原因の分析（Check）
・ 「プロセスアプローチ」によって医療行為をプロセスと捉え、事故やミスの起きた
業務全体を一つ一つの単体プロセス（動作）に分解し、フロー図として目に見える
形にする。
（例えば注射を例にプロセスに分解すれば、①医師が処方箋を出し、②処方箋が薬
剤部に送られ、③薬剤部から処方が病棟に届けられ、④病棟では看護師が正しく準
備し、⑤注射を実施する、となる）
・ 作成したフロー図を分析し、どのプロセスに原因があったのかを調べる。

↓
予防／是正策（Action）
・ 再発防止のための手段を検討と実施（手順の変更、エラーチェックの仕組み導入、
職員への教育の徹底等）

上記を見ると、主に D→C→A が中心になっている。これは医療等分野においては診察、診
断、治療、看護等の手順が過去からの蓄積によって既に確立されているため、あとは事故や
ミスを発見したときにその手順を分析していくことで、どこを改善すればよいかがおのず
と見え、それを実行することで安全が高まる仕組みができ上がっているためといえる。
反面、情報セキュリティでは IT 技術の目覚しい発展により、過去の経験の蓄積だけでは
想定できない新たなセキュリティ上の問題点や弱点が常に存在し得る。そのため情報セ
キュリティ独自の管理方法が必要であり、ISMS はそのために考え出された。ISMS は医療の
安全管理と同様 PDCA サイクルで構築し、維持していく。
逆に言えば、医療関係者にとって ISMS 構築は P のステップを適切に実践し、ISMS の骨格
となる文書体系や手順等を確立すれば、あとは自然に ISMS が構築されていく土壌があると
いえる。

取扱い情報の把握
別冊における解説はない。

リスク分析に関する解説
医療情報システムとして上記の観点で留意すべき点として、システムに格納されている
電子データの保護だけでなく、覗き見等の脅威にさらされるおそれのある、個人情報の入出
力の際の保護方策についても考える必要がある。以下に様々な状況で想定される脅威を列
挙する。なお「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理
ガイドライン」表 5-1 及びその別紙２（対策項目で対応できるリスクシナリオ例）も参考に
なる。

35