⑤ 小型半導体メモリやクラウド上のストレージサービスの利用における考慮事項
記憶媒体のうち、小型で記憶容量が大きい小型半導体メモリは、衣服等のわずかな隙間
にも隠すことができるため、不正な情報の持ち出しを企図するものにとっても有益なもの
といえる。対象事業者は、原則として医療情報を格納する記憶媒体として小型半導体メモ
リの使用を行うことができないよう配慮することが望ましい。また、最近はクラウド上の
サービスで容易に外部にデータを保存したり、送付することができるものも多くみられる。
このようなサービスについては、許可したもの以外はサービスへのアクセス制限を講じる、
重要なデータについては外部に転送できないよう、ネットワークの分離を図るなどに配慮
することなども求められる。

⑥ 事業継続計画の策定における考慮事項
事業継続計画の策定において、医療機関等が想定する医療の継続性の観点を入れて計画
を策定すること。また、対象事業者は、「災害等によりシステムが停止した場合」だけで
なく、システムが正常であったとしても「災害等により多数の傷病者が医療サービスを求
める状態となり、通常の手段では著しい不都合が生じる場合」や「一定期間停止したシス
テムを復旧して運用を再開する際に、情報の一部欠損の発生や情報の連続性が担保されな
いことにより不都合が生じる場合」についても考慮すること。

医療機関等へ対応を求める事項の整理
対象事業者は、設計したリスク対応策のうち、医療機関等による対応が必要となる内容
について、医療機関等へ対応を求める事項として整理すること。

残存するリスクの評価
対象事業者は、医療機関等へ対応を求める事項を整理した上で、それでも残存するリス
クについて改めてリスク評価（5.1.3）を実施すること。リスク評価の結果、残存するリス
クの評価結果が対象事業者として許容できないと判断する場合は、リスク対応方法につい
て再度検討すること。

リスク対応の文書化
対象事業者は、リスク対応の選択肢についての選定結果及び、選定結果に基づき設計し
た対応策を「リスク対応一覧」として文書化すること32。

32

例えばサービス仕様適合開示書と前出の MDS/SDS を作成することによってこれに代えることも想定さ
れる。

32