２．２ リスク評価を踏まえた判断
２．２．１ リスク評価を踏まえたリスク管理
➢

リスク管理方針は、情報・データや情報システム等の情報資産に対するリスク評価の結果を踏まえ判断される。一
般的には、リスク管理方針には、リスクの回避（リスク発生の根源となる事業や行為を取りやめる）、低減（リス
クを低減するための対策を講じる）、移転（発生したリスクを、保険等により移転する）、受容（リスクが実際に
生じることを想定した上での対応を検討する）が挙げられる。

➢

医療機関等は公的社会インフラであり、患者のために医療サービスの提供の継続の必要性を考慮する性を確
保・維持する必要があることを踏まえると、医療機関等において選択される主なリスク管理方針は「リスクの低減」
になると考えられ、継続的に、リスク評価、当該評価を踏まえたリスク管理方針の決定、当該方針に基づくリスク
管理を実施する必要がある。

➢

医療機関の運営継続の観点から、リスク管理方針を策定する際には、医療機関等の経営の視点、人事管理の
視点等を入れなければ、医療機関等の運営継続そのものに支障をきたすことになりかねないため、注意が必要で
ある。考慮すること。

➢

リスク評価とリスク管理方針の策定は、医療機関等における情報セキュリティ対策に関する説明責任を果たすこと
にもつながる。
２．２．２ 情報セキュリティマネジメントシステム（ISMS：Information Security Management
System）の実践

➢ 医療機関等における PDCA（Plan-Do-Check-Act）サイクルの実施については、「良質な医療を提供する体
制の確立を図るための医療法の一部を改正する法律の一部の施行について」（平成 19 年 3 月 30 日付け医
政発第 0330010 号厚生労働省医政局長通知）において、医療の安全管理としてその重要性が示されている。
情報セキュリティに関しても、医療の安全管理と同様の考えのもと、リスク管理方針を踏まえ、ISMS を策定して
PDCA サイクルを実施することが有効であると考えられる。
２．２．３ リスク分析を踏まえた要求仕様適合性の管理
➢ リスク管理の実効性を維持・向上するために、リスク分析を踏まえた医療機関等の要求仕様に対する適合性の確
認を行う必要がある。この確認において、医療機関等とシステム関連事業者との間で、医療情報及び医療情報
システムに対するリスク管理への共通理解や共通認識を得る必要がある。
➢ リスク管理対策の詳細は企画管理者やシステムシステム運用担当者が実施するが、経営層は医療機関等とシス
テム関連事業者との間でのリスク分析を踏まえたリスク管理や要求仕様適合性の確認が適切に実施されているか
どうかを把握しておく必要がある。

- 11 -