【はじめに】
＜経営管理編が想定する読者＞
経営管理編は、主に医療機関等において組織の経営方針を策定し、意思決定を担う経営層に認識していただく
考え方や関連法制度等を示している。具体的には、経営層として遵守又は判断すべき事項並びに企画管理やシステ
ム運営の担当部署及び担当者に対して指示及び管理すべき事項並びにその考え方を示している。
＜医療機関等における情報セキュリティ＞
医療情報システムの利用が進んでいる中、サイバー攻撃の脅威も近年増大している。その攻撃手法は日々高度化、
巧妙化しており、医療機関等の経営や地域医療の安全性に直接影響が生じる事案も生じている。また、医療 DX の
進展に伴い、直接的にサイバー攻撃を受けた医療機関等を踏み台にし、他の医療機関等にも被害が拡大するなど、
重大な影響を及ぼす危険性も生じている。
情報セキュリティインシデントが起きた場合、医療の提供が停止し、患者の生命・身体に影響を与える可能性がある。
安全管理上の対応が不十分であれば、行政処分の対象となるリスクや、民事上の賠償責任を負うリスクもあるうえ、
医療機関等の公共社会インフラとしての役割からの謝罪が必要となった例も複数ある。さらには、インシデントからの復
旧に多大な費用を要するなど、経営に大きな影響を及ぼすことも想定される。
安全管理対策は、事業継続性の確保やサイバー攻撃に対する防衛力の向上にとどまるものではなく、医療情報を
高度に活用して、質の高い医療の提供や個人の健康の維持増進の前提にもなる。医療機関等の経営層においては、
安全管理対策の実施を「コスト」と捉えるのではなく、質の高い医療の提供等に不可欠な「投資」と捉え、その実施に
必要となる資源（予算・人材等）の確保に努めることも重要である。
本ガイドラインの「経営管理編」では、このような医療機関等の経営管理の観点から求められる医療情報システムの
安全管理についての遵守事項及びその考え方を示す。
医療機関等の経営層においては、本編を閲読し、理解した上で、必要な措置を講じることが求められる。

-1-