➢

例えば SaaS を利用する場合には、医療情報システムのうち、アプリケーション部分の管理や責任を事業者に委
ねることになる。そこで本ガイドラインの遵守を確認するにあたっても、アプリケーション部分に関する安全管理対策
項目などについて、事業者との責任分界を検討することになる。

➢

このように、委託により利用するサービスの内容により、責任を分担する内容が異なるため、委託により医療機関
等が行うべき安全管理のうち、明確にどの部分の責任を分担し、責任分界を定め、具体的な管理内容について、
事業者と取り決めることが求められる。

表３－１ SaaS の場合の技術的な対応における利用者と事業者の管理対象範囲
利用者側の管理対象範囲

事業者側の管理対象範囲

・ 利用者は、クラウドサービス事業者が提供するアプリ

・ クラウドサービス事業者は、契約 ・SLA（Service

ケーションを利用するためのデータやアプリケーション上

Level Agreement：サービス品質保証、サービスレ

で生成したデータの管理（データに対する編集 ・削

ベル合意書） に基づくサービスをクラウドサービス利用

除等の行為）をする権限と責任を有する。

者に提供するために、アプリケーション層以下の実装、

・ アカウント管理などの限定的な管理権限をクラウドサ

設定、更新及び運用を管理するとともに、クラウドサー

ービス事業者から付与され、外部からのアクセス権限

ビス利用者に限定的な管理権限等を提供する場合

を設定する場合がある。

がある

出所：「クラウドサービス提供における 情報セキュリティ対策ガイドライン（第 3 版）」
（総務省、2021 年 9 月）より作成
３．４．２ 複数の事業者に対する委託を含む場合の責任分界
➢

医療機関等が事業者に委託を行う場合、この情報システム・サービスのを利用するに際して複数の事業者が関
与する場合がある。

➢

医療機関等が複数の情報システム・サービスのサービスを組み合わせて利用するような場合と、事業者が複数の
サービスを組み合わせて、医療機関等に提供する場合などが想定される（表３－２参照）。

➢

前者では、基本的には医療機関等が各事業者と責任分界を取り決めることになるが、複数の事業者のサービス
を連携する部分についても併せて取決めを行うことが求められる。これには、技術的な機能仕様等に関する取決
めだけではなく、障害時などの対応などの事業者間での対応なども含めて取り決めることが求められる役割分担も
含まれる。
-5-