（３）技術的安全対策
技術的安全対策とは、個人データ及びそれを取り扱う医療情報システムへのアクセス制
御、不正ソフトウェア対策、医療情報システムの監視等、個人データに対する技術的な
安全管理措置をいう。
医療情報システムへの脅威に対する主な技術的対策として、下記の項目が挙げられる。
・ 情報区分と利用者の対応付けに基づくアクセス権限の設定
・ 運用時における利用者の識別と認証、アクセスの記録（アクセスログの取得）
・ 不正ソフトウェアの混入やネットワークからの不正アクセス防止
これらの対策は、それぞれに対して有効範囲を適切に認識して実施すれば、強力な手段
となり得る。ただし、技術的な対策のみで全ての脅威に対抗することはできないため、運
用管理による対策の併用は必須である。
上記の利用者の識別と認証に当たって、これまでID・パスワードの組み合わせを入力す
る方式が広く用いられてきた。しかし、このように利用者の「記憶」によるものに頼る方
式は、運用状況によりセキュリティ上のリスクを高めることになる。
したがって、①ID・パスワードを入力する方式、②指紋や静脈、虹彩のような利用者の
生体的特徴を利用する方式、③ICカードのような物理媒体を用いる方式を組み合わせ、2
つの独立した要素を用いて行う方式（二要素認証）を採用することが推奨される。なお、
安全管理ガイドライン5.2版では、令和９年度時点で稼働していることが想定される医療
情報システムを、今後、新規導入又は更新に際しては、二要素認証を採用するシステムの
導入、又はこれに相当する対応を行うこととされている。
また、近年、様々なモノがネットワークに繋がることで新たなサービス等を実現する「IoT
（Internet of Things）
」が普及しつつあり、医療等分野での活用も進んでいる。ウェアラ
ブル端末や在宅設置の医療機器等の「IoT 機器」※により、医療に関する個人の情報を取得
し、ネットワークを介して収集する仕組みを利用する場合には、ガイドラインに則った適切
な対策を講じる必要がある。
※IoT 機器とは、センサ等で自動的に情報を取得し、若しくは他の機器が自動的に取得した
情報を中継し、ネットワークを通じて他の医療情報システムに送信する機器をいう。
技術的安全対策の詳細について⇒ガイドライン 6.5 章が参考になる。

（４）人的安全対策
人的安全対策とは、従業者等との間において、業務上秘密と指定された個人データの非
開示契約を締結し、情報保護に関する教育・訓練等を行うことをいう。
医療機関等は、情報の盗難や不正行為、情報設備の不正利用等のリスク軽減を図るた
11