示すること。
⑯ 企画管理者に対し、情報セキュリティインシデントの発生に備え、システム関連事業者又は外部有識者と非常
時を想定した情報共有や支援に関する取決めや体制を整備するよう、企画管理者に指示すること。
⑰

情報セキュリティインシデントの未然防止策として、通常時から医療情報システムに関係する脆弱性対策や

EOS（End of Sale, Support, Service：販売終了、サポート終了、サービス終了）等に関する情報を収
集し、速や迅速かなに対策を講じることができるが可能な体制を整えるよう、企画管理者やシステム運用担当
者に指示すること。
⑰
⑱ 情報セキュリティインシデントの発生に備え、厚生労働省、都道府県警察の担当部署、その他の所管官庁等
に速やかに報告するために必要な手順や方法、体制などを整備するよう、企画管理者に指示すること。
⑱
⑲ 情報セキュリティインシデントが発生した場合に、厚生労働省等への報告のほかに、患者等に対する公表・広
報を適切に行える体制を、通常時から整備すること。
⑲

３．１ 統制
３．１．１ 情報セキュリティ対策のための統制
➢ 医療情報システムの情報セキュリティ対策は、医療機関等における医療情報の適正な取扱いの確保や保護を図
る観点から、医療機関等における重要な経営課題の一つである。情報セキュリティを十分に確保リスクに対する十
分な対応をする行うためには、具体的な情報セキュリティ対策の検討に加え、医療機関等においてどのような具体
的な情報セキュリティ対策を講じていくのかを示したを講じるためのリスク対応計画の策定2、当該計画の内容を実
現するために必要な規程類の整備、当該計画の内容の実施や進捗管理を行うために必要な組織体制の整備
等による内部統制が適切に行われている必要がある。
➢ 上記計画の策定に当たっては、その具体化のための予算計画と併せて策定することが求められる。
➢ また、情報セキュリティ対策に関わる各組織（医療従事者等含む。）が適切に協働できるようにするために、具体
的な業務内容や各業務を行う者の権限等を適切な粒度で明確化した規程類の整備が求められる。
➢ 加えて、策定した計画を実現するために必要な組織統制が発揮されるよう、情報セキュリティに関する最高責任者
や通常時・非常時の運用、対応する組織の構成、役割、職務権限等を明確にすることで、的確で迅速な情報セ
キュリティ対策の実現が期待される。
➢ 医療情報システムの運営や利用に際しては、様々なシステム関連事業者も関与することから、医療情報システム
の情報セキュリティ対策に関する統制の実効性の確保には、システム関連事業者との適切な協働体制等の整備
が必要となる。（「５．医療情報システム・サービス事業者との協働」に、事業者の選定、管理及び、ならびに、

2

計画には、下記が含まれることが望ましい。








・ 目標とする将来像
・ 実施事項
・ 必要な資源
責任者
達成期限
結果の評価方法

- 13 -