２．１．２ 通常時における責任
➢

医療機関等が負う通常時における責任としては、
・説明責任
・管理責任
・定期的な見直し、必要に応じて改善を行う責任
がある。

（１）説明責任
➢

説明責任とは、医療情報システムの運用状況等が適切に行われていること等を患者等に説明する責任である。
医療情報システム・サービスの運用等についてシステム関連事業者に委託している場合には、委託している範囲
の医療情報システム・サービスの運用状況等について、医療機関等において直接把握することが難しい。そこで医
療機関等は、委託先事業者に対して、提供を受ける医療情報システム・サービスが本ガイドラインを遵守した仕
様や運用となっていることの説明を求めることができるよう、委託先事業者と取決めを行う必要がある。

➢

例えば、医療情報システム・サービスの採用に際しては、システム関連事業者からサービス仕様適合開示書等の
提供などを受けることになるが、当該文書の中に本ガイドラインを遵守している旨（あるいは遵守できていない部
分がある場合はその旨）を記載することのみならず、委託決定後も必要に応じて当該遵守状況を示す資料の提
供を求めることができる旨の取決めを行うことが求められる。（なお、このような説明責任に関する分担の取決めが
ない場合には、医療機関等は自ら委託している医療情報システム・サービスの運用状況に関する説明のための資
料を用意することが必要となる。）

（２）管理責任
➢

医療機関等における管理責任とは、医療情報システムの運用管理を医療機関等が適切に行う責任である。こ
れも医療情報システム・サービスを委託している場合には、委託している範囲の医療情報システム・サービスの運
用状況等について医療機関等において直接把握することが難しいため、委託先事業者に適切な運用管理の実
施を委ねるとともに、医療機関等は適宜委託先事業者において適切な運用がなされていることを管理することで、
責任の分担を図る必要がある。

➢

特に委託先事業者が再委託を行う場合、再委託先事業者において生じた漏洩漏えい等の情報セキュリティイン
シデントの責任も、委託元の医療機関等の責任となりうることから、再委託先事業者の管理だけではなく選定な
どについても、委託先事業者と適切に分担することが求められる。また、医療機関等が購入した機器等については、
別途、事業者と当該機器についての保守契約を締結しない場合には、原則、管理責任は医療機関等にあり、
事業者との間での管理責任の分担は生じない。

➢

以上の内容を踏まえながら、企画管理者は、管理責任を全うするため、委託先事業者に対して、委託先事業者
の運用状況の報告資料の提供や、委託先事業者による再委託が行われる場合には再委託先事業者も含めた
責任分界についての取決めを行うことが求められる。

- 10 -