・Certified Information Systems Auditor
・ISACA 認定

医療機関等と
の共通理解を
形成するため
に情報提供す
べき項目

医療機関等との役割分担の明
確化（4.2 参照）

医療情報を保存する情報機器が設置されてい
る場所(地域、国)
受託事業者に対する国外法の適用可能性
医療機関等の運用管理規程に定める必要があ
る事項

医療情報システム等の安全管
理に係る評価（4.3 参照）

医療情報システム等の安全管理に係る評価の
結果

リスクアセスメントの成果物
（5.1.1、5.2.1 参照）

医療情報システム等の全体構成図

リスク対応の成果物
（5.1.5、5.2.2 参照）

リスク対応一覧

運用管理規程に含める事項
（5.1.6 参照）

医療情報システム等の安全管理に係る基本方
針
医療情報システム等の提供に係る体制
契約書・マニュアル等の文書の管理方法
機器等を用いる場合の機器等の管理責任の所
在・管理方法
リスク対応策の運用方法
事故発生時の対応方法及び医療機関等への報
告方法
医療情報を格納する記憶媒体等の管理方法
医療機関等の危機管理対応時の受託事業者に
おける体制・対応内容
医療情報の外部保存に係る患者等への説明方
法
医療情報システム等に対する監査の実施方針
医療機関等の管理者からの問い合わせ窓口
制度上の要求事項への対応

制度上の要求事項への対応の
成果物（第 6 章参照）

4.2.

医療機関等との役割分担の明確化

医療情報システム等の安全管理には、対象事業者と医療機関等の双方における適切な運
用管理を行うこと。例えば、医療情報システム等が堅牢なアクセス制御機能を持っていた
としても、医療機関側の利用者がパスワードを利用端末に貼っていたり、アカウントを複
数で共有していたりすれば、医療情報を守ることはできない。
したがって、対象事業者は、合意形成にあたり、医療機関等における運用管理も踏まえ
た形で、役割分担を定めること。具体的には、4.1 で示した医療機関等の運用管理規程に定
める必要がある事項として、医療機関等へ対応を求める内容を含めること。

22