者に対する教育等の実施状況などを確認、し、管理しておくことが必要である。
５．２．２ 体制管理
➢ 医療情報の取扱いに関しては、外部委託先事業者におけよるる医療情報の取扱いに関しては、再委託先などの
体制の監督も重要である。医療機関等が委託先の選定をしても、委託先が再委託しており、その再委託先にお
ける医療情報の取扱いに関する安全管理性が不十分確保されていない場合には、サプライチェーン攻撃等意図
しないのリスクが生じることになる被害が生じ得る。特に海外のシステム関連事業者を再委託先とする場合には、
個人情報保護法が求める要件を具備しない場合などもあることから、しているか十分留意する必要がある。
➢ 委託先事業者に対して、が再委託等を行う場合には、医療機関等は事前に事業者に医療機関等に情報を提
供を受けして、協議・合意形成を経た上で行い、その実施承認可否を判断することを得ることが求められる。

５．３ 責任分界管理
➢ 委託先事業者との責任分界については、委託先事業者と委託する業務内容に応じて、具体的なセキュリティに
関する責任の範囲も明確にする必要がある。責任の範囲が明確でない場合には、医療機関等が講じるべき情報
セキュリティ対策のうち、一部が抜け落ちてしまう可能性などリスクがある。例えば特にサイバー攻撃などの非常時に
は、原因の究明は医療機関等と委託先事業者との間で協働して原因の究明を協力して進めることなどが不可欠
であるが、その前提としても責任の範囲を明らかにしておく必要があを取り決めておくことが考えられる。
➢ 委託先事業者が別事業者のクラウドサービスなどを用いる場合、サービスを提供する委託先事業者とクラウドサー
ビス事業者等の間における責任関係が複雑になることが想定される。医療機関等においては、ネットワークサービス
のほか、各種クラウドサービスを利用することにより、医療情報システムに支障が生じた場合には、どのシステム関連
事業者と原因究明や対策を講じるべきかが不明瞭になることがある。また、クラウドサービス事業者においても、サー
ビスのすべてをシステム関連事業者自らのシステム等で提供しているとは限らないことから、障害等が生じた場合の
原因究明に時間を要することも想定される。
➢ そのため、利用する医療情報システム・サービスに関連する情報機器等の管理が医療機関等とシステム関連事業
者のどちらにどの主体にあるのかを明確にし、これに対する安全性の確保の対応の役割分担についても明らかにす
る必要がある。情報機器の所有者、設置責任者、その安全管理措置のための保守管理者等が、それぞれが異
なることもあり可能性もあることから、事前に明確にすることが求められる。
➢ 外部委託を行う際の責任分界の重要性を認識し、医療機関等と委託先事業者との間での責任分界を明確にし、
認識の齟齬等が生じないよう、書面等により可視化し、適切に管理するよう、企画管理者やシステム運用担当者
に指示することが求められる。

- 23 -