項目区分

規程

遵守項目

チェック

からの復元（複数方式・数世代確保、オフライン管理等が重要）を行うこと。
要

②サイバー攻撃等により医療提供体

に支障が生じるおそれがある

は、厚生

□

労働省、都道府県警察、その他の 管官庁等への連絡を行うこと。
要

③

続サービスのセキュリティ確保の範囲を事業者に確認すること。

□

９．医療情報システムの利用者に関する認証等及び権限
要

①利用者の職種・担当業務別の情報区分毎のアクセス利用権限を設定するこ

□

と。特に、管理者権限を与えるアカウントは最低限のユーザとすること。
要

②退職者や使用していないアカウント等、不要なアカウントを削除または無効化す

□

ること。
③電子カルテにお る記録の確定（入力者・確定者の識別、確定手順、更新履

□

歴、代行入力等）に関して、真正性、見読性、保存性の確保が可能なシステ
ムを選定し、必要なルールを規程等に含めること。
④クライアント端末のアプリケーションログイン時には、令和９年度までに二要素認
証を採用すること。対応が困難な

□

には、令和９年度以降のシステム更新

時に対応可能な事業者を選定すること。
⑤オンプレミスのサーバが院内に存在する

は OS（Operation、 System）の

ログイン時に二要素認証を採用すること。対応が困難な

□

には、令和９年

度以降のシステム更新時に対応可能な事業者を選定すること。
１０．技術的な 全管理対策の管理
要

①サーバルーム等のセキュリティ境界への入退室管理（施錠、識別、記録）を行

□

うこと。
要

②離席時の不正利用防止対策（画面ロック等）を実施すること。

□

③記録媒体及び記録機器の保管及び取扱いについて、運用管理規程を作成

□

し、周知徹底・教育を実施すること。
要

④全体構成図（ネットワーク・システム構成図）及び関係者一覧を作成し、最新

□

化すること。
要

⑤医療機関等が用いる端末、ネットワーク機器については、医療機関等の責任で

□

脆弱性対応（セキュリティパッチへの対応、マルウェア対策ソフトのパターンファイ
ルの更新、ネットワーク機器のファームウェアの更新等）を行うこと。これらの対応
を事業者に委託する
要

には、委託内容・範囲を明確にすること。

⑥医療機関等で利用する IoT 機器に対しては、リスク分析のうえ、アップデート、

□

使用終了時の 続解除をすること。
要

⑦利用者の I の台帳管理、棚卸し、削除手順を作成すること。

□

要

⑧パフォーマンス管理、死活監視については、事業者に対する委託契約に含まれ

□

る SLA において明確にすること。
要
7

⑨医療情報システムを導入する際には、事業者に M S/S S の提出を求め、本

□