階層サービスを利用）
医療機関等

サービス
提供

①
サービス提供

クラウドサービス事業者B

クラウドサービス事業者A

②


医療機関等が利用する事業者 A と取り決め(①)、A が他のサービス B を利用（②：別の機
能のサービスを利用）
出所：クラウドサービス提供における情報セキュリティ対策ガイドライン（第３版）より作成

（２）医療機関等が利用するサービスの類型による責任分界
➢

医療機関等が利用するサービス類型により、医療機関等が直接管理できる医療情報システムの範囲が異なる
場合がある。

➢

クラウドサービスの場合、医療情報システムが利用するソフトウェア・ミドルウェア・ハードウェアなどのクラウドサービス
のリソースの層により、SaaS、PaaS、IaaS などの類型に分類される。このうち SaaS では、医療情報システムのア
プリケーションの層、PaaS では、医療情報システムが利用するミドルウェアの層、IaaS では医療情報システムが利
用するサーバやネットワークなどのインフラの層がサービスとして提供されることになる。

➢

従って、例えば SaaS を利用する場合には、医療情報システムのうち、アプリケーション部分の管理や責任をシステ
ム関連事業者に委ねることになるため、アプリケーション部分に関する安全管理ガイドラインの遵守状況を確認す
るに当たって、システム関連事業者との責任分界の検討は必要となる。

➢

このように、利用するサービスの内容により、それぞれが負うべき責任の内容が異なるため、企画管理者は、委託に
より医療機関等が行うべき安全管理のうちどの部分の責任をどちらが負うのかといった責任分界を取り決めるととも
に、それぞれが対応する安全管理の具体的な内容についてシステム関連事業者と取り決めることが求められる。

➢

クラウドサービスなどを利用する場合には、利用者側でもルールの策定や設定等の役割などを果たすことが求めら
れる。このような役割分担については、「クラウドサービス提供・利用における適切な設定に関するガイドライン」7な
どでも示されている。システム運用担当者は、このような資料を参考にして、システム関連事業者との技術的な役
割分担についても調整することが求められる。
２．２．３ 第三者提供における責任分界

➢

医療機関等が管理する医療情報を第三者に提供する場合には、医療機関等と提供先の第三者との間で責任
分界を取り決めることになる。この場合、医療情報データの送信、受信に係る責任分界など技術的対策に関する
内容のほか、医療情報の提供に係る法律上の義務への対応（第三者提供に関する手続等）の分担なども確
認する必要がある。

➢

責任分界を定めるのは、例えば
・医療情報連携ネットワークにおける医療情報の提供
・個々の医療機関等間での医療情報の提供
・患者の依頼に基づく、医療機関等から特定の場所（患者宅、患者が利用するサービスを提供する事業者等）

7

総務省 令和 4 年 10 月 31 日

- 14 -