労働・HR

医療NDA(秘密保持契約書)

医療機関向けのNDA(秘密保持契約書)テンプレートを無料DL。カルテ・診療記録・要配慮個人情報・治験情報の保護条項に完全対応。個人情報保護法・医師法・刑法134条準拠・業務委託先(清掃/警備/IT/翻訳)対応条項完備。

最終更新: 2026年5月12日 Word 会員登録不要・無料
2026年5月11日 時点の情報
個人情報保護委員会 医療・介護関係事業者ガイドライン
Download 全て無料・会員登録不要・即ダウンロード

テンプレート(空欄・編集可能)

Word(医療NDA・5年存続条項) 会員登録不要・即DL
医療NDA(秘密保持契約書)テンプレートのプレビュー
カルテ・要配慮個人情報の保護条項・業務委託先向け条項完備

医療NDA特有の3要素

医療機関向けNDAは、一般企業向けNDAと比較して3つの特殊性を持ちます。これらを契約書に明示しないと、患者個人情報の漏洩・カルテの不正コピー・治験データの流出といった重大インシデントで医療機関側に過失が認定され、巨額の損害賠償と刑事責任に発展する恐れがあります。

カルテ・診療記録の秘密保持

カルテ・処方箋・看護記録・検査結果・画像データ(CT/MRI/X線)は要配慮個人情報(個人情報保護法2条3項)として通常の個人情報より厳格な取り扱いが要求されます。NDA上は「診療情報全般(電子カルテ・紙カルテ・口頭での申し送り内容を含む)」と明示列挙し、業務委託先(医療事務・清掃・警備・電子カルテ保守業者・翻訳業者)にも同等の守秘義務を課す必要があります。

患者個人情報(要配慮個人情報)

患者の病歴・診断結果・治療履歴・服薬歴・遺伝情報等は要配慮個人情報に該当し、本人同意なき第三者提供は個人情報保護法第27条で原則禁止(緊急時・公衆衛生上必要な場合等の例外あり)です。NDAでは「患者個人情報の社外持ち出し禁止」「業務終了後の即時返還・削除」「アクセスログ取得義務」を必須条項として規定します。

医療従事者の守秘義務(法令上の義務)

医師・歯科医師(医師法第19条の2・刑法134条)、看護師・助産師(保助看法第42条の2)、薬剤師(薬剤師法第8条の2)等には法令上の守秘義務があり、違反は刑事罰の対象です。NDAは法令上の義務に加えて、業務委託先(事務職・IT保守・清掃等)に法令と同等の守秘義務を契約として課す役割を持ちます。

守るべき情報の範囲(医療法・刑法)

NDA上の「秘密情報」は限定列挙または例示列挙+包括条項のいずれかで規定します。医療業界では下記7カテゴリーを必ず含めるべきです:

  1. カルテ・診療記録(電子・紙・画像・音声)
  2. 患者個人情報(氏名・住所・連絡先・保険情報)
  3. 診療予約情報(日時・科目・主治医)
  4. 処方箋・服薬情報
  5. 検査結果・画像データ(CT/MRI/X線・心電図)
  6. 治験データ・研究情報(プロトコール・症例報告書)
  7. 院内システム情報(電子カルテID・パスワード・ネットワーク構成)

法令上の守秘義務(医師法・刑法134条等)

下記の医療従事者には法令上の守秘義務があり、違反すると刑事罰が科されます。NDAはこれらと並行して契約上の追加義務を課す仕組みです。

  • 医師・歯科医師:刑法134条(6月以下の懲役又は10万円以下の罰金)
  • 薬剤師:刑法134条
  • 看護師・助産師:保助看法第42条の2(6月以下の懲役又は10万円以下の罰金)
  • 診療放射線技師:診療放射線技師法第29条
  • 臨床検査技師:臨床検査技師等に関する法律第19条
  • 理学療法士・作業療法士:理学療法士及び作業療法士法第16条

個人情報保護法・要配慮個人情報の特例

2022年4月施行の改正個人情報保護法では、医療機関に対する規制が大幅に強化されました:

  • 漏洩時の本人通知義務(個情法第26条):要配慮個人情報の漏洩は本人通知が義務化
  • 個人情報保護委員会への報告義務:1,000人超または要配慮個人情報の漏洩で報告必須(速報3〜5日・確報30日以内)
  • 越境データ移転規制(個情法第28条):海外クラウドサービス利用時の事前同意
  • 個人関連情報の規制(個情法第31条):閲覧履歴・位置情報の第三者提供制限
個人情報保護委員会 医療・介護関係事業者ガイドライン

医療機関と業務委託先(清掃/警備/IT/翻訳)のNDA

個人情報保護法では「委託先の監督義務」(個情法第25条)が病院側に課されています。下記の業務委託先とは必ずNDAを締結し、定期的な監査を実施してください。

  • 医療事務代行:レセプト処理・診療報酬請求
  • 清掃・警備:診察室・カルテ庫への立ち入り
  • 電子カルテ保守:リモートアクセスによるシステム保守
  • 翻訳・通訳:外国人患者対応
  • シュレッダー・廃棄物処理:カルテ廃棄時の流出リスク
  • 給食・配膳:患者情報(病室番号・氏名・食事制限)への接触

違反時のペナルティ・刑事責任

医療NDA違反は民事責任(損害賠償)と刑事責任が同時に成立し得るのが特徴です。下記の刑事罰が並行適用される可能性があります。

  • 刑法134条:医師等の秘密漏示罪(6月以下の懲役又は10万円以下の罰金)
  • 個人情報保護法第179条:1年以下の懲役又は50万円以下の罰金
  • 不正競争防止法第21条:営業秘密侵害(10年以下の懲役又は2,000万円以下の罰金)
  • 民事損害賠償:1人あたり3〜5万円が判例の目安・1,000人規模では3,000万円〜5,000万円

NG/OK比較

項目❌ NG例✅ OK例
秘密情報の定義「業務上知り得た情報全般」「カルテ・診療記録・患者個人情報・治験データ・院内システム情報等を列挙」
存続期間「契約終了後1年間」「契約終了後5年間(カルテは個情法上の保管期間まで)」
業務委託先への適用記載なし「業務委託先従業員にも法令と同等の守秘義務を負わせる」
違反時ペナルティ「民事損害賠償のみ」「民事・刑事責任の両方を明示・違約金100万円〜」
退職時返還記載なし「退職時に貸与PC・USB・関連資料・アクセス権を返還/削除証明書提出」

医療情報漏洩・NDA違反対応に強い弁護士

PR

カルテ・患者個人情報の漏洩は、個人情報保護法・刑法134条・医療法と複合的に責任が問われます。医療系紛争に強い弁護士に 無料相談 可能。

  • 初回相談無料・全国対応
  • 医療事故・個人情報漏洩対応の専門弁護士
  • 損害賠償請求・刑事告訴対応の実績多数
無料相談はこちら
カルテはNDAの「秘密情報」だけでなく法律上も守秘義務がありますか?
はい、二重三重の守秘義務がかかります。①医師法第19条の2(医師の守秘義務)・刑法134条(医師の秘密漏示罪・6月以下の懲役又は10万円以下の罰金)、②保健師助産師看護師法第42条の2(看護師の守秘義務)、③個人情報保護法(カルテは「要配慮個人情報」として2条3項で特別保護)、④医療法第6条の8(病院の管理上の守秘義務)が同時に適用されます。NDAは契約上の追加義務として位置付けられ、業務委託先(事務職・清掃・IT・検査)にも法令と同等の守秘義務を負わせる役割を持ちます。
電子カルテベンダーとのNDAで気をつけるべき条項は?
①データ閲覧範囲の明確化、②サポート時のリモートアクセス手順、③障害時のログ取得・保存、④第三者保守委託の事前承諾、⑤データ削除証明書発行義務の5点が必須です。電子カルテベンダー(富士通HOPE/NEC MegaOakIBARS/SoftWay HOPE EGMAIN-GX等)はリモート保守でカルテにアクセスする可能性があり、個人情報保護委員会のガイドラインでは「委託先の監督義務」が病院側に課されています。委託先従業員リストの提出義務・退職時のアカウント停止確認も契約に盛り込んでください。
看護学生の実習受け入れ時にNDAは必要ですか?
必要です。看護学生は医療従事者ではないため、法令上の守秘義務(保助看法第42条の2)の対象外です。学校との実習契約書本体に守秘義務条項を入れるか、別紙NDAを締結する必要があります。「実習期間中・終了後も患者情報を口外しない」「SNS・友人への話題化禁止」「写真・録音禁止」を明示的に規定してください。違反時のペナルティは民事責任のみとなる場合が多いため、教育プログラムの一環としてプライバシー研修を必須化するのが実務です。
治験データ・医薬品試験データの秘密保持期間は?
原則として治験終了後5〜10年間または承認申請完了までです。治験データはGCP省令(医薬品の臨床試験の実施の基準)で記録保存期間が定められており、製造販売後調査期間も含めて長期保存が必要です。NDAでは「治験プロトコール・症例報告書・原資料・モニタリング報告書」を秘密情報として明示し、製薬会社(治験依頼者)と医療機関(治験実施医療機関)の間で双務性のあるNDAを締結します。被験者個人情報は厚労省「医学系研究倫理指針」に基づく管理が並行します。
カルテ閲覧履歴のアクセスログはNDA対象ですか?
はい、アクセスログ自体も秘密情報として保護対象に含めるべきです。アクセスログには「誰が・いつ・どの患者のカルテを閲覧したか」が記録されており、外部に流出すれば医療従事者の業務パターン・治療傾向・個人特定が可能になります。電子カルテシステムのアクセスログは病院の業務情報として、NDAの秘密情報範囲に明示的に含めてください。アクセスログ自体の改ざん・削除を禁ずる条項も併せて規定するのが望ましいです。
医療通訳・翻訳業者とのNDAで特殊なポイントは?
①通訳セッションの録音禁止、②翻訳原稿・対訳ファイルの保存期間限定、③通訳者の身分証明書提示義務、④医療用語辞書の社内利用範囲制限です。外国人患者対応で通訳・翻訳業者を利用する場合、通訳者は患者の病状・既往歴・家族構成等の機微情報に接します。日本医師会「外国人患者受入れ医療機関認証制度(JMIP)」のガイドラインでは通訳者の守秘義務契約が要件となっています。通訳業者経由の派遣の場合、業者と病院・通訳者個人と病院の二段階のNDAが推奨されます。
退職時に医療従事者から情報を返還させる条項は有効ですか?
有効ですが、合理的範囲に限定する必要があります。退職時の返還対象は①病院から貸与された業務用PC・USB・スマホ、②持ち出し許可された資料の写し、③個人メモ(業務として作成したもの)に限定し、「自宅PCに保存されている全データ」のような不特定包括的な返還要求は職業選択の自由・プライバシー権の観点で問題があります。学会発表用データ・教育目的の症例集(匿名化済み)は別途事前申請制で取扱う旨を明示するのが実務です。
医療機関同士の症例検討会(カンファレンス)でNDAは必要?
診療連携協定の中で守秘義務を規定するか、別途NDAを締結するのが望ましいです。複数医療機関(紹介元-紹介先・遠隔診断連携・地域包括ケアシステム参加機関)の間で症例検討を行う場合、患者の同意取得(個人情報保護法第23条第三者提供)に加え、参加医療機関相互の守秘義務契約が必要です。日本医師会「医療情報の電子化に関する協定書ひな型」等の標準書式を参考に、診療連携協定の付属書として位置付けるのが実務的です。
研究目的での匿名化データ提供時のNDAは?
「個人情報の保護に関する法律についてのガイドライン(医療・介護関係事業者編)」に基づく契約が必須です。匿名加工情報(連結不可能匿名化)であっても、提供先での再識別化防止義務・利用目的限定・第三者再提供禁止・廃棄証明を契約に盛り込みます。学術研究目的でも、医学系研究倫理指針(文科省・厚労省共同指針)の遵守確認・倫理審査委員会承認の提示・研究計画書の提出を NDAと連動して要求するのが実務です。AMED・JSPS等の公的研究費を使う研究では、データ管理計画(DMP)の提出も追加要件となります。
違反時の刑事罰は?
医療業界のNDA違反は民事責任に加え、複数の刑事罰が同時適用される可能性があります。①刑法134条(医師等の秘密漏示罪・6月以下の懲役又は10万円以下の罰金)、②個人情報保護法第179条(個人情報データベース等不正提供・1年以下の懲役又は50万円以下の罰金)、③不正競争防止法第21条(営業秘密侵害・10年以下の懲役又は2,000万円以下の罰金)。海外患者情報の漏洩は GDPR の制裁金(最大2,000万ユーロまたは年間売上高4%)も対象になり得ます。NDA違反は契約解除・損害賠償請求だけでなく、刑事告訴のリスクを認識して扱うべきです。
医療機関の合併・M&A時のNDAは?
合併検討段階で「相互NDA(双務型)」を締結するのが標準実務です。デューデリジェンス(DD)でカルテシステム・診療実績・財務情報・職員情報・経営計画書等が相互開示されるため、開示先従業員リストの限定・DDアドバイザー(弁護士・会計士・コンサル)への再開示制限・破談時の情報返還・データ削除証明を明示します。患者個人情報はDDの対象から除外し、職員数・診療科目構成・売上高等の集計レベルに留めるのが個人情報保護法上の安全策です。

参考文献・出典

本ページの内容は以下の公的情報源に基づき作成しています(2026-05-12 確認時点)。