◼

一方で医療機関等が複数の事業者と契約している

には、事業者相互で、他の事業者が提

供しているサービスなどを知り得ないので、医療機関

で責任分界の整理を依頼する必要がある。

医療情報システムに関する導入や利用、運用等に関する委託等の状況をあらかじめ整理したうえ
で、

事業者と責任分界を定める(

によっては、複数の事業者を交えて整理する)こと。具体

的には下表に示すようなシステムの一覧作成したうえで、責任分界の整理を行うことを想定する。
小規模医療機関等にお る医療情報システム一覧の例
導入している

委託先事業者

製品名

委託業務概要

××システム株式会社

○○クラウド電子カルテ

クラウドサービスの導入

医療情報システム
例

電子カルテシステム

クラウドサービスの運用
例 ネットワークシステム

株式会社■■ 信

△△ひかり 信ネット

ネットワーク回線サービス
ネットワーク 続機器導入
ネットワーク 続運用

・・・

・・・

・・・

・・・

３．リスクマネジメント（リスク管理）
① 医療情報システムで取り扱う情報及び関連する情報に関するリストを作成し、必要に応じて
速やかに確認できる状態で管理すること。
② 事業者から技術的対策等の情報（サービス仕様適

開示

、M S/S S 等）を収集す

ること。
◼

安全管理対策を施す対象を明確にするため、医療情報等のリストを作成する必要がある。この時
の情報分類の粒度としては、管理方法が変化し得る単位が想定される。例えば、詳細な血液検
査項目ごとに管理方法が変化することは考えにくいが、尿検査と血液検査では管理方法が管理し
得る。このため、血液検査結 、放射線画像、といった粒度の情報管理が考えられる。

◼

一般的に、安全管理対策は、医療機関等がリスクを踏まえて行うことになる。しかし、リスクアセスメ
ントやその管理については、専門的な分析などが必要となるため、本編では医療機関等において最
低限実施す きことを記載している。特にクラウドサービスを積極的に利用することにより、リスクや
脅威への対応を事業者

◼

に委ねることが可能となるため、これを推奨する。

医療情報を取扱うシステムについて、事業者から技術的な安全対策の状況を整理したサービス仕
様適 開示 や M S/S S の提供を受 、【別紙】の事業者にお る遵守事項対応状況と併せ
て、安全性を確認することでリスク管理を行うこと。

◼

医療情報システムに関するリスクは、技術の発展や脆弱性の発見等、時間に応じて変化する。リス
ク管理は継続的に行うべきであり、遵守事項の対応状況についても、委託契約などに基づいて、年
次などの頻度で定期的に確認する必要がある。

11