6.6. 人的安全対策
B．考え方
医療機関等は、情報の盗難や不正行為、情報設備の不正利用等のリスク軽減を図るため、
人による誤りの防止を目的とした人的安全対策を策定する必要がある。これには守秘義務
と違反時の罰則に関する規定や教育、訓練に関する事項が含まれる。
医療情報システムに関連する者として、次の 5 種類を想定する。
（a） 医師、看護師等の業務で診療に関わる情報を取り扱い、法令上の守秘義務のある者
（b） 医事課職員、事務委託者等の医療機関等の事務の業務に携わり、雇用契約の下に医
療情報を取り扱い、守秘義務を負う者
（c） システムの保守事業者等、医療機関等とは雇用契約を結ばずに医療機関等の業務
に携わる者
（d） 見舞い客等の医療情報にアクセスする権限を有しない第三者
（e） 診療録等の外部保存の委託においてデータ管理業務に携わる者
このうち、(a)、(b)に対する人的安全対策は、医療機関等の従業者に対する人的安全管理
措置、(c)に対する人的安全対策は、事務取扱受託業者の監督及び守秘義務契約として説明
する。
(d)については、そもそも医療機関等の医療情報システムに触れてはならない者であるた
め、物理的安全管理対策や技術的安全管理対策によって、システムへのアクセスを禁止する
必要がある。また、万一、第三者によるサイバー攻撃等によってシステム内の情報漏えい等
が発生した場合については、不正アクセス行為の禁止等に関する法律等の他の法令の定め
るところにより適切な対処等をする必要がある。
(e)については、
「外部保存」を受託する事業者等に該当するが、これに関しては詳細を 8
章に記述する。
また、近年、医療機関等を標的としたサイバー攻撃のリスクが高まっていることから、日
本医療情報学会が公表している「標的型攻撃メールへの対処について」や情報処理推進機構
の「対策のしおりシリーズ」等を参考に、標的型メール等のサイバー攻撃の対応について、
従業者への教育を実施する必要がある。
C．最低限のガイドライン
医療機関等の管理者は、個人情報の安全管理に関する施策が適切に実施されるよう措置
するとともにその実施状況を監督するため、以下の措置をとること。
1. 従業者に対する人的安全管理措置
(1)

法令上の守秘義務のある者以外の者を従業者等として採用するに当たって、雇用

29