８．４ 情報機器等の棚卸
➢

システム運用担当者は、医療情報システムで利用する情報機器等について、企画管理者が行う台帳管理を踏
まえて、企画管理者と協働して情報機器等の棚卸をすることが求められる。棚卸を行うことによりで、医療情報を
格納した情報機器のを含め、所在確認が明確になるほか、不明な情報機器等についてその所在状況を明確に
することにより、り、情報の紛失、漏洩漏えい等のリスク可能性を効率的に発見速やかに発見することが期待され
る。また棚卸に際して、情報機器等の滅失状況なども併せて確認することにより、利用可能な情報機器であるの
かを把握することができの可否も確認でき、バージョンアップや買換え等、必要な対応方策を講じることが可能とな
る。なお情報機器等の滅失状況については、必要に応じて最新のソフトウェアへの対応の可否なども含めて、確
認することも重要である。

８．５ 医療機関等が管理する以外の情報機器の利用に対する対策
➢

システム運用担当者は、医療機関等が管理する以外の情報機器を、医療情報システムにおいて利用するのにた
めに必要な措置を講じ、そのための手順等を策定したうえで、企画管理者に報告することが求められる。

➢

BYOD においてはを許可する場合は、上記の要件を実現するために、下記に掲げるような対策を選択・採用し、
十分な安全性を確保する必要がある。
・、管理者以外による端末の OS の設定の変更を技術的あるいは運用管理上で制御すること
・、あるいは、技術的対策として、他のアプリケーション等からの影響を遮断しつつ、端末内で医療情報を取り扱う
ことを制限する。し、さらに個人でその設定を変更できないよう制御にし、OS レベルで管理領域を分離する。こと
、・また、運用による対策として、運用管理規程によって利用者による OS の設定変更を禁止し、かつ安全性の確
認できないアプリケーションがモバイル端末にインストールされていないことを管理者が定期的に確認することする。

➢

等、適切な対策を選択・採用し、十分な安全性が確保された上で行う必要がある。コンピュータウイルスマルウェア
や不適切な設定がなのされたソフトウェアにより、外部からの不正アクセスによって情報が漏洩することもが発生する
ことも想定されるため考えられるため、管理されていない端末での BYOD は行わないは許可してはならない。また、
BYOD の導入に際して、管理者はが BYOD によるコスト・利便性とリスクを評価して検討することが求められる。

➢

- 22 -