る。
（4）医療に係る安全の確保を目的とした改善のための方策
・ 安全管理委員会（無床診療所においては管理者）への報告。
・ 事例の収集、分析。これにより問題点を把握し改善策の企画立案及びその実
施状況の評価並びに医療機関内での情報の共有。
・ 改善策については、再発防止策等を含んだものであること。
つまり、医療機関等では、医療安全管理の事例にあるように、「①計画を立てる
（Plan）」、委員会や職員研修を実施しながら「②それを実行する（Do）」、改善のた
めの方策を講じるために「③必要に応じて見直しを行う（Check）」、必要に応じて「④
改善する（Action）」というプロセスが既に存在している。
したがって、医療情報システムやそこに蓄積された情報を継続的に保護し、利活用して
いくプロセスを特殊な概念と捉えず、通常業務の枠組みの一環として検討し、確実に実行
していくことが重要である。
ただし、医療情報システムの場合、現在利用しているシステムが、翌年には何らかのセ
キュリティ上の問題を抱えた状態になっていることも想定される。したがって、「2.1
（１）通常運用における責任」でも述べたように、見直しや改善の際には情報技術の進展
に留意する必要がある。その際、ガイドラインを参考にすることはたいへん有益な手段で
あり、積極的に活用されたい。
新たに電子カルテ等の医療情報システムを導入する際、出発点として「①計画を立てる
（Plan）」ことは必須である。「①計画を立てる」際、医療機関等の管理者・責任者は、
保護すべき情報をリストアップした上で、それを重要度に応じて分類し、医療機関等の業
務や組織形態、人事体系等と整合性を取らなければならない。情報のリストアップやリス
ク分析及び対策に当たって、システムベンダからの情報収集が重要となるため、保健医療
福祉情報システム工業会（JAHIS）及び日本画像医療システム工業会（JIRA）が公表し
ているセキュリティ情報の開示資料等が参考になる。
既に医療情報システムを導入している医療機関等においても、「③必要に応じて見直し
を行う（Check）」、「④改善する（Action）」ことは不可欠である。
医療機関等の管理者・責任者は自らの資産管理を主体的に行う必要があるため、医療情
報を資産と捉えることで、このことを素直な感覚で受け止めてもらえるだろう。

3.2

医療情報システムの安全管理に求められる基準

個人情報保護法第23条は、安全管理措置に関する定めである。一般に、安全管理措置と
は、具体的に「組織的安全管理対策」、「物理的安全対策」、「技術的安全対策」、「人
9