２．本編の対象
◼

保守委託機関編（以下、本編という）では、下図１のフローチャートにおいて、「１台以上のサ
ーバのセキュリティアップデート責任が医療機関にある」で「NO」を選んだ医療機関等を対象とす
る。
具体的には、クラウド型電子カルテ（SaaS 型）等のクラウドサービスの採用や、オンプレミスのサ
ービス利用においても契約の中で、すべての医療情報システムのセキュリティアップデートを含む保
守を外部の事業者に委託していることを想定している。なお、本編の適用対象となる医療機関
等は、以下「保守委託機関」と呼ぶ。
SaaS サービスへの移行が容易な小規模医療機関等が主な対象となることを想定している。
➢

フローチャートの YES または NO の判断の際に不明点があれば、必ず当該事業者に確認
をすること。

（※）「医療情報システム・サービス事業者」とは、医療情報システムの製造、開発、販売及び保守
を行う事業者や、医療情報システムを活用したサービスの提供、保守等を行う事業者など、医療
機関等が医療情報システムを利用・管理する上で関係する事業者全般を想定する。

す ての医療機関等

編
（全 者）

1の
1
のサー
セキュリティアップデート 任が
医療機関等に る

S

経営管理編
（経営 ）

企画管理編

する

提

医療情報システムの安全管理の

（システムの 全管理者）

医療機関等全体の医療情報システムの安全対策の管理
組織的な対応に関する項目

システム運用編

技術的な対応に関する項目

（システム運用担当者）

保守委託機関編
（医療機関管理者・担当者）
１
２

編に

クラウドサービスを利用する等、サーバの
セキュリティアップデートを含む保守業務を委託できている
医療機関等にお る安全管理の
・管理・対策

一般に Cは含まない。ただし、C
等により、電子カルテアプリを Cにインストールし、 Cがサーバと同等の機能を たす様な
は、 Cもサーバとして扱う。
「事業者がセキュリティアップデート責任を追うこと」が、契約 や約 等に記 されている
にの 「NO」を選 可能となる。記 がない
や不明確な
には
医療機関 の責任となっている可能性がある。不明確な
は必ず契約事業者に
確認し、責任の 在を明確にすること。

図 1 本編の対象となる医療機関等の判断フローチャート

3