LASSIC Media らしくメディア

2026.06.19 らしくコラム

医療分野のシステム開発を外注する費用と進め方|規制・個人情報対応で押さえる要件と委託先の選び方

LASSIC IT事業部|元請(プライムベンダー)としてシステム保守・運用を受託

医療システムの画面

この記事のポイント

  • 医療システム開発の外注には、厚生労働省ガイドライン(第6.0版)・3省2ガイドライン・個人情報保護法など一般業種とは異なる規制対応が必要です。
  • 費用は開発規模・セキュリティ要件・法規制対応の複雑さによって大きく変わります。事前要件定義の精度が総コストを左右します。
  • 委託先選定では、ガイドライン準拠の実績・安全管理体制・再委託管理の透明性を重点確認することが、リスクを抑えるうえで大切です。

目次

医療システム外注の特殊性 — 規制と個人情報が一般業種と異なる理由

医療データの管理

医療分野のシステム開発外注とは、電子カルテ・診療支援・医療請求・患者管理など、医療業務を支えるシステムの設計・開発・運用を外部のIT企業に委託する形態です。一般業種との中心的な違いは、委託先の選定から契約・運用にいたるすべての段階で、複数の法令・ガイドラインへの準拠が求められる点にあります。

医療機関は患者の病歴・診療記録・調剤情報など「要配慮個人情報」(個人情報保護法第2条第3項)を大量に取り扱います。このため、個人情報保護法の通常の義務に加え、厚生労働省・経済産業省・総務省が定めるガイドラインへの対応が実務上不可欠です。規制の把握を曖昧なまま外注すると、情報漏えい・行政処分・システム停止という深刻なリスクを招きます。

医療機関 厚労省GL第6.0版 要配慮個人情報 医療機器プログラム 次世代医療基盤法 委託契約・RFP 安全管理要件明記 開発会社(受託) 3省2GL第2.0版対応 個人情報取扱規程 再委託管理 セキュリティ監査
図1:医療システム外注の規制対応マップ(医療機関⇔委託契約⇔開発会社)

3省2ガイドラインと厚生労働省ガイドライン第6.0版の位置づけ

「3省2ガイドライン」とは、厚生労働省・経済産業省・総務省の三省庁が医療情報の安全管理を目的に整備したガイドライン群の通称です。現行では2つのガイドラインで構成されています。

1つ目は、厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」(令和5年5月公表)です*1。医療機関等を対象に、経営管理・企画管理・システム運用の3編にわたって情報システムの安全管理を定めています。外注先を選定する際も、このガイドラインが定める体制・手順を委託先が理解・実装できるかどうかを確認することが求められます。

2つ目は、経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン 第2.0版」(令和7年3月28日公表)です*2。開発・運用を受託するベンダー側が遵守すべき安全管理基準を定めており、サービス仕様適合開示書やSLA参考例も整備されました。委託先選定のRFPにこの基準への準拠を明示することが実務上の標準となっています。

要配慮個人情報に該当する医療情報と取り扱い義務

個人情報保護法は、病歴・診療情報・調剤情報・健康診断結果などを「要配慮個人情報」と定めています。個人情報保護委員会「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」(令和8年4月一部改正)によれば*3、要配慮個人情報の取得や第三者提供には原則として本人の事前同意が必要です。オプトアウトによる第三者提供は認められていません。

システム開発を外注する場合、開発会社が要配慮個人情報を含む個人データにアクセスする場面が生じます。この場合、医療機関は開発会社との委託契約において個人情報の取り扱い方法・安全管理措置・監督義務を明確化する必要があります。情報漏えいが発生した際には、個人情報保護委員会への報告と本人への通知も義務となります。

外注費用の目安と費用を左右する医療固有の要因

医療システム開発の外注費用は、システムの種別・規模・セキュリティ要件・法規制対応の複雑さによって大きく変わります。以下に示す費用レンジは市場参考値であり、一次資料に基づく公的データではありません。実際の発注前には複数社への見積もり取得を推奨します。

規模別・システム種別の費用レンジ(市場参考値)

システム種別 規模感 参考費用レンジ(市場参考値) 医療固有の追加要件
患者予約・受付管理 小〜中規模クリニック 150万〜400万円程度 個人情報保護対応、アクセスログ管理
電子カルテ連携・API開発 中規模病院 400万〜1,500万円程度 HL7 FHIR対応、厚労省GL準拠の安全管理
診療支援・AI診断補助 中〜大規模病院 1,000万〜数千万円程度 医療機器プログラム(SaMD)該当性確認、薬事承認
病院基幹システム刷新 大規模病院・病院グループ 数千万〜数億円規模 3省2ガイドライン全項目対応、BCPを含む可用性設計

上記はあくまでも市場で参照される目安であり、要件・ベンダー・開発手法によって実際の費用は大きく変動します。法規制対応のコストが医療分野では特に高くなる傾向があります。

セキュリティ・法規制対応がコストを押し上げる3つの要因

医療システムの外注費用が一般業種より高くなりやすいのには、次の3つの要因があります。

第一に、安全管理体制の構築コストです。厚生労働省ガイドライン第6.0版はシステム運用における詳細な管理策を求めており、対応ドキュメントの整備・従業員教育・定期的な監査が必要です。これらを委託先が実施するコストは開発費に反映されます。

第二に、個人情報保護対応のシステム設計コストです。要配慮個人情報を扱うシステムには、アクセス制御・ログ管理・暗号化・漏えい時の通知フローを設計段階から組み込む必要があります。後付けで追加する場合は改修コストがさらに膨らみます。

第三に、医療機器プログラム(SaMD)該当性の確認とその対応コストです。診断支援・治療計画などの機能を持つソフトウェアは、薬機法(医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律)上の「医療機器プログラム(SaMD:Software as a Medical Device)」に該当する可能性があり、その場合は薬事承認・届出・品質管理システム(QMS省令)への対応が必要となり、開発コストと期間が大幅に増加します。

外注先に確認すべき医療情報安全管理の要件

委託先の選定段階で、医療情報の安全管理に関する具体的な体制・実績を確認することが重要です。ガイドライン名を知っているだけのベンダーと、実際に準拠体制を整備・運用しているベンダーでは、プロジェクトのリスク水準が大きく異なります。

第6.0版ガイドラインが求めるシステム運用体制の確認ポイント

厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」(令和5年5月)*1は、医療機関が外部に委託する際に求めるべき管理策を複数の編にわたって定めています。委託先に対して確認すべき主なポイントは以下の通りです。

  • 情報セキュリティ責任者の設置と役割分担の明確化
  • 医療情報を取り扱う従業者への教育・訓練の実施状況
  • 不正アクセス・マルウェア対策の具体的な実施内容
  • 医療情報システムのバックアップ・復元体制(BCP対応)
  • インシデント発生時の報告・対応フローの整備状況

特に、ランサムウェアを含むサイバー攻撃による医療機関の診療停止事例が国内で複数報告されています。委託先のセキュリティ対策の実効性を、第三者機関による監査結果や認証(ISMS等)で確認することが望まれます。

3省2ガイドライン第2.0版でベンダーに求められる安全管理

経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン 第2.0版」(令和7年3月28日公表)*2は、開発・運用を受託するベンダーが整備すべき安全管理基準を定めています。第1.1版からの主な改定ポイントとして、医療機関とベンダー間での取り決め(SLA・サービス仕様適合開示書)の重要性が強調されました。

委託契約の締結前に、ベンダーがこのガイドラインに定める「サービス仕様適合開示書」を提出できるかを確認することが有効です。開示書には、提供サービスが安全管理基準のどの項目に準拠しているか、あるいは未対応項目とその代替措置が記載されます。これにより、委託者側の医療機関もリスクの所在を事前に把握できます。

確認項目 厚生労働省GL第6.0版(医療機関向け) 3省2GL第2.0版(ベンダー向け)
主な対象 病院・診療所・薬局等の医療機関 システム・サービスを提供するITベンダー
主な内容 経営管理・企画管理・システム運用の安全管理策 サービス提供における安全管理基準・SLA・開示書
委託先への確認方法 RFPに準拠確認を明記・監査権の確保 サービス仕様適合開示書の提出を要求
最新版公表 令和5年5月(第6.0版) 令和7年3月(第2.0版)

外注の進め方 — 要件定義から委託先選定・契約まで

医療システム開発の外注を成功させるには、規制要件の把握を起点に据えた進め方が必要です。医療固有のリスクを後から解消しようとすると、改修コストと工期が膨らみます。以下では、実務的なステップを整理します。

医療機器プログラム(SaMD)該当性の事前確認

開発しようとするシステムが薬機法上の「医療機器プログラム(SaMD)」に該当するかどうかを、最初に確認することが大切です。診断補助・治療計画・画像解析など医療行為を直接支援する機能を持つソフトウェアは、SaMDに該当する可能性があります。

SaMDに該当する場合、製造販売業の許可・製品の承認または認証・QMS(品質マネジメントシステム)省令への適合が必要となり、開発プロセスと要件定義の内容が根本的に変わります。医薬品医療機器総合機構(PMDA)に薬事相談を行い、早期に該当性を確認することで、後工程でのコスト増・工期遅延を防ぐことができます。

RFP作成と委託先選定基準

提案依頼書(RFP:Request for Proposal)には、医療情報安全管理に関する要件を明文化することが重要です。具体的には次の内容を盛り込むことが望まれます。

  • 厚生労働省ガイドライン第6.0版および3省2ガイドライン第2.0版への対応方針
  • 要配慮個人情報の取り扱いに関する具体的な安全管理措置
  • インシデント発生時の連絡・対応フローと報告義務の範囲
  • 再委託先の管理方針(再委託の承認基準・監督責任の所在)
  • 開発・運用期間中のセキュリティ監査・脆弱性診断の実施計画

委託先の選定基準としては、医療システム開発の実績件数・ガイドライン準拠の証跡(第三者認証・開示書)・自社内に医療情報セキュリティの専門知識を持つ人材がいるかどうかを重点的に確認することが大切です。「医療分野の実績がある」という表明だけでは不十分で、具体的な対応体制を書面で確認する姿勢が求められます。

契約・秘密保持・再委託管理

委託契約には、個人情報保護法の委託者・受託者間の義務を反映した条項が必要です。個人情報保護法第25条(旧第22条)は、委託者が受託者に対して必要かつ適切な監督を行う義務を定めています。契約上は少なくとも以下を明確にすることが求められます。

  • 取り扱う個人データの範囲と利用目的の制限
  • 安全管理措置の具体的な内容と委託者の監査権
  • 再委託の可否・再委託先の承認手続きと監督義務
  • 漏えい等インシデント発生時の即時報告義務と連絡先
  • 契約終了時の情報返却または廃棄の方法・証明義務

再委託の管理は特に重要です。開発会社がさらに別の会社にシステム開発の一部を再委託する場合、最終的な安全管理の責任は医療機関(委託者)が負います。再委託先のガイドライン準拠状況まで確認できる体制を整えることが、情報漏えいリスクを低減させるうえで大切です。

まとめ:医療システム開発外注を成功させる3つの判断軸

本稿では、医療システム開発外注に特有の規制・費用・進め方を整理しました。要点を3つに集約すると次の通りです。

第一に、規制の把握が先です。厚生労働省ガイドライン第6.0版・3省2ガイドライン第2.0版・個人情報保護法(要配慮個人情報)・医療機器プログラム該当性の確認を、開発着手前に行うことが不可欠です。規制対応の不備を後から修正すると、費用と工期が大幅に膨らみます。

第二に、委託先の安全管理体制を書面で確認することです。3省2ガイドライン第2.0版に基づく「サービス仕様適合開示書」の提出を求め、ガイドライン準拠の実態を具体的に把握することが、パートナー選定のリスクを下げます。

第三に、契約段階で再委託管理・監査権・インシデント報告義務を明文化することです。医療情報の漏えいは患者への重大な不利益と医療機関への行政処分に直結します。契約書でのリスク分担の明確化が、長期的なシステム運用の安定につながります。

よくある質問

医療システム開発を外注する場合、厚生労働省のガイドラインへの対応は医療機関と開発会社どちらの責任ですか?

最終的な安全管理の責任は医療機関にあります。厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」(令和5年5月)は医療機関を主な対象とし、外部委託時も委託者(医療機関)が受託者の安全管理を監督する義務を負います*1。一方、開発会社側は経済産業省・総務省の3省2ガイドライン第2.0版(令和7年3月)に基づく安全管理義務を負います*2。委託契約で双方の責任範囲を明確化することが大切です。

医療システムの開発費用を抑えるために有効な方法はありますか?

要件定義の精度を高めることが、費用を抑えるうえで最も効果的です。後工程での仕様変更は開発コストを大幅に増加させます。また、医療機器プログラム(SaMD)の該当性を早期に確認しておくことで、薬事対応にかかる追加費用の発生を防ぐことができます。セキュリティ対応については、後付けでなく設計段階から組み込む「セキュリティ・バイ・デザイン」の考え方が、長期的なコスト低減につながります。

医療システム開発の外注先が再委託を行う場合、医療機関は何を確認すればよいですか?

委託契約に再委託の承認手続きと再委託先への安全管理義務の適用を明記することが重要です。個人情報保護法のもとでは、再委託先を含めた安全管理の監督責任は医療機関(委託者)が負います。RFP段階で「再委託を行う場合は事前承認を要す」と明示し、再委託先のガイドライン準拠状況の開示を求める条項を盛り込むことで、リスクを管理することができます。

電子カルテシステムの開発を外注する際に、特に注意すべき規制はありますか?

電子カルテシステムは要配慮個人情報(病歴・診療情報)を大量に扱うため、個人情報保護法上の安全管理措置が必須です。個人情報保護委員会「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」(令和8年4月一部改正)が具体的な取り扱い基準を定めています*3。また、厚生労働省ガイドライン第6.0版が定めるアクセス制御・ログ管理・バックアップ体制を委託先が実装できるかどうかの確認も重要です。

医療システム開発の外注先の選定に要する期間はどのくらいですか?

RFP作成から委託先確定までの期間は、医療機関の規模やシステムの複雑さによって変わります。一般的には、要件定義・RFP作成・提案受領・選定評価・契約交渉の各ステップを丁寧に行うと、数か月以上の期間を見込むことが現実的です。医療情報安全管理の要件確認や医療機器プログラム該当性の確認を並行して進めることで、全体の工期を圧縮することができます。計画段階から専門知識を持つパートナーと連携することが、スムーズな選定につながります。

著者:テレリモ総研編集部 鈴木 亮佑

LASSICに相談するメリット

LASSICは元請(プライムベンダー)として医療・ヘルスケア分野を含む多様な業種のシステム開発・運用保守を受託してきた実績を持ちます。厚生労働省ガイドラインおよび3省2ガイドラインを踏まえた安全管理要件の整理から、RFP作成支援・委託先選定サポートまで、医療情報の取り扱い規制に精通した体制でご支援します。

ITアウトソーシング・システム開発のご相談はLASSICへ

元請(プライムベンダー)として、貴社の課題に合わせた体制構築・開発支援をご提案します。まずはお気軽にご相談ください。

無料相談はこちら

ご不明な点はお問い合わせフォームからもご連絡いただけます。

  1. *1 出典:厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」(令和5年5月)
  2. *2 出典:総務省・経済産業省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン 第2.0版」(令和7年3月28日)
  3. *3 出典:個人情報保護委員会・厚生労働省「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」(令和8年4月一部改正)

LINEで送る

こちらの記事もおすすめ

Firebase連携アプリ開発の費用相場と料金の仕組みを解説

2026.06.18
らしくコラム

iOS/Android両対応アプリ開発費用の比較|クロスプラットフォーム選定ガイド

2026.06.18
らしくコラム

大手SIerの下請け運用で消耗していませんか?運用保守専門企業への乗り換えでコストと品質を両立させる方法

2025.09.05
らしくコラム

スマホアプリ運用代行の費用相場|月額の内訳と外注の進め方

2026.06.18
らしくコラム

バックナンバー

開発外注
基幹システム
導入支援
Category
Home/らしくメディア/らしくコラム/医療分野のシステム開発を外注する費用と進め方|規制・個人情報対応で押さえる要件と委託先の選び方
View