保険医療分野でのPマークの注意点
病院や診療所、薬局、医療系システム提供会社、健康保険組合関連、介護サービスなどの保険医療分野の事業者もPマークを取得することができます。ただし、保険医療分野の事業者が注意すべき点がいくつかあります。まず、保険・医療分野の事業者で個人情報を一定の基準以上取り扱っている場合は、専門の審査機関で審査を受ける必要があります。医療系のPマークの審査機関は「MEDIS-DC」という機関になります。基本的にはこの審査機関でなければ審査は受けられません。
MEDIS-DCでの審査について
病院など明確に医療機関の事業者はわかりやすいですが、介護関連や医療系の事業をおこなっている会社の場合は自社がMEDIS-DCで審査を受けるべきなのか悩むと思います。ここで基準となっているのが、「自社で取り扱っている個人情報の中で機微な個人情報の比率が50%以上」となります。機微な個人情報とは病歴や診断書情報などになりますが、これらを多少取り扱っていても、事業者全体で見ると低い割合である場合はMEDIS-DCの審査でなくてもよい場合もあります。原則は上記基準ですが、直接審査機関かコンサル会社に確認してみるとよいでしょう。
MEDIS-DCは他の審査機関と比較して一般的に厳しいと言われています。それは他の業種に比べて漏えいすると影響の大きい個人情報を扱っているためです。医療系の情報などをあつかうシステム等を利用している場合、そのシステムは他のネットワークから切り離されていなければならないなどの要求もあります。非常に重要な情報であるため、何かあった場合でも被害を最小限に留めるためです。その他にも記録類の書き方や申請方法にも細かい制限があります。事故発生時の対応などについても通常の事業者に比べて非常に厳しいです。
ここまではMEDIS-DCでPマークを取得するのが厳しいことばかりを記載してきましたが、厳しい審査を避けるためMEDIS-DCでない審査機関で審査を受けられるよう、取り扱っている個人情報を虚偽報告して他審査機関で審査を受けさせるコンサル会社もいるようです。また、ノウハウだけでなく工数もかかるためMEDIS-DCでの審査はコンサルティングしてくれないコンサル会社もあります。もしあなたの会社が保険・医療・介護関連の業務をおこなっているのであれば、当然情報が漏えいした際のユーザーへの影響は甚大です。原則としてはMEDIS-DCでの審査を受けるようにしましょう。