4.3 安全管理対策の点検
① 定期的に安全管理対策の自己点検を行い、必要に応じて改善に向けた対応を指示するこ

と。また、自己点検に加え、必要に応じて外部監査を実施すること。
◼

策定した安全管理対策が「適切に実施されているか」を確認することも重要であり、これには定期
的な第三者監査を受けることが考えられる。一方で本編の主な対象となる小規模医療機関等で
は、第三者監査の負担が大きいと想定される。

◼

このため、最低限の対応として、年次などの頻度で、策定した安全対策の運用状況を、医療情報
システム安全管理責任者等が点検し、問題や懸念事項があった部分については、内部でのルール
の見直しや、委託契約内容の見直しなどの検討を行うこと。

◼

一方で、「医療機関におけるサイバーセキュリティ対策チェックリスト」に含まれる項目については、医
療法に基づく立入検査において、第三者により確認されるため、各項目が「適切に実施されている
か」を十分に確認すること。

５．安全管理のための人的管理（職員管理、事業者管理、教育・訓練、事業者選定・契約）
① 医療情報を取り扱う職員を採用するに当たっては、雇用契約に雇用中及び退職後の守秘・
非開示に関する条項を含めること。
② 個人情報の安全管理に関する職員への教育・訓練を採用時及び定期的に実施すること。
③ 外部保存の委託先事業者選定の際は、プライバシーマーク、ISMS 又はこれと同等の規格
の認証を受けている事業者を選定すること。
また、安全管理方針、体制、バックアップ状況、信用度、認証（ISMAP やプライバシーマー
ク、ISMS 等）の取得状況、保存場所を確認し、情報機器等が、国内法の適用及び執行
の及ぶ範囲にあることを確実にすること。
④ 医療情報の外部保存の委託先事業者との契約に、下記を含むことを事業者に確認するこ
と。
-事業者が安全管理ガイドラインと「医療情報を取り扱う情報システム・サービスの提供事業
者における安全管理ガイドライン」（総務省、経済産業省）の遵守すること
-許可なく分析等する等の、目的外利用をさせないこと
-匿名化情報の取扱いの配慮
-患者アクセス時の権限設定
-第三者への情報提供は原則患者同意に基づくこと
-委託契約終了に際しての医療情報の返却とその方法の取り決め
-サーバのセキュリティアップデートを含む保守責任が事業者にあること
-PC 等、端末の保守責任が医療機関等と事業者のいずれにあるか
⑤ 必要に応じて個人情報が特定の外部の施設に送付・保存されること、またその安全性やリス
クを含めて院内掲示等を通じて説明すること。
◼

小規模医療機関等では、人的なリソースが限定されることから、できるだけクラウドサービスの利用や
-12-