | 未解消。国内法だけで完結する運用とは説明できない。 | 未解消。アクセス制御は強化できるが、国内法だけで完結する説明にはならない。 |
| 国外法リスクの説明 | 復処理者一覧、処理国情報、Data Region対象外データ、サポートアクセス、外的環境把握資料。 | 未解消。外的環境把握はできても、国外法の影響を排除できない。 | 未解消。国外法制の影響を完全には排除できない。 | 未解消。Assured Controlsでアクセス経路は強化できるが、国外法リスク自体は残る。 |
要求項目ごとに見ると、患者データ本体を扱う前提では少なくともEnterprise Plusを前提にし、必要に応じてAssured Controlsを組み合わせる必要がある。ただし、保存場所、国内法適用、国外法リスクはプランを上げても未解消として残る。
115. 業務フローでの切り分け
4章で示した通り、保存場所・国内法適用・国外法リスクは、プランや機能の選択だけでは解消できない。このリスクが発生するかどうかは、患者データ本体をGoogle Workspaceに置く業務かどうかで決まる。5章の位置づけは、4章の残存リスクを踏む業務フローと、踏まない業務フローを分けることである。患者データ本体を置かない業務は一般的な個人情報保護法の対処で整理できる。一方、患者データ本体、患者データに戻せる中間ファイル、患者データを含むログ・画像・スクリーンショット・バックアップを置く業務では、4章の保存場所・国内法適用・国外法リスクが発生する。
| 業務フロー | Google Workspace利用時のリスク | 判断材料 |
|---|---|---|
| 院内規程、手順書、教育資料、会議資料の共有 | 低い | 患者データ本体を含めない場合は、一般業務文書として扱える。 |
| ベンダー管理、契約管理、プロジェクト管理 | 低いから中 | 患者氏名、患者ID、診療情報、検査結果、画像、紹介状等を含めないことが条件。 |
| 公開資料、製品資料、監査チェックリストの保管 | 低い | 公開情報または院内管理資料に限る。患者データを添付しない。 |
| システム構成図、運用設計書、障害対応手順 | 中 | 本番環境の秘密情報、認証情報、患者データのサンプル、ログ抜粋を含めるとリスクが上がる。 |
| 患者データを含まない集計表・経営分析資料 | 中 | 少数集計・自由記述・施設内照合で再識別できる場合はリスクが上がる。 |
| 匿名加工情報 | 低い | 匿名加工情報として成立し、本人に戻せない状態であれば、患者データ本体の保存とは扱わない。加工基準、公表事項、再識別不能性は別途確認する。 |
| 仮名加工情報 | 低い | 対応表をGoogle Workspace外で管理し、Google Workspace上の情報だけでは本人に戻せない場合は、患者データ本体の保存とは扱わない。ただし、対応表、直接識別子、自由記述、少数集計など本人に戻せる情報を一緒に置く場合は高い。 |
| 診療録、検査結果、処方、画像、紹介状、同意書等の保存 | 高い | 医療情報外部保存そのものになり、4章の残存リスクが発生する。 |
| 患者データ本体の一時共有、レビュー、校正、変換作業 | 高い | 一時利用でもGoogle Workspaceに患者データ本体が入り、4章の残存リスクが発生する。 |
| CSV、ログ、バックアップの置き場 | 高い | 患者ID、診療情報、アクセスログ等を含む場合、4章の残存リスクが発生する。 |
| 障害調査や問い合わせで患者データのスクリーンショットを共有 | 高い | サポート業務の一部でも患者データがGoogle Workspaceに入り、4章の残存リスクが発生する。 |
したがって、Google Workspaceを業務フローで使う場合は、患者データ本体を入れない業務に限定するか、患者データ本体を入れる業務では4章の残存リスクを採否判断の中心に置く。
126. 最終判断
一般的な個人情報保護法では、Google Workspaceは必要な対処を実施すれば利用できる。必要な対処は、委託・外国提供・基準適合体制・外的環境把握として整理し、Google公式資料を使って管理文書を整備することである。医療情報限定では、患者データ本体をGoogle Workspaceに置くと医療情報外部保存として扱われ、保存場所・国内法適用・国外法リスクが残る。採否を決めるのは医療機関であり、この資料は採用する場合に残るリスクを提示する。
137. 出所・参照資料
Xスレッドは、@skoba氏の投稿を起点に、Google Workspace / Google Cloudを日本の医療機関業務で利用する際の論点を議論した一連の投稿である。主な論点は、ISMAP認証、Google Japanとの正式契約、SLAでの要件定義、ログ管理・監査証跡、管理主体と責任分界である。本資料では、このスレッドを法的根拠や最終判断の根拠ではなく、業務・システム管理寄りの論点を拾うための出所として扱う。
- Xスレッド: @skoba氏によるGoogle Workspace / Google Cloudの医療機関利用、ISMAP、SLA、監査ログ、責任分界に関する議論
- 個人情報保護委員会 個人情報の保護に関する法律についてのガイドラインに関するQ&A
- 個人情報保護委員会 外国にある第三者への提供編
- 個人情報保護委員会 個人情報の保護に関する法律についてのガイドライン(通則編)
- 厚生労働省 医療情報システムの安全管理に関するガイドライン 第6.0版
- 厚生労働省 ガイドライン改定の経緯に関する年表
- 厚生労働省 第6.0版の概要及び主な改定内容
- 厚生労働省 医療情報システムの安全管理に関するガイドライン第6.0版 Q&A
- 厚生労働省 医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス
- Google Workspace Service Specific Terms
- Google Cloud Data Processing Addendum
- Google Workspace Subprocessors
- Google Workspace Help データの地理的な保管場所を選択する
- Google Workspace Help クライアントサイド暗号化について
- Google Workspace Help DLPについて
- Google Vault Help Vault