➢

企画管理者は、医療情報システムの安全管理に関して整備した体制に関する内容を文書化等によって可視化
し、関係者に共有できるようにする必要がある。

３．２ 安全管理の責任・権限
３．１２．１２ 企画管理者の業務範囲と権限
➢

経営層は医療情報システムにおける安全管理について医療機関としての最終的な管理責任を負うが、企画管
理者はその経営層の判断をサポートし、医療機関等において円滑に安全管理を行うことができるようにすることが
重要な業務である。

➢

具体的な企画管理者の業務範囲としては、医療機関等の医療情報システムの安全管理について、
・経営層が行う管理をサポートするために必要な資料の作成や報告
・日常的な医療情報システムの安全管理
が想定される。また、これらを行うのに必要な承認権限等を有することが想定される。
３．１２．２３ 情報システム管理委員会の業務範囲と権限

➢

情報システム管理委員会は、複数の部門（担当する業務毎に区分された組織）が存在する医療機関等にお
いては必ずしも設置が必要とされるものではなく、医療機関等において経営層の行う管理等の一部又は全部を
担うものとして、情報システム管理委員会やセキュリティ委員会等の設置が求められる各医療機関等の判断によ
り医療機関等内に設置されるものである。情報システム管理委員会を設置定して医療情報システムの安全管理
を行うする場合には、設置の根拠、目的、業務範囲、構成員の選定・任命方法、権限などを規程等で設け、こ
れに基づいて運営することが必要となる。

➢

また、各部門に委員会に参加するセキュリティ担当者等を配置し、統制に実効性を持たせること。

➢

企画管理者は、これらの規程等を策定の上、経営層の承認を得る必要がある。

➢

昨今、各部門が独自に調達したシステムやそれに伴う回線が、管理不十分なシャドーIT となり、サイバー攻撃の
起点となる事案が起きている。医療機関等の規模を考慮して、委員会が設置されない場合も、情報システムの
導入や変更に当たっては、経営層や医療情報システム安全管理責任者等の承認を必要とする仕組みを構築す
ること。

➢

また、多数の外部接続点が存在することは、それ自体が管理を困難にし、VPN 装置等の脆弱性が放置されるリ
スクが増大する。新たに導入するシステムに保守回線が必要な場合は、医療機関側で集約した回線を利用可
能な事業者を選定する等、管理の実効性を高めるための対策を講じること。
３．１２．３４ 担当者の任命、業務範囲、権限

➢

企画管理者は、医療情報システムの安全管理のうち特に技術的な対応を行う担当者を任命し、経営層の承認
を得る必要がある。

➢

ここでいう技術的な対応の内容としては、
・技術的な対応に必要なリスクアセスメント
・採用すべき技術等の選定と実装、関連資料の作成
・医療情報システムの運用とそのための規則やマニュアル等の作成
・上記に対する企画管理者への報告や協議
等が考えられる。
- 18 -