３．遵守項目解説
１．安全管理に関する責任・責務
1.１ 安全管理に関する法令の遵守
① 法令上求められる要件（個人情報保護法、e-文書法等）について、必要な技術的対

応、手順、資料の作成を行うこと。または、事業者等に提出させて、その内容を確認するこ
と。
◼

「事業者等」には、医療情報システムで用いるネットワーク等の構築、機器の設置、サービスなどを
提供する事業者に加え、端末（PC、タブレット等）やネットワーク機器の保守・運用を受託する事
業者も含まれる。

◼

法令上求められる要件に必要な技術的対応、資料等は、委託先事業者に提出させることも十分
想定される。MDS/SDS（厚生労働省標準規格 HS040「製造業者/サービス事業者による医
療情報セキュリティ開示書」ガイドで示されているチェックリスト）10の提出を事業者に求め、項目の
適合性を確認すること。

1.2 医療機関等における責任
① 通常時における責任：医療情報システムの安全管理に関して、原則として文書化し、管理
する体制を整えること。
② 非常時における責任：非常時における業務継続の可否の判断基準等を検討し、BCP
（Business Continuity Plan：業務継続計画）を整備すること。
◼

非常時（システム障害、災害、サイバー攻撃の発生）に、その内容に応じて、診療行為の継続や、
医療情報システムの利用の継続等の判断を行うための基準を平常時から用意すること。これに基
づいて、検知、封じ込め、復旧などの段階に応じた BCP を策定することを想定する。

◼

例えば短時間のシステム障害であれば、一時的に医療情報システムの利用を控えて他の手段によ
り、診療行為を継続する、回復に数日以上を要する場合には、診療を縮小する、紙を用いた対応
に切り替える、などの判断基準と対応策を整理すること。

1.3 委託における責任
① 業務の一部等を事業者に委託する場合は、法令等を遵守し、委託先事業者の選定や管

理を適切に行うこと。
◼

専任のシステム担当者が不在の医療機関等においては、技術的仕様について、事業者から
MDS/SDS 等の提出を受け、本編末尾の【別紙】に示す内容の適合性を確認することで、適切な

10

MDS/SDS は Manufacture/Service Provider Disclosure Statement for Medical Information
Security の略で、製造業者/サービス事業者による医療情報セキュリティ開示書を指す。具体的には「「製造業者/サ
ービス事業者による医療情報セキュリティ開示書」の概要」（厚生労働省）を参照。

-8-