１１．非常時（災害、サイバー攻撃、システム障害）対応と BCP 策定
【遵守事項】
①

医療情報システムの安全管理に関して、非常時における対応方針と対応手順・内容の整理を行い、BCP
（Business Continuity Plan：事業継続計画）を策定すること。対応方針には、非常時の定義のほか、
通常時への復旧に向けた計画を含め、経営層の承認を得ること。

② 医療機関等が定める非常時の定義や BCP との整合性を確認して対応方針を策定すること。
③ 非常時において、法令で求められる対応を事前に整理し、非常時に速やかに対応できる体制を講じること。
④ 各種規程等に非常時における対応手順・内容も含めること。
⑤ 非常時における安全管理対策について、担当者に対策の実装と対策を踏まえた文書の整備を指示し、確認
すること。
⑥ 非常時における対応に関して、医療機関等の職員、外部の関係者等に対する教育を行うほか、定期的に訓
練を実施すること。訓練等の結果や評価を、適宜、非常時の対応手順等に反映させること。
⑦ 非常時の対応状況を定期的に確認し、経営層に報告の上、承認を得ること。
⑧ 非常時には、安全管理の状況を適宜把握し、経営層に報告すること。また、関係者に対する説明責任等を
果たすため、報告対応や広報対応を行うこと。
⑨ 非常時に対応した内容について、事後検証を行い、その内容を経営層に報告し、承認を得ること。その検証
結果や評価を、適宜、非常時の対応手順等に反映させること。

１１．１ 非常時における対応方針の策定
➢

非常時においても医療機関等が医療サービスを継続して提供できるように可能とするため、非常時における医療
情報システムに関する対応は重要である。

➢

災害やサイバー攻撃、システム障害が生じて非常時となったた場合に、経営層及び非常時における意思決定担
当者は
・

医療機関等において医療サービスの提供をどのように継続するか

・

継続する場合にどの医療情報システムをどのように利用するか

等を経営層及び非常時における意思決定担当者は総合的に見て判断する必要がある。
➢

企画管理者はこのような、経営層等の判断を見据えて、非常時における対応方針や手順などを策定する必要が
ある。その内容としては、医療機関等で策定される BCP との整合性を踏まえた内容とすることが求められる。併せ
て非常時対応をする起点となる「非常時」の定義も明らかにすることが求められる。策定した方針や手順等につい
ては、経営層に対して報告の上、承認を得る必要があること。

➢

医療情報システム・サービスを取り巻く非常時の事象が発生する原因としては、主に災害、サイバー攻撃、システ
ム障害などが挙げられ、る。それぞれの原因に対して、具体的な対応が異なることから。、対応方針や手順等を策
定する際も、具体的な非常時の事象発生原因や被害の規模等を勘案して、それぞれに対応した内容とすの内
容を整理することが求められること。

- 40 -