的安全対策」により構成される。本章では、これらについて解説する。

（１）組織的安全管理対策（体制、運用管理規程）
組織的安全管理対策とは、安全管理について従業者の責任と権限を明確に定めて、安全
管理に対する規程や手順書を整備・運用し、その実施状況を確認することをいう。
従業者の責任と権限を明確に定め、安全管理に関する規程や手順書を整備・運用し、そ
の実施状況を日常の自己点検等によって確認することが必要である。
これらのことを実践し、運用管理規程を定めておくことは、管理責任や説明責任を果た
す上でも極めて重要である。
医療機関等の管理者は上記を踏まえて、医療情報システムを運営しなければならない。
組織的安全管理対策の詳細について⇒ガイドライン 6.3 章が参考になる。

また、医療機関等は、災害やサイバー攻撃等の非常時に備え、事業継続計画（BCP：
Business Continuity Plan）を作成し、平常時から、システム停止時の代替手段及び所管
官庁・関係機関への連絡手段を用意する必要がある。
昨今、医療機関等における情報の連携が進んでいることから、医療機関等がサイバー攻
撃を受けるリスクは増大しつつあるといえる。標的型メール攻撃※、ランサムウェア※２
等、サイバー攻撃の手法は一層高度化、多様化しており、後述の技術的安全対策を講じる
だけでは被害の発生を防止できないおそれもある。万一サイバー攻撃を受けた場合には、
速やかに関係官庁や相談窓口に報告し、対応について相談する必要がある。
※標的型メール攻撃とは、特定の従業者あてに業務に関連する内容を装ったメールを送付
し、従業者が誤って不正ソフトウェアが混入している添付ファイルを実行等するように
誘導を行う手法等をいう。
※２ ランサムウェアとは、感染することによりPCをロックしたり、ファイルを暗号化し
たりすることによって使用不能にしたのち、元に戻すことと引き換えに「身代金」を要
求する不正ソフトウェアをいう。

（２）物理的安全対策
物理的安全対策とは、入退館（室）の管理、個人データの盗難の防止等の措置をいう。
情報の種別・重要性・利用形態、組織の規模に応じて、セキュリティ上保護すべき幾つ
かの区画を定義し、端末・コンピュータ・情報媒体（CD-RやUSBメモリ等）を物理的に
適切な方法で管理する必要がある。
留意するポイントとして、入退館（室）の管理、機器等の盗難の防止、紛失防止等があ
り、それらを十分に考慮されたい。
物理的安全対策の詳細について⇒ガイドライン 6.4 章が参考になる。

10