管理を事業者に委託すること。
（困難な

は医療機関等自ら、定期的なアップデートを要する。）

④ 盗難・紛失時の対応手順を作成し、事 対策を講じること。
⑤ BYO （個人

有の情報機器）の利用について、利用許諾条件や管理方法等を規程に

含め、利用許諾状況も含めて台帳管理を行うこと。
⑥ IoT 機器を患者へ貸し出す際は、リスク説明と同意取得、連絡先提供を行うこと。
◼

医療情報システムに用いる情報機器等については、原則医療機関等に管理責任がある。一方、
管理を委託している機器に対しては、事業者から管理状況の報告等を受 られるようにすること。

◼

職員の私物を利用する

（BYO

Bring、 your、 own、 device）も医療機関等が管理する

機器と同等の管理が求められる。具体的には、BYO

の登録等に関する手順と設定、台帳管理

を行うことや、医療機関等の 有する機器と同等の管理をするための手順を作成すること。
◼

医療機関等が利用を認めていないアプリケーション等の利用を 限することも重要である。一般ユー
ザに管理者権限を与えない設定等により、管理外のサービスが利用されないよう対策すること。

８．サイ ーセキュリティ
① インシデント発生時は、ネットワーク切断、機器隔離、システム停止、バックアップからの復元

（複数方式・数世代確保、オフライン管理等が重要）を行うこと。
② サイバー攻撃等により医療提供体

に支障が生じるおそれがある

は、厚生労働省、都

道府県警察、その他 管官庁等への連絡を行うこと。
③

◼

続サービスのセキュリティ確保の範囲を事業者に確認すること。

サイバーセキュリティ対策は、医療情報の漏えいリスクを軽減するものと、インシデント発生時の業務
継続に関するものに別れる。インシデント発生時に業務継続を必要とする

は、被害範囲を特

定してネットワークの切断やバックアップの復元等、BC に基づく対応を要する。警察や 管省庁等
に報告を行うことも求められる。クラウドサービスを利用している

や、運用を委託している

に

は、バックアップの復元等の対応は事業者に対して依頼することが想定される。
◼

「

続サービス」においても、サービスの内容と責任分界（委託先事業者は V N 装置に関するセ

キュティアップデート等の管理責任を有するかなど）を明確にすること。例えば、サイバー攻撃発生時
に侵入経路の特定や影響範囲の把握を行えるよう、委託先が保有するログ等について、提供され
る情報の内容、提供条件、提供範囲をあらかじめ確認しておくことが重要である。
９．医療情報システムの利用者に関する認証等及び権限
① 利用者の職種・担当業務別の情報区分毎のアクセス利用権限を設定すること。
特に、管理者権限を与えるアカウントは最低限のユーザとすること。
② 退職者や使用していないアカウント等、不要なアカウントを削除または無効化すること。
③ 電子カルテにお る記録の確定（入力者・確定者の識別、確定手順、更新履歴、代行入
力等）に関して、真正性、見読性、保存性の確保が可能なシステムを選定し、必要なルー
15