5. クローズドなネットワーク、オープンなネットワークのいずれを選択する場合であっ
ても、送信元と相手先の当事者間で当該情報そのものに対する暗号化等のセキュリ
ティ対策を実施すること。例えば、S/MIME の利用、ファイルに対する暗号化等の対策
が考えられる。その際、暗号化の鍵については電子政府推奨暗号のものを使用すること。
6. 医療機関等の間の情報通信には、医療機関等だけでなく、電気通信事業者やシステムイ
ンテグレータ、運用を受託する事業者、遠隔保守を行う機器保守事業者等の多くの組織
が関連する。そのため、次に掲げる事項について、これら関連組織の責任分界点、責任
の所在を契約書等で明確にすること。
・

診療録等を含む医療情報を、送信先の医療機関等に送信するタイミングと一連の
情報交換に関わる操作を開始する動作の決定

・

送信元の医療機関等がネットワークに接続できない場合の対処

・

送信先の医療機関等がネットワークに接続できなかった場合の対処

・

ネットワークの経路途中が不通の場合又は著しい遅延が発生している場合の対
処

・

送信先の医療機関等が受け取った保存情報を正しく受信できなかった場合の対
処

・

伝送情報の暗号化に不具合があった場合の対処

・

送信元の医療機関等と送信先の医療機関等の認証に不具合があった場合の対処

・

障害が起こった場合に障害部位を切り分ける責任

・

送信元の医療機関等又は送信先の医療機関等が情報交換を中止する場合の対処

また、医療機関等内においても、次に掲げる事項を契約や運用管理規程等で定めておく
こと。
・

通信機器、暗号化装置、認証装置等の管理責任（外部事業者へ管理を委託する場
合は、責任分界点も含めた整理と契約の締結）

・

患者等に対する説明責任

・

事故発生時における復旧作業・他施設やシステムベンダ及びサービス事業者との
連絡に当たる専任の管理者の設置

・

交換した医療情報等に対する管理責任及び事後責任（個人情報の取扱いに関して
患者から照会等があった場合の送信元、送信先双方の医療機関等への連絡に関す
る事項、またその場合の個人情報の取扱いに関する秘密事項）

7. 医療情報システムを内部ネットワークを通じて外部ネットワークに接続する際には、
なりすまし、盗聴、改ざん、侵入及び妨害等の脅威に留意したうえで、ネットワーク、
機器、サービス等を適切に選定し、監視を行うこと。
8. リモートメンテナンスを実施する場合は、必要に応じて、適切なアクセスポイントの設
定、プロトコルの限定、アクセス権限管理等、不必要なログインを防止するための対策
を実施すること。

47