１．はじめに
現代では、多くの分野で ICT 技術が普及し、業務の効率化、正確性の向上、従来にない付加価値
の提供等に活用されている。医療分野においても同様で、医療情報を適切に利用、管理するために、
医療情報システムが活用されている。
一方で、ICT を活用したシステムに対しては、様々なリスクがある。特に医療分野においては医療情報
の漏えいや破壊は、患者の生命、身体に対する侵害、医療業務の継続性を損なうリスクもあり、適切
な対策を講じることが求められる。この対策を示すために、「医療情報システムに関する安全管理ガイドラ
イン」（以下「安全管理ガイドライン」という）が策定されている。
安全管理ガイドラインでは、医療情報システムを取扱う組織や人、システムに対する対応策を網羅的
に示している。特にシステム担当者に対しては、年を追うごとに専門的な知識を要する対応が求められて
きた。医療情報システムの開発や導入、運用は、医療情報システム提供事業者（以下「事業者」という）
への委託がますます増加しており、特に、専任のシステム担当者が不在の医療機関等においては、利
用する医療情報システムのほとんどの管理を、外部の事業者に委ねることが通常と言える状況にある。
このような医療機関等においては、システム運用編を含めた安全管理ガイドラインのすべてを詳細に理
解し、対応することが困難となっている。これを踏まえ、医療機関等の管理者は、事業者の選定、契約
内容の確認、事業者が行う導入や運用の管理監督などの形で技術的な対策を実施することが期待さ
れる。特にクラウドサービスの中でも SaaS（Software as a Service）を利用することでセキュリテ
ィアップデートを含めた保守管理を完全に事業者に委託することも可能となっている。
今般、このような実態を踏まえて、安全管理ガイドラインに示す対策(遵守事項)のうち、主に下記に
該当する小規模医療機関等が必要な対策を実施するための項目一覧を示す事とした。
・システム運用担当者が不在
・小規模で、経営管理と企画管理の部門が区別されていない
・セキュリティアップデートを含めたシステム保守を十分に事業者に委託している
（積極的な SaaS の活用や、保守契約による委託が想定される。）
本編では、医療機関等が自ら実施すべき遵守事項を端的にまとめた。特に「システム運用編」におけ
る事項については、MDS/SDS を用いて機器、サービスのセキュリティ対応状況を確認することで、遵
守事項に対応されたものとみなす。
これらの対応によって、専任のシステム担当者が不在の医療機関等においても、クラウドサービスの積
極的な活用により、十分なセキュリティ対応が可能となることを目指している。

2