様適合開示書や MDS/SDS の提供を受け、【別紙】の事業者における遵守事項対応状況と併せ
て、安全性を確認することでリスク管理を行うこと。
◼

医療情報システムに関するリスクは、技術の発展や脆弱性の発見等、時間に応じて変化する。リス
ク管理は継続的に行うべきであり、遵守事項の対応状況についても、委託契約などに基づいて、年
次などの頻度で定期的に確認する必要がある。

４．安全管理全般（統制、設計、管理等）
4.1 統制
① 統制の実効性を確保するために必要な規程類、管理体制等を整備すること。
② 医療情報システム安全管理責任者を設置すること

◼

医療情報システムの安全確保は、医療機関等における事業経営の一つに位置付けられる。小規
模医療機関等においても院長や事務責任者等、経営層による統制が求められる。

◼

医療情報システム安全管理責任者は、医療情報を取扱うシステム全体の安全性の管理を担うこ
とが想定されており、医療機関等において必ず設置すること。

◼

小規模医療機関等では院長等の経営層が医療情報システム安全管理責任者を担うことは十分
想定される。各医療機関等の実態に即して、統制のための体制やルールを整理することが重要で
ある。なお、医療従事者等を含む職員のほか、派遣社員、委託先等、医療機関等が管理する医
療情報を取り扱う者のすべてが統制の対象となる。

4.2 設計
① リスク評価及びリスク管理方針を踏まえて、下記を整備すること
―情報セキュリティ方針
―医療情報の取扱いや保護に関する方針
―医療情報システムの安全管理に関する方針
② 情報の重要度や患者ごとの識別を踏まえ、情報を適切に管理するための手順等を作成・運
用すること。
③ 説明責任等を果たせるよう、法令で求められる医療情報の取扱いに関する証跡を、管理す
ること。
④ 医療情報の取扱いに関して委託等を行う場合には、委託先事業者を含めた安全管理に関
する体制を整備すること。
◼

小規模医療機関等における安全管理の設計では、システムの利用者に対する内容と、委託先事
業者の管理に関する内容が重要となる。前者の設計は、各医療機関等としてのセキュリティや医療
情報保護に関する方針を明確にし、ルールや運用を整理する。後者の設計では委託先事業者に
委ねる内容を明確にすることが求められる。特に医療情報システム等の機能、運用状況、非常時
の対応、契約終了時の対応等や、これらの責任分界について、定期的に確認できるようにすること。

-11-