患者直接識別情報の
保存 vs 非保存
患者直接識別情報をサーバーに保存するか、しないか。
この設計判断が、貴院の法的対応・運用コスト・セキュリティ体制に影響します。
それぞれの特徴を比較してみましょう
動画ICサービスを導入する際、患者直接識別情報をサーバーに保存するか、しないかは重要な設計上の選択です。
保存する場合は電子カルテと同等のセキュリティ基準をクリアする必要があり、法的義務・運用負荷・漏洩リスクへの対応が求められます。
一方で、保存することで得られるメリットもあります。以下、それぞれの特徴を比較します。
保存 vs 非保存:一目でわかる比較表
| 比較項目 | 保存型 患者直接識別情報をサーバーに保存 | 非保存型 ポケットIC(非保存型) |
|---|---|---|
| 個人情報保護法の適用 | 適用あり 事業者としての義務を負う |
軽減が見込まれる 利用目的の通知・公表手続きや安全管理措置の文書整備が不要 |
| 委託先監督義務 (個情法25条) |
あり 契約・監査・報告の義務 |
限定的 ベンダーへの立入監査・契約管理・再委託先調査が不要 |
| 3省2ガイドライン 準拠対応 |
必要 ISMSやプライバシーマーク等 |
対応範囲が限定的 アクセスログ管理体制の構築やリスクアセスメントの定期実施が不要 |
| 情報漏洩リスク | 対策が必要 サーバー攻撃・内部不正への備え |
大幅に低減 WAF・IDS/IPSの追加導入や暗号化キーの管理・ローテーションが不要 |
| 漏洩時の影響 | 対応が必要 報告義務・損害賠償の可能性 |
影響が限定的 患者への個別通知・保護委員会への報告・記者会見の準備が不要 |
| システム運用コスト | 追加コストあり セキュリティ監査・保守費用 |
大幅に低減 外部監査の発注・専任管理者の配置・サイバー保険の加入が不要 |
| 導入時の院内稟議 | 審議が必要 情報セキュリティ委員会での審議 |
簡易 PIA実施・倫理委員会への諮問・3〜6ヶ月の審議期間が不要 |
| 保存期間管理 | 必要 法定保存期間の管理 |
対応範囲が限定的 削除スケジュールの策定・消去証明書の発行・廃棄確認が不要 |
| 患者からの開示請求 | 対応が必要 開示請求への体制整備 |
対応範囲が限定的 開示請求窓口の常設・本人確認フローの運用・30日以内の回答管理が不要 |
患者直接識別情報を保存する
「メリット」
患者直接識別情報をサーバーに保存する設計には、以下のような利点があります。
ただし、これらのメリットを享受するには電子カルテと同等のセキュリティ基準を満たす必要があります。
患者氏名ですぐに検索ができる
患者氏名やIDでサーバー上のデータを直接検索でき、過去の視聴履歴やIC実施記録をすばやく参照できます。院内管理コードとの紐付け作業が不要です。
電子カルテとして活用できる
電子カルテシステムとデータ連携することで、IC記録を診療録に自動反映させることができます。ただし、連携には追加の契約・費用が発生するケースが多くあります。
メッセージ送信時に名前を入れられる
患者氏名をサーバーに保存しているため、リマインドやフォローアップのメッセージに患者名を差し込んで送信できます。よりパーソナルなコミュニケーションが可能です。
患者直接識別情報を保存した場合に
検討が必要な「7つの項目」
保存型を選択する場合に、医事課システム担当・院長が確認しておくべきポイントを整理しました。
委託先監督義務の発生
患者直接識別情報の取扱いをベンダーに委託した場合、病院は個人情報保護法第25条に基づき委託先に対する監督義務を負います。
具体的に求められること:
- 委託先のセキュリティ体制の定期的な実地監査
- 委託先との個人情報取扱契約の締結・更新管理
- 委託先の従業員教育状況の確認
- 再委託先がある場合は再委託先の監督も必要
- 問題発覚時に病院も行政指導・勧告の対象に
情報漏洩時の対応
医療情報の漏洩が発生した場合、病院は管理者として対応責任を負います。
確認しておくべきポイント:
- 医療情報漏洩時の損害賠償の可能性
- 要配慮個人情報(病歴)を含む場合の対応
- 社会的信頼への影響
- 2024年改正法による漏洩時の報告義務
3省2ガイドライン準拠コスト
医療情報を外部サーバーに保存する場合、厚生労働省・経済産業省・総務省のガイドラインに準拠したセキュリティ体制が求められます。
運用負荷の具体例:
- ISMS認証取得・維持費用(年間数百万円)
- 外部セキュリティ監査の定期実施
- アクセスログの保存・管理・分析
- システム管理者のセキュリティ研修の義務
- インシデント発生時の対応マニュアル整備
保存期間管理と廃棄義務
保存された患者直接識別情報には法定の保存期間があり、適切な時期に確実に廃棄する義務が発生します。
管理が必要な項目:
- 診療録は5年間の保存義務(医師法24条)
- 関連する情報も保存期間の個別管理が必要
- 廃棄時の完全消去の証明(消去証明書の取得)
- ベンダー側のバックアップデータの完全廃棄確認
- サービス解約時のデータ移行・廃棄手続き
院内稟議の長期化
患者直接識別情報を外部に預けるサービスの導入には、院内の複数部門による慎重な審議が必要になります。
稟議で求められること:
- 情報セキュリティ委員会での審議・承認
- 個人情報保護方針との整合性確認
- ベンダーのセキュリティ認証の確認
- 既存電子カルテとの連携リスクの評価
- 導入決定まで3〜6ヶ月かかるケースも
患者からの開示請求対応
患者直接識別情報をサーバーに保存している場合、患者本人からの開示請求に対応する義務が発生します。
対応に必要なリソース:
- 開示請求の受付体制の整備
- 本人確認手続きのマニュアル作成
- 保存データの検索・抽出・提供の仕組み
- 訂正・利用停止・削除請求への対応フロー
- 担当者の教育・人件費
ベンダーロックインのリスク
患者直接識別情報がベンダーのサーバーに蓄積されると、サービス変更が事実上困難になります。
ロックインの影響:
- 乗り換え時のデータ移行コストが甚大
- 移行期間中の運用二重化が必要
- ベンダーの価格交渉力が低下
- ベンダー側のサービス終了時のデータ喪失リスク
- 蓄積データにより解約のハードルが上がる
患者直接識別情報を保存しない
「5つのメリット」
患者直接識別情報を保存しない設計を選択した場合の、病院経営・運用上の利点です。
委託先監督義務の負担を軽減
患者直接識別情報を外部サーバーに預けない設計のため、個人情報保護法上の委託に伴う監督義務の範囲が限定されます。実地監査、契約管理、再委託先の管理といった管理業務を大幅に簡略化できます。
例えば、こんな業務が不要または簡略化:
- ベンダーへの年1回の立入監査の実施・報告書作成
- 個人情報取扱いに関する委託契約書の詳細交渉・毎年の更新管理
- 委託先の従業員教育状況や退職者のアクセス権削除の確認
- 再委託先がある場合の再委託先の管理体制調査
サーバー侵害時の情報漏えいリスクを大幅に低減
サーバーに患者直接識別情報が存在しないため、サーバー侵害時に患者氏名等が流出するリスクを大幅に低減できます。保存型サービスに比べ、漏洩時の損害賠償・行政報告等のリスクも抑えやすい構成です。
例えば、万一のサーバー侵害時でも:
- 患者への個別の漏洩通知文の作成・発送が不要(氏名が流出していないため)
- 個人情報保護委員会への詳細な漏洩報告書の提出が不要
- 記者会見や報道対応の準備が不要(患者個人を特定できる情報が漏れていないため)
- 数千万〜数億円規模の損害賠償リスクを回避
導入が迅速・稟議が容易
患者直接識別情報を外部サーバーに預けないため、情報セキュリティ委員会の審議や、リスクアセスメントの範囲を大幅に簡略化できます。一般的なWebサービス導入に近い手続きで完了します。
例えば、こんな手続きが不要または簡略化:
- 情報セキュリティ委員会での3〜6ヶ月にわたる審議
- 個人情報保護影響評価(PIA)の実施と報告書作成
- ベンダーのISMS認証やプライバシーマークの詳細な確認作業
- 患者データの外部保存に関する倫理委員会への諮問
運用コストを大幅に削減
セキュリティ監査費用、ISMS認証維持費、専任管理者の人件費、保存期間管理のシステム開発など、保存型で必要なコストの大部分を削減できます。従量課金のみのシンプルな料金体系です。
例えば、こんなコストが不要または大幅に削減:
- 外部監査法人への年次セキュリティ監査の発注(50〜200万円/年)
- 委託先管理の専任担当者の人件費(100〜300万円/年)
- 患者データ漏洩に備えたサイバー保険料(50〜200万円/年)
- 保存期間の管理・データ廃棄のためのシステム改修費
ベンダーロックインがない
サーバーにデータが蓄積されないため、サービスの変更・解約が自由です。ベンダーに主導権を握られることなく、常に対等な関係でサービスを利用できます。
例えば、こんな心配が不要:
- 乗り換え時の数百万円規模のデータ移行費用
- 移行期間中の新旧サービスの二重運用と二重コスト
- 解約時に「データを人質」にされ値上げに応じるしかない状況
- ベンダーのサービス終了時に患者データが消失するリスク
保存・非保存に関する
よくあるご質問
導入検討時によくいただくご質問にお答えします。
保存しないと、患者の視聴履歴が確認できないのでは?
ポケットICでは、NCDやJOANRなどの医療レジストリーと同様に、院内管理コード(加工ID)を用いて患者様の動画視聴状況・理解度テスト結果を管理しています。 医師は管理画面から各患者の視聴完了・理解度スコアをリアルタイムで確認可能です。 患者直接識別情報をサーバーに保存せずに、必要な機能をすべて提供できる設計となっています。
保存しないと、診療報酬の加算要件を満たせないのでは?
ポケットICは2026年度診療報酬改定に完全対応しています。 医師事務作業補助体制加算の施設基準では「動画説明ICTツールの利用」が求められますが、 患者直接識別情報のサーバー保存は加算要件に含まれていません。 動画の提供・視聴・理解度確認の仕組みがあれば要件を満たすことができ、ポケットICはこれらをすべて備えています。
保存型と非保存型、それぞれのメリットは?
保存型には以下のメリットがあります。
- 患者氏名ですぐに検索ができる
- 電子カルテとして活用できる
- メッセージ送信時に名前を入れられる
一方、病院側にも委託先監督義務やセキュリティ管理の責任が発生し、ベンダー側のセキュリティ水準を病院が継続的に確認する必要も生じます。
ポケットICの非保存型では、NCDやJOANRと同様の院内管理コード(加工ID)により、患者直接識別情報を保存せずに必要な機能を提供しています。 それぞれの設計にはメリットがありますので、貴院の運用方針に合わせてご検討ください。
電子カルテと連携できないと不便では?
動画ICサービスは、電子カルテとは独立したサービスとして運用するのが最も安全です。 電子カルテとの連携は、連携部分がセキュリティホールになるリスクがあり、 電子カルテベンダーとの追加契約・追加費用が発生するケースが大半です。
ポケットICはLINEで完結する設計のため、電子カルテの種類やバージョンに依存せず、 どの病院でもすぐに導入できます。
万が一、医療訴訟時にIC実施の証拠が必要では?
IC実施の記録は、従来通り電子カルテに記載するのが最も確実です。 外部サービスのサーバーに保存された記録は、改ざんの可能性を指摘される等、 法的証拠としての信頼性に疑問が残ります。
ポケットICでは、動画視聴完了・理解度テスト結果のレポートを出力できるため、 電子カルテに添付する形でIC実施の証拠を残すことが可能です。
LINEアプリを使いますが、患者データがLINE本体に送られることはありませんか?
ポケットICはLINEミニアプリ(LIFFアプリ)として動作しますが、患者様がアプリ内で入力したフォームデータや視聴履歴等がLINEのサーバーに送信されることはありません。
これらのデータはすべてポケットICのサーバーに直接送信されます。
ただし、LINEログイン時にはLINEのユーザーID等の認証情報がLINE側にも渡ります。これはLINEプラットフォーム上で動作するアプリ共通の仕組みです。
それぞれの立場から
見たポイント
経営面での比較ポイント
セキュリティ体制の整備、委託先管理、漏洩時の対応体制など、経営上の管理項目が増加します。
サーバー侵害時の患者直接識別情報流出リスクを低減でき、委託先監査・漏洩報告・サイバー保険といった管理項目が不要に。動画ICの効果(説明時間1/5削減)はそのまま享受できます。
運用面での比較ポイント
委託先監督、定期監査、保存期間管理、開示請求対応、ガイドライン準拠の書類整備など、管理業務が追加で発生します。
立入監査・保存期間管理・開示請求窓口の運用が不要に。情報セキュリティ委員会の長期審議も不要で、通常のWebサービス導入に近い手続きで開始できます。
保存型サービスの導入に伴い医療機関に求められる追加コストの概算
| コスト項目 | 保存型サービス | ポケットIC(非保存型) |
|---|---|---|
| セキュリティ監査費用 | 50〜200万円/年 | 外部監査の発注が不要 患者直接識別情報を預けないため |
| 委託先管理の人件費 | 100〜300万円/年 | 専任担当者の配置が不要 立入監査・契約更新管理が不要 |
| 開示請求対応体制 | 50〜100万円/年 | 専用窓口の設置が不要 患者直接識別情報が保存されていないため |
| 情報漏洩保険 | 50〜200万円/年 | 高額保険への加入が不要 氏名等の流出リスクがないため |
| HPKI費用(電子同意書) | 30〜100万円/年 | 電子署名カードの取得が不要 電子同意書の仕組みを使わないため |
| 合計(年間) | 280〜900万円 | 上記すべてが不要または大幅削減 |
※ 上記はシステム費用を除く、保存型サービス導入時に医療機関側で想定される人件費・外部委託費・保険料等の概算です。サービス自体の利用料は含まれていません。ポケットICの利用料は料金ページをご覧ください。
※ 一般的な中〜大規模病院における目安です。病院の規模やセキュリティ要件により変動します。
※ ポケットICは患者直接識別情報を外部サーバーに保存しない設計のため上記各項目の対応範囲が限定されますが、院内の運用体制やガイドライン対応が一切不要になるわけではありません。
ポケットICの設計思想
「保存しない」ことで実現する、シンプルで安全なアーキテクチャ
医師がQRコードを発行
管理画面から動画を選択し、QRコードを発行。
患者氏名やID等の患者直接識別情報は入力しません。
患者がLINEで動画視聴
QRコードを読み取り、LINE上で動画を視聴。
院内管理コード(加工ID)で識別され、患者直接識別情報は外部サーバーに送信されません。
理解度テスト結果を確認
動画視聴後のテスト結果を医師が確認。
院内管理コード(加工ID)による識別のため、サーバー上のデータのみでは患者個人を直接特定できない設計です。
サーバー保存情報に関する補足
ポケットICの外部サーバーには、院内管理コード(加工ID)に紐づく動画視聴履歴・理解度テスト回答結果・配信ログ等が保存されます。患者氏名・住所・生年月日・電話番号等の患者直接識別情報は保存されません。
院内管理コードと患者氏名の対応表は院内で管理されるため、院内端末のセキュリティ管理は引き続き医療機関側でご対応ください。
インフラレベルの
セキュリティ対策
ポケットICでは、患者直接識別情報を保存しない設計に加え、
インフラレベルでも多層的なセキュリティ対策を実施しています。
海外からのアクセスを全遮断
日本国内からのアクセスのみを許可し、海外からのアクセスをすべてブロックしています。医療情報を狙った海外からの不正アクセスや攻撃を入口で遮断し、サービス全体の安全性を確保します。
具体的な対策内容:
- AWS WAFの地理的制限(Geo Blocking)により日本国外からのリクエストを拒否
- 海外IPアドレスからの管理画面・APIへのアクセスを完全に遮断
- 海外からのボットやクローラーによるスキャン行為も自動的にブロック
AWS WAF(Web Application Firewall)
AWSが提供するマネージド型WAFを導入し、Webアプリケーション層の脅威をリアルタイムで検知・遮断しています。
SQLインジェクション防御
データベースを狙った不正なSQL文の挿入攻撃を自動検知・ブロック。AWS マネージドルールにより、既知の攻撃パターンを網羅的に防御します。
クロスサイトスクリプティング(XSS)防御
悪意のあるスクリプトの埋め込みを検知し自動的にブロック。ユーザーのブラウザ上での不正な操作やデータ窃取を未然に防ぎます。
レートリミット(リクエスト制限)
短時間に大量のリクエストを送信するDDoS攻撃やブルートフォース攻撃を自動的に検知・制限。サービスの安定稼働を維持します。
Bot制御・IP レピュテーション
悪意のあるBotや既知の不正IPアドレスからのアクセスを自動でブロック。AWSの脅威インテリジェンスを活用し、リアルタイムで更新される脅威リストに基づいて防御します。
既知の脆弱性攻撃の防御
OWASP Top 10に含まれる主要な脆弱性攻撃パターンに対応。AWSマネージドルールにより、新たな脅威にも迅速に対応し、常に最新の防御体制を維持します。
患者直接識別情報を預けない、
安全な動画ICを。
委託先監査・漏洩報告・サイバー保険・開示請求窓口 — すべて不要。
まずは1ヶ月、無料でお試しください。