【はじめに】
＜経営管理編が想定する読者＞
経営管理編は、主に医療機関等において組織の経営方針を策定し、意思決定を担う経営層に認識していただく
考え方や関連法制度等を示している。具体的には、経営層として遵守又は判断すべき事項並びに、企画管理やシス
テム運営の担当部署及び担当者に対して指示及び管理すべき事項、並びにその考え方を示している。
＜医療機関等における情報セキュリティ＞
紙又はフイルムの媒体だけでなく、電磁的記録媒体、情報通信機器、その他情報通信環境を用いて電子的に医
療情報を取り扱う医療情報システムの利用が進んでいる中、サイバー攻撃の脅威も近年増大している。その攻撃手法
は日々高度化、巧妙化しており、対策が十分に行われていなかったことで、医療機関等の経営や地域医療の安全性
に直接影響が生じる事案も生じている。また、サイバー攻撃の被害が一医療機関等内で止まることなく、直接的にサイ
バー攻撃を受けた医療機関等を踏み台にし、他の医療機関等にも被害が拡大するなど、一医療機関等に限定され
ない重大な影響を及ぼす危険性も生じている。
情報セキュリティインシデントが起きた場合、医療の提供が停止し、患者の生命・身体に影響を与える可能性が生じ
ることはもちろん、安全管理上のリスクに対する対応の是非、さらには経営責任や法的責任が問われる可能性がある。
その結果、行政処分の対象となったり、民事上の賠償責任などを負ったりするう可能性があるほか、インシデントに対す
る医療機関等の公共社会インフラとしての役割からの謝罪を求められたり、インシデントによる被害拡大の防止を図るた
めの初動対応やインシデントからの復旧に多大な費用の捻出を余儀なくされるなど、医療機関等の経営や運営に大き
な影響を及ぼすことも想定される。
安全管理対策は、事業継続性の確保やサイバー攻撃に対する防衛力の向上にとどまるものではなく、医療情報を
高度に活用して、質の高い医療の提供や個人の健康の維持増進の前提にもなる。安全管理対策の実施を「コスト」と
捉えるのではなく、質の高い医療の提供に不可欠な「投資」と捉え、その実施に必要となる資源（予算・人材等）の
確保に努めることがも重要である。
本ガイドラインの「経営管理編」では、このような医療機関等の経営管理の観点から求められる医療情報システムの
安全管理についての遵守事項及びその考え方を示す。
医療機関等の経営層においては、本編を閲読し、理解した上で、必要な措置を講じることが求められる。

-1-