医療情報を記録している機器や媒体であれば、持ち出しには細心の注意が
必要です。このような機器や媒体は、原則として持ち出すべきではないとい
う基準にすべきです。その上で、やむを得ず持ち出す際には、情報機器を持
ち出す必要性や漏えいのリスクを総合的に判断した上で、運用管理規程等に
機器持ち出しの許諾ルールと判断基準を策定することが求められます。ま
た、持ち出す機器については、6.9 章に示す適切な防護措置を施すことが必
要です。
リモートサービス等により医療機関等の情報にアクセスできる機器の場
合、医療情報を機器に記録していなくても、機器そのものの盗難や置き忘れ
が情報漏えいのリスクになります。このような場合、機器に対する防護措置
に加え、リモートサービスそのものでの防護措置が必要であり、6.11 章に
示された安全管理対策を実施していることが条件になります。
上記以外の情報機器については、機密情報の有無やその他の要件を考慮
し、医療機関等における管理ルールを策定してください。

Ｑ－３２

6.9 章における BYOD を行うに当たって、適切な技術的対策や運
用による対策はどのようなものがあるか。

Ａ

下記の対策等が挙げられます。
技術的対策としては、従業者のモバイル端末で、他のアプリケーション等
からの影響を遮断しつつ、仮想デスクトップのような技術を活用して端末内
で医療情報を取り扱うことを制限し、さらに個人でその設定を変更できない
ようにすること等が考えられます。この場合、OS レベルで業務利用領域
（仮想デスクトップ）と個人利用領域を切り分け、管理領域を分離する必要
があります。また、サービスや製品によっては十分な安全性が確保されない
場合があるため、十分な知見を有する者が判断する必要があります。
さらに、上記の対策に加え、モバイルデバイスマネジメント（MDM）や
モバイルアプリケーションマネジメント（MAM）等を施すことで、医療機
関等が所有し、管理する端末と同等の安全性を確保するための、セキュリテ
ィ対策の徹底を図ることが期待されます。
また、運用による対策として、運用管理規程によって利用者による OS の
設定変更（例えば、「設定」用のアプリケーションにより、医療情報システム
への接続に使用するアプリケーションに対して、他のアプリケーションが自
動的にアクセスできるようにする等）を禁止し、かつ安全性の確認できない
アプリケーションがモバイル端末にインストールされていないことを、管理
者が定期的に確認すること等が想定されます。BYOD を行うに当たって、運

16