書）等の形で双方の合意文書として明らかにした上で、具体的な責任分界を踏まえた運用を行うこと。
４．６ 医療情報システムにおける認証・認可
➢

医療情報システムでは、医療機関等が利用権限を認めた利用者に対して、設定した利用範囲内で適切に利用
することを保証するために、利用者の認証・認可を行うことになる。

➢

情報システムの認証に際しては、利用者を特定するための識別子（ID など）と、利用者が本人であることを確
認するための符号（パスワードや指紋認証データなど）が必要である。

➢

医療情報によっては、医師等の法令で定められた者以外の作成等が認められていないものがある。加えて、医療
情報は、患者の生命や心身の安全に影響を及ぼす可能性があることから、通常の情報システムよりも高くリスクを
算定する必要がある。このため、医療情報システムにおいて用いる認証方式は、特に安全なものを採用すべきで
あり、例えば ID の発行については、対面など確実に身元確認が取れる方法を採用する、認証方法については、
多要素認証を採用するなどの方法が挙げられる。

４．７ 医療情報の外部保存
➢

医療情報の外部保存3については、「４．３ 医療情報システムの安全管理に関連する法令」で示した「民間事
業者等が行う書面の保存等における情報通信の技術の利用に関する法律等の施行等について」や「診療録等
の保存を行う場所について」に掲げる基準を満たすことを前提に、外部の事業者に医療情報の保存を委託し、医
療機関の外部に医療情報を保存することが可能となっている。これを踏まえ、本ガイドラインでは、適切な外部保
存委託先としての医療情報システム・サービス事業者の選定に関する対策項目を示している。

➢

外部保存に際しては、外部と接続するネットワークを利用するという観点から、情報漏えいや不正アクセス等のリス
クが生じる。一方、適切な医療情報システム・サービス事業者に委託することで、専門的な知識に基づいて、必要
な情報セキュリティ対策が講じられた環境での医療情報やデータの管理が可能となる。そのため、医療機関等にお
いては、事業者に一部の業務を委託する方が、結果としてより安全な情報セキュリティ対策を講じることが可能と
なり得る。加えて、情報システム等の運用に係る要員などの負担軽減にもつながる。

➢

このように、クラウドサービスの利用等、適切な外部保存を実施することで、セキュリティを向上させることは適切な
安全管理策のひとつである。特に小規模医療機関等を含む医療情報システムの専任の運用担当者がいない施
設においては、適切なクラウドサービスの利用によって安全管理を事業者に委託することが望ましい。

3

診療録等を医療機関等以外の場所へ外部保存する場合をいう。

-8-