令和５年３月の指針改訂の概要②
情報セキュリティ方策について
【医療機関が行うべき対策】
〇 医療機関は、オンライン診療に用いるシステムを提供する事業者による説明を受け（システムに関する個別の説明を受けることのみ
ならず、事業者が提示している情報提供内容を自ら確認することを含む。）、十分な情報セキュリティ対策が講じられていることを
確認すること。また、当該確認に際して、医療機関は責任分界点について確認し、システムの導入に当たっては、そのリスクを十分
に理解すること。
〇 オンライン診療の際、医療情報システムに影響を及ぼす可能性があるオンライン診療システムを使用する際は、「医療情報安全管理
関連ガイドライン」に沿った対策を併せて実施すること。なお、汎用サービスを使用する際は、汎用サービスが医療情報システムに
影響を与えない設定とすること。
〇 医療機関は 、患者に対してオンライン診療の実施に伴うセキュリティリスクを説明し、オンライン診療に用いるシステムを利用す
ることについての合意を得た上で、双方が合意した旨を診療録に記載し、オンライン診療を実施すること。
〇 医師は、オンライン診療実施時に、意図しない第三者が当該通信に紛れ込むような三者通信（患者が医師の説明を一緒に聞いてもら
うために、医師の同意なく第三者を呼び込む場合等）や患者のなりすましが起こっていないことに留意すること。
〇 オンライン診療においてチャット機能を補助的に用いる場合には、医療機関が、セキュリティリスクとベネフィットを勘案したうえ
で、使用するソフトウェアやチャット機能の使用方法について患者側に指示を行うこと。
〇 医療機関や患者から、検査結果画像や患者の医療情報等を画面共有機能を用いて提示すること及び画面共有機能を用いずに画面を介
して提示することは、多くの場合、後述の場合と比較して相対的にセキュリティリスクが低減されているものと考えられる。一方で、
患者から提示された二次元バーコードやURL等のリンク先へのアクセス及びファイルのダウンロード等はセキュリティリスクが高い
ため、セキュリティリスクが限定的であることを医療機関が合理的に判断できる場合を除き、このようなアクセスやダウンロード等
は行わないことが望ましい。
〇 医療機関が、オンライン診療を実施する際に、医療情報を取得する目的で外部のPHR等の情報を取り扱うことが、医療情報システム
に影響を与える場合は、「医療情報安全管理関連ガイドライン」に沿った対策を実施しなければならない。他方で、医療機関が、医
療情報システムに影響を与えずに当該情報を取り扱う場合には、セキュリティリスクについて医療機関と患者の間で合意を得た上で、
オンライン診療を実施すること。
等
【オンライン診療システム事業者が行うべき対策】
〇

事業者は医療機関に対して、オンライン診療のセキュリティに係る責任分界点について明確に説明し、合意した範囲において責任を
負うこと。
等
36