考えられるため、。この点からも医療サービスの提供を支える医療情報システムを適正に管理する責任がある。
１．１．２ 医療機関等における法令上の責任
➢ 医療機関等における医療情報の取扱いに関する責任には、法律の観点から見ると、行政法上・刑事上・民事上
の責任などがある。
➢ 医療機関等における医療情報システムの安全管理に関する責任は、医療機関等の運営上の責任であることから、
業法責任（行政法上の責任）が中心となる。また、医療機関等で業務に従事する職員や関係するシステム関
連事業者等による秘密漏洩漏えいや医療情報の漏洩漏えい等による損害賠償を防ぐ責任もある。
➢ なお、サイバー攻撃の脅威が近年増大していることに鑑み、医療法施行規則（昭和 23 年厚生省令第 50 号）
第 14 条第２項において、病院、診療所又は助産所の管理者が遵守すべき事項として、サイバーセキュリティの確
保について必要な措置を講じなければならないとしている。
➢ 同様に、医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律施行規則（昭和 36 年厚
生省令第１号）第 11 条第２項において、薬局の管理者が遵守すべき事項として、サイバーセキュリティの確保
について必要な措置を講じなければならないとしている。

１．２ 医療機関等における責任
➢ 医療情報システムの安全管理に関する責任には、医療機関等の業務状況を踏まえ、通常時において対応すべき
責任と、非常時において対応すべき責任が想定されるある。
➢ 医療機関等が直接行う業務における責任のほか、医療機関等が業務の委託を行った場合の委託先事業者によ
るの業務における責任や、医療情報を第三者に提供する際に生じる責任なども存在する。
➢ これらの責任についての概要を以下の表１−１に示す。
表１－１ 医療機関等における責任
通常時における
全ての医療機関等
における責任

責任
非常時における
責任

第三者に業務を委託する場合
第三者に医療情報を提供する場合

管理方法・体制等に関する説明責任
管理及び監査を実施する責任
定期的に見直し、必要な改善を行う責任
情報セキュリティインシデントの原因・影響等に関す
る説明責任
再発防止策等の善後策を講じる責任
適切な事業者を選定する責任
受託事業者の過失等に対する管理責任
第三者提供が適切に実施されたかに対する責任

１．２．１ 通常時における責任
＜説明責任＞
➢

通常時における説明責任とは、医療情報システムの機能や運用について、必要に応じて患者等に説明する責任
である。

➢

説明責任を果たすためには、医療情報システムの機能仕様や運用手順等を文書化しておく必要がある。また通
常時の運用に関する仕様や手順が医療機関等の要求仕様や運用方針に則って機能しているか、定期的に監
-4-