そのため、ネットワークの管理責任を負っている医療機関等は、情報処理関連事業者
と医療情報の管理責任についての明確化を行わなくてはならない。
また、情報処理関連事業者に対して管理責任の一部又は全部を委託する場合は、それ
ぞれの事業者と個人情報に関する委託契約を適切に締結し、監督しなければならない。

技術的対策と運用による対策における責任分界点
総合的な判断では、リスク分析に基づき、経済性も加味して、装置仕様、システム要件と
運用管理規程について決定する必要がある。この決定は、安全性に対する脅威、その対策に
関する技術的変化、医療機関等の組織の変化を含めた社会的環境変化等により異なってく
るので、その動向に注意を払う必要がある。
総合的な判断を下し、医療機関等が責任を果たすためには、ベンダに要求する技術要件と
ベンダが要求する運用条件を明確にして、ベンダとの責任分界点を明確にする必要がある。
運用管理規程は、医療機関等として総合的に作成する場合と医用画像の電子保存のよう
に部門別や装置別に作成される場合がある。基準を満たしているか否かを判断する目安と
して、10 章と付表を参考にして、
「基準適合チェックリスト」等を作成して整理しておく必
要がある。このようなチェックリストは第三者へ説明責任を果たす際の参考資料として利
用できる。

27