査を行い、その結果についても文書化することが求められる。
➢

監査の結果、問題や課題が覚知された場合は、真摯に対応し、対応て、その記録を文書化すること。また、し、
第三者が対応の妥当性等を検証することが可能な状態にする必要があること。

➢

医療機関等の規模に応じて、患者等への説明を行う窓口を確保するなど、患者等が医療情報システムについて
説明を求めることが可能な体制を整えることことも必要となる。

＜管理責任＞
➢

管理責任とは、医療情報システムの管理や運用を医療機関等が適切に行う責任であり、システムの形態や構成
に関わらず、当該システムを利用する限りにおいて医療機関等で負う責任である。

➢

個人情報の保護に関する法律（平成 15 年法律第 57 号。以下「個人情報保護法」という。）第 23 条にお
いて、「個人情報取扱事業者は、その取り扱う個人データの漏洩漏えい、滅失又は毀損の防止その他の個人デ
ータの安全管理のために必要かつ適切な措置を講じなければならない。」と規定されており、医療機関等はこの規
定に従い、必要な措置を講ずる必要がある。

➢

定期的に管理状況に関する報告を受け、管理実態や責任の所在が明確になるよう、監督を実施する必要があ
る。

＜定期的な見直し、必要に応じた改善を行う責任＞
➢

情報システムの安全管理に関する技術や手法は日進月歩であり、安全管理体制が陳腐化するおそれがあるため、
安全管理の仕組みの改善を常に心がけ、評価・検討を定期的に行う責任がある。特に日々高度化、巧妙化す
るサイバー攻撃への対応を考えると、医療情報システムの安全管理を確保するためには、安全管理体制について
随時必要な見直しが求められる。

➢

医療情報システムの管理に関する状況を定期的に検証し、問題や課題を洗い出し、必要な対策を講じて、管理
方法や体制を改善することが求められる。

➢

医療機関等のみで最新の技術動向を随時把握することが難しい場合は、システム関連事業者に技術動向や管
理手法等に関する情報提供を依頼する等によりことで、安全管理の改善に必要な情報を収集することも考えら
れる想定される。
１．２．２ 非常時における責任

＜説明責任＞
➢

非常時における説明責任とは、医療情報システムの安全管理上望ましくない事象、例えば、情報漏洩漏えいや
情報システム障害等の情報セキュリティインシデントが生じた場合に、事態の発生を公表し、その原因と影響、対
応方針や対処方法等を説明する責任である。

➢

患者等への説明に加え、所管官庁への報告や公表なども必要である。

＜善後策を講ずる責任＞
➢

情報セキュリティインシデントが生じた場合は、医療情報システムを用いた診療の継続に向けた業務復旧等を図る
ために、善後策を講じる必要がある。善後策を講ずる責任には、「原因を究明する責任」と「再発防止策を講ずる
責任」が含まれる。

➢

「原因を究明する責任」とは、医療情報及び医療情報システムの管理上で生じた情報セキュリティインシデントの
発生原因を明らかにする責任である。原因が不明のままでな状態ではあると、再発の可能性が解消されない。こ
のためず、患者等が安心して医療情報を医療機関等に委ねたり医療サービスを受けたりすることができないため、
可及的速やかに原因を究明することが求められる。
-5-