る。

（1）通常運用における責任
① 説明責任
通常運用における説明責任とは、システムの機能や運用計画がガイドラインを満たして
いることを、必要に応じて患者等に説明する責任である。
説明責任を果たすためには、システムの仕様や運用計画を文書化しておき、通常運用時
の仕様や計画が当初の方針に則って機能しているか、定期的に監査を行い、その結果も文
書化することが求められる。監査の結果に問題があった場合は、真摯に対応した上で、対
応の記録を文書化して第三者が検証可能な状況にすることが必要である。また、医療機関
等の規模に応じて、患者等への説明を行う窓口を設置することも必要となる。

② 管理責任
管理責任とは、医療情報システムの運用管理を医療機関等が適切に行う責任である。
システムの管理を請負事業者に任せきりにしている状況では、これを果たしたことにな
らない。管理に関する最終的な責任の所在を明確にするため、少なくとも管理状況の報告
を定期的に受け、監督を実施する必要がある。
個人情報保護法では、個人情報保護の担当責任者を定める必要があるため、適切な担当
責任者を決めて請負事業者の対応に当たる必要がある。

③ 定期的に見直し必要に応じて改善を行う責任
定期的に見直し必要に応じて改善を行う責任とは、医療情報システムの運用管理の状況
を定期的に監査し、問題点を洗い出し、改善すべき点があれば改善していく責任であ
る。
情報保護に関する技術は日進月歩であり、旧態依然の情報保護体制ではすぐに時代遅れ
になってしまう。一方、管理者がこのような最新の技術動向を都度把握することは、管理
者としての本来業務と異なることがある。したがって、管理者は、運用管理の状況を監
査・確認する際、技術の進展を意識しつつ、例えば医療情報システムの技術担当者やシス
テムベンダに現在の動向を調査させる等して、必要な改善を実践していくことが重要にな
る。

（2）事後責任
① 説明責任
事後の説明責任とは、医療情報について何らかの事故（典型的には漏えい）が生じた場
合に、事態の発生を公表し、その原因と対処法を説明する責任である。
個々の患者へ事故の内容並びにその原因と対策について説明することはもちろん、監督
5